- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
77-ARP安全综合功能典型配置举例
本章节下载: 77-ARP安全综合功能典型配置举例 (274.11 KB)
本文档介绍ARP攻击防御的配置举例。
从ARP工作机制可以看出,ARP协议简单易用,但是却没有任何安全机制,攻击者可以发送伪造ARP报文对网络进行攻击。设备提供了多种ARP攻击防御技术对局域网中的ARP攻击和ARP病毒进行防范、检测和解决。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解本文档中的ARP攻击防御特性。
如图1所示,Device作为网关通过接口GE1/0/3连接一台服务器,通过接口GE1/0/1、GE1/0/2连接VLAN10和VLAN20下的四个用户。网络中存在以下ARP威胁:
· 用户Host A向Device发送伪造的ARP报文、伪造的免费ARP报文进行ARP欺骗攻击,恶意修改Device的ARP表项,造成其他用户无法正常接收数据报文。
· Host B因为业务需求可能会向Device发送大量ARP报文,要求在配置防攻击功能时不会错误地过滤掉Host B的报文。
· 用户Host C向Device发送大量目标IP地址不能解析的IP报文来攻击Device,造成如下危害:
¡ Device的CPU进程繁忙,影响到正常业务的处理。
¡ Device向目的网段发送大量ARP请求报文,加重目的网段的负载。
· 用户Host D构造大量源IP地址变化MAC地址固定的ARP报文进行ARP泛洪攻击,造成Device的ARP表资源被耗尽以及CPU进程繁忙,影响到正常业务的处理。
管理员希望能够防止上述ARP攻击行为,为用户提供更安全的网络环境和更稳定的网络服务。
图1 ARP攻击防御典型配置组网图
采用如下思路在Device上进行配置:
· 配置ARP黑洞路由功能以及严格模式的ARP主动确认功能,实现防止Host A伪造的ARP报文错误地更新Device的ARP表项。
· 关闭免费ARP报文学习功能,实现防止Host A伪造的免费ARP报文错误地更新设备ARP表项。
· 开启ARP源地址抑制功能并设置源抑制的阈值,防止用户Host C向Device发送大量目标IP地址不能解析的IP报文来进行攻击。
· 开启ARP报文限速功能并指定限速速率,Host C发送的大量源IP地址固定的ARP报文形成的ARP泛洪攻击时,Device会丢弃超过限速部分的报文,从而避免CPU进程繁忙。
· 配置源MAC地址固定的ARP攻击检测功能,实现防止Host D发送的大量源IP地址变化MAC地址固定的ARP报文形成的ARP泛洪攻击,避免Device的ARP表资源被耗尽,并避免CPU进程繁忙。同时配置源MAC固定攻击检查的保护MAC地址为Host B的MAC地址,防止Host B的报文被错误的过滤。
表1 适用产品及版本
|
产品 |
软件版本 |
|
S6812系列 S6813系列 |
Release 6615Pxx系列、Release 6628Pxx系列 |
|
S6550XE-HI系列 |
Release 6008及以上版本、Release 8106Pxx |
|
S6526XE-HI[EI]系列 |
Release 8340P02及以上版本 |
|
S6510系列 |
Release 8340P02及以上版本 |
|
S6525XE-HI系列 |
Release 6008及以上版本、Release 8106Pxx |
|
S5850系列 |
Release 8005及以上版本、Release 8106Pxx |
|
S5570S-EI系列 |
Release 11xx |
|
S5560X-EI系列 |
Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx |
|
S5560X-HI系列 |
Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx |
|
S5500V2-EI系列 |
Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx |
|
MS4520V2-30F |
Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx |
|
MS4520V2-30C MS4520V2-54C |
Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx |
|
MS4520V2-28S MS4520V2-24TP |
Release 63xx系列 |
|
S6520X-HI系列 S6520X-EI系列 |
Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx系列 |
|
S6520X-SI系列 S6520-SI系列 |
Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx系列 |
|
S5000-EI系列 |
Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx系列 |
|
MS4600系列 |
Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx系列 |
|
ES5500系列 |
Release 63xx系列、Release 65xx系列、Release 6615Pxx系列、Release 6628Pxx系列 |
|
S5560S-EI系列 S5560S-SI系列 |
Release 63xx系列 |
|
S5500V3-24P-SI S5500V3-48P-SI |
Release 63xx系列 |
|
S5500V3-SI系列(除S5500V3-24P-SI、S5500V3-48P-SI) |
Release 11xx |
|
S5170-EI系列 |
Release 11xx |
|
S5130S-HI系列 S5130S-EI[-R]系列 S5130S-SI系列 S5130S-LI系列 |
Release 63xx系列 |
|
S5120V2-SI系列 S5120V2-LI系列 |
Release 63xx系列 |
|
S5120V3-EI系列 |
Release 11xx |
|
S5120V3-36F-SI S5120V3-28P-HPWR-SI S5120V3-54P-PWR-SI |
Release 11xx |
|
S5120V3-SI系列(除S5120V3-36F-SI、S5120V3-28P-HPWR-SI、S5120V3-54P-PWR-SI) |
Release 63xx系列 |
|
S5120V3-LI系列 |
Release 63xx系列 |
|
S3600V3-EI系列 |
Release 11xx |
|
S3600V3-SI系列 |
Release 11xx |
|
S3100V3-EI系列 S3100V3-SI系列 |
Release 63xx系列 |
|
S5110V2系列 |
Release 63xx系列 |
|
S5110V2-SI系列 |
Release 63xx系列 |
|
S5000V3-EI系列 S5000V5-EI系列 |
Release 63xx系列 |
|
S5000E-X系列 S5000X-EI系列 |
Release 63xx系列 |
|
E128C E152C E500C系列 E500D系列 |
Release 63xx系列 |
|
MS4320V2系列 MS4320V3系列 MS4300V2系列 MS4320系列 MS4200系列 |
Release 63xx系列 |
|
WS5850-WiNet系列 |
Release 63xx系列 |
|
WS5820-WiNet系列 WS5810-WiNet系列 |
Release 63xx系列 |
|
WAS6000系列 |
Release 63xx系列 |
|
IE4300-12P-AC & IE4300-12P-PWR IE4300-M系列 IE4320系列 |
Release 63xx系列 |
|
IE4520系列 |
Release 66xx系列 |
|
S5135S-EI系列 |
Release 6810及以上版本 |
配置严格模式的ARP主动确认功能时,只有ARP黑洞路由功能处于开启状态,ARP主动确认功能才能生效。
关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭免费ARP报文学习功能,以节省ARP表项资源。
# 配置GigabitEthernet1/0/1、GigabitEthernet1/0/2以及GigabitEthernet1/0/3为二层接口(可选)。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] port link-mode bridge
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] port link-mode bridge
[Device-GigabitEthernet1/0/2] quit
[Device] interface gigabitethernet 1/0/3
[Device-GigabitEthernet1/0/3] port link-mode bridge
[Device-GigabitEthernet1/0/3] quit
# 创建VLAN 10,配置VLAN接口的IP地址为10.1.1.1/24,并向VLAN 10中添加端口GigabitEthernet1/0/1。
[Device] vlan 10
[Device-vlan10] port gigabitethernet 1/0/1
[Device-vlan10] quit
[Device] interface vlan-interface 10
[Device-Vlan-interface10] ip address 10.1.1.1 255.255.255.0
[Device-Vlan-interface10] quit
# 创建VLAN 20,配置VLAN接口的IP地址为10.1.2.1/24,并向VLAN 20中添加端口GigabitEthernet1/0/2。
[Device] vlan 20
[Device-vlan20] port gigabitethernet 1/0/2
[Device-vlan20] quit
[Device] interface vlan-interface 20
[Device-Vlan-interface20] ip address 10.1.2.1 255.255.255.0
[Device-Vlan-interface20] quit
# 创建VLAN 30,配置VLAN接口的IP地址为10.1.3.1/24,并向VLAN 30中添加端口GigabitEthernet1/0/3。
[Device] vlan 30
[Device-vlan30] port gigabitethernet 1/0/3
[Device-vlan30] quit
[Device] interface vlan-interface 30
[Device-Vlan-interface30] ip address 10.1.3.1 255.255.255.0
<Device> system-view
[Device] arp resolving-route enable
<Device> system-view
[Device] arp active-ack strict enable
<Device> system-view
[Device] undo gratuitous-arp-learning enable
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] arp rate-limit 50
[Device-GigabitEthernet1/0/1] quit
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] arp rate-limit 50
[Device-GigabitEthernet1/0/2] quit
[Device] arp source-suppression enable
[Device] arp source-suppression limit 40
S6520X-HI系列、S6520X-EI系列、S6520X-SI系列、S6520-SI系列、S5000-EI系列、MS4600系列、S5560X-EI系列、S5560X-HI系列、S5500V2-EI系列、MS4520V2系列、ES5500系列的R661x系列版本暂不支持此功能。S6510系列的Release 8340P02及以上版本暂不支持此功能。
# 开启源MAC固定ARP攻击检测功能,并选择过滤模式。
<Device> system-view
[Device] arp source-mac filter
# 配置源MAC固定ARP报文攻击检测阈值为30个。
[Device] arp source-mac threshold 30
# 配置源MAC地址固定的ARP攻击检测表项的老化时间为60秒。
[Device] arp source-mac aging-time 60
# 配置源MAC固定攻击检查的保护MAC地址为Host B的MAC地址。
[Device] arp source-mac exclude-mac 0c68-d691-0606
# 显示当前ARP源抑制的配置信息,可以看到ARP源抑制功能已开启,且设备在5秒时间间隔内可以接收到的源IP相同,但目的IP地址不能解析的IP报文的最大数目为40。
<Device> display arp source-suppression
ARP source suppression is enable
Current suppression limit: 40
# 当Host D在5秒内向Device发送的ARP请求报文数目超过30时,可以通过如下命令查看到Host D的ARP攻击检测表项。使Host D向Device发送ARP请求报文,无法建立Host D的ARP表项。
<Device> display arp source-mac slot 1
Source-MAC VLAN ID Interface Aging time (sec) Packets dropped
0c68-be82-0206 20 GE1/0/2 10 244
<Device> display arp
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN/VSI name Interface Aging Type
# 当Host B在5秒内向Device发送的ARP请求报文数目超过30时,通过如下命令查看ARP攻击检测表项,发现没有Host B对应的攻击检测表项。使Host B向Device发送ARP请求报文,成功建立Host B的ARP表项。
<Device> display arp source-mac slot 1
Source-MAC VLAN ID Interface Aging time (sec) Packets dropped
<Device> display arp
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN/VSI name Interface Aging Type
10.1.1.3 0c68-d691-0606 10 GE1/0/1 1197 D
# 当Host D停止向Device发送ARP报文,且Host D对应的攻击检测表项到达老化时间后,再使Host D向Device发送ARP请求报文,成功建立Host D的ARP表项。
<Device> display arp
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN/VSI name Interface Aging Type
10.1.1.3 0c68-d691-0606 10 GE1/0/1 944 D
10.1.2.3 0c68-be82-0206 20 GE1/0/2 1195 D
部分交换机的配置文件中会显示port link-mode bridge命令,请以实际情况为准。
#
vlan 1
#
vlan 10
#
vlan 20
#
vlan 30
#
interface Vlan-interface10
ip address 10.1.1.1 255.255.255.0
#
interface Vlan-interface20
ip address 10.1.2.1 255.255.255.0
#
interface Vlan-interface30
ip address 10.1.3.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-mode bridge
port access vlan 10
arp rate-limit 50
#
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 20
arp rate-limit 50
#
interface GigabitEthernet1/0/3
port link-mode bridge
port access vlan 30
#
undo gratuitous-arp-learning enable
arp source-mac filter
arp source-mac aging-time 60
arp source-mac exclude-mac 0c68-d691-0606
arp active-ack strict enable
arp source-suppression enable
arp source-suppression limit 40
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
