ARP防攻击策略

更新时间:2023-06-10 01:10:51 阅读：评论：0

配置ARP攻击防御

2.2.1 ARP攻击防御配置任务简介365新年快乐

表2-1 ARP攻击防御配置任务简介

配置任务	交换机角色	说明	详细配置
配置VLAN接口学习动态ARP表项的最大数目	网关设备	可选	2.2.2
配置ARP报文源MAC一致性检查功能	网关设备、接入设备	可选	2.2.3
配置基于网关IP/MAC的ARP报文过滤功能	接入设备	可选	2.2.4
配置ARP入侵检测功能	网关设备、接入设备	可选	2.2.5
配置ARP报文限速功能	网关设备、接入设备	可选	2.2.6

2.2.2 配置VLAN接口学习动态ARP表项的最大数目

表2-2 配置VLAN接口学习ARP表项的最大数目

操作	命令	说明
进入系统视图	system-view	-
进入VLAN接口视图	interface Vlan-interface vlan-id	-
配置VLAN接口学习动态ARP表项的最大数目	arp max-learning-num number	可选缺省情况下，S3600-EI系列以太网交换机取值为4031，S3600-SI系列以太网交换机取值为2048

2.2.3 配置ARP报文源MAC一致性检查功能

表2-3 配置ARP报文源MAC一致性检查

操作	命令	说明
进入系统视图	system-view	-
开启ARP报文源MAC一致性检查功能	arp anti-attack valid-check enable	必选缺省情况下，交换机ARP报文源MAC一致性检查功能处于关闭状态

2.2.4 配置基于网关IP/MAC的ARP报文过滤功能

表2-4 配置基于网关IP鹿角粉地址的ARP报文过滤功能

操作	命令	说明
进入系统视图	system-view	-
进入以太网端口视图	interface interface-type interface-number	-
配置基于网关IP地址的ARP报文过滤功能	arp filter source ip-address	必选缺省情况下，没有配置基于网关IP地址的ARP报文过滤功能打印机扫描功能

表2-5 配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能

操作	命令	说明
进入系统视图	system-view	-
进入以太网端口视图	interface interface-type interface-number	-
配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能	arp filter binding ip-address mac-address	必选缺省情况下，没有配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能

以太网端口上的arp filter source命令与arp filter binding命令互斥，即同一个以太网端口上只能配置其中的一种命令。一般情况下，基于网关IP地址的ARP报文过滤功能，配置在接入交换机与用户相连的端口；而基于网关IP地址的、MAC地址绑定的ARP报文过滤功能，配置在接入交换机的级连端口或上行端口。

2.2.5 配置ARP入侵检测功能

表2-6 配置ARP入侵检测功能

操作	命令	说明
进入系统视图	system-view	-
配置IP静态绑定表项	interface interface-type interface-number	三者至少选一，可以多选缺省情况下，没有配置IP静态绑定表项，且交换机的DHCP Snooping功能、基于802.1x认证用户的ARP入侵检测功能处于关闭状态
配置IP静态绑定表项	ip source static binding ip-address ip-address [ mac-address mac-address ]
开启DHCP Snooping功能	dhcp-snooping
开启基于802.1x认证用户的ARP入侵检测的功能	自我介绍的英文ip source static import dot1x
进入以太网端口视图	interface interface-type interface-number	-
配置DHCP Snooping信任端口	dhcp-snooping trust	可选如果开启了交换机的DHCP Snooping功能，则需要配置其上行连接DHCP服务器的端口为信任端口
配置ARP信任端口	arp detection trust	可选缺省情况下，交换机所有端口为ARP非信任端口一般情况下，需要配置交换机的上行端口作为ARP信任端口
退出至系统视图	quit	-
进入VLAN视图	vlan vlan-id	-
开启ARP入侵检测功能	arp detection enable	必选缺省情况下，指定VLAN内所有端口的ARP入侵检测功能处于关闭状态
开启ARP严格转发功能	arp restricted-forwarding enable	可选缺省情况下，ARP严格转发功能处于关闭状态

● 在接入用户多数为DHCP动态获取IP地址，部分为手工配置IP地址的组网环境中，建议同时开启DHCP Snooping功能和配置IP静态绑定表项，配合ARP入侵检测功能完成ARP报文的合法性检查。

● 基于802.1x认证用户的ARP入侵检测功能需要和交换机基于MAC地址认证的802.1x功能以及ARP入侵检测功能一起配合使用。

● 目前，S3600系列以太网交换机在端口上配置的IP静态绑定表项，其所属VLAN为端口的缺省VLAN ID。因此，如果ARP报文的VLAN TAG与端口的缺省VLAN ID值不同，报文将无法通过根据IP静态绑定表项进行的ARP入侵检测。

● 在开启ARP解梦自查梦严格转发功能之前，需要先在交换机上开启ARP入侵检测功能，并配置ARP信任端口。

● 建议用户不要在汇聚组中的端口上配置ARP入侵检测功能。

2.2.6 配置ARP报文限速功能

表2-7 配置ARP报文限速功能

天炉战法

经济带操作	命令	说明
进入系统视图	system-view	-
进入以太网端口视图	interface interface-type interface-number	-
开启ARP报文限速功能	arp rate-limit enable	必选缺省情况下，端口的ARP报文限速功能处于关闭状态
配置允许通过端口的ARP报文的最大速率	arp rate-limit rate	可选缺省情况下，端口能通过的ARP报文的最大速率为15pps
退出至系统视图	quit	-
开启端口状态自动恢复功能	arp protective-down recover enable	可选缺省情况下，交换机的端口状态自动恢复功能处于关闭状态
配置端口状态自动恢复时间	arp protective-down recover interval interval	可选缺省情况下，开启端口状态自动恢复功能后，交换机的端口状态自动恢复时间为300秒

● 用户必须先开启交换机的端口状态自动恢复功能，才能设置端口状态自动恢复的时间。

● 建议用户不要在汇聚组中的端口上配置ARP报文限速功能。

2.3 ARP攻击防御典型配置举例

2.3.1 ARP攻击防御配置举例一

1. 组网需求

如图2-3所示，Switch A的端口Ethernet1/0/1连接DHCP服务器，端口Ethernet1/0/2和Ethernet1/0/3分别连接Client A和Client B，且三个端口都属于VLAN 1。

● 开启交换机的DHCP Snooping功能，并设置端口Ethernet1/0/1为DHCP Snooping信任端口。

● 为防止ARP中间人攻击，配置VLAN 1的ARP入侵检测功能，设置Switch的端口Ethernet1/0/1为ARP信任端口；

● 开启端口Ethernet1/0/2和Ethernet1/0/3上的ARP报文限速功能，防止来自Client A和Client B的ARP报文流量攻击。

● 开启Switch A上的端口状态自动恢复功能，设置恢复时间间隔为200秒。

2. 典型组网图

图2-3 配置ARP入侵检测与端口ARP报文限速组网图

3. 配置步骤

# 开启交换机DHCP Snooping功能。

<SwitchA> system-view

[SwitchA] dhcp-snooping

# 设置端口Ethernet1/0/1为DHCP Snooping信任端口，ARP信任端口。

[SwitchA] interface Ethernet1/0/1

[SwitchA-Ethernet1/0/1] dhcp-snooping trust

[SwitchA-Ethernet1/0/1] arp detection trust

[SwitchA-Ethernet1/0/1] quit

# 开启VLAN 1内所有端口的ARP入侵检测功能。

[SwitchA] vlan 1

[SwitchA-vlan1] arp detection enable

# 开启端口Ethernet1/0/2上的ARP报文限速功能，设置ARP报文通过的最大速率为20pps。

[SwitchA] interface Ethernet1/0/2

[SwitchA-Ethernet1/0/2] arp rate-limit enable

[SwitchA-Ethernet1/0/2] arp rate-limit 20

[SwitchA-Ethernet1/0/2] quit

# 开启端口Ethernet1/0/3上ARP报文限速功能，设置ARP报文通过的最大速率为50pps。

[SwitchA] interface Ethernet1/0/3

[SwitchA-Ethernet1/0/3] arp rate-limit enable

[SwitchA-Ethernet1/0/3] arp rate-limit 50

[SwitchA-Ethernet1/0/3] quit

# 配置端口状态自动恢复功能，恢复时间间隔为200秒。

[SwitchA] arp protective-down recover enable

[SwitchA] arp protective-down recover interval 200

2.3.2 ARP攻击防御典型配置举例二

1. 组网需求

如图2-4所示，Host A和Host B通过接入交换机（Switch）与网关（Gateway）相连。网关的IP地址为192.168.100.1/24，MAC地址为000D-88F8-528C。为了防止Host A和Host B进行“仿冒网关”的ARP攻击，可以在接入交换机上配置基于网关IP/MAC的ARP过滤功能。

2. 组网图

图2-4 “仿冒网关”的ARP攻击防御组网图

3. 配置步骤

# 进入系统视图。

>作文模板

本文发布于:2023-06-10 01:10:51，感谢您对本站的认可！

本文链接：https://www.wtabcd.cn/fanwen/fan/89/1031450.html

上一篇：华为路由器配置ACL

下一篇：华为视频会议8650MCU调试配置自用文档