在酒店的網絡管理中,通常的作法,都會把客房的上網和內部辦公放在同一臺路由器下面。這就面臨著安全問題,特別是ARP病毒的攻擊。Qno俠諾工程師在實際工作中,總結出一套專門針對酒店行業用戶的解決辦法,下面我們就向讀者介紹Qno俠諾在酒店行業ARP病毒防制的攻略手段。
由于ARP病毒變種太多,傳播速度太快,國內外的反病毒廠商都沒有很好的辦法來解決ARP病毒問題。一般都是在內網主機和路由器之間建立雙向的ARP綁定來解決這個問題,這也是目前看來最行之有效的解決方案。但酒店不同于網吧,隨著住宿客人的不斷更換,酒店客房里的主機也是不斷變化的,這就意味著遭遇ARP病毒風暴時,不可能通過IP與MAC地址綁定的傳統方法解決此問題。同時,也很難讓住店的客人操作對路由器的ARP綁定,從而導致酒店會經常接到客戶對上網速度慢或上不去網的一些投訴。由于不能夠耽誤酒店的正常使用,所以整個網絡也不能有太大改動。鑒于酒店的特殊性,針對Qno俠諾路由器酒店用戶,提出以下解決方案:
1、激活防止ARP病毒攻擊功能,防止病毒的侵入;
2、利用Qno俠諾路由器多子網功能,加劃VLAN的方法,減少攻擊損害的影響;
3、辦公區做MAC綁定,設置訪問規則,更完整保護辦公區計算機。
首先,酒店客房通常是客人自備電腦入網,大多數酒店采用DHCP技術給上網用戶動態分配IP地址。在防火墻里面開啟防止ARP病毒攻擊,這樣可以防止病毒的侵入。
激活防止ARP病毒攻擊功能。輸入路由器IP地址登陸路由器的Web管理頁面,進入“防火墻配置”的“基本頁面”,再在右邊找到“防止ARP病毒攻擊”,在進行“激活”。系統默認“防ARP攻擊每秒發送20筆”,建議設置為“2—5”筆,以防止發送廣播包過多而造成網絡堵塞。如圖1。
激活防止ARP病毒攻擊
其次,利用Qno俠諾路由器多子網功能,加劃VLAN的方法,對客房區和辦公區進行防ARP設置。結構圖如圖2所示。
劃分VLAN結構圖
把路由器設定兩個網段,本身的網段給客房區客人用,再利用多子網功能,為辦公區設另一個網段內部辦公用。在路由器下面接出來兩個交換機,分別利用路由器的虛擬局域網功能劃出兩個VLAN,劃分VLAN可根據LAN口的數量而定,客房區應該盡可能多的劃分,以減少客房相互間的影響。如圖3所示。
