摘要：# 别以为交换机接上就能用，局域网里的“内鬼”攻击更吓人 我得先说句大实话：很多人觉得网络安全就是防外贼，防火墙、高防IP咔咔一顿上，内部网络嘛，交换机一连，灯一亮，就觉得稳了。结果呢？问题往往就出在这“觉得稳了”的地方。 我自己看过不少中小公司的网络…

别以为交换机接上就能用，局域网里的“内鬼”攻击更吓人

我得先说句大实话：很多人觉得网络安全就是防外贼，防火墙、高防IP咔咔一顿上，内部网络嘛，交换机一连，灯一亮，就觉得稳了。结果呢？问题往往就出在这“觉得稳了”的地方。

我自己看过不少中小公司的网络，网管最头疼的不是外网被打穿，而是内网时不时卡成PPT，业务系统间歇性“失联”，查半天又好像没问题。这种场景你应该不陌生吧？感觉就像家里电路接触不良，但电工来了又说电压正常。

其实吧，很多时候，这“锅”可能得算在两种看起来古老、但至今依然活跃的内网攻击头上：ARP欺骗和MAC泛洪攻击。今天咱们就抛开那些云山雾罩的术语，把这俩“内鬼”的作案手法和你怎么亲手摁死它们，聊个明明白白。

ARP欺骗：你们聊，我中间传个话

先想象一个生活化的场景：你（电脑A）想给同事（电脑B）传个小纸条（数据包）。但你不知道他坐哪儿（他的MAC地址），于是你站起来对着整个办公室（广播）喊：“B！你座位号（MAC地址）是多少？”

正常情况下，B会回应：“我在这儿，我的座位号是XX！”然后你就能准确把纸条传过去。这个过程，就是ARP（地址解析协议）在干活。

那么ARP欺骗是啥？

就是有个“内鬼”同事C，每次你一喊B，他就抢着回答：“我是B！我座位号是YY！（其实是C自己的地址）” 你信以为真，就把所有给B的纸条都传给了C。C呢？他看完纸条内容（窃听），再原样传给B（转发），神不知鬼不觉。

——可怕吧？你所有发往网关（比如路由器）或者其他同事的流量，都可能被这个“中间人”窥探、甚至篡改。盗个账号、截个密码，那都不是事儿。这可不是危言耸听，随便下个“局域网管理工具”（很多本质就是ARP攻击工具），小学生都能操作。

那怎么办？总不能不用ARP吧？

当然不是。核心思路就一条：让交换机来当这个“传话”的公证人，不给骗子抢答的机会。这就引出了咱们今天要说的一个关键配置——DAI（动态ARP检测）。

说白了，DAI就是让交换机变得“多疑”。它手里有一张“合法住户登记表”（绑定好的IP-MAC-Port对应关系），每次听到有设备喊“我是XX，我住YY号”（ARP应答），它就去查表。

“等等，登记表上写XX住户住在3号端口，你怎么从8号端口喊话？你是个骗子！” 然后交换机就直接把这个欺骗报文给丢弃了，同时可以记录日志甚至关闭该端口。

配置DAI（以主流厂商思路为例，非具体命令）核心就几步：

1. 先打好基础：在交换机上启用DHCP监听（DHCP Snooping），这是DAI信任信息来源的基础。它会记录下哪个端口通过DHCP合法获取了IP。
2. 建立信任关系：通常把连接合法DHCP服务器和核心设备的端口设为“信任端口”。
3. 开启DAI：在需要防护的VLAN或端口上，启用动态ARP检测功能。
4. 设置惩罚：定义检测到ARP欺骗后怎么办——光是丢弃？还是把骗子端口给关了（err-disable）？我建议，对于办公网，直接关端口更省心，逼着“内鬼”现形。

这样一来，那个想抢答的同事C，刚举起手就会被公证人（交换机）摁下去。

MAC泛洪攻击：把交换机“搞失忆”

如果说ARP欺骗是“伪装”，那MAC泛洪攻击就是纯粹的“暴力”。

交换机有个核心部件叫MAC地址表，你可以把它理解成大楼前台的通讯录，记录着每个房间号（端口）住着谁（MAC地址）。数据包来了，交换机一看目标“姓名”，查通讯录，就知道该往哪个房间送，效率很高。

MAC泛洪攻击怎么干呢？

攻击者疯狂地、海量地向交换机发送数据包，每个包的“源姓名”（源MAC地址）都写得不一样，成千上万。很快，交换机前台的“通讯录”（MAC地址表）就被这些伪造的条目塞满了。

——通讯录爆了，新来的真实住户信息就记不下了。交换机一“失忆”，就退化成了一个傻乎乎的集线器（Hub）：来了数据包，我不知道该给谁，那我就对着所有端口广播吧！

这下好了，攻击者就能收到本不该他收到的所有流量（监听模式），同时整个网络的带宽也被无用的广播风暴挤占，网络质量急剧下降，真业务就卡死了。

这种攻击，用个旧网卡和一点脚本就能发动，成本极低，破坏力却立竿见影。

怎么防？给交换机的“通讯录”加把锁！

这就是端口安全（Port Security） 该上场了。它的逻辑非常直白：

1. 限定住户数量：你这个端口（比如连接前台电脑的），只允许学习1个或几个MAC地址（比如2个，考虑电脑可能换了USB网卡）。多了？不行！
2. 绑定固定住户：更狠一点，直接规定这个端口只允许某某特定的MAC地址接入。别人来？没门！
3. 违规惩罚：一旦发现违规接入（地址数量超了或地址不对），端口立马“违纪处理”——可以是直接关闭，也可以只是告警但还通着（restrict），看你的安全级别要求。

我自己的经验是，对于固定办公点位，采用“MAC地址绑定+违规关端口” 的策略最省心。虽然初期配置维护有点工作量，但一劳永逸，从此这个网络点位就像上了把物理锁，只认那台电脑。

实战怎么配？别光看，想想你的网

我知道，看到这儿你可能觉得：“道理懂了，命令网上也有，但我该在哪儿配？全公司都配吗？”

别急，咱们聊聊思路，这比死记命令更重要。

1. 分层部署，抓住重点

• 接入层（员工电脑接入的交换机）：这是防御的主战场。在这里，端口安全是基础标配，牢牢锁死每个接入点。DAI 也应该在这里全面启用，防止同网段的ARP欺骗。
• 汇聚/核心层：这里端口连接的都是服务器、网关或者其他交换机，相对固定。可以采取静态的MAC地址绑定，或者设置较小的安全MAC地址数。DAI的信任关系在这里定义（哪些端口是信任的）。

2. 别一口气吃成胖子 如果你网络从来没配过这些，别想着一下全网推开，容易出问题把自己搞断网。

• 先拿一个非核心的部门或VLAN做试点，比如测试部、行政部。
• 配置端口安全，先采用“违规告警但不关闭”模式，运行几天，看看日志里有没有误杀（比如员工换了无线网卡）。
• 配置DAI，确保你的DHCP Snooping已经正常工作。
• 测试稳定后，再将策略改为“违规关闭端口”，并推广到其他区域。

3. 一个提醒（私货） 很多老旧交换机，功能可能不全或者性能一般，你猛开安全特性可能会导致CPU升高。所以，升级设备固件、选择支持这些基础安全特性的商用交换机，是前提。别在自行车上装ESP，它承载不了。

结尾，咱们说点实在的

安全这东西，很多时候就是“不设防的时候，哪都风平浪静；一开始设防，才发现到处是窟窿”。ARP欺骗和MAC泛洪，就是内网最常见、也最容易被忽视的两个窟窿。

对付它们，并不需要多么高深莫测的黑科技，就是用好交换机自带的端口安全和DAI这两样基础功能。这就像出门记得锁门一样，是基本操作，但太多人就是忘了，或者觉得“我家小区治安好，不用锁”。

如果你的核心服务器、财务系统还在一个“裸奔”的内网里，你心里其实已经有答案了——风险就在那儿。

行了，不废话了，找台交换机试试去吧。从给一个端口上一把锁开始。