目  录

1 简介

2 配置前提

3 链路层攻击防御配置举例

3.1 组网需求

3.2 配置思路

3.3 使用版本

3.4 配置注意事项

3.5 配置步骤

3.5.1 Switch A的配置

3.5.2 Switch B的配置

3.5.3 Switch C的配置

3.6 验证配置

3.7 配置文件

4 ARP攻击防御配置举例

4.1 组网需求

4.2 使用版本

4.3 配置步骤

4.3.1 Switch A的配置

4.3.2 Switch B的配置

4.4 验证配置

4.5 配置文件

5 IP层攻击防御配置举例

5.1 组网需求

5.2 使用版本

5.3 配置注意事项

5.4 配置步骤

5.5 验证配置

5.6 配置文件

6 传输层攻击防御配置举例

6.1 组网需求

6.2 使用版本

6.3 配置步骤

6.4 验证配置

6.5 配置文件

7 相关资料

1  简介

本文档介绍了链路层、ARP、IP层以及传输层攻击防御的配置举例。

本文档涉及的主要攻击防御类型见表1。

表1 攻击防御类型简介

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解本文档中涉及的攻击防御特性。

3  链路层攻击防御配置举例

3.1  组网需求

如图1所示，Switch A、Switch B、Switch C均运行了MSTP协议，网络拓扑稳定后Switch B为根桥，Switch C的GE2/0/1为阻塞端口。

·     通过配置根保护、环路保护和BPDU保护功能，维持Switch A、Switch B和Switch C的端口角色以及网络拓扑的稳定。

·     在Switch A、Switch B和Switch C上使能防TC-BPDU攻击保护，避免发生短时间内大量TC（Topology Change）-BPDU冲击设备的情况。

·     在Switch A和Switch C的接入侧端口上配置端口最大学习MAC数目，避免设备因受到大量源MAC地址不同的报文攻击，而导致MAC地址表过于庞大、转发性能下降的情况。

·     在Switch B的用户网络侧端口以及Switch A和Switch C的所有端口上配置组播速率抑制和广播速率抑制功能。端口上的广播或组播流量超过6400后，系统将丢弃超出广播和组播流量限制的报文，从而使接口广播、组播流量所占的比例降低到限定的范围。

图1 链路层攻击防御组网配置图

3.2  配置思路

根据端口角色来确定需要配置根保护、环路保护和BPDU保护的设备端口。

·     网络中根桥Switch B可能会收到伪造的优先级更高的BPDU，导致Switch B失去根桥的地位。为防止这种情况发生，可在根桥与叶子节点相连的端口GE2/0/1、GE2/0/2上配置根保护功能，使它们只能作为指定端口来转发BPDU，并在收到优先级更高的BPDU时暂时停止转发BPDU。

·     Switch C通过接收根桥发送的BPDU来维持GE2/0/1的端口角色为阻塞端口，如果链路发生拥塞或故障，Switch C会因为没有收到根桥的BPDU而重新选择端口角色，使其所有端口变为指定端口并迁移到转发状态，导致环路。因此在Switch C的根端口GE2/0/2上使能环路保护，使该端口在没有收到BPDU时使其所有MSTI处于Discarding状态以避免环路产生。

·     Switch A和Switch C是接入层设备，将其连接用户终端的端口（如GE2/0/3）设置为边缘端口（相关命令为stp edged-port），以便快速迁移到转发状态。这些连接用户的端口正常情况下是不会收到BPDU的，要避免它们因收到伪造的BPDU而引发生成树重新计算，在边缘端口上配置BPDU保护功能，使它们在收到BPDU时暂时关闭。

3.3  使用版本

本举例是在S12500-CMW710-R7129版本上进行配置和验证的。

3.4  配置注意事项

·     在同一个端口上，不允许同时配置边缘端口和环路保护功能，或者同时配置根保护功能和环路保护功能。

·     请不要在与用户终端相连的端口上使能环路保护功能，否则该端口会因收不到BPDU而导致其所有MSTI将一直处于Discarding状态。

3.5  配置步骤

3.5.1  Switch A的配置

# 配置各接口的IP地址（略）。

# 配置STP BPDU保护。

<SwitchA> system-view

[SwitchA] stp bpdu-protection

[SwitchA] interface GigabitEthernet 2/0/3

[SwitchA-GigabitEthernet2/0/3] undo shutdown

[SwitchA-GigabitEthernet2/0/3] stp edged-port

[SwitchA-GigabitEthernet2/0/3] quit

# 配置防TC-BPDU攻击保护。

[SwitchA] stp tc-protection

[SwitchA] stp tc-protection threshold 10

# 配置接入侧端口最大学习MAC数目，以GE2/0/3为例。

[SwitchA] interface GigabitEthernet 2/0/3

[SwitchA-GigabitEthernet2/0/3] mac-address max-mac-count 1024

[SwitchA-GigabitEthernet2/0/3] quit

#在所有端口上设置广播速率抑制和组播速率抑制（其中连接用户终端的端口以GE2/0/3为例）。

[SwitchA] interface range GigabitEthernet 2/0/1 to GigabitEthernet 2/0/3

[SwitchA-if-range] undo shutdown

[SwitchA-if-range] broadcast-suppression pps 6400

[SwitchA-if-range] multicast-suppression pps 6400

[SwitchA-if-range] quit

3.5.2  Switch B的配置

# 配置各接口的IP地址（略）。

# 在指定端口上配置根保护。

<SwitchB> system-view

[SwitchB] interface GigabitEthernet 2/0/2

[SwitchB-GigabitEthernet2/0/2] undo shutdown

[SwitchB-GigabitEthernet2/0/2] stp root-protection

[SwitchB-GigabitEthernet2/0/2] quit

[SwitchB] interface GigabitEthernet 2/0/1

[SwitchB-GigabitEthernet2/0/1] undo shutdown

[SwitchB-GigabitEthernet2/0/1] stp root-protection

[SwitchB-GigabitEthernet2/0/1] quit

# 配置防TC-BPDU攻击保护。

[SwitchB] stp tc-protection

[SwitchB] stp tc-protection threshold 10

#在端口上设置广播速率抑制和组播速率抑制。

[SwitchB] interface range GigabitEthernet 2/0/1 to GigabitEthernet 2/0/2

[SwitchB-if-range] broadcast-suppression pps 6400

[SwitchB-if-range] multicast-suppression pps 6400

[SwitchB-if-range] quit

3.5.3  Switch C的配置

# 配置各接口的IP地址（略）。

# 配置STP BPDU保护。

<SwitchC> system-view

[SwitchC] stp bpdu-protection

[SwitchC] interface GigabitEthernet 2/0/3

[SwitchC-GigabitEthernet2/0/3] undo shutdown

[SwitchC-GigabitEthernet2/0/3] stp edged-port

[SwitchC-GigabitEthernet2/0/3] quit

#在指定端口上进行配置根保护。

[SwitchC] interface GigabitEthernet 2/0/1

[SwitchC-GigabitEthernet2/0/1] undo shutdown

[SwitchC-GigabitEthernet2/0/1] stp root-protection

[SwitchC-GigabitEthernet2/0/1] quit

# 在根端口上配置环路保护。

[SwitchC] interface GigabitEthernet 2/0/2

[SwitchC-GigabitEthernet2/0/2] undo shutdown

[SwitchC-GigabitEthernet2/0/2] stp loop-protection

[SwitchC-GigabitEthernet2/0/2] quit

# 配置防TC-BPDU攻击保护。

[SwitchC] stp tc-protection

[SwitchC] stp tc-protection threshold 10

# 配置端口最大学习MAC数目，以G2/0/3为例。

[SwitchC] interface GigabitEthernet 2/0/3

[SwitchC-GigabitEthernet2/0/3] mac-address max-mac-count 1024

[SwitchC-GigabitEthernet2/0/3] quit

#在所有端口上设置广播速率抑制和组播速率抑制（其中连接用户终端的端口以GE2/0/3为例）。

[SwitchC] interface range GigabitEthernet 2/0/1 to GigabitEthernet 2/0/3

[SwitchC-if-range] broadcast-suppression pps 6400

[SwitchC-if-range] multicast-suppression pps 6400

[SwitchC-if-range] quit

3.6  验证配置

·     向Switch A或Switch C的边缘端口GE2/0/3发送STP BPDU报文，会导致收到报文的端口被shutdown，在shutdown之后可以通过手动的undo shutdown恢复端口的UP状态；

·     向指定端口发送优先级更高的STP报文，根端口不会发生变化，STP拓扑状态保持稳定；

·     向Switch A、Switch B、Switch C频繁发送大量变化的TC报文，设备不会频繁重复刷新FIB（Forwarding Information Base），不会导致严重的转发丢包；

·     向Switch A或Switch C的边缘端口GE2/0/3发送大量广播报文，设备的上行端口上广播报文不会泛滥。

3.7  配置文件

·     SwitchA

#

stp bpdu-protection

stp tc-protection

stp tc-protection threshold 10

#

interface GigabitEthernet 2/0/1

 port link-mode bridge

broadcast-suppression pps 6400

 multicast-suppression pps 6400

#

interface GigabitEthernet 2/0/2

port link-mode bridge

broadcast-suppression pps 6400

multicast-suppression pps 6400

#

interface GigabitEthernet 2/0/3

 port link-mode bridge

mac-address max-mac-count 1024

 stp edged-port

 broadcast-suppression pps 6400

multicast-suppression pps 6400

#

·     SwitchB

#

stp tc-protection

stp tc-protection threshold 10

#

 interface GigabitEthernet 2/0/1

port link-mode bridge

stp root-protection

broadcast-suppression pps 6400

multicast-suppression pps 6400

#

 interface GigabitEthernet 2/0/2

  port link-mode bridge

stp root-protection

  broadcast-suppression pps 6400

multicast-suppression pps 6400

#

interface GigabitEthernet 2/0/3

port link-mode bridge

stp edged-port

#

·     SwitchC

#

stp bpdu-protection

stp tc-protection

stp tc-protection threshold 10

#

interface GigabitEthernet 2/0/1

port link-mode bridge

stp root-protection

broadcast-suppression pps 6400

multicast-suppression pps 6400

#

interface GigabitEthernet 2/0/2

port link-mode bridge

stp loop-protection

broadcast-suppression pps 6400

multicast-suppression pps 6400

#

interface GigabitEthernet 2/0/3

port link-mode bridge

 mac-address max-mac-count 1024

broadcast-suppression pps 6400

multicast-suppression pps 6400

#

4  ARP攻击防御配置举例

4.1  组网需求

如图2所示，Switch A和Switch B组成VRRP备份组，要求在Switch A和Switch B上配置防御功能来抵御各种常见ARP攻击。

图2 ARP攻击防御组网图

4.2  使用版本

本举例是在S12500-CMW710-R7129版本上进行配置和验证的。

4.3  配置步骤

4.3.1  Switch A的配置

# 配置各接口的IP地址（略）。

# 配置ARP源抑制功能，并配置ARP源抑制的阈值为8（缺省为10），以避免设备被固定源发送的IP报文攻击。

<SwitchA> system-view

[SwitchA] arp source-suppression enable

[SwitchA] arp source-suppression limit 8

# 配置ARP黑洞路由功能，以避免设备被不固定的源发送的IP报文攻击。

[SwitchA] arp resolving-route enable

# 配置ARP主动确认功能，以避免攻击者仿冒用户欺骗设备。

[SwitchA] arp active-ack enable

# 配置源MAC地址固定的ARP攻击检测功能，过滤非法报文，以避免设备被同一MAC地址源发送的攻击报文攻击。

[SwitchA] arp source-mac filter

[SwitchA] arp source-mac threshold 25

# 配置ARP报文源MAC一致性检查功能，以避免设备被以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的报文攻击。

[SwitchA] arp valid-check enable

4.3.2  Switch B的配置

# 配置各接口的IP地址（略）。

# 配置ARP源抑制，并配置ARP源抑制的阈值为8（缺省为10），以避免设备被固定源发送的IP报文攻击。

<SwitchB> system-view

[SwitchB] arp source-suppression enable

[SwitchB] arp source-suppression limit 8

# 配置ARP黑洞路由功能，以避免设备被不固定的源发送的IP报文攻击。

[SwitchB] arp resolving-route enable

# 配置ARP主动确认功能，以避免攻击者仿冒用户欺骗设备。

[SwitchB] arp active-ack enable

# 配置源MAC地址固定的ARP攻击检测功能，过滤非法报文，以避免设备被同一MAC地址源发送的攻击报文攻击。

[SwitchB] arp source-mac filter

[SwitchB] arp source-mac threshold 25

# 配置ARP报文源MAC一致性检查功能，以避免设备被以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的报文攻击。

[SwitchB] arp valid-check enable

4.4  验证配置

用PC向设备发送各种ARP攻击报文，设备不会出现CPU利用率偏高的情况，不影响其他业务模块运行。

以ARP源抑制功能为例，伪造20个源IP地址固定，目标IP地址不能解析的IP报文，同时发送给设备，由这些IP报文触发的ARP请求报文超过8个后，对于由此IP地址发出的IP报文，设备不允许其触发ARP请求。

# 显示当前ARP源抑制的配置信息。

<Sysname> display arp source-suppression

 ARP source suppression is enabled

 Current suppression limit: 8

 Current cache length: 16

4.5  配置文件

·     SwitchA

#

 arp source-suppression enable

 arp source-suppression limit 8

 arp resolving-route enable

 arp active-ack enable

 arp source-mac filter

 arp source-mac threshold 25

arp valid-check enable

#

·     SwitchB

#

arp source-suppression enable

 arp source-suppression limit 8

 arp resolving-route enable

 arp active-ack enable

 arp source-mac filter

 arp source-mac threshold 25

arp valid-check enable

#

5  IP层攻击防御配置举例

5.1  组网需求

如图3所示，Switch A作为用户网络连接外网的网关，Switch A可能会遭受来自用户侧或者是网络侧的IP报文攻击，要求在Switch A上配置防御功能以避免设备被各类IP报文攻击。

图3 IP层攻击防御基础配置图

5.2  使用版本

本举例是在S12500-CMW710-R7129版本上进行配置和验证的。

5.3  配置注意事项

·     缺省情况下，以太网接口、VLAN接口及聚合接口处于DOWN状态。如果要对这些接口进行配置，请先使用undo shutdown命令使接口状态处于UP。

·     在关闭ICMP超时报文发送功能后，Traceroute功能将不可用。

5.4  配置步骤

# 配置各接口的IP地址（略）。

# 配置uRPF，以避免设备被一系列带有伪造源地址的报文攻击。

[SwitchA] interface vlan-interface 100

[SwitchA-Vlan-interface100] ip urpf strict

[SwitchA-Vlan-interface100] quit

[SwitchA] interface vlan-interface 200

[SwitchA-Vlan-interface200] ip urpf strict

[SwitchA-Vlan-interface200] quit

# 关闭ICMP超时报文发送功能（缺省为关闭），以避免设备被大量TTL等于1的报文攻击。

[SwitchA] undo ip ttl-expires enable

5.5  验证配置

·     打开设备上ICMP的调试信息开关（配置debugging ip icmp命令），用PC对设备发送TTL为1的报文。ICMP超时报文发送功能关闭时，可以看到设备上没有显示调试信息，即设备没有响应接收到的攻击报文，PC端不会收到TTL超时的ICMP报文。
# 显示ICMP超时报文发送功能开启时设备上的调试信息（设备会转发接收到的攻击报文）。

<System>*Jun 14 14:43:31:068 2013 NM-3 SOCKET/7/ICMP: -MDC=1-Slot=2;                   

Time(s):1371221011  ICMP Output:                                               

 ICMP Packet: src = 6.0.0.1, dst = 202.101.0.2                                  

              type = 11, code = 0 (ttl-exceeded)                               

 Original IP: src = 202.101.0.2, dst = 192.168.0.2                                 

              proto = 253, first 8 bytes = 00000000 00000000

·     用PC对设备发送一系列带有伪造源地址的报文，这些报文被过滤，设备没有遭到源地址欺骗攻击。
# 显示接口Vlan-interface 100和接口Vlan-interface 200上uRPF的应用情况。
<Sysname>display ip urpf interface Vlan-interface 100

uRPF configuration information of interface Vlan-interface100:

   Check type: strict

   Allow default route

<Sysname>display ip urpf interface Vlan-interface 200

uRPF configuration information of interface Vlan-interface200:

   Check type: strict

   Allow default route

5.6  配置文件

#

vlan 100

#

vlan 200

#

interface Vlan-interface100

 ip address 192.168.0.1 255.255.255.0

#

interface Vlan-interface200

 ip address 202.101.0.2 255.255.255.0

#

interface GigabitEthernet2/0/1

port access vlan 100

#

interface GigabitEthernet2/0/2

 port access vlan 200

#

interface Vlan-interface100

ip address 192.168.0.1 255.255.255.0

ip urpf strict

#

6  传输层攻击防御配置举例

6.1  组网需求

如图4所示，Switch A作为用户网络的网关，可能会遭受来自传输层的攻击（如Syn-flood攻击），使设备无法处理正常业务。要求在Switch A上配置SYN Cookie功能，使设备可以抵御这种攻击，不会出现BGP等协议无法使用的情况。

图4 传输层攻击防御基础配置图

6.2  使用版本

本举例是在S12500-CMW710-R7129版本上进行配置和验证的。

6.3  配置步骤

# 配置各接口的IP地址（略）。

# 使能SYN Cookie功能。当服务器收到TCP连接请求时，不建立TCP半连接，而直接向发起者回复SYN ACK报文。服务器接收到发起者回应的ACK报文后，才建立连接。

<SwitchA> system-view

[SwitchA] tcp syn-cookie enable

6.4  验证配置

在接入侧或者网络侧，向设备发送大量目的端口为BGP协议所用端口（TCP端口179）的协议报文，会发现BGP 协议可以正常使用。

6.5  配置文件

#

   tcp syn-cookie enable

#

7  相关资料

《H3C S12500系列路由交换机  二层技术-以太网交换配置指导》中的“MSTP”

《H3C S12500系列路由交换机  二层技术-以太网交换命令参考》中的“MSTP”

《H3C S12500系列路由交换机  安全配置指导》中的“ARP攻击防御”

《H3C S12500系列路由交换机  安全命令参考》中的“ARP攻击防御”

《H3C S12500系列路由交换机  三层技术-IP业务配置指导》中的“IP性能优化”

《H3C S12500系列路由交换机  三层技术-IP业务命令参考》中的“IP性能优化”