目录 1 ARP 攻击防御配置命令... 1-1 1.1 ARP 报文限速配置命令... 1-1 1.1.1 arp rate-limit... 1-1 1.2 源 MAC 地址固定的 ARP 攻击检测配置命令... 1-1 1.2.1 arp anti-attack source-mac... 1-1 1.2.2 arp anti-attack source-mac aging-time... 1-2 1.2.3 arp anti-attack source-mac exclude-mac... 1-2 1.2.4 arp anti-attack source-mac threshold... 1-3 1.2.5 display arp anti-attack source-mac... 1-3 1.3 ARP 报文源 MAC 地址一致性检查配置命令... 1-4 1.3.1 arp anti-attack valid-check enable... 1-4 1.4 ARP 主动确认配置命令... 1-5 1.4.1 arp anti-attack active-ack enable... 1-5 1.5 ARP Detection 配置命令... 1-5 1.5.1 arp detection enable... 1-5 1.5.2 arp detection trust... 1-6 1.5.3 arp detection validate... 1-6 1.5.4 arp restricted-forwarding enable... 1-7 1.5.5 display arp detection... 1-8 1.5.6 display arp detection statistics... 1-8 1.5.7 reset arp detection statistics... 1-9 1.6 ARP 网关保护配置命令... 1-10 1.6.1 arp filter source... 1-10 1.7 ARP 过滤保护配置命令... 1-10 1.7.1 arp filter binding... 1-10 i
1 ARP 攻击防御配置命令 1.1 ARP 报文限速配置命令 1.1.1 arp rate-limit arp rate-limit { disable rate pps drop } undo arp rate-limit 视图 二层以太网端口视图 / 二层聚合接口视图 缺省级别 disable: 不进行限速 rate pps:arp 限速速率, 单位为包每秒 (pps), 取值范围为 5~100 drop: 丢弃超出限速部分的报文 描述 arp rate-limit 命令用来开启 ARP 报文限速功能, 可以配置端口 ARP 报文限速速率, 配置对超速 ARP 报文的处理, 或者配置取消 ARP 报文限速 undo arp rate-limit 命令用来恢复缺省情况 缺省情况下,ARP 报文限速功能处于关闭状态 举例 # 配置二层以太网端口 GigabitEthernet1/0/1 端口 ARP 报文限速为 50pps, 超过限速部分的报文丢弃 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] arp rate-limit rate 50 drop 1.2 源 MAC 地址固定的 ARP 攻击检测配置命令 1.2.1 arp anti-attack source-mac arp anti-attack source-mac { filter monitor } undo arp anti-attack source-mac [ filter monitor ] 视图 系统视图 缺省级别 filter: 检测到攻击后, 打印 Log 信息, 同时对该源 MAC 地址对应的 ARP 报文进行过滤 1-1
monitor: 检测到攻击后, 只打印 Log 信息, 不对该源 MAC 地址对应的 ARP 报文进行过滤 描述 arp anti-attack source-mac 命令用来使能源 MAC 地址固定的 ARP 攻击检测功能, 并选择检查模式 undo arp anti-attack source-mac 命令用来恢复缺省情况 缺省情况下, 源 MAC 地址固定的 ARP 攻击检测功能处于关闭状态 使能源 MAC 地址固定的 ARP 攻击检测之后, 该特性会对上送 CPU 的 ARP 报文按照源 MAC 地址和 VLAN 进行统计 当在一定时间 (5 秒 ) 内收到某固定源 MAC 地址的 ARP 报文超过设定的阈值, 不同模式的处理方式存在差异 : 在 filter 模式下会打印 Log 信息并对该源 MAC 地址对应的 ARP 报文进行过滤 ; 在 monitor 模式下只打印 Log 信息, 不过滤 ARP 报文 需要注意的是, 如果 undo 命令中没有指定检查模式, 则关闭任意检查模式的源 MAC 地址固定的 ARP 攻击检测功能 举例 # 使能源 MAC 地址固定的 ARP 攻击检测功能, 并选择 filter 检查模式 [Sysname] arp anti-attack source-mac filter 1.2.2 arp anti-attack source-mac aging-time arp anti-attack source-mac aging-time time undo arp anti-attack source-mac aging-time 视图 系统视图 缺省级别 time: 源 MAC 地址固定的 ARP 攻击检测表项的老化时间, 取值范围为 60~6000, 单位为秒 描述 arp anti-attack source-mac aging-time 命令用来配置源 MAC 地址固定的 ARP 攻击检测表项的老化时间 undo arp anti-attack source-mac aging-time 命令用来恢复缺省情况 缺省情况下, 源 MAC 地址固定的 ARP 攻击检测表项的老化时间为 300 秒, 即 5 分钟 举例 # 配置源 MAC 地址固定的 ARP 攻击检测表项的老化时间为 60 秒 [Sysname] arp anti-attack source-mac aging-time 60 1.2.3 arp anti-attack source-mac exclude-mac arp anti-attack source-mac exclude-mac mac-address&<1-10> undo arp anti-attack source-mac exclude-mac [ mac-address&<1-10> ] 视图 系统视图 缺省级别 1-2
mac-address&<1-10>:mac 地址列表 其中,mac-address 表示配置的保护 MAC 地址, 格式为 H-H-H &<1-10> 表示每次最多可以配置的保护 MAC 地址个数 描述 arp anti-attack source-mac exclude-mac 命令用来配置保护 MAC 地址 当配置了保护 MAC 地址之后, 即使该 ARP 报文中的 MAC 地址存在攻击也不会被检测过滤 undo arp anti-attack source-mac exclude-mac 命令用来取消配置的保护 MAC 地址 缺省情况下, 没有配置任何保护 MAC 地址 需要注意的是, 如果 undo 命令中没有指定 MAC 地址, 则取消所有配置的保护 MAC 地址 举例 # 配置源 MAC 地址固定的 ARP 攻击检查的保护 MAC 地址为 2-2-2 [Sysname] arp anti-attack source-mac exclude-mac 2-2-2 1.2.4 arp anti-attack source-mac threshold arp anti-attack source-mac threshold threshold-value undo arp anti-attack source-mac threshold 视图 系统视图 缺省级别 threshold-value: 固定时间内源 MAC 地址固定的 ARP 报文攻击检测的阈值, 单位为报文个数, 取值范围为 10~100 描述 arp anti-attack source-mac threshold 命令用来配置源 MAC 地址固定的 ARP 报文攻击检测阈值, 当在固定的时间 (5 秒 ) 内收到源 MAC 地址固定的 ARP 报文超过该阈值则认为存在攻击 undo arp anti-attack source-mac threshold 命令用来恢复缺省情况 缺省情况下, 源 MAC 固定 ARP 报文攻击检测阈值为 50 举例 # 配置源 MAC 地址固定的 ARP 报文攻击检测阈值为 30 个 [Sysname] arp anti-attack source-mac threshold 30 1.2.5 display arp anti-attack source-mac display arp anti-attack source-mac { slot slot-number interface interface-type interface-number } [ { begin exclude include } regular-expression ] 视图 任意视图 1-3
缺省级别 1: 监控级 参数 interface interface-type interface-number: 显示指定接口检测到的源 MAC 地址固定的 ARP 攻击检测表项 slot slot-number: 显示 IRF 系统中指定设备上检测到的源 MAC 地址固定的 ARP 攻击检测表项 slot-number 表示 IRF 中设备的成员编号, 取值范围取决于当前 IRF 中的成员数量和编号情况, 可使用 display irf 命令查看 如果未形成 IRF, 则 slot-number 为当前设备编号 : 使用正则表达式对显示信息进行过滤 有关正则表达式的详细介绍, 请参见 基础配置指导 中的 CLI begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 描述 display arp anti-attack source-mac 命令用来显示检测到的源 MAC 地址固定的 ARP 攻击检测表项 举例 # 显示检测到的源 MAC 地址固定的 ARP 攻击检测表项 <Sysname> display arp anti-attack source-mac slot 1 Source-MAC VLAN ID Interface Aging-time 23f3-1122-3344 4094 GE1/0/1 10 23f3-1122-3355 4094 GE1/0/2 30 23f3-1122-33ff 4094 GE1/0/3 25 23f3-1122-33ad 4094 GE1/0/4 30 23f3-1122-33ce 4094 GE1/0/5 2 表 1-1 display arp anti-attack source-mac 命令显示信息描述表 字段 描述 Source-MAC VLAN ID Interface Aging-time 检测到攻击的源 MAC 地址检测到攻击的 VLAN ID 攻击来源的接口索引 ARP 防攻击策略表项老化剩余时间 1.3 ARP 报文源 MAC 地址一致性检查配置命令 1.3.1 arp anti-attack valid-check enable arp anti-attack valid-check enable undo arp anti-attack valid-check enable 视图 系统视图 1-4
缺省级别 无 描述 arp anti-attack valid-check enable 命令用来在网关设备上使能 ARP 报文源 MAC 地址一致性检查功能 网关使能此功能时, 会对接收的 ARP 报文进行检查, 如果以太网数据帧首部中的源 MAC 地址和 ARP 报文中的源 MAC 地址不同, 则丢弃该报文 undo arp anti-attack valid-check enable 命令用来恢复缺省情况 缺省情况下,ARP 报文源 MAC 地址一致性检查功能处于关闭状态 举例 # 使能 ARP 报文源 MAC 地址一致性检查功能 [Sysname] arp anti-attack valid-check enable 1.4 ARP 主动确认配置命令 1.4.1 arp anti-attack active-ack enable arp anti-attack active-ack enable undo arp anti-attack active-ack enable 视图 系统视图 缺省级别 无 描述 arp anti-attack active-ack enable 命令用来使能 ARP 主动确认功能 undo arp anti-attack active-ack enable 命令用来恢复缺省情况 缺省情况下,ARP 主动确认功能处于关闭状态 ARP 的主动确认功能主要应用于网关设备上, 防止攻击者仿冒用户欺骗网关设备 举例 # 使能 ARP 主动确认功能 [Sysname] arp anti-attack active-ack enable 1.5 ARP Detection 配置命令 1.5.1 arp detection enable arp detection enable 1-5
undo arp detection enable 视图 VLAN 视图 缺省级别 无 描述 arp detection enable 命令用来使能 ARP Detection 功能, 即对 ARP 报文进行用户合法性检查 undo arp detection enable 命令用来恢复缺省情况 缺省情况下,ARP Detection 功能处于关闭状态 举例 # 使能 ARP Detection 功能 [Sysname] vlan 1 [Sysname-Vlan1] arp detection enable 1.5.2 arp detection trust arp detection trust undo arp detection trust 视图 二层以太网端口视图 / 二层聚合接口视图 缺省级别 无 描述 arp detection trust 命令用来配置端口为 ARP 信任端口 undo arp detection trust 命令用来恢复缺省情况 缺省情况下, 端口为 ARP 非信任端口 举例 # 配置二层以太网端口 GigabitEthernet1/0/1 为 ARP 信任端口 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] arp detection trust 1.5.3 arp detection validate arp detection validate { dst-mac ip src-mac } * undo arp detection validate [ dst-mac ip src-mac ] * 1-6
视图 系统视图 缺省级别 dst-mac: 检查 ARP 应答报文中的目的 MAC 地址, 是否为全 0 或者全 1, 是否和以太网报文头中的目的 MAC 地址一致 全 0 全 1 不一致的报文都是无效的, 无效的报文需要被丢弃 ip: 检查 ARP 报文源 IP 和目的 IP 地址, 全 0 全 1 或者组播 IP 地址都是不合法的, 需要丢弃 对于 ARP 应答报文, 源 IP 和目的 IP 地址都进行检查 ; 对于 ARP 请求报文, 只检查源 IP 地址 src-mac: 检查 ARP 报文中的源 MAC 地址和以太网报文头中的源 MAC 地址是否一致, 一致认为有效, 否则丢弃 描述 arp detection validate 命令用来使能对 ARP 报文的目的或源 MAC 地址 IP 地址的有效性检查 使能有效性检查时可以指定某一种检查方式也可以配置成多种检查方式的组合 undo arp detection validate 命令用来关闭对 ARP 报文的有效性检查 关闭时可以指定关闭某一种或多种检查, 在不指定检查方式时, 表示关闭所有有效性检查 缺省情况下,ARP 报文有效性检查功能处于关闭状态 举例 # 使能对 ARP 报文的 MAC 地址和 IP 地址的有效性检查 [Sysname] arp detection validate dst-mac src-mac ip 1.5.4 arp restricted-forwarding enable arp restricted-forwarding enable undo arp restricted-forwarding enable 视图 VLAN 视图 缺省级别 无 描述 arp restricted-forwarding enable 命令用来使能 ARP 报文强制转发功能 undo arp restricted-forwarding enable 命令用来关闭 ARP 报文强制转发功能 缺省情况下,ARP 报文强制转发功能处于关闭状态 举例 # 使能 VLAN 1 的 ARP 报文强制转发功能 [Sysname] vlan 1 [Sysname-vlan1] arp restricted-forwarding enable 1-7
1.5.5 display arp detection display arp detection [ { begin exclude include } regular-expression ] 视图 任意视图 缺省级别 1: 监控级 参数 : 使用正则表达式对显示信息进行过滤 有关正则表达式的详细介绍, 请参见 基础配置指导 中的 CLI begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 描述 display arp detection 命令用来显示使能了 ARP Detection 功能的 VLAN 相关配置可参考 arp detection enable 举例 # 显示所有使能了 ARP Detection 功能的 VLAN <Sysname> display arp detection ARP detection is enabled in the following VLANs: 1, 2, 4-5 表 1-2 display arp detection 命令显示信息描述表 字段 ARP detection is enabled in the following VLANs 描述 使能了 ARP Detection 功能的 VLAN 1.5.6 display arp detection statistics display arp detection statistics [ interface interface-type interface-number ] [ { begin exclude include } regular-expression ] 视图 任意视图 缺省级别 1: 监控级 参数 interface interface-type interface-number : 显示指定接口的统计信息 interface-type interface-number 用来指定接口类型和编号 : 使用正则表达式对显示信息进行过滤 有关正则表达式的详细介绍, 请参见 基础配置指导 中的 CLI 1-8
begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 描述 display arp detection statistics 命令用来显示 ARP Detection 功能报文检查的丢弃计数的统计信息 按端口显示用户合法性检查, 报文有效性检查和 ARP 报文上送限速的统计情况, 只显示丢弃的情况 不指定端口时, 显示所有端口的统计信息 举例 # 显示 ARP Detection 功能报文检查的丢弃计数的统计信息 <Sysname> display arp detection statistics State: U-Untrusted T-Trusted ARP packets dropped by ARP inspect checking: Interface(State) IP Src-MAC Dst-MAC Inspect GE1/0/1(U) 40 0 0 78 GE1/0/2(U) 0 0 0 0 GE1/0/3(T) 0 0 0 0 GE1/0/4(U) 0 0 30 0 表 1-3 display arp detection statistics 命令显示信息描述表 字段 Interface(State) IP Src-MAC Dst-MAC Inspect 描述 ARP 报文入接口,State 表示该接口的信任状态 ARP 报文源和目的 IP 地址检查不通过丢弃的报文计数 ARP 报文源 MAC 地址检查不通过丢弃的报文计数 ARP 报文目的 MAC 地址检查不通过丢弃的报文计数 ARP 报文结合用户合法性检查不通过丢弃的报文计数 1.5.7 reset arp detection statistics reset arp detection statistics [ interface interface-type interface-number ] 视图 用户视图 缺省级别 interface interface-type interface-number: 表示清除指定接口下的统计信息 interface-type interface-number 用来指定接口类型和编号 描述 reset arp detection statistics 命令用来清除 ARP Detection 的统计信息 不指定接口时, 清除所有的 ARP Detection 统计信息 举例 # 清除所有的 ARP Detection 统计信息 1-9
<Sysname> reset arp detection statistics 1.6 ARP 网关保护配置命令 1.6.1 arp filter source arp filter source ip-address undo arp filter source ip-address 视图 二层以太网端口视图 / 二层聚合接口视图 缺省级别 ip-address: 被保护的网关 IP 地址 描述 arp filter source 命令用来开启 ARP 网关保护功能, 配置被保护的网关 IP 地址 undo arp filter source 命令用来删除已配置的被保护网关 IP 地址 缺省情况下,ARP 网关保护功能处于关闭状态 需要注意的是 : 每个端口最多支持配置 8 个被保护的网关 IP 地址 不能在同一端口下同时配置命令 arp filter source 和 arp filter binding 举例 # 在 GigabitEthernet1/0/1 下开启 ARP 网关保护功能, 被保护的网关 IP 地址为 1.1.1.1 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] arp filter source 1.1.1.1 1.7 ARP 过滤保护配置命令 1.7.1 arp filter binding arp filter binding ip-address mac-address undo arp filter binding ip-address 视图 二层以太网端口视图 / 二层聚合接口视图 缺省级别 ip-address: 允许通过的 ARP 报文的源 IP 地址 mac-address: 允许通过的 ARP 报文的源 MAC 地址 描述 1-10
arp filter binding 命令用来开启 ARP 过滤保护功能, 限制只有特定源 IP 地址和源 MAC 地址的 ARP 报文才允许通过 undo arp filter binding 命令用来删除已配置的被允许通过的 ARP 报文的源 IP 地址和源 MAC 地址 缺省情况下,ARP 过滤保护功能处于关闭状态 需要注意的是 : 每个端口最多支持配置 8 组允许通过的 ARP 报文的源 IP 地址和源 MAC 地址 不能在同一端口下同时配置命令 arp filter source 和 arp filter binding 举例 # 在 GigabitEthernet1/0/1 下开启 ARP 过滤保护功能, 允许源 IP 地址为 1.1.1.1 源 MAC 地址为 2-2-2 的 ARP 报文通过 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] arp filter binding 1.1.1.1 2-2-2 1-11