目录 1 ARP 攻击防御配置 ARP 攻击防御简介 ARP 攻击防御配置任务简介配置 ARP 防止 IP 报文攻击功能 ARP 防止 IP 报文攻击功能简介配置 ARP 防止 I

Size: px

Start display at page:

Download "目录 1 ARP 攻击防御配置 ARP 攻击防御简介 ARP 攻击防御配置任务简介配置 ARP 防止 IP 报文攻击功能 ARP 防止 IP 报文攻击功能简介配置 ARP 防止 I"

急谓侯
4 years ago
Views:

1 目录 1 ARP 攻击防御配置 ARP 攻击防御简介 ARP 攻击防御配置任务简介配置 ARP 防止 IP 报文攻击功能 ARP 防止 IP 报文攻击功能简介配置 ARP 防止 IP 报文攻击功能 ARP 防止 IP 报文攻击显示和维护 ARP 防止 IP 报文攻击配置举例配置 ARP 报文限速功能 ARP 报文限速功能简介配置 ARP 报文限速功能配置源 MAC 地址固定的 ARP 攻击检测功能源 MAC 地址固定的 ARP 攻击检测功能简介配置源 MAC 地址固定的 ARP 攻击检测功能源 MAC 地址固定的 ARP 攻击检测显示和维护源 MAC 地址固定的 ARP 攻击检测功能配置举例配置 ARP 报文源 MAC 地址一致性检查功能 ARP 报文源 MAC 地址一致性检查功能简介配置 ARP 报文源 MAC 地址一致性检查功能配置 ARP 主动确认功能 ARP 主动确认功能简介配置 ARP 主动确认功能配置 ARP Detection 功能 ARP Detection 功能简介配置 ARP Detection 功能 ARP Detection 显示和维护用户合法性检查配置举例用户合法性检查和报文有效性检查配置举例 ARP 报文强制转发配置举例配置 ARP 自动扫描固化功能 ARP 自动扫描固化功能简介配置 ARP 自动扫描固化功能 i

2 1 ARP 攻击防御配置 ARP 攻击防御功能中所指的接口为三层口, 包括 VLAN 接口三层以太网端口等三层以太网端口是指被配置为三层模式的以太网端口, 有关以太网端口模式切换的操作, 请参见二层技术 - 以太网交换配置指导中的以太网端口配置 1.1 ARP 攻击防御简介 ARP 协议有简单易用的优点, 但是也因为其没有任何安全机制而容易被攻击发起者利用攻击者可以仿冒用户仿冒网关发送伪造的 ARP 报文, 使网关或主机的 ARP 表项不正确, 从而对网络进行攻击攻击者通过向设备发送大量目标 IP 地址不能解析的 IP 报文, 使得设备试图反复地对目标 IP 地址进行解析, 导致 CPU 负荷过重及网络流量过大攻击者向设备发送大量 ARP 报文, 对设备的 CPU 形成冲击关于 ARP 攻击报文的特点以及 ARP 攻击类型的详细介绍, 请参见 ARP 攻击防范技术白皮书目前 ARP 攻击和 ARP 病毒已经成为局域网安全的一大威胁, 为了避免各种攻击带来的危害, 设备提供了多种技术对攻击进行防范检测和解决下面将详细介绍一下这些技术的原理以及配置 1.2 ARP 攻击防御配置任务简介表 1-1 ARP 攻击防御配置任务简介配置任务说明详细配置防止泛洪攻击配置 ARP 防止 IP 报文攻击功能配置 ARP 报文限速功能配置 ARP 源抑制功能配置 ARP 黑洞路由功能可选建议在网关设备上配置本功能可选建议在网关设备上配置本功能可选建议在接入设备上配置本功能配置源 MAC 地址固定的 ARP 攻击检测功能可选建议在网关设备上配置本功能 1.5 防止仿冒用户仿冒网关攻击配置 ARP 报文源 MAC 地址一致性检查功能可选建议在网关设备上配置本功能 1.6 配置 ARP 主动确认功能可选建议在网关设备上配置本功能 1.7 配置 ARP Detection 功能可选建议在接入设备上配置本功能

3 配置任务说明详细配置配置 ARP 自动扫描固化功能可选建议在网关设备上配置本功能配置 ARP 防止 IP 报文攻击功能 ARP 防止 IP 报文攻击功能简介如果网络中有主机通过向设备发送大量目标 IP 地址不能解析的 IP 报文来攻击设备, 则会造成下面的危害 : 设备向目的网段发送大量 ARP 请求报文, 加重目的网段的负载设备会试图反复地对目标 IP 地址进行解析, 增加了 CPU 的负担为避免这种 IP 报文攻击所带来的危害, 设备提供了下列两个功能 : 如果发送攻击报文的源是固定的, 可以采用 ARP 源抑制功能开启该功能后, 如果网络中某主机向设备某端口连续发送目标 IP 地址不能解析的 IP 报文, 当每 5 秒内由此主机发出 IP 报文触发的 ARP 请求报文的流量超过设置的阈值, 那么对于由此主机发出的 IP 报文, 设备不允许其触发 ARP 请求, 直至 5 秒后再处理, 从而避免了恶意攻击所造成的危害如果发送攻击报文的源不固定, 可以采用 ARP 黑洞路由功能开启该功能后, 一旦接收到目标 IP 地址不能解析的 IP 报文, 设备立即产生一个黑洞路由, 使得设备在一段时间内将去往该地址的报文直接丢弃等待黑洞路由老化时间过后, 如有报文触发则再次发起解析, 如果解析成功则进行转发, 否则仍然产生一个黑洞路由将去往该地址的报文丢弃这种方式能够有效地防止 IP 报文的攻击, 减轻 CPU 的负担配置 ARP 防止 IP 报文攻击功能 1. 配置 ARP 源抑制功能表 1-2 配置 ARP 源抑制功能操作命令说明进入系统视图 system-view - 使能 ARP 源抑制功能配置 ARP 源抑制的阈值 arp source-suppression enable arp source-suppression limit limit-value 必选缺省情况下,ARP 源抑制功能处于关闭状态可选缺省情况下,ARP 源抑制的阈值为配置 ARP 黑洞路由功能表 1-3 配置 ARP 黑洞路由功能操作命令说明进入系统视图 system-view - 使能 ARP 黑洞路由功能 arp resolving-route enable 必选缺省情况,ARP 黑洞路由功能处于开启状态 1-2

4 1.3.3 ARP 防止 IP 报文攻击显示和维护在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 ARP 源抑制的运行情况, 通过查看显示信息验证配置的效果表 1-4 ARP 源抑制显示和维护操作显示 ARP 源抑制的配置信息命令 display arp source-suppression [ { begin exclude include } regular-expression ] ARP 防止 IP 报文攻击配置举例 1. 组网需求某局域网内存在两个区域 : 研发区和办公区, 分别属于 VLAN 10 和 VLAN 20, 通过接入交换机连接到网关 Device, 如图 1-1 所示网络管理员在监控网络时发现办公区存在大量 ARP 请求报文, 通过分析认为存在 IP 泛洪攻击, 为避免这种 IP 报文攻击所带来的危害, 可采用 ARP 源抑制功能和 ARP 黑洞路由功能 2. 组网图图 1-1 ARP 防止 IP 报文攻击配置组网图 IP network ARP Device VLAN 10 VLAN 20 Host A Host B Host C Host D 3. 配置思路对攻击报文进行分析, 如果发送攻击报文的源地址是固定的, 采用 ARP 源抑制功能在 Device 上做如下配置 : 使能 ARP 源抑制功能 ; 配置 ARP 源抑制的阈值为 100, 即当每 5 秒内的 ARP 请求报文的流量超过 100 后, 对于由此 IP 地址发出的 IP 报文, 设备不允许其触发 ARP 请求, 直至 5 秒后再处理否则采用 ARP 黑洞路由功能, 在 Device 上配置 ARP 黑洞路由功能 4. 配置步骤 (1) 配置 ARP 源抑制功能 # 使能 ARP 源抑制功能, 并配置 ARP 源抑制的阈值为

5 <Device> system-view [Device] arp source-suppression enable [Device] arp source-suppression limit 100 (2) 配置 ARP 黑洞路由功能 # 使能 ARP 黑洞路由功能 <Device> system-view [Device] arp resolving-route enable 1.4 配置 ARP 报文限速功能 ARP 报文限速功能简介 ARP 报文限速功能是指对上送 CPU 的 ARP 报文进行限速, 可以防止大量 ARP 报文对 CPU 进行冲击例如, 在配置了 ARP Detection 功能后, 设备会将收到的 ARP 报文重定向到 CPU 进行检查, 这样引入了新的问题 : 如果攻击者恶意构造大量 ARP 报文发往设备, 会导致设备的 CPU 负担过重, 从而造成其他功能无法正常运行甚至设备瘫痪, 这个时候可以启用 ARP 报文限速功能来控制上送 CPU 的 ARP 报文的速率推荐用户在配置了 ARP Detection, 或者发现有 ARP 泛洪攻击的情况下, 使用 ARP 报文限速功能配置 ARP 报文限速功能表 1-5 配置 ARP 报文限速功能操作命令说明进入系统视图 system-view - 进入二层以太网端口 / 二层聚合接口视图配置 ARP 报文限速功能 interface interface-type interface-number arp rate-limit { disable rate pps drop } - 必选缺省情况下, 开启 ARP 报文上送限速功能, ARP 限速速率为配置源 MAC 地址固定的 ARP 攻击检测功能源 MAC 地址固定的 ARP 攻击检测功能简介本特性根据 ARP 报文的源 MAC 地址进行统计, 在 5 秒内, 如果收到同一源 MAC 地址的 ARP 报文超过一定的阈值, 则认为存在攻击, 系统会将此 MAC 地址添加到攻击检测表项中在该攻击检测表项老化之前, 如果设置的检查模式为过滤模式, 则会打印 Log 信息并且将该源 MAC 地址发送的 ARP 报文过滤掉 ; 如果设置的模式为监控模式, 则只打印 Log 信息, 不会将该源 MAC 地址发送的 ARP 报文过滤掉对于网关或一些重要的服务器, 可能会发送大量 ARP 报文, 为了使这些 ARP 报文不被过滤掉, 可以将这类设备的 MAC 地址配置成保护 MAC 地址, 这样, 即使该 MAC 地址存在攻击也不会被检测过滤只对上送 CPU 的 ARP 报文进行统计 1-4

6 1.5.2 配置源 MAC 地址固定的 ARP 攻击检测功能表 1-6 配置源 MAC 地址固定的 ARP 攻击检测功能配置步骤命令说明进入系统视图 system-view - 使能源 MAC 地址固定的 ARP 攻击检测功能, 并选择检查模式配置源 MAC 地址固定的 ARP 报文攻击检测的阈值配置源 MAC 地址固定的 ARP 攻击检测表项的老化时间配置保护 MAC 地址 arp anti-attack source-mac { filter monitor } arp anti-attack source-mac threshold threshold-value arp anti-attack source-mac aging-time time arp anti-attack source-mac exclude-mac mac-address&<1-10> 必选缺省情况下, 源 MAC 地址固定的 ARP 攻击检测功能处于关闭状态可选缺省情况下, 源 MAC 固定 ARP 报文攻击检测阈值为 50 可选缺省情况下, 源 MAC 地址固定的 ARP 攻击检测表项的老化时间为 300 秒, 即 5 分钟可选缺省情况下, 没有配置任何保护 MAC 地址对于已添加到源 MAC 地址固定的 ARP 攻击检测表项中的 MAC 地址, 在等待设置的老化时间后, 会重新恢复成普通 MAC 地址源 MAC 地址固定的 ARP 攻击检测显示和维护在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后源 MAC 地址固定的 ARP 攻击检测的运行情况, 通过查看显示信息验证配置的效果表 1-7 源 MAC 地址固定的 ARP 攻击检测显示和维护操作显示检测到的源 MAC 地址固定的 ARP 攻击检测表项命令 display arp anti-attack source-mac { slot slot-number interface interface-type interface-number } [ { begin exclude include } regular-expression ] 源 MAC 地址固定的 ARP 攻击检测功能配置举例 1. 组网需求某局域网内客户端通过网关与外部网络通信, 网络环境如图 1-2 所示网络管理员希望能够防止因恶意用户对网关发送大量 ARP 报文, 造成设备瘫痪, 并导致其它用户无法正常地访问外部网络 ; 同时, 对于正常的大量 ARP 报文仍然会进行处理 1-5

7 2. 组网图图 1-2 源 MAC 地址固定的 ARP 攻击检测功能配置组网图 IP network ARP Device f86-e94c Host A Host B Host C Host D 3. 配置思路如果恶意用户发送大量报文的源 MAC 地址是使用客户端合法的 MAC 地址, 并且源 MAC 是固定的, 可以在网关上进行如下配置 : 使能源 MAC 固定 ARP 攻击检测功能, 并选择过滤模式 ; 配置源 MAC 固定 ARP 报文攻击检测的阈值 ; 配置源 MAC 固定的 ARP 攻击检测表项的老化时间 ; 配置服务器的 MAC 为保护 MAC, 使服务器可以发送大量 ARP 报文 4. 配置步骤 # 使能源 MAC 固定 ARP 攻击检测功能, 并选择过滤模式 <Device> system-view [Device] arp anti-attack source-mac filter # 配置源 MAC 固定 ARP 报文攻击检测阈值为 30 个 [Device] arp anti-attack source-mac threshold 30 # 配置源 MAC 地址固定的 ARP 攻击检测表项的老化时间为 60 秒 [Device] arp anti-attack source-mac aging-time 60 # 配置源 MAC 固定攻击检查的保护 MAC 地址为 f86-e94c [Device] arp anti-attack source-mac exclude-mac f86-e94c 1.6 配置 ARP 报文源 MAC 地址一致性检查功能 ARP 报文源 MAC 地址一致性检查功能简介 ARP 报文源 MAC 地址一致性检查功能主要应用于网关设备上, 防御以太网数据帧首部中的源 MAC 地址和 ARP 报文中的源 MAC 地址不同的 ARP 攻击配置本特性后, 网关设备在进行 ARP 学习前将对 ARP 报文进行检查如果以太网数据帧首部中的源 MAC 地址和 ARP 报文中的源 MAC 地址不同, 则认为是攻击报文, 将其丢弃 ; 否则, 继续进行 ARP 学习 1-6

8 1.6.2 配置 ARP 报文源 MAC 地址一致性检查功能表 1-8 配置 ARP 报文源 MAC 地址一致性检查功能配置步骤命令说明进入系统视图 system-view - 使能 ARP 报文源 MAC 地址一致性检查功能 arp anti-attack valid-check enable 必选缺省情况下,ARP 报文源 MAC 地址一致性检查功能处于关闭状态 1.7 配置 ARP 主动确认功能 ARP 主动确认功能简介 ARP 的主动确认功能主要应用于网关设备上, 防止攻击者仿冒用户欺骗网关设备启用 ARP 主动确认功能后, 设备在新建或更新 ARP 表项前需进行主动确认, 防止产生错误的 ARP 表项关于工作原理的详细介绍请参见 ARP 攻击防范技术白皮书配置 ARP 主动确认功能表 1-9 配置 ARP 主动确认功能配置步骤命令说明进入系统视图 system-view - 使能 ARP 主动确认功能 arp anti-attack active-ack enable 必选缺省情况下,ARP 主动确认功能处于关闭状态 1.8 配置 ARP Detection 功能 ARP Detection 功能简介 ARP Detection 功能主要应用于接入设备上, 对于合法用户的 ARP 报文进行正常转发, 否则直接丢弃, 从而防止仿冒用户仿冒网关的攻击 ARP Detection 包含三个功能 : 用户合法性检查 ARP 报文有效性检查 ARP 报文强制转发 1. 用户合法性检查对于 ARP 信任端口, 不进行用户合法性检查 ; 对于 ARP 非信任端口, 需要进行用户合法性检查, 以防止仿冒用户的攻击用户合法性检查是根据 ARP 报文中源 IP 地址和源 MAC 地址检查用户是否是所属 VLAN 所在端口上的合法用户, 包括基于 IP Source Guard 静态绑定表项的检查基于 DHCP Snooping 安全表项的检查和基于 802.1X 安全表项的检查 (1) 首先进行基于 IP Source Guard 静态绑定表项检查如果找到了对应源 IP 地址和源 MAC 地址的静态绑定表项, 认为该 ARP 报文合法, 进行转发如果找到了对应源 IP 地址的静态绑定表项但源 MAC 地址不符, 认为该 ARP 报文非法, 进行丢弃如果没有找到对应源 IP 地址的静态绑定表项, 继续进行 DHCP Snooping 安全表项和 802.1X 安全表项检查 (2) 在基于 IP Source Guard 静态绑定表项检查之后进行基于 DHCP Snooping 安全表项和 802.1X 安全表项检查, 只要符合二者中任何一个, 就认为该 ARP 报文合法, 进行转发 1-7

9 (3) 如果所有检查都没有找到匹配的表项, 则认为是非法报文, 直接丢弃 IP Source Guard 静态绑定表项通过 ip source binding 命令生成, 详细介绍请参见安全配置指导中的 IP Source Guard DHCP Snooping 安全表项通过 DHCP Snooping 功能自动生成, 详细介绍请参见三层技术 -IP 业务配置指导中的 DHCP Snooping 802.1X 安全表项通过 802.1X 功能产生,802.1X 用户需要使用可以将 IP 地址上传的客户端, 用户通过了 802.1X 认证并且将 IP 地址上传至使能 ARP Detection 的设备后, 设备自动生成可用于 ARP Detction 的用户合法性检查的 802.1X 安全表项 802.1X 的详细介绍请参见安全配置指导中的 802.1X 2. ARP 报文有效性检查对于 ARP 信任端口, 不进行报文有效性检查 ; 对于 ARP 非信任端口, 需要根据配置对 MAC 地址和 IP 地址不合法的报文进行过滤可以选择配置源 MAC 地址目的 MAC 地址或 IP 地址检查模式对于源 MAC 地址的检查模式, 会检查 ARP 报文中的源 MAC 地址和以太网报文头中的源 MAC 地址是否一致, 一致则认为有效, 否则丢弃报文 ; 对于目的 MAC 地址的检查模式 ( 只针对 ARP 应答报文 ), 会检查 ARP 应答报文中的目的 MAC 地址是否为全 0 或者全 1, 是否和以太网报文头中的目的 MAC 地址一致全 0 全 1 不一致的报文都是无效的, 无效的报文需要被丢弃 ; 对于 IP 地址检查模式, 会检查 ARP 报文中的源 IP 和目的 IP 地址, 全 0 全 1 或者组播 IP 地址都是不合法的, 需要丢弃对于 ARP 应答报文, 源 IP 和目的 IP 地址都进行检查 ; 对于 ARP 请求报文, 只检查源 IP 地址 3. ARP 报文强制转发对于从 ARP 信任端口接收到的 ARP 报文不受此功能影响, 按照正常流程进行转发 ; 对于从 ARP 非信任端口接收到的已经通过用户合法性检查的 ARP 报文的处理过程如下 : 对于 ARP 请求报文, 通过信任端口进行转发 ; 对于 ARP 应答报文, 首先按照报文中的以太网目的 MAC 地址进行转发, 若在 MAC 地址表中没有查到目的 MAC 地址对应的表项, 则将此 ARP 应答报文通过信任端口进行转发配置 ARP Detection 功能如果既配置了报文有效性检查功能, 又配置了用户合法性检查功能, 那么先进行报文有效性检查, 然后进行用户合法性检查 1. 配置用户合法性检查功能表 1-10 配置用户合法性检查功能操作命令说明进入系统视图 system-view - 进入 VLAN 视图 vlan vlan-id - 1-8

10 操作命令说明使能 ARP Detection 功能 arp detection enable 必选缺省情况下,ARP Detection 功能处于关闭状态即不进行用户合法性检查退回系统视图 quit - 进入二层以太网端口或者二层聚合接口视图将不需要进行用户合法性检查的端口配置为 ARP 信任端口 interface interface-type interface-number arp detection trust - 可选缺省情况下, 端口为 ARP 非信任端口配置用户合法性检查功能时, 必须至少配置 IP Source Guard 静态绑定表项 DHCP Snooping 功能 802.1X 功能三者之一, 否则所有从 ARP 非信任端口收到的 ARP 报文都将被丢弃在配置 IP Source Guard 静态绑定表项时, 必须指定 VLAN 参数, 否则 ARP 报文将无法通过基于 IP Source Guard 静态绑定表项的检查 2. 配置 ARP 报文有效性检查功能表 1-11 配置 ARP 报文有效性检查功能操作命令说明进入系统视图 system-view - 进入 VLAN 视图 vlan vlan-id - 使能 ARP Detection 功能 arp detection enable 必选缺省情况下,ARP Detection 功能处于关闭状态退回系统视图 quit - 使能 ARP 报文有效性检查功能进入二层以太网端口或者二层聚合接口视图将不需要进行 ARP 报文有效性检查的端口配置为 ARP 信任端口 arp detection validate { dst-mac ip src-mac } * interface interface-type interface-number arp detection trust 必选缺省情况下, ARP 报文有效性检查功能处于关闭状态 - 可选缺省情况下, 端口为 ARP 非信任端口 3. 配置 ARP 报文强制转发功能进行下面的配置之前, 需要保证已经配置了用户合法性检查功能表 1-12 配置 ARP 报文强制转发功能操作命令说明进入系统视图 system-view - 进入 VLAN 视图 vlan vlan-id - 1-9

11 操作命令说明使能 ARP 报文强制转发功能 arp restricted-forwarding enable 必选缺省情况下,ARP 报文强制转发功能处于关闭状态 ARP Detection 显示和维护在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 ARP Detection 的运行情况, 通过查看显示信息验证配置的效果在用户视图下, 用户可以执行 reset 命令清除 ARP Detection 的统计信息表 1-13 ARP Detection 显示和维护操作显示使能了 ARP Detection 功能的 VLAN 显示 ARP Detection 功能报文检查的丢弃计数的统计信息清除 ARP Detection 的统计信息命令 display arp detection [ { begin exclude include } regular-expression ] display arp detection statistics [ interface interface-type interface-number ] [ { begin exclude include } regular-expression ] reset arp detection statistics [ interface interface-type interface-number ] 用户合法性检查配置举例 1. 组网需求 Switch A 是 DHCP 服务器 ;Switch B 是支持 802.1X 的设备, 在 VLAN 10 内启用 ARP Detection 功能, 对认证客户端进行保护, 保证合法用户可以正常转发报文, 否则丢弃 Host A 和 Host B 是本地 802.1X 接入用户 2. 组网图图 1-3 配置用户合法性检查组网图 Switch A Gateway DHCP server Switch B GE1/0/3 Vlan-int /24 GE1/0/3 VLAN 10 GE1/0/1 GE1/0/2 Host A Host B 3. 配置步骤 (1) 配置组网图中所有端口属于 VLAN 及 Switch A 对应 VLAN 接口的 IP 地址 ( 略 ) 1-10

12 (2) 配置 DHCP 服务器 Switch A # 配置 DHCP 地址池 0 <SwitchA> system-view [SwitchA] dhcp enable [SwitchA] dhcp server ip-pool 0 [SwitchA-dhcp-pool-0] network mask (3) 配置客户端 Host A 和 Host B( 略 ), 必须使用上传 IP 地址方式 (4) 配置设备 Switch B # 配置 dot1x 功能 <SwitchB> system-view [SwitchB] dot1x [SwitchB] interface gigabitethernet 1/0/1 [SwitchB-GigabitEthernet1/0/1] dot1x [SwitchB-GigabitEthernet1/0/1] quit [SwitchB] interface gigabitethernet 1/0/2 [SwitchB-GigabitEthernet1/0/2] dot1x [SwitchB-GigabitEthernet1/0/2] quit # 添加本地接入用户 [SwitchB] local-user test [SwitchB-luser-test] service-type lan-access [SwitchB-luser-test] password simple test [SwitchB-luser-test] quit # 使能 ARP Detection 功能, 对用户合法性进行检查 [SwitchB] vlan 10 [SwitchB-vlan10] arp detection enable # 端口状态缺省为非信任状态, 上行端口配置为信任状态, 下行端口按缺省配置 [SwitchB-vlan10] interface gigabitethernet 1/0/3 [SwitchB-GigabitEthernet1/0/3] arp detection trust [SwitchB-GigabitEthernet1/0/3] quit 完成上述配置后, 对于端口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/2 收到的 ARP 报文, 需基于 802.1X 安全表项进行用户合法性检查用户合法性检查和报文有效性检查配置举例 1. 组网需求 Switch A 是 DHCP 服务器 ; Host A 是 DHCP 客户端 ; 用户 Host B 的 IP 地址是 ,MAC 地址是 Switch B 是 DHCP Snooping 设备, 在 VLAN 10 内启用 ARP Detection 功能, 对 DHCP 客户端和用户进行保护, 保证合法用户可以正常转发报文, 否则丢弃 1-11

13 2. 组网图图 1-4 配置用户合法性检查和报文有效性检查组网图 Switch A Gateway DHCP server GE1/0/3 Vlan-int /24 DHCP snooping Switch B GE1/0/3 VLAN 10 GE1/0/1 GE1/0/2 Host A DHCP client Host B 配置步骤 (1) 配置组网图中所有端口属于 VLAN 及 Switch A 对应 VLAN 接口的 IP 地址 ( 略 ) (2) 配置 DHCP 服务器 Switch A # 配置 DHCP 地址池 0 <SwitchA> system-view [SwitchA] dhcp enable [SwitchA] dhcp server ip-pool 0 [SwitchA-dhcp-pool-0] network mask (3) 配置 DHCP 客户端 Host A 和用户 Host B( 略 ) (4) 配置设备 Switch B # 配置 DHCP Snooping 功能 <SwitchB> system-view [SwitchB] dhcp-snooping [SwitchB] interface gigabitethernet 1/0/3 [SwitchB-GigabitEthernet1/0/3] dhcp-snooping trust [SwitchB-GigabitEthernet1/0/3] quit # 使能 ARP Detection 功能, 对用户合法性进行检查 [SwitchB] vlan 10 [SwitchB-vlan10] arp detection enable # 端口状态缺省为非信任状态, 上行端口配置为信任状态, 下行端口按缺省配置 [SwitchB-vlan10] interface gigabitethernet 1/0/3 [SwitchB-GigabitEthernet1/0/3] arp detection trust [SwitchB-GigabitEthernet1/0/3] quit # 在端口 GigabitEthernet1/0/2 上配置 IP Source Guard 静态绑定表项 [SwitchB] interface gigabitethernet 1/0/2 [SwitchB-GigabitEthernet1/0/2] ip source binding ip-address mac-address vlan 10 [SwitchB-GigabitEthernet1/0/2] quit # 配置进行报文有效性检查 [SwitchB] arp detection validate dst-mac ip src-mac 1-12

14 完成上述配置后, 对于端口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/2 收到的 ARP 报文, 先进行报文有效性检查, 然后基于 IP Source Guard 静态绑定表项 DHCP Snooping 安全表项进行用户合法性检查 ARP 报文强制转发配置举例 1. 组网需求 Switch A 是 DHCP 服务器 ; Host A 是 DHCP 客户端 ; 用户 Host B 的 IP 地址是 ,MAC 地址是 Host A 和 Host B 在设备 Switch B 上端口隔离, 但是均和网关 Switch A 相通, GigabitEthernet1/0/1 GigabitEthernet1/0/2 GigabitEthernet1/0/3 均属于 VLAN 10 Switch B 是 DHCP Snooping 设备, 在 VLAN 10 内启用 ARP Detection 功能, 对 DHCP 客户端和用户进行保护, 保证合法用户可以正常转发报文, 否则丢弃要求 :Switch B 在启用 ARP Detection 功能后, 对于 ARP 广播请求报文仍然能够进行端口隔离 2. 组网图图 1-5 配置 ARP 报文强制转发组网图 Switch A Gateway DHCP server GE1/0/3 Vlan-int /24 DHCP snooping Switch B GE1/0/3 VLAN 10 GE1/0/1 GE1/0/2 Host A DHCP client Host B 配置步骤 (1) 配置组网图中所有端口属于 VLAN 及 Switch A 对应 VLAN 接口的 IP 地址 ( 略 ) (2) 配置 DHCP 服务器 Switch A # 配置 DHCP 地址池 0 <SwitchA> system-view [SwitchA] dhcp enable [SwitchA] dhcp server ip-pool 0 [SwitchA-dhcp-pool-0] network mask (3) 配置 DHCP 客户端 Host A 和用户 Host B( 略 ) (4) 配置设备 Switch B # 配置 DHCP Snooping 功能 <SwitchB> system-view [SwitchB] dhcp-snooping [SwitchB] interface gigabitethernet 1/0/3 [SwitchB-GigabitEthernet1/0/3] dhcp-snooping trust [SwitchB-GigabitEthernet1/0/3] quit 1-13

15 # 使能 ARP Detection 功能, 对用户合法性进行检查 [SwitchB] vlan 10 [SwitchB-vlan10] arp detection enable # 端口状态缺省为非信任状态, 上行端口配置为信任状态, 下行端口按缺省配置 [SwitchB-vlan10] interface gigabitethernet 1/0/3 [SwitchB-GigabitEthernet1/0/3] arp detection trust [SwitchB-GigabitEthernet1/0/3] quit # 在端口 GigabitEthernet1/0/2 上配置 IP Source Guard 静态绑定表项 [SwitchB] interface gigabitethernet 1/0/2 [SwitchB-GigabitEthernet1/0/2] ip source binding ip-address mac-address vlan 10 [SwitchB-GigabitEthernet1/0/2] quit # 配置进行报文有效性检查 [SwitchB] arp detection validate dst-mac ip src-mac # 配置端口隔离 [SwitchB] interface gigabitethernet 1/0/1 [SwitchB-GigabitEthernet1/0/1] port-isolate enable [SwitchB-GigabitEthernet1/0/1] quit [SwitchB] interface gigabitethernet 1/0/2 [SwitchB-GigabitEthernet1/0/2] port-isolate enable [SwitchB-GigabitEthernet1/0/2] quit 完成上述配置后, 对于端口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/2 收到的 ARP 报文, 先进行报文有效性检查, 然后基于 IP Source Guard 静态绑定表项 DHCP Snooping 安全表项进行用户合法性检查但是,Host A 发往 Switch A 的 ARP 广播请求报文, 由于通过了用户合法性检查, 所以能够被转发到 Host B, 端口隔离功能失效 # 配置 ARP 报文强制转发功能 [SwitchB] vlan 10 [SwitchB-vlan10] arp restricted-forwarding enable [SwitchB-vlan10] quit 此时,Host A 发往 Switch A 的合法 ARP 广播请求报文只能通过信任端口 GigabitEthernet1/0/3 转发, 不能被 Host B 接收到, 端口隔离功能可以正常工作 1.9 配置 ARP 自动扫描固化功能 ARP 自动扫描固化功能简介 ARP 自动扫描功能一般与 ARP 固化功能配合使用 : 启用 ARP 自动扫描功能后, 设备会对局域网内的邻居自动进行扫描 ( 向邻居发送 ARP 请求报文, 获取邻居的 MAC 地址, 从而建立动态 ARP 表项 ) ARP 固化功能用来将当前的 ARP 动态表项 ( 包括 ARP 自动扫描生成的动态 ARP 表项 ) 转换为静态 ARP 表项通过对动态 ARP 表项的固化, 可以有效的防止攻击者修改 ARP 表项推荐在网吧这种环境稳定的小型网络中使用这两个功能 1-14

16 1.9.2 配置 ARP 自动扫描固化功能表 1-14 配置 ARP 自动扫描固化功能操作命令说明进入系统视图 system-view - 进入接口视图 interface interface-type interface-number - 启动 ARP 自动扫描功能 arp scan [ start-ip-address to end-ip-address ] 必选退回系统视图 quit - 配置 ARP 固化功能 arp fixup 必选对于已存在 ARP 表项的 IP 地址不进行扫描扫描操作可能比较耗时, 用户可以通过 <Ctrl_C> 来终止扫描 ( 在终止扫描时, 对于已经收到的邻居应答, 会建立该邻居的动态 ARP 表项 ) 固化后的静态 ARP 表项与配置产生的静态 ARP 表项相同通过 arp fixup 命令将当前的动态 ARP 表项转换为静态 ARP 表项后, 后续学习到的动态 ARP 表项可以通过再次执行 arp fixup 命令进行固化固化生成的静态 ARP 表项数量同样受到设备可以支持的静态 ARP 表项数目的限制, 由于静态 ARP 表项数量的限制可能导致只有部分动态 ARP 表项被固化通过固化生成的静态 ARP 表项, 可以通过命令行 undo arp ip-address 逐条删除, 也可以通过命令行 reset arp all 或 reset arp static 全部删除 1-15

1 ARP 攻击防御配置命令 1.1 ARP 报文限速配置命令 arp rate-limit arp rate-limit { disable rate pps drop } undo arp rate-limit 视图二层以太网端口视图 / 二层聚合接口视图缺省级别 disable

1 ARP 攻击防御配置命令 1.1 ARP 报文限速配置命令 arp rate-limit arp rate-limit { disable rate pps drop } undo arp rate-limit 视图二层以太网端口视图 / 二层聚合接口视图缺省级别 disable 目录 1 ARP 攻击防御配置命令... 1-1 1.1 ARP 报文限速配置命令... 1-1 1.1.1 arp rate-limit... 1-1 1.2 源 MAC 地址固定的 ARP 攻击检测配置命令... 1-1 1.2.1 arp anti-attack source-mac... 1-1 1.2.2 arp anti-attack source-mac aging-time... 1-2

目录 1 ARP 攻击防御配置 ARP 攻击防御简介 ARP 攻击防御配置任务简介 配置 ARP 防止 IP 报文攻击功能 ARP 防止 IP 报文攻击功能简介 配置 ARP 防止 I

目录 1 ARP 攻击防御配置 ARP 攻击防御简介 ARP 攻击防御配置任务简介配置 ARP 防止 IP 报文攻击功能 ARP 防止 IP 报文攻击功能简介配置 ARP 防止 I