21-ARP典型配置指导
本章节下载 (147.3 KB)
目 录
图1-1 配置ARP入侵检测与端口ARP报文限速组网图
如图1-1所示,Switch A的端口Ethernet1/0/1连接DHCP服务器,端口Ethernet1/0/2和Ethernet1/0/3分别连接Client A和Client B,且三个端口都属于VLAN 1。
l 开启交换机的DHCP Snooping功能,并设置端口Ethernet1/0/1为DHCP Snooping信任端口。
l 为防止ARP中间人攻击,配置VLAN 1的ARP入侵检测功能,设置Switch A的端口Ethernet1/0/1为ARP信任端口;
l 开启端口Ethernet1/0/2和Ethernet1/0/3上的ARP报文限速功能,防止来自Client A和Client B的ARP报文流量攻击。
l 开启Switch A上的端口状态自动恢复功能,设置恢复时间间隔为200秒。
表1-1 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
硬件版本 |
S5600系列 |
Release 1602软件版本 |
全系列硬件版本 |
S3600-SI/EI系列 |
Release 1602软件版本 |
全系列硬件版本 |
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
S3100-52P |
Release 1602软件版本 |
S3100-52P |
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
E352&E328 |
Release 1602软件版本 |
E352&E328 |
E152 |
Release 1602软件版本 |
E152 |
E126A |
Release 2104、Release 2107软件版本 |
E126A |
# 开启交换机DHCP Snooping功能。
<SwitchA> system-view
[SwitchA] dhcp-snooping
# 设置端口Ethernet1/0/1为DHCP Snooping信任端口,ARP信任端口。
[SwitchA] interface Ethernet1/0/1
[SwitchA-Ethernet1/0/1] dhcp-snooping trust
[SwitchA-Ethernet1/0/1] arp detection trust
[SwitchA-Ethernet1/0/1] quit
# 开启VLAN 1内所有端口的ARP入侵检测功能。
[SwitchA] vlan 1
[SwitchA-vlan1] arp detection enable
[SwitchA-vlan1] quit
# 开启端口Ethernet1/0/2上的ARP报文限速功能,设置ARP报文通过的最大速率为20pps。
[SwitchA] interface Ethernet1/0/2
[SwitchA-Ethernet1/0/2] arp rate-limit enable
[SwitchA-Ethernet1/0/2] arp rate-limit 20
[SwitchA-Ethernet1/0/2] quit
# 开启端口Ethernet1/0/3上ARP报文限速功能,设置ARP报文通过的最大速率为50pps。
[SwitchA] interface Ethernet1/0/3
[SwitchA-Ethernet1/0/3] arp rate-limit enable
[SwitchA-Ethernet1/0/3] arp rate-limit 50
[SwitchA-Ethernet1/0/3] quit
# 配置端口状态自动恢复功能,恢复时间间隔为200秒。
[SwitchA] arp protective-down recover enable
[SwitchA] arp protective-down recover interval 200
#
arp protective-down recover enable
arp protective-down recover interval 200
#
vlan 1
arp detection enable
#
interface Ethernet1/0/1
dhcp-snooping trust
arp detection trust
#
interface Ethernet1/0/2
arp rate-limit enable
arp rate-limit 20
#
interface Ethernet1/0/3
arp rate-limit enable
arp rate-limit 50
#
dhcp-snooping
#
l 配置ARP入侵检测功能之前,需要先在交换机上开启DHCP Snooping功能,并设置DHCP Snooping信任端口。
l 用户必须先开启交换机的端口状态自动恢复功能,才能设置端口状态自动恢复的时间。
l 一般情况下,需要配置交换机的上行端口作为ARP信任端口。
l 建议用户不要在汇聚组中的端口或Fabric端口上配置ARP入侵检测、ARP报文限速功能。
图1-2 配置代理ARP组网图
l Host A属于VLAN 1,IP地址为192.168.10.100/16,Host D属于VLAN 2,IP地址为192.168.20.200/16。
l 交换机VLAN接口1的IP地址为192.168.10.99/24,VLAN接口2的IP地址为192.168.20.99/24。
l 为实现Host A和Host D的正常通信,需要在交换机的VLAN接口1和VLAN接口2上启用代理ARP功能,。
表1-2 配置适用的产品与软硬件版本关系
产品 |
软件版本 |
硬件版本 |
S5600系列 |
Release 1602软件版本 |
全系列硬件版本 |
S3600-SI/EI系列 |
Release 1602软件版本 |
全系列硬件版本 |
E352&E328 |
Release 1602软件版本 |
E352&E328 |
# 配置VLAN1接口的IP地址,并开启代理ARP功能。
<Switch> system-view
[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 192.168.10.99 255.255.255.0
[Switch-Vlan-interface1] arp proxy enable
[Switch-Vlan-interface1] quit
# 配置VLAN2接口的IP地址,并开启代理ARP功能。
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.20.99 255.255.255.0
[Switch-Vlan-interface2] arp proxy enable
[Switch-Vlan-interface2] quit
#
interface Vlan-interface1
arp proxy enable
ip address 192.168.10.99 255.255.255.0
#
interface Vlan-interface2
arp proxy enable
ip address 192.168.20.99 255.255.255.0
#
无
l Switch A通过端口Ethernet1/0/1与Switch B相连;
l Switch B的端口Ethernet1/0/2和Ethernet1/0/3属于同一VLAN,但配置了端口隔离,且分别与Host A和Host B相连;
l 通过Switch A的代理ARP功能,实现Host A和Host B之间的三层互通。
产品 |
软件版本 |
硬件版本 |
S5600系列 |
Release 1602软件版本 |
全系列硬件版本 |
S3600-SI/EI系列 |
Release 1602软件版本 |
全系列硬件版本 |
E352&E328 |
Release 1602软件版本 |
E352&E328 |
l 配置Switch B
# 配置Switch B的端口Ethernet1/0/1、Ethernet1/0/2、Ethernet1/0/3属于VLAN2。
<SwitchB> system-view
[SwitchB] vlan 2
[SwitchB-vlan2] port ethernet 1/0/1
[SwitchB-vlan2] port ethernet 1/0/2
[SwitchB-vlan2] port ethernet 1/0/3
[SwitchB-vlan2] quit
# 配置Switch B的端口Ethernet1/0/2和Ethernet1/0/3隔离。
[SwitchB] interface ethernet 1/0/2
[SwitchB-Ethernet1/0/2] port isolate
[SwitchB-Ethernet1/0/2] quit
[SwitchB] interface ethernet 1/0/3
[SwitchB-Ethernet1/0/3] port isolate
[SwitchB-Ethernet1/0/3] quit
l 配置Switch A
# 配置Switch A的VLAN接口2的IP地址。
[SwitchA] vlan 2
[SwitchA-vlan2] port ethernet 1/0/1
[SwitchA-vlan2] quit
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 192.168.10.100 255.255.0.0
# 配置代理ARP,实现Host A和Host B之间的三层互通。
[SwitchA-Vlan-interface2] arp proxy enable
[SwitchA-Vlan-interface2] quit
l Switch B上的配置
#
vlan 2
#
interface Ethernet1/0/1
port access vlan 2
#
interface Ethernet1/0/2
port access vlan 2
port isolate
#
interface Ethernet1/0/3
port access vlan 2
port isolate
#
l Switch A上的配置
#
vlan 2
#
interface Vlan-interface2
arp proxy enable
ip address 192.168.10.100 255.255.0.0
#
interface Ethernet1/0/1
port access vlan 2
#
关于端口隔离的具体配置请参考“端口隔离典型配置指导”部分。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!