• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C VSR1000虚拟路由器典型配置举例-6W100

目录

25-H3C VSR1000虚拟路由器ARP防攻击特性典型配置举例

本章节下载 25-H3C VSR1000虚拟路由器ARP防攻击特性典型配置举例  (206.49 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/NFV/H3C_VSR/Configure/Typical_Configuration_Example/H3C_VSR1000_CE-6W100/201411/845112_30005_0.htm

25-H3C VSR1000虚拟路由器ARP防攻击特性典型配置举例

H3C VSR1000虚拟路由器ARP防攻击特性典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

H3C_彩色.emf

 



1  简介

本文档介绍VSR1000虚拟路由器ARP防攻击特性典型配置举例。

2  配置前提

本文档不严格与具体软件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解ARP攻击防御特性。

3  ARP自动扫描和固化功能配置举例

3.1  组网需求

图1所示,局域网内的主机Host A通过网关Router连接到外网。现要求:

·     Router通过ARP自动扫描功能建立局域网内主机Host A的动态ARP表项,然后通过ARP固化功能将动态ARP表项转换为静态ARP表项。

·     固化完成后,禁止网关学习动态ARP表项,新增主机Host B无法访问网关。

图1 ARP自动扫描和固化功能配置举例组网图

 

3.2  使用版本

本举例是在E0301版本上进行配置和验证的。

3.3  配置步骤

# 配置接口的IP地址。

<Router> system-view

[Router] interface gigabitethernet 1/0

[Router-GigabitEthernet1/0] ip address 10.1.1.1 24

# 接口上启用ARP自动扫描功能(该命令只做执行,不生成配置文件)。

[Router-GigabitEthernet1/0] arp scan

This operation may take a long time to collect these ARP entries, and you can press CTRL_C to break. Please specify a right range. Continue?  [Y/N]: y

Scanning ARP. Please wait...

Scanning is complete.

[Router-GigabitEthernet1/0]quit

# 当组网中仅有主机Host A时,启动扫描功能后,通过命令display arp查看网关路由器Router进行ARP扫描后学习到的ARP表项。

[Router] display arp

Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address      MAC address    VLAN     Interface                Aging Type

10.1.1.2        0015-e943-7e6a N/A      GE1/0                    20    D

# 使用ARP固化将动态ARP转换为静态ARP(该命令只做执行,不生成配置文件)。

[Router] arp fixup

Fixup ARP. Please wait...

Fixup is complete.

# 启动固化功能后,通过命令display arp查看网关路由器Router进行ARP固化后ARP表项。

[Router] display arp

Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address      MAC address    VLAN     Interface                Aging Type

10.1.1.2        0015-e943-7e6a N/A      GE1/0                    N/A   S

# 配置禁止接口GigabitEthernet1/0学习动态ARP。

[Router] interface gigabitethernet 1/0

[Router-GigabitEthernet1/0] arp max-learning-num 0

[Router-GigabitEthernet1/0] quit

3.4  验证配置

# 局域网中新增加主机Host B,查看ARP表项,没有Host B的ARP表项。

[Router] display arp

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address      MAC address    VLAN     Interface                Aging Typ

10.1.1.2        0015-e943-7e6a N/A      GE1/0                    N/A   S

# 在Host B上ping不通网关。

C:\> ping 10.1.1.1

Pinging 10.1.1.1 with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.

Ping statistics for 10.1.1.1:

    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

3.5  配置文件

#

interface GigabitEthernet1/0

 port link-mode route

 ip address 10.1.1.1 255.255.255.0

 arp max-learning-num 0

#

4  ARP主动确认功能配置举例

4.1  组网需求

图2所示,局域网中的主机Host A通过Router作为网关连接到外网。现要求:网关上启用ARP主动确认功能,防止攻击者使用仿冒ARP报文欺骗网关设备。

图2 ARP主动确认功能配置举例组网图

 

4.2  使用版本

本举例是在E0301版本上进行配置和验证的。

4.3  配置步骤

# 配置接口的IP地址。

<Router> system-view

[Router] interface gigabitethernet 1/0

[Router-GigabitEthernet1/0] ip address 10.1.1.1 24

[Router-GigabitEthernet1/0] quit

# 配置ARP主动确认功能。

[Router] arp active-ack enable

4.4  验证配置

# 查看网关的ARP表项显示有Host A对应的ARP表项。

[Router] display arp

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address      MAC address    VLAN     Interface                Aging Type

10.1.1.2        000f-e123-4568 N/A      GE1/0                    20    D

# 打开ARP的报文调试信息开关。

<Router> terminal debugging

The current terminal is enabled to display debugging logs.

<Router> debugging arp packet

# 新增一台主机Host B仿冒Host A向网关发送伪造的ARP请求报文,其中ARP报文中的源MAC修改为0086-0005-0004。网关Router A收到该ARP报文后,发现该报文对应的ARP表项的刷新时间超过一分钟,启用ARP表项正确性检查,网关会发送一个单播ARP请求报文(报文的目的IP地址、目的MAC地址采用ARP表项中的的源IP地址、源MAC地址),如果在随后的5s内收到ARP应答报文,将对前期收到的ARP报文与此次收到的ARP应答报文进行比较(比较内容包括:源IP地址、源MAC地址)。在一定时间内收到的ARP应答报文:

*Jul  3 18:07:38:660 2014 Router ARP/7/ARP_RCV:  Received an ARP message, operation: 1, sender MAC: 0086-0005-0004, sender IP: 10.1.1.2, target MAC: 0cda-41c7-057f, target IP: 10.1.1.1

*Jul  3 18:07:38:660 2014 Router ARP/7/ARP_SEND:  Sent an ARP message, operation: 1, sender

MAC: 0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 000f-e123-4568, target IP: 10.1.1.2

*Jul  3 18:07:38:660 2014 Router ARP/7/ARP_SEND:  Sent an ARP message, operation: 2, sender

MAC:0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 0086-0005-0004, target IP: 10.1.1.2

*Jul  3 18:07:38:660 2014 Router ARP/7/ARP_RCV:  Received an ARP message, operation: 2, sender MAC: 000f-e123-4568, sender IP: 10.1.1.2, target MAC: 0cda-41c7-057f, target IP: 10.1.1.1

# 后收到的ARP报文是Host A发送的,该报文与ARP表项中的IP地址、MAC地址一致,网关认为前期收到的ARP报文为攻击报文,通过命令display arp查看网关路由器的ARP表项不更新。

<Router> display arp

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address      MAC address    VLAN     Interface                Aging Type

10.1.1.2        000f-e123-4568 N/A      GE1/0                    20    D

4.5  配置文件

#

interface GigabitEthernet1/0

 port link-mode route

 ip address 10.1.1.1 255.255.255.0

#

arp active-ack enable

#

5  源MAC固定的ARP攻击检测功能配置举例

5.1  组网需求

图3所示,局域网内服务器和主机通过网关Router与外部网络通信。在网关上使能源MAC固定的ARP攻击检测功能,具体需求如下:

·     对普通PC,固定的时间(5秒)内收到源MAC地址固定的ARP报文超过30时,会打印Log信息并对来自PCARP报文进行过滤

·     配置服务器Server的MAC为保护MAC,使服务器可以对网关发送大量ARP报文。

图3 源MAC固定的ARP攻击检测功能配置举例组网图

 

 

5.2  配置思路

为了使路由器在检测到ARP攻击时能够打印告警信息,并将由攻击源发送的ARP报文过滤掉,需要在开启源MAC固定ARP攻击检测功能时同时选择过滤模式。

5.3  使用版本

本举例是在E0301版本上进行配置和验证的。

5.4  配置步骤

# 使能源MAC固定ARP攻击检测功能,并选择过滤模式。

<Router> system-view

[Router] arp source-mac filter

# 配置源MAC固定ARP报文攻击检测阈值为30个。

[Router] arp source-mac threshold 30

# 配置源MAC地址固定的ARP攻击检测表项的老化时间为60秒。

[Router] arp source-mac aging-time 60

# 将0086-0005-0004配置为保护MAC。

[Router] arp source-mac exclude-mac 0086-0005-0004

# 配置接口IP地址。

[Router] interface gigabitethernet 1/0

[Router-GigabitEthernet1/0] ip address 10.1.1.1 24

[Router-GigabitEthernet1/0] quit

5.5  验证配置

# 打开ARP的报文调试信息开关。

<Router> terminal debugging

The current terminal is enabled to display debugging logs.

<Router> debugging arp packet

# PC向网关设备Router发送ARP报文,发送频率为6个/秒,相当于5秒30个,设备上不打印log信息,未生成ARP防攻击检测表项。

<Router> display arp source-mac

Source-MAC          VLAN ID  Interface                Aging-time

# PC向网关设备Router发送ARP报文,发送频率为10个/秒,相当于5秒50个同时生成ARP防攻击检测表项。

<Router> display arp source-mac

Source-MAC          VLAN ID  Interface                Aging-time

0088-0008-0009      N/A      GE1/0                    48

# 此时设备上打印log信息如下。

*Jun 20 13:54:42:482 2014 Router ARP/7/ARP_RCV:  Received an ARP message, opera

tion: 1, sender MAC: 0088-0008-0009, sender IP: 10.1.1.20, target MAC: 0cda-41c7

-057f, target IP: 10.1.1.1

*Jun 20 13:54:42:482 2014 Router ARP/7/ARP_SEND:  Sent an ARP message, operatio

n: 2, sender MAC: 0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 0088-0008-000

9, target IP: 10.1.1.20

*Jun 20 13:54:42:582 2014 Router ARP/7/ARP_RCV:  Received an ARP message, opera

tion: 1, sender MAC: 0088-0008-0009, sender IP: 10.1.1.20, target MAC: 0cd

a-41c7-057f, target IP: 10.1.1.1

*Jun 20 13:54:42:582 2014 Router ARP/7/ARP_SEND:  Sent an ARP message, operatio

n: 2, sender MAC: 0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 0088-0008-000

9, target IP: 10.1.1.20

*Jun 20 13:54:42:682 2014 Router ARP/7/ARP_RCV:  Received an ARP message, opera

tion: 1, sender MAC: 0088-0008-0009, sender IP: 10.1.1.20, target MAC: 0cda-41c7

-057f, target IP: 10.1.1.1

*Jun 20 13:54:42:682 2014 Router ARP/7/ARP_SEND:  Sent an ARP message, operatio

n: 2, sender MAC: 0cda-41c7-057f, sender IP: 10.1.1.1, target MAC: 0088-0008-000

9, target IP: 10.1.1.20

# Server向网关设备Router发送ARP报文,发送频率为10个/秒,相当于5秒50个,设备上不打印log信息,未生成ARP防攻击检测表项。

<Router> display arp source-mac

Source-MAC          VLAN ID  Interface                Aging-time

5.6  配置文件

#

interface GigabitEthernet1/0

 port link-mode route

ip address 10.1.1.1 255.255.255.0

#

 arp source-mac filter

 arp source-mac aging-time 60

 arp source-mac exclude-mac 0086-0005-0004

#

6  ARP源抑制功能配置举例

6.1  组网需求

图4所示,某局域网内属于VLAN 10和VLAN 20的主机通过接入交换机连接到网关Router与外部网络通信。现要求:开启ARP源抑制功能,防止恶意用户使用同一源IP地址发送大量目标IP地址不能解析的IP报文来攻击设备。

图4 ARP源抑制功能配置举例组网图

 

 

6.2  使用版本

本举例是在E0301版本上进行配置和验证的。

6.3  配置步骤

# 配置接口IP地址

<Router> system-view

[Router] interface gigabitethernet 2/0

[Router-GigabitEthernet2/0] ip address 20.1.1.1 24

[Router-GigabitEthernet2/0] quit

[Router] interface gigabitethernet 1/0

[Router-GigabitEthernet1/0] ip address 10.1.1.1 24

[Router-GigabitEthernet1/0] quit

# 使能ARP源抑制功能。

[Router] arp source-suppression enable

# 配置ARP源抑制的阈值为2。

[Router] arp source-suppression limit 2

6.4  验证配置

# Host D向网关设备Router发送目的IP为20.1.1.2的IP报文,20.1.1.2这个地址在该局域网中不存在,验证网关设备在使能ARP源抑制情况下对ARP报文的处理情况。

# 打开ARP的报文调试信息开关。

<Router> terminal debugging

The current terminal is enabled to display debugging logs.

<Router> debugging arp packet

*Jul 23 17:29:03:061 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,

sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar

get IP: 20.1.1.2

*Jul 23 17:29:05:262 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,

sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar

get IP: 20.1.1.2

*Jul 23 17:29:07:462 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,

sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar

get IP: 20.1.1.2

*Jul 23 17:29:09:662 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,

sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar

get IP: 20.1.1.2

*Jul 23 17:29:11:862 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,

sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar

get IP: 20.1.1.2

*Jul 23 17:29:14:062 2014 Router ARP/7/ARP_SEND: Sent an ARP message, operation: 1,

sender MAC: d07e-28e6-6814, sender IP: 20.1.1.1, target MAC: 0000-0000-0000, tar

get IP: 20.1.1.2

通过调试信息发现,网络中每5秒内从某IP地址向设备发送目的IP地址不能解析的IP报文超过了设置的阈值2时,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。

6.5  配置文件

#

interface GigabitEthernet1/0

 port link-mode route

 ip address 10.1.1.1 255.255.255.0

#

interface GigabitEthernet2/0

 port link-mode route

 ip address 20.1.1.1 255.255.255.0

#

 arp source-suppression enable

 arp source-suppression limit 2

#

7  相关资料

·     《H3C VSR1000虚拟路由器配置指导》中的“安全配置指导”

·     《H3C VSR1000虚拟路由器命令参考》中的“安全命令参考”

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们