07-ARP防攻击典型配置指导
本章节下载: 07-ARP防攻击典型配置指导 (284.87 KB)
目 录
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行检测和解决。
表1-1 ARP攻击类型与防范技术对照表
ARP攻击类型 |
防范技术 |
说明 |
|
泛洪攻击 |
防止IP报文攻击 |
ARP源抑制功能 |
建议在网关设备上配置本功能 |
ARP黑洞路由功能 |
建议在网关设备上配置本功能 |
||
防止ARP报文攻击 |
ARP报文限速功能 |
建议在接入设备上配置本功能 |
|
源MAC地址固定的ARP攻击检测功能 |
建议在网关设备上配置本功能 |
||
仿冒用户、仿冒网关攻击 |
ARP报文源MAC一致性检查功能 |
建议在网关设备上配置本功能 |
|
ARP主动确认功能 |
建议在网关设备上配置本功能 |
||
ARP Detection功能 |
建议在接入设备上配置本功能 |
||
ARP自动扫描、固化功能 |
建议在网关设备上配置本功能 |
||
ARP网关保护功能 |
建议在接入设备上配置本功能 |
||
ARP过滤保护功能 |
建议在接入设备上配置本功能 |
如果网络中有主机通过向网关发送大量目标IP地址不能解析的IP报文来攻击网关,则会造成下面的危害:
l 网关向目的网段发送大量ARP请求报文,加重目的网段的负载。
l 网关会试图反复地对目标IP地址进行解析,增加了CPU的负担。
为避免这种IP报文攻击所带来的危害,可配置如下功能:
l 如果发送攻击报文的源是固定的,可以采用ARP源抑制功能。
l 如果发送攻击报文的源不固定,可以采用ARP黑洞路由功能。
网络设备在处理ARP报文时需要占用系统资源,如果攻击者恶意构造大量ARP报文发往设备,会导致设备的CPU负担过重,从而造成其他功能无法正常运行甚至设备瘫痪,为避免这种ARP报文攻击所带来的危害,可配置如下功能:
l ARP报文限速功能:指对上送CPU的ARP报文进行限速,可以防止大量ARP报文对CPU进行冲击。
l 源MAC地址固定的ARP攻击检测功能:根据ARP报文的源MAC地址进行统计,在5秒内,如果收到同一源MAC地址的ARP报文超过一定的阈值,则认为存在攻击。
推荐用户在配置了ARP Detection、ARP Snooping、MFF或存在ARP泛洪的情况下使用。
如果攻击者仿冒其它用户或网关向局域网中发送伪造的ARP报文,就会导致其它设备的ARP表中记录了错误的地址映射关系,从而影响正常数据报文的转发,就可能会导致整个局域网通信的中断,为避免这种ARP报文攻击所带来的危害,可配置如下功能:
l ARP报文源MAC一致性检查功能:防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。
l ARP主动确认功能:启用ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项。
l ARP Detection功能:ARP Detection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃。
l ARP自动扫描、固化功能:启用ARP自动扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。ARP固化功能用来将当前的ARP动态表项(包括ARP自动扫描生成的动态ARP表项)转换为静态ARP表项。通过对动态ARP表项的固化,可以有效的防止攻击者修改ARP表项。
l ARP网关保护功能:在端口配置此功能后,当端口收到ARP报文时,将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。如果相同,则认为此报文非法,将其丢弃。
l ARP过滤保护功能:在端口配置此功能后,当端口收到ARP报文时,将检查ARP报文的源IP地址和源MAC地址是否和允许通过的IP地址和MAC地址相同:如果不相同,则认为此报文非法,将其丢弃。
各种功能的详细介绍请参见各产品的配置指导。
ARP攻击防范技术的思路是以设备角色为线索,通过分析二三层网络设备可能会面对哪些类型的攻击,从而提供有效的防范措施。
攻击源一般来自于主机侧,因此接入交换机在ARP攻击防范中是一个关键的控制点。针对攻击的特点,接入交换机上的防范主要从两个方面考虑:
l 建立正确的ARP映射关系、检测并过滤伪造的ARP报文,保证经过其转发的ARP报文正确合法。
l 抑制短时间内大量ARP报文的冲击。
由于防范措施部署在接入侧,因此无需在网关上部署,可以减轻网关负担。
如果接入交换机上不支持ARP攻击防范功能,或者主机直接接入网关,则需要在网关上部署防范措施,部署思路从两个方面考虑:
l 建立正确的ARP表项,防止攻击者修改。
l 抑制短时间内大量ARP报文或者需触发ARP解析的IP报文的冲击。
直接在网关上进行部署对接入交换机的依赖较小,可以较好的支持现有网络,有效地保护用户投资。
某局域网内存在两个区域:研发区和办公区,分别属于VLAN10和VLAN20,通过接入交换机连接到网关SwitchA,网络环境如图1-1所示:
网络管理员在监控网络时发现办公区存在大量ARP请求报文,通过分析认为存在IP泛洪攻击,为避免这种IP报文攻击所带来的危害,可采用ARP源抑制功能和ARP黑洞路由功能。
对攻击报文进行分析,如果发送攻击报文的源地址是固定的,采用ARP源抑制功能。在SwitchA上做如下配置:
l 使能ARP源抑制功能;
l 配置ARP源抑制的阈值为100,即当每5秒内的ARP请求报文的流量超过100后,对于由此IP地址发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理。
否则采用ARP黑洞路由功能,在SwitchA上配置ARP黑洞路由功能(说明:缺省情况下,ARP黑洞路由功能处于开启状态)。
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6100系列,Release 6300系列,Release 6610系列, Release 6600系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5810系列以太网交换机 |
Release 1102 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202 ,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S3610&S5510系列以太网交换机 |
Release 5301,Release 5303,Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5303,Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
l S5810系列以太网交换机的Release 1102软件版本不支持ARP黑洞路由功能。
l S3610&S5510系列以太网交换机的Release 5301、Release 5303软件版本、Release 5306和Release 5309不支持ARP黑洞路由功能。
l S3500-EA系列以太网交换机的Release 5303、Release 5309软件版本不支持ARP黑洞路由功能。
# 在图1-1所示的网关SwitchA上使能ARP源抑制功能
[SwitchA] arp source-suppression enable
# 配置ARP源抑制的阈值为100,即当每5秒内的ARP请求报文的流量超过100后,对于由此IP地址发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理。
[SwitchA] arp source-suppression limit 100
# 在图1-1所示的网关SwitchA上配置ARP黑洞路由功能
[SwitchA] arp resolving-route enable
# 显示当前ARP源抑制的配置信息。
<Sysname> display arp source-suppression
ARP source suppression is enabled
Current suppression limit: 100
Current cache length: 16
表1-3 display arp source-suppression显示信息描述表
字段 |
描述 |
ARP source suppression is enabled |
ARP源地址抑制功能处于使能状态 |
Current suppression limit |
设备在5秒时间间隔内可以接收到的同源IP,且目的IP地址不能解析的IP报文的最大数目 |
Current cache length |
目前记录源抑制信息的缓存的长度 |
#
arp source-suppression enable
arp source-suppression limit 100
#
无
某局域网内客户端通过网关与外部网络通信,网络环境如图1-2所示:
图1-2 防止ARP报文泛洪攻击配置组网图
网络管理员希望能够防止因恶意用户对网关发送大量ARP请求/应答报文,造成设备瘫痪,并导致其它用户无法正常地访问外部网络;同时,对于正常的大量ARP请求/应答报文仍然会进行处理。
如果恶意用户发送大量报文的源MAC地址是使用客户端合法的MAC地址,并且源MAC是固定的,可以在网关上进行如下配置:
l 使能源MAC固定ARP攻击检测功能,并选择filter检查模式
l 配置源MAC固定ARP报文攻击检测的阈值
l 配置源MAC固定的ARP防攻击检测表项的老化时间
l 配置保护MAC
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5810系列以太网交换机 |
Release 1102 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
S5120-LI系列以太网交换机 |
Release 1107 |
E552&E528以太网交换机 |
Release 1103 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
l 配置网关
# 使能源MAC固定ARP攻击检测功能,并选择filter检查模式。
<Gateway> system-view
[Gateway] arp anti-attack source-mac filter
# 配置源MAC固定ARP报文攻击检测阈值为30个。
[Gateway] arp anti-attack source-mac threshold 30
# 配置源MAC地址固定的ARP攻击检测表项的老化时间为60秒。
[Gateway] arp anti-attack source-mac aging-time 60
# 配置源MAC固定攻击检查的保护MAC地址为0001-0002-0003。
[Gateway] arp anti-attack source-mac exclude-mac 0001-0002-0003
#
arp anti-attack source-mac filter
arp anti-attack source-mac exclude-mac 0001-0002-0003
arp anti-attack source-mac aging-time 60
arp anti-attack source-mac threshold 30
#
无
某局域网中用户都在同一VLAN1内,并且通过接入设备连接网关和DHCP服务器,Host A、Host B和Host C动态获取IP地址,Host D采用静态IP地址访问网络,网络环境如图1-3所示。
网络管理员希望通过在接入交换机上全面部署ARP攻击防御相关特性,形成保护屏障,过滤掉仿冒用户、欺骗网关的攻击报文。
l 为防止仿冒用户、欺骗网关等ARP攻击形式,可以在接入交换机上配置ARP Detection功能,通过ARP Detection功能对ARP报文的有效性和用户合法性进行检查,以达到防止仿冒用户、欺骗网关的目的。
l 根据组网情况,配置ARP Detection功能的用户合法性检查采用基于IP Source Guard静态绑定表项的检查(针对需要配置静态IP地址访问网络的主机)和DHCP Snooping安全表项的检查(针对通过DHCP服务器动态获取IP地址的主机,并且需要在接入设备上开启DHCP Snooping功能)。
l 在配置ARP Detection功能后,为防止ARP泛洪攻击对ARP Detection功能的影响,在Switch A和Switch B所有直接连接客户端的端口上开启ARP报文限速功能。
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5810系列以太网交换机 |
Release 1102 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
S5120-LI系列以太网交换机 |
Release 1107 |
E552&E528以太网交换机 |
Release 1103 |
S3610&S5510系列以太网交换机 |
Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
(1) 配置DHCP客户端Host A、用户Host B和用户Host C(略)
(2) 配置设备
l 配置Switch A
# 配置DHCP Snooping功能。
<SwitchA> system-view
[SwitchA] dhcp-snooping
[SwitchA] interface GigabitEthernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] dhcp-snooping trust
[SwitchA-GigabitEthernet1/0/1] quit
# 使能ARP Detection功能,对用户合法性进行检查。
[SwitchA] vlan 1
[SwitchA-vlan1] arp detection enable
[SwitchA-vlan1] quit
# 端口状态缺省为非信任状态,上行端口配置为信任状态,下行端口按缺省配置。
[SwitchA] interface GigabitEthernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] arp detection trust
[SwitchA-GigabitEthernet1/0/1] quit
# 配置进行ARP报文有效性检查。
[SwitchA] arp detection validate dst-mac ip src-mac
# 配置端口GigabitEthernet 1/0/2和GigabitEthernet 1/0/3上ARP报文上送限速为50pps,超过限速部分的报文丢弃。
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] arp rate-limit rate 50 drop
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface GigabitEthernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] arp rate-limit rate 50 drop
[SwitchA-GigabitEthernet1/0/3] quit
# S5810系列以太网交换机的Release 1102软件版本、S5500-EI和S5500-SI系列以太网交换机的Release 2202软件版本、S5120-EI系列以太网交换机的Release 2202软件版本、S5120-SI系列以太网交换机的Release 1101软件版本、S3610&S5510系列以太网交换机的Release 5306和Release 5309软件版本、S3500-EA系列以太网交换机的Release 5309软件版本、S5120-LI系列以太网交换机的Release 1107、E552&E528以太网交换机的Release 1103上还需要配置ARP Detection用户合法性检查模式:
[SwitchA] arp detection mode dhcp-snooping
l 配置Switch B
# 配置DHCP Snooping功能。
<SwitchB> system-view
[SwitchB] dhcp-snooping
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] dhcp-snooping trust
[SwitchB-GigabitEthernet1/0/1] quit
# 使能ARP Detection功能,对用户合法性进行检查。
[SwitchB] vlan 1
[SwitchB-vlan1] arp detection enable
[SwitchB-vlan1] quit
# 端口状态缺省为非信任状态,上行端口配置为信任状态,下行端口按缺省配置。
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] arp detection trust
[SwitchB-GigabitEthernet1/0/1] quit
# 配置进行报文有效性检查。
[SwitchB] arp detection validate dst-mac ip src-mac
# 配置端口GigabitEthernet 1/0/2和GigabitEthernet 1/0/3上ARP报文上送限速为50pps,超过限速部分的报文丢弃。
[SwitchB]interface GigabitEthernet 1/0/2
[SwitchB-GigabitEthernet1/0/2]arp rate-limit rate 50 drop
[SwitchB-GigabitEthernet1/0/2]quit
[SwitchB]interface GigabitEthernet 1/0/3
[SwitchB-GigabitEthernet1/0/3]arp rate-limit rate 50 drop
# S5810系列以太网交换机的Release 1102软件版本、S5500-EI和S5500-SI系列以太网交换机的Release 2202软件版本、S5120-EI系列以太网交换机的Release 2202软件版本、S5120-SI系列以太网交换机的Release 1101软件版本、S3610&S5510系列以太网交换机的Release 5306和Release 5309软件版本、S3500-EA系列以太网交换机的Release 5309软件版本、S5120-LI系列以太网交换机的Release 1107、E552&E528以太网交换机的Release 1103上还需要配置ARP Detection用户合法性检查模式::
[SwitchB] arp detection mode dhcp-snooping
# 在端口GigabitEthernet1/0/3上配置IP Source Guard静态绑定表项。
[SwitchB] interface GigabitEthernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] user-bind ip-address 10.1.1.2 mac-address 0001-0203-0607 vlan 1
[SwitchB-GigabitEthernet1/0/3] quit
以S5800&S5820X系列以太网交换机的Release 1108软件版本为例:
l SwitchA上的配置
#
dhcp-snooping
#
vlan 1
arp detection enable
#
interface GigabitEthernet1/0/1
dhcp-snooping trust
arp detection trust
#
interface GigabitEthernet1/0/2
arp rate-limit rate 50 drop
#
interface GigabitEthernet1/0/3
arp rate-limit rate 50 drop
#
arp detection validate dst-mac ip src-mac
#
l SwitchB上的配置
#
dhcp-snooping
#
vlan 1
arp detection enable
#
interface GigabitEthernet1/0/1
dhcp-snooping trust
arp detection trust
#
interface GigabitEthernet1/0/2
arp rate-limit rate 50 drop
#
interface GigabitEthernet1/0/3
arp rate-limit rate 50 drop
user-bind ip-address 10.1.1.2 mac-address 0001-0203-0607 vlan 1
#
arp detection validate dst-mac ip src-mac
#
l 如果既配置了报文有效性检查功能,又配置了用户合法性检查功能,那么先进行报文有效性检查,然后进行用户合法性检查。
l 在配置IP Source Guard静态绑定表项时,必须指定VLAN参数,否则ARP报文将无法通过基于IP Source Guard静态绑定表项的检查。
局域网内用户通过接入设备连接网关和认证服务器。详细网络应用要求分析如下:
l 要求在接入设备的端口上对接入用户进行认证,以控制其访问Internet;接入控制方式要求是基于MAC地址的接入控制。
l 由两台RADIUS服务器组成的服务器组与网关相连,其IP地址分别为10.1.1.1和10.1.1.2,使用前者作为主认证/备份计费服务器,使用后者作为备份认证/主计费服务器。
l 接入交换机需要开启802.1X和AAA相关配置。
图1-4 防止仿冒用户、仿冒网关攻击配置(认证方式)组网图
管理员希望通过客户端和认证服务器间的认证机制,建立正确的IP/MAC对应关系,并通过ARP攻击防御的相关特性,形成保护屏障,过滤掉仿冒用户、仿冒网关的ARP攻击报文。
l 接入交换机Switch A和Switch B上开启802.1X和AAA相关配置。
l 用户安装802.1X客户端,并设置上传IP地址(上传IP地址信息用于建立802.1X安全表项)。
l 采用ARP Detection功能,通过ARP Detection功能对ARP报文的有效性和用户合法性进行检查,以达到防止仿冒用户、欺骗网关的目的。
l 根据组网情况,配置ARP Detection功能的用户合法性检查采用基于802.1X安全表项的检查。
l 在配置ARP Detection功能后,为防止ARP泛洪攻击对ARP Detection功能的影响,在Switch A和Switch B所有直接连接客户端的端口上开启ARP报文限速功能。
表1-6 配置适用的产品与软件版本关系
产品 |
软件版本 |
S7500E系列以太网交换机 |
Release 6300系列,Release 6600系列,Release 6610系列 |
S7600系列以太网交换机 |
Release 6600系列,Release 6610系列 |
S5800&S5820X系列以太网交换机 |
Release 1110,Release 1211 |
CE3000-32F以太网交换机 |
Release 1211 |
S5810系列以太网交换机 |
Release 1102 |
S5500-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5500-EI-D系列以太网交换机 |
Release 2208 |
S5500-SI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI系列以太网交换机 |
Release 2202,Release 2208 |
S5120-EI-D系列以太网交换机 |
Release 1505 |
S5120-SI系列以太网交换机 |
Release 1101,Release 1505 |
S5120-LI系列以太网交换机 |
Release 1107 |
E552&E528以太网交换机 |
Release 1103 |
S3610&S5510系列以太网交换机 |
Release 5306,Release 5309 |
S3500-EA系列以太网交换机 |
Release 5309 |
S3100V2系列以太网交换机 |
Release 5103 |
E126B以太网交换机 |
Release 5103 |
(1) 配置客户端Host A、Host B、Host C和Host D(略),必须使用上传IP地址方式。
(2) 配置设备Switch A
# 添加本地接入用户,启动闲置切断功能并设置相关参数。
<SwitchA> system-view
[SwitchA] local-user localuser
[SwitchA-luser-localuser] service-type lan-access
[SwitchA-luser-localuser] password simple localpass
[SwitchA-luser-localuser] authorization-attribute idle-cut 20
[SwitchA-luser-localuser] quit
# 创建RADIUS方案radius1并进入其视图。
[SwitchA] radius scheme radius1
# 设置主认证/计费RADIUS服务器的IP地址。
[SwitchA-radius-radius1] primary authentication 10.1.1.1
[SwitchA-radius-radius1] primary accounting 10.1.1.2
# 设置备份认证/计费RADIUS服务器的IP地址。
[SwitchA-radius-radius1] secondary authentication 10.1.1.2
[SwitchA-radius-radius1] secondary accounting 10.1.1.1
# 设置系统与认证RADIUS服务器交互报文时的共享密钥。
[SwitchA-radius-radius1] key authentication name
# 设置系统与计费RADIUS服务器交互报文时的共享密钥。
[SwitchA-radius-radius1] key accounting money
# 设置系统向RADIUS服务器重发报文的时间间隔与次数。
[SwitchA-radius-radius1] timer response-timeout 5
[SwitchA-radius-radius1] retry 5
# 设置系统向RADIUS服务器发送实时计费报文的时间间隔。
[SwitchA-radius-radius1] timer realtime-accounting 15
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[SwitchA-radius-radius1] user-name-format without-domain
[SwitchA-radius-radius1] quit
# 创建域example.com并进入其视图。
[SwitchA] domain example.com
# 指定radius1为该域用户的RADIUS方案,并采用local作为备选方案。
[SwitchA-isp-example.com] authentication default radius-scheme radius1 local
[SwitchA-isp-example.com] authorization default radius-scheme radius1 local
[SwitchA-isp-example.com] accounting default radius-scheme radius1 local
# 设置该域最多可容纳30个用户。
[SwitchA-isp-example.com] access-limit enable 30
# 启动闲置切断功能并设置相关参数。
[SwitchA-isp-example.com] idle-cut enable 20
[SwitchA-isp-example.com] quit
# 配置域example.com为缺省用户域。
[SwitchA] domain default enable example.com
# 配置dot1x功能。
[SwitchA] dot1x
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] dot1x
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface GigabitEthernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] dot1x
[SwitchA-GigabitEthernet1/0/3] quit
# 使能ARP Detection功能,对用户合法性进行检查。
[SwitchA] vlan 1
[SwitchA-vlan1] arp detection enable
# 端口状态缺省为非信任状态,上行端口配置为信任状态,下行端口按缺省配置。
[SwitchA-vlan1] interface GigabitEthernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] arp detection trust
[SwitchA-GigabitEthernet1/0/1] quit
# 配置端口GigabitEthernet 1/0/2和GigabitEthernet 1/0/3上ARP报文上送限速为50pps,超过限速部分的报文丢弃。
[SwitchA] interface GigabitEthernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] arp rate-limit rate 50 drop
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface GigabitEthernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] arp rate-limit rate 50 drop
[SwitchA-GigabitEthernet1/0/3] quit
# S5810系列以太网交换机的Release 1102软件版本、S5500-EI和S5500-SI系列以太网交换机的Release 2202软件版本、S5120-EI系列以太网交换机的Release 2202软件版本、S5120-SI系列以太网交换机的Release 1101软件版本、S3610&S5510系列以太网交换机的Release 5306和Release 5309软件版本、S3500-EA系列以太网交换机的Release 5309软件版本、S5120-LI系列以太网交换机的Release 1107、E552&E528以太网交换机的Release 1103上还需要配置ARP Detection用户合法性检查模式
[SwitchA] arp detection mode dot1x
(3) 配置设备Switch B
# 添加本地接入用户,启动闲置切断功能并设置相关参数。
<SwitchB> system-view
[SwitchB] local-user localuser
[SwitchB-luser-localuser] service-type lan-access
[SwitchB-luser-localuser] password simple localpass
[SwitchB-luser-localuser] authorization-attribute idle-cut 20
[SwitchB-luser-localuser] quit
# 创建RADIUS方案radius1并进入其视图。
[SwitchB] radius scheme radius1
# 设置主认证/计费RADIUS服务器的IP地址。
[SwitchB-radius-radius1] primary authentication 10.1.1.1
[SwitchB-radius-radius1] primary accounting 10.1.1.2
# 设置备份认证/计费RADIUS服务器的IP地址。
[SwitchB-radius-radius1] secondary authentication 10.1.1.2
[SwitchB-radius-radius1] secondary accounting 10.1.1.1
# 设置系统与认证RADIUS服务器交互报文时的共享密钥。
[SwitchB-radius-radius1] key authentication name
# 设置系统与计费RADIUS服务器交互报文时的共享密钥。
[SwitchB-radius-radius1] key accounting money
# 设置系统向RADIUS服务器重发报文的时间间隔与次数。
[SwitchB-radius-radius1] timer response-timeout 5
[SwitchB-radius-radius1] retry 5
# 设置系统向RADIUS服务器发送实时计费报文的时间间隔。
[SwitchB-radius-radius1] timer realtime-accounting 15
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[SwitchB-radius-radius1] user-name-format without-domain
[SwitchB-radius-radius1] quit
# 创建域example.com并进入其视图。
[SwitchB] domain example.com
# 指定radius1为该域用户的RADIUS方案,并采用local作为备选方案。
[SwitchB-isp-example.com] authentication default radius-scheme radius1 local
[SwitchB-isp-example.com] authorization default radius-scheme radius1 local
[SwitchB-isp-example.com] accounting default radius-scheme radius1 local
# 设置该域最多可容纳30个用户。
[SwitchB-isp-example.com] access-limit enable 30
# 启动闲置切断功能并设置相关参数。
[SwitchB-isp-example.com] idle-cut enable 20
[SwitchB-isp-example.com] quit
# 配置域example.com为缺省用户域。
[SwitchB] domain default enable example.com
# 配置dot1x功能。
[SwitchB] dot1x
[SwitchB] interface GigabitEthernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] dot1x
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface GigabitEthernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] dot1x
[SwitchB-GigabitEthernet1/0/3] quit
# 使能ARP Detection功能,对用户合法性进行检查。
[SwitchB] vlan 1
[SwitchB-vlan1] arp detection enable
# 端口状态缺省为非信任状态,上行端口配置为信任状态,下行端口按缺省配置。
[SwitchB-vlan1] quit
[SwitchB] interface GigabitEthernet 1/0/1
[SwitchB-GigabitEthernet1/0/1] arp detection trust
[SwitchB-GigabitEthernet1/0/1] quit
# 配置端口GigabitEthernet 1/0/2和GigabitEthernet 1/0/3上ARP报文上送限速为50pps,超过限速部分的报文丢弃。
[SwitchB] interface GigabitEthernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] arp rate-limit rate 50 drop
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface GigabitEthernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] arp rate-limit rate 50 drop
[SwitchB-GigabitEthernet1/0/3] quit
# S5810系列以太网交换机的Release 1102软件版本、S5500-EI和S5500-SI系列以太网交换机的Release 2202软件版本、S5120-EI系列以太网交换机的Release 2202软件版本、S5120-SI系列以太网交换机的Release 1101软件版本、S3610&S5510系列以太网交换机的Release 5306和Release 5309软件版本、S3500-EA系列以太网交换机的Release 5309软件版本、S5120-LI系列以太网交换机的Release 1107、E552&E528以太网交换机的Release 1103上还需要配置ARP Detection用户合法性检查模式
[SwitchB] arp detection mode dot1x
以S5800&S5820X系列以太网交换机的Release 1108软件版本为例:
l 配置Switch A
#
dot1x
#
vlan 1
arp detection enable
#
radius scheme radius1
primary authentication 10.1.1.1
primary accounting 10.1.1.2
secondary authentication 10.1.1.2
secondary accounting 10.1.1.1
key authentication name
key accounting money
timer realtime-accounting 15
timer response-timeout 5
user-name-format without-domain
retry 5
#
domain example.com
authentication default radius-scheme radius1 local
authorization default radius-scheme radius1 local
accounting default radius-scheme radius1 local
access-limit enable 30
state active
idle-cut enable 20 10240
self-service-url disable
#
local-user localuser
password simple localpass
authorization-attribute idle-cut 20
service-type lan-access
#
interface GigabitEthernet1/0/1
arp detection trust
#
interface GigabitEthernet1/0/2
dot1x
arp rate-limit rate 50 drop
#
interface GigabitEthernet1/0/3
dot1x
arp rate-limit rate 50 drop
#
l 配置Switch B
#
dot1x
#
vlan 1
arp detection enable
#
radius scheme radius1
primary authentication 10.1.1.1
primary accounting 10.1.1.2
secondary authentication 10.1.1.2
secondary accounting 10.1.1.1
key authentication name
key accounting money
timer realtime-accounting 15
timer response-timeout 5
user-name-format without-domain
retry 5
#
domain example.com
authentication default radius-scheme radius1 local
authorization default radius-scheme radius1 local
accounting default radius-scheme radius1 local
access-limit enable 30
state active
idle-cut enable 20 10240
self-service-url disable
#
local-user localuser
password simple localpass
authorization-attribute idle-cut 20
service-type lan-access
#
interface GigabitEthernet1/0/1
arp detection trust
#
interface GigabitEthernet1/0/2
dot1x
arp rate-limit rate 50 drop
#
interface GigabitEthernet1/0/3
dot1x
arp rate-limit rate 50 drop
#
如果既配置了报文有效性检查功能,又配置了用户合法性检查功能,那么先进行报文有效性检查,然后进行用户合法性检查。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!