- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
21-ARP操作
本章节下载 (353.82 KB)
新增“ARP攻击防御”特性,具体介绍请参见ARP攻击防御配置。
ARP(Address Resolution Protocol,地址解析协议)用于将网络层的IP地址解析为数据链路层的物理地址。
IP地址只是主机在网络层中的地址,如果要将网络层中数据包传送给目的主机,必须知道目的主机的数据链路层地址(比如以太网络MAC地址)。因此必须将IP地址解析为数据链路层地址。
本章中除特殊说明,数据链路层地址均以48bit的以太网MAC地址为例。
ARP报文分为ARP请求和ARP应答报文,ARP请求和应答报文的格式如图1-1所示。
l 当一个ARP请求发出时,除了接收方硬件地址(即,请求方想要获取的地址)字段为空外,其他所有的字段都被使用。
l ARP应答报文使用了所有的字段。
图1-1 ARP报文格式
ARP报文各字段的含义如表1-1所示。
表1-1 ARP报文字段解释
|
报文字段 |
字段含义 |
|
硬件类型 |
表示硬件接口的类型,合法取值请参见表1-2 |
|
协议类型 |
表示要映射的协议地址类型,它的值为0x0800即表示IP地址 |
|
硬件地址长度 |
数据报文中硬件地址以字节为单位的长度 |
|
协议地址长度 |
数据报文中协议地址以字节为单位的长度 |
|
操作码 |
指明数据报是ARP请求报文还是ARP应答报文 取值为1——数据报是ARP请求报文 取值为2——数据报是ARP应答报文 取值为3——数据报是RARP请求报文 取值为4——数据报是RARP应答报文 |
|
发送方硬件地址 |
发送方设备的硬件地址 |
|
发送方IP地址 |
发送方设备的IP地址 |
|
接收方硬件地址 |
接收方设备的硬件地址 ARP请求报文中——这个字段为空 ARP应答报文中——这个字段为应答报文返回的接收方硬件地址 |
|
接收方IP地址 |
接收方设备的IP地址 |
|
类型 |
描述 |
|
1 |
以太网 |
|
2 |
实验以太网 |
|
3 |
X.25 |
|
4 |
Proteon ProNET(令牌环) |
|
5 |
混沌网(chaos) |
|
6 |
IEEE802.X |
|
7 |
ARC网络 |
以太网上的两台主机需要通信时,双方必须知道对方的MAC地址。每台主机都要维护IP地址到MAC地址的转换表,称为ARP映射表。ARP映射表中存放着最近用到的一系列与本主机通信的其他主机的IP地址和MAC地址的映射关系,每一条映射关系称为一条ARP表项。E152以太网交换机支持使用display arp命令查看ARP表项信息。
E152以太网交换机的ARP表项分为:静态表项和动态表项,如表1-3所示。
表1-3 ARP表项
|
分类 |
生成方式 |
维护方式 |
|
静态ARP表项 |
用户手工配置的IP地址到MAC地址的映射 |
手工维护 |
|
动态ARP表项 |
交换机动态生成的IP地址到MAC地址的映射 |
动态生成的ARP表项,通过动态ARP老化定时器设定的时间进行老化 |
图1-2 ARP地址解析过程
假设主机A和B在同一个网段,主机A要向主机B发送信息。地址解析过程如下:
(1) 主机A首先查看自己的ARP表,确定其中是否包含有与主机B对应的ARP表项。如果找到了对应的MAC地址,则主机A直接利用ARP表中的MAC地址,对IP数据包进行帧封装,并将数据包发送给主机B。
(2) 如果主机A在ARP表中找不到对应的MAC地址,则将缓存该数据报文,然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址,目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送,该网段上的所有主机都可以接收到该请求,但只有被请求的主机(即主机B)会对该请求进行处理。
(3) 主机B比较自己的IP地址和ARP请求报文中的目标IP地址,当两者相同时进行如下处理:将ARP请求报文中的发送端(即主机A)的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A,其中包含了自己的MAC地址。
(4) 主机A收到ARP响应报文后,将主机B的MAC地址加入到自己的ARP表中用于后续报文的转发,同时将IP数据包进行封装后发送出去。
一般情况下,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入。
免费ARP报文的特点:
l 报文中携带的源IP和目的IP地址都是本机地址,报文源MAC地址是本机MAC地址。
l 当设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址冲突,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。
设备通过对外发送免费ARP报文来实现以下功能:
l 确定其它设备的IP地址是否与本机的IP地址冲突。
l 使其它设备及时更新高速缓存中旧的该设备硬件地址。
设备通过学习免费ARP报文来实现以下功能:
在开启了免费ARP报文学习功能后,交换机对于收到的免费ARP报文,如果ARP表中没有与此报文对应的ARP表项,就将免费ARP报文中携带的信息添加到自身的动态ARP映射表中。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
手工添加静态ARP表项 |
arp static ip-address mac-address [ vlan-id interface-type interface-number ] |
可选 缺省情况下,系统ARP映射表为空,地址映射由ARP协议动态获取 |
|
配置动态ARP表项的老化时间 |
arp timer aging aging-time |
可选 缺省情况下,动态ARP表项的老化时间为20分钟 |
|
开启ARP表项的检查功能(即不学习源MAC地址为组播MAC的ARP表项) |
arp check enable |
可选 缺省情况下,ARP表项的检查功能处于开启状态 |
l 静态ARP表项在以太网交换机正常工作时间一直有效,但如果执行删除VLAN或把端口从VLAN中删除等使ARP表项不再合法的操作,则相应的静态ARP表项将被自动删除。
l 参数vlan-id必须是已经存在的VLAN ID,且vlan-id参数后面指定的以太网端口必须属于这个VLAN。
l 目前,不支持在汇聚组中的端口上配置静态ARP表项。
表1-5 配置免费ARP
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启免费ARP报文学习功能 |
gratuitous-arp-learning enable |
可选 缺省情况下,交换机的免费ARP报文学习功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后ARP的运行情况,通过查看显示信息验证配置的效果。在用户视图下执行reset命令清除ARP表项。
表1-6 ARP的显示和维护
|
操作 |
命令 |
说明 |
|
查看ARP映射表 |
display arp [ static | dynamic | ip-address ] |
display命令可以在任意视图执行 |
|
查看包含指定内容的ARP映射表 |
display arp [ dynamic | static ] | { begin | include | exclude } regular-expression |
|
|
查看指定类型的ARP表项的数目 |
display arp count [ [ dynamic | static ] [ | { begin | include | exclude } regular-expression ] | ip-address ] |
|
|
查看指定端口被丢弃掉的不可信任的ARP报文的数量 |
display arp detection statistics interface interface-type interface-number |
|
|
查看动态ARP老化定时器的时间 |
display arp timer aging |
|
|
清除ARP表项 |
reset arp [ dynamic | static | interface interface-type interface-number ] |
reset命令在用户视图下执行 |
l 关闭交换机的ARP表项检查功能。
l 设置交换机上动态ARP表项的老化时间为10分钟。
l 增加一个静态ARP表项,IP地址为192.168.1.1,对应的MAC地址为000f-e201-0000,对应的出端口为VLAN 1中的端口Ethernet1/0/10。
<Sysname> system-view
[Sysname] undo arp check enable
[Sysname] arp timer aging 10
[Sysname] arp static 192.168.1.1 000f-e201-0000 1 Ethernet1/0/10
ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行检测和解决。
下面将详细介绍一下这些技术的原理以及配置。
为了防御ARP洪泛攻击,E152以太网交换机作为网关设备时,支持根据VLAN限定ARP表项学习数量。即:在设备的指定VLAN接口,配置允许学习动态ARP表项的最大个数。当该VLAN接口动态学习到的ARP表项超过限定的最大值后,将不进行动态地址表项的学习,从而防止某一VLAN内的恶意用户发动ARP泛洪攻击造成的危害。
恶意用户可能通过工具软件,伪造网络中其他设备(或主机)的源IP或源MAC地址的ARP报文,进行发送,从而导致途径网络设备上的ARP表项刷新到错误的端口上,网络流量中断。
为了防御这一类ARP攻击,增强网络健壮性,E152以太网交换机作为网关设备时,支持配置ARP报文源MAC一致性检查功能。通过检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,来校验其是否为伪造的ARP报文。
l 如果一致,则该ARP报文通过一致性检查,交换机进行正常的表项学习;
l 如果不一致,则认为该ARP报文是伪造报文,交换机不学习动态ARP表项的学习,也不根据该报文刷新ARP表项。
按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP 欺骗”创造了条件。
如图2-1所示,Host A和Host C通过Switch进行通信。此时,如果有黑客(Host B)想探听Host A和Host C之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后,Host A 和Host C之间看似“直接”的通信,实际上都是通过黑客所在的主机间接进行的,即Host B担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Man-In-The-Middle)攻击”。
图2-1 ARP“中间人”攻击示意图
为了防止黑客或攻击者通过ARP报文实施“中间人”攻击,E152以太网交换机支持ARP入侵检测功能。
某VLAN内开启ARP入侵检测功能后:
l 该VLAN内所有ARP非信任端口接收到的ARP(请求与回应)报文将重定向到CPU进行报文的合法性检查:如果认为该ARP报文合法,则进行转发;否则直接丢弃。
l 该VLAN内信任端口接收的ARP报文正常转发,不进行合法性检查。
这里所谓的合法性检查是指:根据ARP报文中源IP地址、源MAC地址,检查用户是否是所属VLAN所在端口上的合法用户,包括基于DHCP Snooping安全表项的检查、基于IP静态绑定表项的检查和基于802.1x认证用户IP/MAC对应关系的检查。具体可根据组网环境的不同,选择不同的检查方式:
l 当接入交换机连接的用户均为DHCP动态获取IP地址的用户时,建议配置DHCP Snooping功能,交换机会依据DHCP Snooping表项进行ARP报文的合法性检测;
l 当接入交换机连接的用户为少量手工配置IP地址的用户时,建议配置IP静态绑定表项,交换机会依据IP静态绑定表项进行ARP报文的合法性检测;
l 当接入交换机连接的用户较多,且大部分为静态IP地址分配方式时,逐条配置IP静态绑定表项,工作量比较大,配置容易出错。此时,如果用户安装了802.1x客户端,建议开启交换机的802.1x认证用户的ARP入侵检测功能,交换机会将其记录的802.1x认证用户(无论是DHCP动态获取IP地址或手工配置静态IP地址)的IP地址、MAC地址对应关系和DHCP Snooping表项、IP静态绑定表项一同用于ARP入侵检测功能。
l DHCP Snooping表、IP静态绑定表的相关介绍请参见操作手册“DHCP”模块。
l 802.1x认证相关介绍请参见操作手册“802.1x及System-Guard”模块。
开启ARP入侵检测功能以后,用户可以通过配置ARP严格转发功能,使从指定VLAN的非信任端口上接收的合法ARP请求报文只能通过已配置的信任端口进行转发;而从非信任端口上接收的合法ARP应答报文,首先按照报文中的目的MAC地址进行转发,若目的MAC地址不在MAC地址表中,则将此ARP应答报文通过信任端口进行转发。
为了防止“中间人攻击”,设备通过开启ARP入侵检测功能,将ARP报文上送到CPU处理,判断ARP报文的合法性后进行转发或丢弃。但是,这样引入了新的问题:如果攻击者恶意构造大量ARP报文发往交换机的某一端口,会导致CPU负担过重,从而造成其他功能无法正常运行甚至设备瘫痪。E152以太网交换机支持端口ARP报文限速功能,使受到攻击的端口暂时关闭,来避免此类攻击对CPU的冲击。
开启某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状态(即受到ARP报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,从而避免大量ARP报文攻击设备。
同时,设备支持配置端口状态自动恢复功能,对于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
按照ARP协议的设计,网络设备收到目的IP地址是本接口IP地址的ARP报文(无论此ARP报文是否为自身请求得到的),都会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信,但也为“ARP欺骗”创造了条件。
实际网络环境,特别是校园网中,最常见的ARP攻击方式是“仿冒网关”攻击。即:攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
图2-2 “仿冒网关”攻击示意图
为了防御“仿冒网关”的ARP攻击,E152以太网交换机作为接入设备(一般情况下上行口连接网关设备,下行口连接用户)支持基于网关IP/MAC的ARP报文过滤功能。
l 为防御交换机下行口可能收到的源IP地址为网关IP地址的ARP攻击报文,可将接入交换机下行端口(通常与用户直接相连的端口)和网关IP进行绑定。绑定后,该端口接收的源IP地址为网关IP地址的ARP报文将被丢弃,其他ARP报文允许通过。
l 为防御交换机上行口可能收到的源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP攻击报文,可将接入交换机级联端口或上行端口和网关IP地址、网关MAC地址进行绑定。绑定后,该端口接收的源IP地址为指定的网关IP地址,源MAC地址为非指定的网关MAC地址的ARP报文将被丢弃,其他ARP报文允许通过。
ARP信任端口功能比端口支持基于网关IP/MAC的ARP报文过滤功能的优先级高,即:如果接入交换机级联端口或上行端口被配置为ARP信任端口,则该端口上对于网关IP地址、网关MAC地址的绑定不生效。
表2-1 ARP攻击防御配置任务简介
|
配置任务 |
交换机角色 |
说明 |
详细配置 |
|
配置VLAN接口学习动态ARP表项的最大数目 |
网关设备 |
可选 |
|
|
配置ARP报文源MAC一致性检查功能 |
网关设备、接入设备 |
可选 |
|
|
配置基于网关IP/MAC的ARP报文过滤功能 |
接入设备 |
可选 |
|
|
配置ARP入侵检测功能 |
网关设备、接入设备 |
可选 |
|
|
配置ARP报文限速功能 |
网关设备、接入设备 |
可选 |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
|
配置VLAN接口学习动态ARP表项的最大数目 |
arp max-learning-num number |
可选 缺省情况下,E152以太网交换机取值为256 |
表2-3 配置ARP报文源MAC一致性检查
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启ARP报文源MAC一致性检查功能 |
arp anti-attack valid-check enable |
必选 缺省情况下,交换机ARP报文源MAC一致性检查功能处于关闭状态 |
表2-4 配置基于网关IP地址的ARP报文过滤功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置基于网关IP地址的ARP报文过滤功能 |
arp filter source ip-address |
必选 缺省情况下,没有配置基于网关IP地址的ARP报文过滤功能 |
表2-5 配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能 |
arp filter binding ip-address mac-address |
必选 缺省情况下,没有配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能 |
以太网端口上的arp filter source命令与arp filter binding命令互斥,即同一个以太网端口上只能配置其中的一种命令。一般情况下,基于网关IP地址的ARP报文过滤功能,配置在接入交换机与用户相连的端口;而基于网关IP地址的、MAC地址绑定的ARP报文过滤功能,配置在接入交换机的级连端口或上行端口。
表2-6 配置ARP入侵检测功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置IP静态绑定表项 |
interface interface-type interface-number |
三者至少选一,可以多选 缺省情况下,没有配置IP静态绑定表项,且交换机的DHCP Snooping功能、基于802.1x认证用户的ARP入侵检测功能处于关闭状态 |
|
ip source static binding ip-address ip-address [ mac-address mac-address ] |
||
|
开启DHCP Snooping功能 |
dhcp-snooping |
|
|
开启基于802.1x认证用户的ARP入侵检测的功能 |
ip source static import dot1x |
|
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
配置DHCP Snooping信任端口 |
dhcp-snooping trust |
可选 如果开启了交换机的DHCP Snooping功能,则需要配置其上行连接DHCP服务器的端口为信任端口 |
|
配置ARP信任端口 |
arp detection trust |
可选 缺省情况下,交换机所有端口为ARP非信任端口 一般情况下,需要配置交换机的上行端口作为ARP信任端口 |
|
退出至系统视图 |
quit |
- |
|
进入VLAN视图 |
vlan vlan-id |
- |
|
开启ARP入侵检测功能 |
arp detection enable |
必选 缺省情况下,指定VLAN内所有端口的ARP入侵检测功能处于关闭状态 |
|
开启ARP严格转发功能 |
arp restricted-forwarding enable |
可选 缺省情况下,ARP严格转发功能处于关闭状态 |
l 在接入用户多数为DHCP动态获取IP地址,部分为手工配置IP地址的组网环境中,建议同时开启DHCP Snooping功能和配置IP静态绑定表项,配合ARP入侵检测功能完成ARP报文的合法性检查。
l 基于802.1x认证用户的ARP入侵检测功能需要和交换机基于MAC地址认证的802.1x功能以及ARP入侵检测功能一起配合使用。
l 目前,E152以太网交换机在端口上配置的IP静态绑定表项,其所属VLAN为端口的缺省VLAN ID。因此,如果ARP报文的VLAN TAG与端口的缺省VLAN ID值不同,报文将无法通过根据IP静态绑定表项进行的ARP入侵检测。
l 在开启ARP严格转发功能之前,需要先在交换机上开启ARP入侵检测功能,并配置ARP信任端口。
l 建议用户不要在汇聚组中的端口上配置ARP入侵检测功能。
表2-7 配置ARP报文限速功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
开启ARP报文限速功能 |
arp rate-limit enable |
必选 缺省情况下,端口的ARP报文限速功能处于关闭状态 |
|
配置允许通过端口的ARP报文的最大速率 |
arp rate-limit rate |
可选 缺省情况下,端口能通过的ARP报文的最大速率为15pps |
|
退出至系统视图 |
quit |
- |
|
开启端口状态自动恢复功能 |
arp protective-down recover enable |
可选 缺省情况下,交换机的端口状态自动恢复功能处于关闭状态 |
|
配置端口状态自动恢复时间 |
arp protective-down recover interval interval |
可选 缺省情况下,开启端口状态自动恢复功能后,交换机的端口状态自动恢复时间为300秒 |
l 用户必须先开启交换机的端口状态自动恢复功能,才能设置端口状态自动恢复的时间。
l 建议用户不要在汇聚组中的端口上配置ARP报文限速功能。
如图2-3所示,Switch A的端口Ethernet1/0/1连接DHCP服务器,端口Ethernet1/0/2和Ethernet1/0/3分别连接Client A和Client B,且三个端口都属于VLAN 1。
l 开启交换机的DHCP Snooping功能,并设置端口Ethernet1/0/1为DHCP Snooping信任端口。
l 为防止ARP中间人攻击,配置VLAN 1的ARP入侵检测功能,设置Switch的端口Ethernet1/0/1为ARP信任端口;
l 开启端口Ethernet1/0/2和Ethernet1/0/3上的ARP报文限速功能,防止来自Client A和Client B的ARP报文流量攻击。
l 开启Switch A上的端口状态自动恢复功能,设置恢复时间间隔为200秒。
图2-3 配置ARP入侵检测与端口ARP报文限速组网图
# 开启交换机DHCP Snooping功能。
<SwitchA> system-view
[SwitchA] dhcp-snooping
# 设置端口Ethernet1/0/1为DHCP Snooping信任端口,ARP信任端口。
[SwitchA] interface Ethernet1/0/1
[SwitchA-Ethernet1/0/1] dhcp-snooping trust
[SwitchA-Ethernet1/0/1] arp detection trust
[SwitchA-Ethernet1/0/1] quit
# 开启VLAN 1内所有端口的ARP入侵检测功能。
[SwitchA] vlan 1
[SwitchA-vlan1] arp detection enable
# 开启端口Ethernet1/0/2上的ARP报文限速功能,设置ARP报文通过的最大速率为20pps。
[SwitchA] interface Ethernet1/0/2
[SwitchA-Ethernet1/0/2] arp rate-limit enable
[SwitchA-Ethernet1/0/2] arp rate-limit 20
[SwitchA-Ethernet1/0/2] quit
# 开启端口Ethernet1/0/3上ARP报文限速功能,设置ARP报文通过的最大速率为50pps。
[SwitchA] interface Ethernet1/0/3
[SwitchA-Ethernet1/0/3] arp rate-limit enable
[SwitchA-Ethernet1/0/3] arp rate-limit 50
[SwitchA-Ethernet1/0/3] quit
# 配置端口状态自动恢复功能,恢复时间间隔为200秒。
[SwitchA] arp protective-down recover enable
[SwitchA] arp protective-down recover interval 200
如图2-4所示,Host A和Host B通过接入交换机(Switch)与网关(Gateway)相连。网关的IP地址为192.168.100.1/24,MAC地址为000D-88F8-528C。为了防止Host A和Host B进行“仿冒网关”的ARP攻击,可以在接入交换机上配置基于网关IP/MAC的ARP过滤功能。
图2-4 “仿冒网关”的ARP攻击防御组网图
# 进入系统视图。
<Switch> system-view
# 在上行端口Ethernet1/0/1上配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能。
[Switch] interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] arp filter binding 192.168.100.1 000d-88f8-528c
[Switch-Ethernet1/0/1] quit
# 在下行端口Ethernet1/0/2上配置基于网关IP地址的ARP报文过滤功能。
[Switch] interface Ethernet 1/0/2
[Switch-Ethernet1/0/2] arp filter source 192.168.100.1
[Switch-Ethernet1/0/2] quit
# 在下行端口Ethernet1/0/3上配置基于网关IP地址的ARP报文过滤功能。
[Switch] interface Ethernet 1/0/3
[Switch-Ethernet1/0/3] arp filter source 192.168.100.1
[Switch-Ethernet1/0/3] quit
如图2-5所示,Host A和Host B通过二层交换机(Switch B)与网关(Switch A)相连。为了防御ARP泛洪等ARP攻击。
l 在Switch A上开启ARP报文源MAC一致性检查功能,过滤掉源MAC地址和以太网报文头中的源MAC地址不一致的伪造ARP报文。
l 在Switch A的Vlan-interface1上配置允许学习动态ARP表项的最大数目功能,实现根据VLAN限定ARP表项学习数量。
图2-5 ARP攻击防御组网图
# 进入系统视图。
<SwitchA> system-view
# 开启交换机的ARP报文源MAC一致性检查功能。
[SwitchA] arp anti-attack valid-check enable
# 进入Vlan-interface1接口视图。
[SwitchA] interface Vlan-interface 1
# 配置Vlan-interface1接口的IP地址。
[SwitchA-Vlan-interface1] ip address 192.168.1.1 24
# 配置Vlan-interface1接口允许学习的ARP数量最大为50条。
[SwitchA-Vlan-interface1] arp max-learning-num 50
[SwitchA-Vlan-interface1] quit
l 接入用户Host A使用手工配置的静态IP地址。且安装了802.1x客户端。
l 服务器采用H3C公司的CAMS作为认证、授权、计费服务器。
l 在接入交换机Switch上开启802.1x认证通过的信息用于ARP入侵检测功能,防御接入用户的ARP攻击。
图2-6 基于802.1x认证用户的ARP攻击防御组网图
# 进入系统视图。
<Switch> system-view
# 全局开启802.1x认证功能。
[Switch] dot1x
# 在VLAN1内开启ARP入侵检测功能。
[Switch] vlan 1
[Switch-vlan1] arp detection enable
[Switch-vlan1] quit
# 设置端口Ethernet1/0/2,Ethernet1/0/3为ARP入侵检测信任端口。
[Switch] interface Ethernet1/0/2
[Switch-Ethernet1/0/2] arp detection trust
[Switch-Ethernet1/0/2] quit
[Switch] interface Ethernet1/0/3
[Switch-Ethernet1/0/3] arp detection trust
[Switch-Ethernet1/0/3] quit
# 在Switch 上开启基于802.1x认证用户的ARP入侵检测功能。
[Switch] ip source static import dot1x
# 端口Ethernet 1/0/1上开启802.1x功能。
[Switch] interface Ethernet1/0/1
[Switch-Ethernet1/0/1] dot1x
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
