02-ARP配置
本章节下载 (552.13 KB)
目 录
2.2.2 使能收到非同一网段ARP请求时发送免费ARP报文功能
4.3 ARP快速应答典型配置举例(WX系列无线控制产品适用)
5.7.4 用户合法性检查和报文有效性检查配置举例(WX系列无线控制产品共用)
5.7.5 用户合法性检查配置举例(WX系列无线控制产品共用)
5.7.6 ARP报文强制转发配置举例(WX系列无线控制产品共用)
l 本手册中标有“请以设备实际情况为准”的特性描述,表示WX系列无线控制产品的各型号对于此特性的支持情况不同,具体差异请参见“特性差异化列表”的“特性支持情况”章节。
l 无线控制产品支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用GE口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。
ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。
在局域网中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送,因此发送站还必须有接收站的物理地址,所以需要一个从IP地址到物理地址的映射。APR就是实现这个功能的协议。
ARP报文分为ARP请求和ARP应答报文,报文格式如图1-1所示。
图1-1 ARP报文结构
l 硬件类型:表示硬件地址的类型。它的值为1表示以太网地址;
l 协议类型:表示要映射的协议地址类型。它的值为0x0800即表示IP地址;
l 硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4;
l 操作类型(OP):1表示ARP请求,2表示ARP应答;
l 发送端MAC地址:发送方设备的硬件地址;
l 发送端IP地址:发送方设备的IP地址;
l 目标MAC地址:接收方设备的硬件地址。
l 目标IP地址:接收方设备的IP地址。
假设主机A和B在同一个网段,主机A要向主机B发送信息。如图1-2所示,具体的地址解析过程如下:
(1) 主机A首先查看自己的ARP表,确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。
(2) 如果主机A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。
(3) 主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。
(4) 主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。
图1-2 ARP地址解析过程
当主机A和主机B不在同一网段时,主机A就会先向网关发出ARP请求,ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后,将报文封装并发给网关。如果网关没有主机B的ARP表项,网关会广播ARP请求,目标IP地址为主机B的IP地址,当网关从收到的响应报文中获得主机B的MAC地址后,就可以将报文发给主机B;如果网关已经有主机B的ARP表项,网关直接把报文发给主机B。
设备通过ARP解析到目的MAC地址后,将会在自己的ARP表中增加IP地址到MAC地址的映射表项,以用于后续到同一目的地报文的转发。
ARP表项分为动态ARP表项和静态ARP表项。
动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被静态ARP表项覆盖。当到达老化时间、接口down时会删除相应的动态ARP表项。
静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖。
配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。
静态ARP表项分为短静态ARP表项和长静态ARP表项。
l 在配置长静态ARP表项时,除了配置IP地址和MAC地址项外,还必须配置该ARP表项所在VLAN和出接口。长静态ARP表项可以直接用于报文转发。
l 在配置短静态ARP表项时,只需要配置IP地址和MAC地址项。如果出接口是三层以太网接口,短静态ARP表项可以直接用于报文转发;如果出接口是VLAN虚接口,短静态ARP表项不能直接用于报文转发,当要发送IP数据包时,先发送ARP请求报文,如果收到的响应报文中的源IP地址和源MAC地址与所配置的IP地址和MAC地址相同,则将接收ARP响应报文的接口加入该静态ARP表项中,之后就可以用于IP数据包的转发。
l 一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。
l 当希望设备和指定用户只能使用某个固定的IP地址和MAC地址通信时,可以配置短静态ARP表项,当进一步希望限定这个用户只在某VLAN内的某个特定接口上连接时就可以配置长静态ARP表项。
静态ARP表项在设备正常工作时间一直有效,当设备的ARP表项所对应的VLAN或VLAN接口被删除时,如果是长静态ARP表项则被删除,如果是已经解析的短静态ARP表项则重新变为未解析状态。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
手工添加长静态ARP表项 |
arp static ip-address mac-address vlan-id interface-type interface-number |
必选 缺省情况下,没有配置任何长静态ARP表项 |
手工添加短静态ARP表项 |
arp static ip-address mac-address |
必选 缺省情况下,没有配置任何短静态ARP表项 |
l 参数vlan-id用于指定ARP表项所对应的VLAN,vlan-id必须是用户已经创建好的VLAN的ID,且vlan-id参数后面指定的以太网接口必须属于这个VLAN。VLAN对应的VLAN接口必须已经创建。
l 指定参数vlan-id和ip-address的情况下,参数vlan-id对应的VLAN接口的IP地址必须和参数ip-address指定的IP地址属于同一网段。
表1-2 配置接口学习动态ARP表项的最大数目
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface vlan-interface interface-number |
- |
配置接口允许学习动态ARP表项的最大个数 |
arp max-learning-num number |
可选 本命令的缺省情况与设备的型号有关,请以设备的实际情况为准 |
为适应网络的变化,ARP表需要不断更新。ARP表中的动态ARP表项并非永远有效,每一条记录都有一个生存周期,到达生存周期仍得不到刷新的记录将被从ARP表中删除,这个生存周期被称作老化时间。如果在到达生存周期前纪录被刷新,则重新计算老化时间。用户可以根据网络实际情况调整老化时间。
表1-3 配置动态ARP的老化时间
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置动态ARP的老化时间 |
arp timer aging aging-time |
可选 缺省情况下,动态ARP的老化时间为20分钟 |
ARP表项检查功能可以控制设备是否学习MAC地址为组播MAC地址的ARP表项。使能ARP表项的检查功能后,若设备接收到的ARP报文中的源MAC地址为组播MAC,则不进行动态ARP表项的学习;且设备上不能配置MAC地址为组播MAC的静态ARP表项,否则会有错误提示。关闭ARP表项的检查功能后,可以对源MAC地址为组播MAC的ARP表项进行学习,且可以配置MAC地址为组播MAC的静态ARP表项。
表1-4 使能ARP表项的检查功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能ARP表项的检查功能 |
arp check enable |
可选 缺省情况下,使能ARP表项的检查功能,即不学习MAC地址为组播MAC地址的ARP表项 |
学习ARP表项时,在发现ARP报文的源IP地址和入接口IP地址不在同一网段后,使用自然网段进行判断。
假设Vlan-interface10接口的IP地址为10.10.10.5/24,收到一个源IP地址为10.11.11.1/8的ARP报文,由于两个IP地址不在同一网段,Vlan-interface10接口无法处理这个报文。如果使能支持自然网段的ARP请求功能,则通过自然网段进行判断,由于Vlan-interface10接口的IP地址为A类地址,因此默认掩码应该为8位,于是两个IP地址就在同一个网段,Vlan-interface10接口就可以学习源IP地址为10.11.11.1的ARP表项了。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能支持自然网段的ARP请求 |
naturemask-arp enable |
必选 缺省情况下,不使能支持自然网段的ARP请求 |
该配置举例中对于以太网接口的配置,请参见表1-6,本配置举例以WX5002为例,实际使用中请以设备实际情况为准。
硬件及型号 |
以太网接口配置前提说明 |
||
安装有无线控制业务板的交换机 |
无线控制业务板 |
LS8M1WCMA0 LSQM1WCMB0 LSBM1WCM2A0 LSRM1WCM2A1 |
请直接在交换机的以太网接口上配置(无线控制业务板插在交换机的扩展插槽上) 在交换机上使用命令oap connect slot slot-number 可以登录到LS8M1WCMA0 / LSQM1WCMB0 / LSBM1WCM2A0 / LSRM1WCM2A1无线控制业务板上 |
LSWM1WCM10 LSWM1WCM20 |
请直接在交换机的以太网接口上配置(无线控制业务板插在交换机的扩展插槽上) 在交换机上使用命令mcms connect [ slot slot-number ] system system-name可以登录到LSWM1WCM10 / LSWM1WCM20无线控制业务板上 |
||
有线无线一体化交换机 |
WX3024 WX3010 WX3008 |
在无线控制引擎上使用命令oap connect slot 0 登录到交换引擎上,在交换引擎的以太网接口上配置 |
|
无线控制器 |
WX6103 |
在主控板上使用命令oap connect slot 0 登录到交换板上,在交换板的以太网接口上配置 |
|
WX5002 WX5002V2 WX5004 |
直接在设备的GE口上配置 |
l 开启设备使能ARP表项的检查功能。
l 设置设备的动态ARP表项的老化时间为10分钟。
l 设置设备使能自然网段范围内的ARP请求。
l 设置接口Vlan-interface10上可以学习动态ARP表项的最大个数为1000。
l 增加一个静态ARP表项,IP地址为192.168.1.1/24,对应的MAC地址为00e0-fc01-0000,此条ARP表项对应的出接口为属于VLAN 10的接口GigabitEthernet 1/0/1。
<Sysname> system-view
[Sysname] arp check enable
[Sysname] arp timer aging 10
[Sysname] naturemask-arp enable
[Sysname] vlan 10
[Sysname-vlan10] quit
[Sysname] interface GigabitEthernet 1/0/1
[Sysname-GigabitEthernet1/0/1] port access vlan 10
[Sysname-GigabitEthernet1/0/1] quit
[Sysname] interface vlan-interface 10
[Sysname-vlan-interface10] arp max-learning-num 1000
[Sysname-vlan-interface10] quit
[Sysname] arp static 192.168.1.1 00e0-fc01-0000 10 GigabitEthernet 1/0/1
在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,用户可以执行reset命令清除ARP表中除授权类型外的ARP表项。
表1-7 ARP显示和维护
操作 |
命令 |
显示ARP表项 |
display arp [ [ all | dynamic | static ] | vlan vlan-id | interface interface-type interface-number ] [ [ | { begin | exclude | include } regular-expression ] | count ] |
显示指定IP地址的ARP表项 |
display arp ip-address [ | { begin | exclude | include } regular-expression ] |
显示动态ARP表项的老化时间 |
display arp timer aging |
清除ARP表项 |
reset arp { all | dynamic | static | interface interface-type interface-number } |
清除ARP表项,将取消IP地址和MAC地址的映射关系,可能导致无法正常通信。清除前请务必仔细确认。
免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。
设备通过对外发送免费ARP报文,实现以下功能:
l 确定其它设备的IP地址是否与本机IP地址冲突。
l 设备改变了硬件地址,通过发送免费ARP报文通知其他设备更新ARP表项。
设备通过学习免费ARP报文,实现以下功能:
对于收到的免费ARP报文,如果ARP表中没有与此报文对应的ARP表项,就将免费ARP报文中携带的信息添加到本地动态ARP映射表中。
使能免费ARP报文学习功能后,对于收到的免费ARP报文,如果ARP表中没有与此报文源IP地址对应的ARP表项,就将免费ARP报文中携带的源IP地址、源MAC地址信息添加到动态ARP映射表中;但是,如果ARP表中已经有与此报文源IP地址对应的ARP表项,则无论是否使能免费ARP报文学习功能,都将更新此ARP表项。
表2-1 使能免费ARP报文学习功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能免费ARP报文学习功能 |
gratuitous-arp-learning enable |
可选 缺省情况下,设备免费ARP报文的学习功能处于开启状态 |
表2-2 使能收到非同一网段ARP请求时发送免费ARP报文功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能收到非同一网段ARP请求时发送免费ARP报文功能 |
gratuitous-arp-sending enable |
必选 缺省情况下,设备收到非同一网段的ARP请求时不发送免费ARP报文 |
ARP Snooping功能是一个用于二层交换网络环境的特性,通过侦听ARP报文建立ARP Snooping表项,从而提供给ARP快速应答等使用。
设备使能ARP Snooping后,所有接口接收的ARP报文均会被重定向到CPU。CPU对重定向上送的ARP报文进行分析,获取ARP报文的源IP地址、源MAC地址、源VLAN和入端口信息,建立记录用户信息的ARP Snooping表项。
ARP Snooping表项的老化时间为25分钟,有效时间为15分钟。如果一个ARP Snooping表项自最后一次更新后15分钟内没有收到ARP更新报文,则此表项开始进入失效状态,不再对外提供服务,其他特性查找此表项将会失败。当收到源IP地址和源MAC与已存在的ARP Snooping表项IP地址和MAC均相同的ARP报文时,此ARP Snooping表项进行更新,重新开始生效,并重新老化计时。当ARP Snooping表项达到老化时间后,则将此ARP Snooping表项删除。
如果ARP Snooping收到ARP报文时检查到相同IP的ARP Snooping表项已经存在,但是MAC地址发生了变化,则认为发生了攻击,此时ARP Snooping表项处于冲突状态,表项失效,不再对外提供服务,并在25分钟后删除此表项。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能ARP Snooping功能 |
arp-snooping enable |
必选 缺省情况下,关闭ARP Snooping功能 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP Snooping的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,用户可以执行reset命令清除ARP Snooping表中的表项。
表3-2 ARP Snooping显示和维护
操作 |
命令 |
显示ARP Snooping表项 |
display arp-snooping [ ip ip-address | vlan vlan-id ] |
清除ARP Snooping表项 |
reset arp-snooping [ ip ip-address | vlan vlan-id ] |
在无线产品组网中,AC与AP会建立隧道连接,Client通过AP连接到AC,通过AC,Client可以与网关建立连接。当Client发起ARP广播请求时,需要通过AC向所有的AP复制ARP请求,这样会导致ARP广播占用隧道的大量资源,导致性能下降。为了减少ARP广播占用的隧道资源,可以在AC上启用ARP快速应答功能,减少ARP广播报文的影响。
ARP快速应答功能就是根据AC设备收集的用户信息(用户信息可以是DHCP Snooping表项,也可以是ARP Snooping表项),在指定的VLAN内,尽可能的对ARP请求进行应答,从而减少ARP广播报文。
ARP快速应答的工作机制如下:
(1) 设备接收到ARP请求报文时,如果请求报文的目的IP地址是设备的VLAN虚接口的IP地址,则由ARP特性进行处理;
(2) 如果ARP请求报文的目的IP地址不是VLAN虚接口的IP地址,则根据报文中的目的IP地址查找DHCP Snooping表项:
l 如果查找成功,但是查找到的表项的接口和收到请求报文的接口一致,并且接口是以太网接口,则不进行应答,否则立即进行应答。
l 如果查找失败,则继续查找ARP Snooping表项,如果查找成功,但是查找到的表项的接口和收到请求报文的接口一致,并且接口是以太网接口,则不进行应答,否则立即进行应答。如果两个表均查找失败,则直接转发请求报文或将报文交于其他特性处理。
表4-1 配置ARP快速应答
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN视图 |
vlan vlan-id |
- |
使能ARP快速应答功能 |
arp fast-reply enable |
必选 缺省情况下,ARP 代答功能处于关闭状态 |
VLAN使能ARP快速应答功能后,此VLAN内的DHCP Snooping功能也被使能。
为了提高ARP快速应答的几率,可以在应用ARP快速应答特性的场合同时使能ARP Snooping功能。
在Station 1、Station 2~Station 25、Station 26~50无线终端分别通过AP 1、AP 2和AP 3接入网络,AP 1、AP 2和AP 3通过Switch和AC互连,AP接入VLAN为VLAN 1。
当Station 1需要访问Station 50时,Station 1发送ARP请求报文,ARP请求报文在AC上被复制发送给AP 2和AP 3,在具有多个AP的情况下,这种复制的广播会占用了大量的隧道资源。为减少对隧道资源的占用,可以在AC使能ARP快速应答,减少网络中的ARP广播报文。使能ARP快速应答,并且Station 50通过DHCP服务器获得IP地址后,Station 1需要访问Station 50时,ARP请求报文可以在AC上得到应答,而AC不会再对报文进行复制,从而减少了对隧道资源的占用。
图4-1 配置ARP快速应答组网图
(1) 配置AC基本功能(详细介绍请参见“WLAN配置指导”中的“WLAN服务”)
# 使能WLAN服务(该命令可以不配置,因为缺省情况下该命令处于使能状态)。
<AC> system-view
[AC] wlan enable
# 配置WLAN ESS接口。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid abc
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 在AC上配置AP 1。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id SZ001
# 配置AP 1的射频。
[AC-wlan-ap-ap1] radio 1 type dot11g
[AC-wlan-ap-ap1-radio-1] service-template 1
AP 2和AP 3的配置和AP 1类似,这里不逐一列出。
# 使能所有的射频。
[AC] wlan radio enable all
(2) 配置AC使能ARP Snooping。
<AC> system-view
[AC] arp-snooping enable
(3) 配置AC上VLAN 1使能ARP快速应答。
[AC] vlan 1
[AC-vlan1] arp fast-reply enable
[AC-vlan1] quit
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行检测和解决。
下面将详细介绍一下这些技术的原理以及配置。
表5-1 ARP攻击防御配置任务简介
配置任务 |
说明 |
详细配置 |
|
防止泛洪攻击 |
配置ARP源抑制功能 |
可选 建议在网关设备上配置本功能 |
|
配置ARP报文限速功能 |
可选 建议在接入设备上配置本功能 |
||
配置源MAC地址固定的ARP攻击检测功能 |
可选 建议在网关设备上配置本功能 |
||
防止仿冒用户、仿冒网关攻击 |
配置ARP报文源MAC一致性检查功能 |
可选 建议在网关设备上配置本功能 |
|
配置ARP主动确认功能 |
可选 建议在网关设备上配置本功能 |
||
配置ARP Detection功能 |
可选 建议在网关设备、接入设备上配置本功能 |
||
配置ARP网关保护功能 |
可选 建议在接入设备上配置本功能 |
||
配置ARP过滤保护功能 |
可选 建议在接入设备上配置本功能 |
如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:
l 设备向目的网段发送大量ARP请求报文,加重目的网段的负载。
l 设备会不断解析目标IP地址,增加了CPU的负担。
为避免这种攻击所带来的危害,设备提供了ARP源抑制功能。开启该功能后,如果网络中某主机向设备某端口连续发送目标IP地址不能解析的IP报文,当每5秒内由此主机发出IP报文触发的ARP请求报文的流量超过设置的阈值,那么对于由此主机发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理,从而避免了恶意攻击所造成的危害。
表5-2 配置ARP源抑制
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能ARP源抑制功能 |
arp source-suppression enable |
必选 缺省情况下,关闭ARP源抑制功能 |
配置ARP源抑制的阈值 |
arp source-suppression limit limit-value |
可选 缺省情况下,ARP源抑制的阈值为10 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP源抑制的运行情况,通过查看显示信息验证配置的效果。
表5-3 ARP源抑制显示和维护
操作 |
命令 |
显示ARP源抑制的配置信息 |
display arp source-suppression |
为防止大量ARP报文对CPU进行冲击,需要对上送CPU的ARP报文进行限速。
表5-4 配置ARP报文限速功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网接口视图 |
interface interface-type interface-number |
- |
开启ARP报文上送限速功能 |
arp rate-limit { disable | rate pps drop } |
必选 缺省情况下,关闭ARP报文上送限速功能 |
本特性根据ARP报文的源MAC地址进行统计,在5秒内,如果收到同一源MAC地址的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印告警信息并且将该源MAC地址发送的ARP报文过滤掉;如果设置的模式为监控模式,则只打印告警信息,不会将该源MAC地址发送的ARP报文过滤掉。
对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC,这样,即使该MAC存在攻击也不会被检测过滤。
只对上送CPU的ARP报文进行统计。
表5-5 配置源MAC地址固定ARP攻击检测模式
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能源MAC地址固定ARP攻击检测功能,并选择检查模式 |
arp anti-attack source-mac { filter | monitor } |
必选 缺省情况下,源MAC地址固定ARP攻击检测功能处于关闭状态 |
配置源MAC固定ARP报文攻击检测的阈值 |
arp anti-attack source-mac threshold threshold-value |
可选 threshold-value的取值范围和缺省值请参见“三层技术-IP业务命令参考”中的“ARP” |
配置源MAC固定的ARP防攻击检测表项的老化时间 |
arp anti-attack source-mac aging-time time |
可选 缺省情况下,源MAC固定的ARP防攻击检测表项的老化时间为5分钟 |
配置保护MAC |
arp anti-attack source-mac exclude-mac mac-address&<1-n> |
可选 缺省情况下,没有配置任何保护MAC |
对于已添加到源MAC固定的ARP防攻击检测表项中的MAC地址,在等待设置的老化时间后,会重新恢复成普通MAC地址。
在完成上述配置后,在任意视图下执行display命令可以显示配置后源MAC地址固定的ARP攻击检测的运行情况,通过查看显示信息验证配置的效果。
表5-6 源MAC固定的ARP攻击检测显示和维护
操作 |
命令 |
显示检测到的源MAC固定的ARP防攻击检测表项 |
display arp anti-attack source-mac [ interface interface-type interface-number ] |
ARP报文源MAC一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。
配置本特性后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。
表5-7 配置ARP报文源MAC一致性检查功能
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能ARP报文源MAC一致性检查功能 |
arp anti-attack valid-check enable |
必选 缺省情况下,关闭ARP报文源MAC一致性检查功能 |
ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。
ARP主动确认功能包括两部分:修改已有ARP表项前的主动确认、新建ARP表项前的主动确认。
l 修改已有ARP表项前的主动确认:当收到的ARP报文中的源MAC地址和对应ARP表项中的不同时,设备首先判断ARP表项刷新时间是否超过1分钟,如果没有超过1分钟,则不更新ARP表项。否则向ARP表项对应的源发送一个单播ARP请求报文,如果在随后的5秒内收到ARP应答报文,则忽略之前收到的ARP攻击报文;如果没有收到ARP应答报文,则向之前收到的ARP报文对应的源发送一个单播ARP请求报文,如果在随后的5秒内收到了ARP应答报文,则根据之前收到的ARP报文更新ARP表项,否则ARP表项不会被修改。
l 新建ARP表项前的主动确认:当收到ARP报文触发新建动态ARP表项时,设备根据收到的ARP报文的源IP地址发送一个广播ARP请求报文,如果在随后的3秒内收到对应的ARP应答报文,则新建ARP表项。否则忽略之前收到ARP攻击报文,不新建ARP表项。
表5-8 配置ARP主动确认功能
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能ARP主动确认功能 |
arp anti-attack active-ack enable |
必选 缺省情况下,关闭ARP主动确认功能 |
为了防止黑客或攻击者通过ARP报文实施“中间人”攻击,用户可以通过配置ARP Detection功能,对于合法用户的ARP报文进行正常转发,否则丢弃,从而防止“中间人”攻击。
按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
如图5-1所示,Host A和Host C通过Switch进行通信。此时,如果有黑客(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行窃取和篡改。这种攻击方式就称作“中间人”攻击。
图5-1 ARP“中间人”攻击示意图
某VLAN内开启ARP Detection功能后,该VLAN内所有端口接收到的ARP(请求与应答)报文将被重定向到CPU进行报文的有效性检查和用户合法性检查:如果认为该ARP报文合法,则进行转发;否则直接丢弃。
(1) ARP报文有效性检查
对于ARP信任端口,不进行报文有效性检查;对于ARP非信任端口,需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。
l 对于源MAC地址的检查模式,会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致认为有效,否则丢弃;
l 对于目的MAC地址的检查模式(只针对ARP应答报文),会检查ARP应答报文中的目的MAC地址是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,无效的报文需要被丢弃;
l 对于IP地址检查模式,会检查ARP报文中的源IP和目的IP地址,全0、全1、或者组播IP地址都是不合法的,需要丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。
(2) 用户合法性检查
对于ARP信任端口,不进行用户合法性检查;对于ARP非信任端口,需要进行用户合法性检查,以防止仿冒用户的攻击。
用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户,包括基于DHCP Snooping安全表项的检查、基于802.1X安全表项的检查。
l 进行基于DHCP Snooping安全表项、802.1X安全表项,只要符合其中任何一个,就认为该ARP报文合法,进行转发。
l 如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。
l DHCP Snooping安全表项通过DHCP Snooping功能自动生成,详细介绍请参见“DHCP配置”。
l 802.1X安全表项通过802.1X功能产生,详细介绍请参见“安全配置指导”中的“802.1x”。
(3) ARP报文强制转发
ARP报文强制转发功能是将ARP非信任端口接收到的已经通过用户合法性检查的ARP报文,按照一定的规则进行转发的防攻击功能,此功能不对ARP信任端口接收到的通过用户合法性检查的ARP报文进行限制。
对于从ARP非信任端口收到的已经通过用户合法性检查的合法ARP报文的处理过程如下:
l 对于ARP请求报文,通过信任端口进行转发;
l 对于ARP应答报文,首先按照报文中的以太网目的MAC地址进行转发,若在MAC地址表中没有查到目的MAC地址对应的表项,则将此ARP应答报文通过信任端口进行转发。
如果既配置了报文有效性检查功能,又配置了用户合法性检查功能,那么先进行报文有效性检查,然后进行用户合法性检查。
表5-9 配置ARP报文有效性检查功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN视图 |
vlan vlan-id |
- |
使能ARP Detection功能 |
arp detection enable |
必选 缺省情况下,关闭ARP Detection功能 |
退回系统视图 |
quit |
- |
使能ARP报文有效性检查功能 |
arp detection validate { dst-mac | ip | src-mac } * |
必选 缺省情况下,设备的检查方式处于关闭状态 |
进入以太网接口视图 |
interface interface-type interface-number |
- |
将不需要进行ARP报文有效性检查的端口配置为ARP信任端口 |
arp detection trust |
可选 缺省情况下,端口为ARP非信任端口 |
表5-10 配置用户合法性检查功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN视图 |
vlan vlan-id |
- |
使能ARP Detection功能 |
arp detection enable |
必选 缺省情况下,关闭ARP Detection功能。即不进行用户合法性检查 |
退回系统视图 |
quit |
- |
进入以太网接口视图 |
interface interface-type interface-number |
- |
配置端口为ARP信任端口 |
arp detection trust |
可选 缺省情况下,端口为ARP非信任端口 |
进行下面的配置之前,需要保证已经配置了用户合法性检查功能。
表5-11 配置ARP报文强制转发功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入VLAN视图 |
vlan vlan-id |
- |
使能ARP报文强制转发功能 |
arp restricted-forwarding enable |
必选 缺省情况下,ARP报文强制转发功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP Detection的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,用户可以执行reset命令清除ARP Detection的统计信息。
表5-12 ARP Detection显示和维护
操作 |
命令 |
显示使能了ARP Detection功能的VLAN |
display arp detection |
显示ARP Detection功能报文检查的丢弃计数的统计信息 |
display arp detection statistics [ interface interface-type interface-number ] |
清除ARP Detection的统计信息 |
reset arp detection statistics [ interface interface-type interface-number ] |
该配置举例中对于以太网接口的配置,请参见表5-13,本配置举例以WX5002为例,实际使用中请以设备实际情况为准。
硬件及型号 |
以太网接口配置前提说明 |
||
安装有无线控制业务板的交换机 |
无线控制业务板 |
LS8M1WCMA0 LSQM1WCMB0 LSBM1WCM2A0 LSRM1WCM2A1 |
请直接在交换机的以太网接口上配置(无线控制业务板插在交换机的扩展插槽上) 在交换机上使用命令oap connect slot slot-number 可以登录到LS8M1WCMA0 / LSQM1WCMB0 / LSBM1WCM2A0 / LSRM1WCM2A1无线控制业务板上 |
LSWM1WCM10 LSWM1WCM20 |
请直接在交换机的以太网接口上配置(无线控制业务板插在交换机的扩展插槽上) 在交换机上使用命令mcms connect [ slot slot-number ] system system-name可以登录到LSWM1WCM10 / LSWM1WCM20无线控制业务板上 |
||
有线无线一体化交换机 |
WX3024 WX3010 WX3008 |
在无线控制引擎上使用命令oap connect slot 0 登录到交换引擎上,在交换引擎的以太网接口上配置 |
|
无线控制器 |
WX6103 |
在主控板上使用命令oap connect slot 0 登录到交换板上,在交换板的以太网接口上配置 |
|
WX5002 WX5002V2 WX5004 |
直接在设备的GE口上配置 |
l Switch是DHCP服务器;
l AC是DHCP Snooping设备,在VLAN 10内启用ARP Detection功能,对DHCP客户端进行保护,保证合法用户可以正常转发报文,否则丢弃。
l Host A是DHCP客户端;用户Host B的IP地址是10.1.1.6,MAC地址是0001-0203-0607。
(1) 配置组网图中所有端口属于VLAN10及Switch对应VLAN10接口的IP地址(略)
(2) 配置AC基本功能(详细介绍请参见“WLAN配置指导”中的“WLAN服务”)
# 使能WLAN服务(该命令可以不配置,因为缺省情况下该命令处于使能状态)。
<AC> system-view
[AC] wlan enable
# 配置WLAN ESS接口。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1]port access vlan 10
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid abc
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 在AC上配置AP 。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id 210235A045B05B1236550
# 配置AP 的射频。
[AC-wlan-ap-ap1] radio 1 type dot11g
[AC-wlan-ap-ap1-radio-1] service-template 1
# 使能所有的射频。
[AC] wlan radio enable all
(3) 配置DHCP服务器Switch
# 配置DHCP地址池0。
<Switch> system-view
[Switch] dhcp enable
[Switch] dhcp server ip-pool 0
[Switch-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0
(4) 配置DHCP客户端Host A和Host B(略)
(5) 配置设备AC
# 配置DHCP Snooping功能。
<AC> system-view
[AC] dhcp-snooping
[AC] interface GigabitEthernet 1/0/1
[AC-GigabitEthernet1/0/1] dhcp-snooping trust
[AC-GigabitEthernet1/0/1] quit
#使能ARP Detection功能,对用户合法性进行检查。
[AC] vlan 10
[AC-vlan10] arp detection enable
# 端口状态缺省为非信任状态,上行端口配置为信任状态,下行端口按缺省配置。
[AC-vlan10] interface GigabitEthernet 1/0/1
[AC-GigabitEthernet1/0/1] arp detection trust
[AC-GigabitEthernet1/0/1] quit
# 配置进行报文有效性检查。
[AC] arp detection validate dst-mac ip src-mac
完成上述配置后,对于端口GE1/0/2收到的ARP报文,先进行报文有效性检查,然后基于DHCP Snooping安全表项进行用户合法性检查。
该配置举例中对于以太网接口的配置,请参见表5-14,本配置举例以WX5002为例,实际使用中请以设备实际情况为准。
硬件及型号 |
以太网接口配置前提说明 |
||
安装有无线控制业务板的交换机 |
无线控制业务板 |
LS8M1WCMA0 LSQM1WCMB0 LSBM1WCM2A0 LSRM1WCM2A1 |
请直接在交换机的以太网接口上配置(无线控制业务板插在交换机的扩展插槽上) 在交换机上使用命令oap connect slot slot-number 可以登录到LS8M1WCMA0 / LSQM1WCMB0 / LSBM1WCM2A0 / LSRM1WCM2A1无线控制业务板上 |
LSWM1WCM10 LSWM1WCM20 |
请直接在交换机的以太网接口上配置(无线控制业务板插在交换机的扩展插槽上) 在交换机上使用命令mcms connect [ slot slot-number ] system system-name可以登录到LSWM1WCM10 / LSWM1WCM20无线控制业务板上 |
||
有线无线一体化交换机 |
WX3024 WX3010 WX3008 |
在无线控制引擎上使用命令oap connect slot 0 登录到交换引擎上,在交换引擎的以太网接口上配置 |
|
无线控制器 |
WX6103 |
在主控板上使用命令oap connect slot 0 登录到交换板上,在交换板的以太网接口上配置 |
|
WX5002 WX5002V2 WX5004 |
直接在设备的GE口上配置 |
l Switch是DHCP服务器;AC是802.1x设备,在VLAN 10内启用ARP Detection功能,对认证客户端进行保护,保证合法用户可以正常转发报文,否则丢弃。
l Host A和Host B是本地802.1x接入用户。
图5-3 用户合法性检查配置举例组网图
(1) 配置组网图中所有端口属于VLAN10及Switch对应VLAN10接口的IP地址(略)
(2) 配置AC基本功能(详细介绍请参见“WLAN配置指导”中的“WLAN服务”)
# 使能WLAN服务(该命令可以不配置,因为缺省情况下该命令处于使能状态)。
<AC> system-view
[AC] wlan enable
# 配置WLAN ESS接口。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1]port access vlan 10
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid abc
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 在AC上配置AP。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id 210235A045B05B1236550
# 配置AP的射频。
[AC-wlan-ap-ap1] radio 1 type dot11g
[AC-wlan-ap-ap1-radio-1] service-template 1
# 使能所有的射频。
[AC] wlan radio enable all
(3) 配置DHCP服务器Switch
# 配置DHCP地址池0。
<Switch> system-view
[Switch] dhcp enable
[Switch] dhcp server ip-pool 0
(4) 配置客户端Host A和Host B(略),必须使用上传IP地址方式。
(5) 配置设备AC
# 配置dot1x功能。
<AC> system-view
[AC] dot1x
[AC] interface GigabitEthernet 1/0/2
[AC-GigabitEthernet1/0/2] dot1x
[AC-GigabitEthernet1/0/2] quit
# 添加本地接入用户。
[AC] local-user test
[AC-luser-test] service-type lan-access
[AC-luser-test] password simple test
[AC-luser-test] quit
#使能ARP Detection功能,对用户合法性进行检查。
[AC] vlan 10
[AC-vlan10] arp detection enable
# 端口状态缺省为非信任状态,上行端口配置为信任状态,下行端口按缺省配置。
[AC-vlan10] interface GigabitEthernet 1/0/1
[AC-GigabitEthernet1/0/1] arp detection trust
[AC-GigabitEthernet1/0/1] quit
完成上述配置后,对于端口GE1/0/2收到的ARP报文,需基于802.1x安全表项进行用户合法性检查。
该配置举例中对于以太网接口的配置,请参见表5-15,本配置举例以WX5004为例,实际使用中请以设备实际情况为准。
硬件及型号 |
以太网接口配置前提说明 |
||
安装有无线控制业务板的交换机 |
无线控制业务板 |
LS8M1WCMA0 LSQM1WCMB0 LSBM1WCM2A0 LSRM1WCM2A1 |
请直接在交换机的以太网接口上配置(无线控制业务板插在交换机的扩展插槽上) 在交换机上使用命令oap connect slot slot-number 可以登录到LS8M1WCMA0 / LSQM1WCMB0 / LSBM1WCM2A0 / LSRM1WCM2A1无线控制业务板上 |
LSWM1WCM10 LSWM1WCM20 |
请直接在交换机的以太网接口上配置(无线控制业务板插在交换机的扩展插槽上) 在交换机上使用命令mcms connect [ slot slot-number ] system system-name可以登录到LSWM1WCM10 / LSWM1WCM20无线控制业务板上 |
||
有线无线一体化交换机 |
WX3024 WX3010 WX3008 |
在无线控制引擎上使用命令oap connect slot 0 登录到交换引擎上,在交换引擎的以太网接口上配置 |
|
无线控制器 |
WX6103 |
在主控板上使用命令oap connect slot 0 登录到交换板上,在交换板的以太网接口上配置 |
|
WX5002 WX5002V2 WX5004 |
直接在设备的GE口上配置 |
l Switch是DHCP服务器;
l Host A是DHCP客户端;用户Host B的IP地址是10.1.1.6,MAC地址是0001-0203-0607。
l Host A和Host B在设备AC上端口隔离,但是均和网关Switch相通,GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigaibtEthernet1/0/3均属于VLAN 10。
l AC是DHCP Snooping设备,在VLAN 10内启用ARP Detection功能,对DHCP客户端和用户进行保护,保证合法用户可以正常转发报文,否则丢弃。
要求:AC在启用ARP Detection功能后,对于ARP广播请求报文仍然能够进行端口隔离。
图5-4 配置ARP报文强制转发组网图
(1) 配置组网图中所有端口属于VLAN10及Switch对应VLAN10接口的IP地址(略)
(2) 配置AC基本功能(详细介绍请参见“WLAN配置指导”中的“WLAN服务”)
# 使能WLAN服务(该命令可以不配置,因为缺省情况下该命令处于使能状态)。
<AC> system-view
[AC] wlan enable
# 配置WLAN ESS接口。
[AC] interface wlan-ess 1
[AC-WLAN-ESS1]port access vlan 10
[AC-WLAN-ESS1] quit
# 配置WLAN服务模板并将WLAN-ESS接口与该服务模板绑定。
[AC] wlan service-template 1 clear
[AC-wlan-st-1] ssid abc
[AC-wlan-st-1] bind wlan-ess 1
[AC-wlan-st-1] authentication-method open-system
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 在AC上配置AP 1。
[AC] wlan ap ap1 model WA2100
[AC-wlan-ap-ap1] serial-id 210235A045B05B1236550
# 配置AP 1的射频。
[AC-wlan-ap-ap1] radio 1 type dot11g
[AC-wlan-ap-ap1-radio-1] service-template 1
AP 2的配置和AP 1类似,这里不逐一列出。
# 使能所有的射频。
[AC] wlan radio enable all
(3) 配置DHCP服务器Switch
# 配置DHCP地址池0。
<Switch> system-view
[Switch] dhcp enable
[Switch] dhcp server ip-pool 0
[Switch-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0
(4) 配置DHCP客户端Host A和用户Host B(略)
(5) 配置设备AC
# 配置DHCP Snooping功能。
<AC> system-view
[AC] dhcp-snooping
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] dhcp-snooping trust
[AC-GigabitEthernet1/0/1] quit
# 使能ARP Detection功能,对用户合法性进行检查。
[AC] vlan 10
[AC-vlan10] arp detection enable
# 端口状态缺省为非信任状态,上行端口配置为信任状态,下行端口按缺省配置。
[AC-vlan10] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] arp detection trust
[AC-GigabitEthernet1/0/1] quit
# 配置进行报文有效性检查。
[AC] arp detection validate dst-mac ip src-mac
# 配置端口隔离。
[AC] interface gigabitethernet 1/0/2
[AC-GigabitEthernet1/0/2] port-isolate enable
[AC-GigabitEthernet1/0/2] quit
[AC] interface gigabitethernet 1/0/3
[AC-GigabitEthernet1/0/3] port-isolate enable
[AC-GigabitEthernet1/0/3] quit
完成上述配置后,对于端口GigabitEthernet1/0/2和GigabitEthernet1/0/3收到的ARP报文,先进行报文有效性检查,然后基于DHCP Snooping安全表项进行用户合法性检查。但是,Host A发往Switch的ARP广播请求报文,由于通过了用户合法性检查,所以能够被转发到Host B,端口隔离功能失效。
# 配置ARP报文强制转发功能。
[AC] vlan 10
[AC-vlan10] arp restricted-forwarding enable
[AC-vlan10] quit
此时,Host A发往Switch的合法ARP广播请求报文只能通过信任端口GigabitEthernet1/0/1转发,不能被Host B接收到,端口隔离功能可以正常工作。
在设备上不与网关相连的端口上配置此功能,可以防止伪造网关攻击。
在端口配置此功能后,当端口收到ARP报文时,将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。如果相同,则认为此报文非法,将其丢弃;否则,认为此报文合法,继续进行后续处理。
表5-16 配置ARP网关保护功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入二层以太网接口视图 |
interface interface-type interface-number |
- |
开启ARP网关保护功能,配置被保护的网关IP地址 |
arp filter source ip-address |
必选 缺省情况下,ARP网关保护功能处于关闭状态 |
l 每个端口最多支持配置8个被保护的网关IP地址。
l 不能在同一端口下同时配置命令arp filter source和arp filter binding。
l 本功能与ARP Detection、ARP Snooping和ARP快速应答功能配合使用时,先进行本功能检查,本功能检查通过后才会进行其他配合功能的处理。
该配置举例中对于以太网接口的配置,请参见表5-17,本配置举例以WX5002为例,实际使用中请以设备实际情况为准。
硬件及型号 |
以太网接口配置前提说明 |
||
安装有无线控制业务板的交换机 |
无线控制业务板 |
LS8M1WCMA0 LSQM1WCMB0 LSBM1WCM2A0 LSRM1WCM2A1 |
请直接在交换机的以太网接口上配置(无线控制业务板插在交换机的扩展插槽上) 在交换机上使用命令oap connect slot slot-number 可以登录到LS8M1WCMA0 / LSQM1WCMB0 / LSBM1WCM2A0 / LSRM1WCM2A1无线控制业务板上 |
LSWM1WCM10 LSWM1WCM20 |
请直接在交换机的以太网接口上配置(无线控制业务板插在交换机的扩展插槽上) 在交换机上使用命令mcms connect [ slot slot-number ] system system-name可以登录到LSWM1WCM10 / LSWM1WCM20无线控制业务板上 |
||
有线无线一体化交换机 |
WX3024 WX3010 WX3008 |
在无线控制引擎上使用命令oap connect slot 0 登录到交换引擎上,在交换引擎的以太网接口上配置 |
|
无线控制器 |
WX6103 |
在主控板上使用命令oap connect slot 0 登录到交换板上,在交换板的以太网接口上配置 |
|
WX5002 WX5002V2 WX5004 |
直接在设备的GE口上配置 |
与AC相连的Host B进行了仿造网关Switch(IP地址为10.1.1.1)的ARP攻击,导致与AC相连的设备与网关Switch通信时错误发往了Host B。
要求:通过配置防止这种仿造网关攻击。
图5-5 配置ARP网关保护功能组网图
# 在AC上配置ARP网关保护功能。
<AC> system-view
[AC] interface gigabitethernet 1/0/2
[AC-GigabitEthernet1/0/2] arp filter source 10.1.1.1
[AC-GigabitEthernet1/0/2] quit
完成上述配置后,对于Host B发送的伪造的源IP地址为网关IP地址的ARP报文将会被丢弃,不会再被转发。
本功能用来限制端口下允许通过的ARP报文,可以防止仿冒网关和仿冒用户的攻击。
在端口配置此功能后,当端口收到ARP报文时,将检查ARP报文的源IP地址和源MAC地址是否和配置的IP地址和MAC地址相同。如果相同,则认为此报文合法,继续进行后续处理;否则,认为此报文非法,将其丢弃。
表5-18 配置ARP过滤保护功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入二层以太网接口视图 |
interface interface-type interface-number |
- |
开启ARP过滤保护功能,配置允许通过的ARP报文的源IP地址和源MAC地址 |
arp filter binding ip-address mac-address |
必选 缺省情况下,ARP过滤保护功能处于关闭状态 |
l 每个端口最多支持配置8组允许通过的ARP报文的源IP地址和源MAC地址。
l 不能在同一端口下同时配置命令arp filter source和arp filter binding。
l 本功能与ARP Detection、ARP Snooping和ARP快速应答功能配合使用时,先进行本功能检查,本功能检查通过后才会进行其他配合功能的处理。
该配置举例中对于以太网接口的配置,请参见表5-19,本配置举例以WX5002为例,实际使用中请以设备实际情况为准。
硬件及型号 |
以太网接口配置前提说明 |
||
安装有无线控制业务板的交换机 |
无线控制业务板 |
LS8M1WCMA0 LSQM1WCMB0 LSBM1WCM2A0 LSRM1WCM2A1 |
请直接在交换机的以太网接口上配置(无线控制业务板插在交换机的扩展插槽上) 在交换机上使用命令oap connect slot slot-number 可以登录到LS8M1WCMA0 / LSQM1WCMB0 / LSBM1WCM2A0 / LSRM1WCM2A1无线控制业务板上 |
LSWM1WCM10 LSWM1WCM20 |
请直接在交换机的以太网接口上配置(无线控制业务板插在交换机的扩展插槽上) 在交换机上使用命令mcms connect [ slot slot-number ] system system-name可以登录到LSWM1WCM10 / LSWM1WCM20无线控制业务板上 |
||
有线无线一体化交换机 |
WX3024 WX3010 WX3008 |
在无线控制引擎上使用命令oap connect slot 0 登录到交换引擎上,在交换引擎的以太网接口上配置 |
|
无线控制器 |
WX6103 |
在主控板上使用命令oap connect slot 0 登录到交换板上,在交换板的以太网接口上配置 |
|
WX5002 WX5002V2 WX5004 |
直接在设备的GE口上配置 |
l Host A的IP地址为10.1.1.2,MAC地址为000f-e349-1233。
l Host B的IP地址为10.1.1.3,MAC地址为000f-e349-1234。
l 限制AC的GigabitEthernet1/0/2端口只允许指定用户接入,不允许其他用户接入。
图5-6 配置ARP过滤保护功能组网图
# 配置AC的ARP过滤保护功能。
<AC> system-view
[AC] interface gigabitethernet 1/0/2
[AC-GigabitEthernet1/0/2] arp filter binding 10.1.1.2 000f-e349-1233
[AC-GigabitEthernet1/0/2] quit
完成上述配置后,端口GigabitEthernet1/02收到Host A发出的源IP地址为10.1.1.2、源MAC地址为000f-e349-1233的ARP报文将被允许通过,其他ARP报文将被丢弃。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!