• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

16-安全配置指导

目录

18-ARP攻击防御配置

本章节下载 18-ARP攻击防御配置  (434.84 KB)

18-ARP攻击防御配置

目 

1 ARP攻击防御

1.1 ARP攻击防御简介

1.2 ARP攻击防御配置任务简介

1.3 配置ARP防止IP报文攻击功能

1.3.1 功能简介

1.3.2 配置ARP源抑制功能

1.3.3 配置ARP黑洞路由功能

1.3.4 ARP防止IP报文攻击显示和维护

1.4 配置ARP报文限速功能

1.5 配置源MAC地址固定的ARP攻击检测功能

1.5.1 功能简介

1.5.2 配置限制和指导

1.5.3 配置步骤

1.5.4 源MAC地址固定的ARP攻击检测显示和维护

1.5.5 源MAC地址固定的ARP攻击检测功能配置举例

1.6 配置ARP报文源MAC地址一致性检查功能

1.6.1 功能简介

1.6.2 配置步骤

1.6.3 ARP报文源MAC地址一致性检查显示和维护

1.7 配置ARP主动确认功能

1.8 配置授权ARP功能

1.8.1 功能简介

1.8.2 配置步骤

1.8.3 授权ARP功能在DHCP服务器上的典型配置举例

1.8.4 授权ARP功能在DHCP中继上的典型配置举例

1.9 配置ARP Detection功能

1.9.1 功能简介

1.9.2 用户合法性检查

1.9.3 ARP报文有效性检查

1.9.4 ARP报文强制转发

1.9.5 配置ARP Detection忽略端口匹配检查功能

1.9.6 配置ARP Detection日志功能

1.9.7 ARP Detection显示和维护

1.9.8 用户合法性检查配置举例

1.10 配置ARP自动扫描、固化功能

1.10.1 功能简介

1.10.2 配置限制和指导

1.10.3 配置ARP自动扫描功能

1.10.4 配置ARP周期自动扫描功能

1.10.5 配置ARP固化功能

1.11 配置ARP报文发送端IP地址检查功能

1.11.1 功能简介

1.11.2 配置限制和指导

1.11.3 配置步骤

 


1 ARP攻击防御

1.1  ARP攻击防御简介

设备提供了多种ARP攻击防御技术对局域网中的ARP攻击和ARP病毒进行防范、检测和解决。常见的ARP攻击方式包括:

·     攻击者通过向设备发送大量目标IP地址不能解析的IP报文,使得设备试图反复地对目标IP地址进行解析,导致CPU负荷过重及网络流量过大。

·     攻击者向设备发送大量ARP报文,对设备的CPU形成冲击。

·     攻击者可以仿冒用户、仿冒网关发送伪造的ARP报文,使网关或主机的ARP表项不正确,从而对网络进行攻击。

1.2  ARP攻击防御配置任务简介

如下所有配置均为可选,请根据实际情况选择配置。

·     防止泛洪攻击

¡     配置ARP防止IP报文攻击功能

¡     配置ARP报文限速功能

¡     配置源MAC地址固定的ARP攻击检测功能

·     防止仿冒用户、仿冒网关攻击

¡     配置ARP报文源MAC地址一致性检查功能

¡     配置ARP主动确认功能

¡     配置授权ARP功能

¡     配置ARP Detection功能

¡     配置ARP自动扫描、固化功能

¡     配置ARP报文发送端IP地址检查功能

1.3  配置ARP防止IP报文攻击功能

1.3.1  功能简介

如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:

·     设备向目的网段发送大量ARP请求报文,加重目的网段的负载。

·     设备会试图反复地对目标IP地址进行解析,增加了CPU的负担。

为避免这种IP报文攻击所带来的危害,设备提供了下列两个功能:

·     ARP源抑制功能:如果发送攻击报文的源是固定的,可以采用ARP源抑制功能。开启该功能后,如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。

·     ARP黑洞路由功能:无论发送攻击报文的源是否固定,都可以采用ARP黑洞路由功能。开启该功能后,一旦接收到目标IP地址不能解析的IP报文,设备立即产生一个黑洞路由,并同时发起ARP主动探测,如果在黑洞路由老化时间内ARP解析成功,则设备马上删除此黑洞路由并开始转发去往该地址的报文,否则设备直接丢弃该报文。在删除黑洞路由之前,后续去往该地址的IP报文都将被直接丢弃。用户可以通过命令配置ARP请求报文的发送次数和发送时间间隔。等待黑洞路由老化时间过后,如有报文触发则再次发起解析,如果解析成功则进行转发,否则仍然产生一个黑洞路由将去往该地址的报文丢弃。这种方式能够有效地防止IP报文的攻击,减轻CPU的负担。

1.3.2  配置ARP源抑制功能

(1)     进入系统视图。

system-view

(2)     开启ARP源抑制功能。

arp source-suppression enable

缺省情况下,ARP源抑制功能处于关闭状态。

(3)     配置ARP源抑制的阈值。

arp source-suppression limit limit-value

缺省情况下,ARP源抑制的阈值为10。

1.3.3  配置ARP黑洞路由功能

1. 配置限制和指导

当用户配置的ARP主动探测总时长(发送次数×发送时间间隔)大于黑洞路由老化时间时,系统只会取小于等于该老化时间的最大值作为真正的探测总时长。

当发起ARP主动探测过程结束且生成的黑洞路由还未老化时,设备无法主动对黑洞路由对应的设备进行ARP解析,为了缓解该问题,用户可以配置较大的发送ARP请求报文次数。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启ARP黑洞路由功能。

arp resolving-route enable

缺省情况下,ARP黑洞路由功能处于开启状态。

(3)     (可选)配置发送ARP请求报文的次数。

arp resolving-route probe-count count

缺省情况下,发送ARP请求报文的次数为3次。

(4)     (可选)配置发送ARP请求报文的时间间隔。

arp resolving-route probe-interval interval

缺省情况下,发送ARP请求报文的时间间隔为1秒。

1.3.4  ARP防止IP报文攻击显示和维护

可在任意视图下执行以下命令,显示ARP源抑制的配置信息。

display arp source-suppression

1.4  配置ARP报文限速功能

1. 功能简介

ARP报文限速功能是指对上送CPU的ARP报文进行限速,可以防止大量ARP报文对CPU进行冲击。例如,在配置了ARP Detection功能后,设备会将收到的ARP报文重定向到CPU进行检查,这样引入了新的问题:如果攻击者恶意构造大量ARP报文发往设备,会导致设备的CPU负担过重,从而造成其他功能无法正常运行甚至设备瘫痪,这个时候可以配置ARP报文限速功能来控制接口收到ARP报文的速率。

设备上配置ARP报文限速功能后,当接口上单位时间收到的ARP报文数量超过用户设定的限速值,设备处理方式如下:

·     当开启了ARP模块的告警功能后,设备将这个时间间隔内的超速峰值作为告警信息发送出去,生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。有关告警信息的详细介绍请参见“网络管理和监控命令参考”中的SNMP;

·     当开启了ARP限速日志功能后,设备将这个时间间隔内的超速峰值作为日志的速率值发送到设备的信息中心,通过设置信息中心的参数,最终决定日志报文的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“设备管理配置指导”中的“信息中心”。

2. 配置限制和指导

·     建议用户在配置了ARP Detection、ARP Snooping、ARP快速应答,或者发现有ARP泛洪攻击的情况下,配置ARP报文限速功能。

·     为防止过多的告警和日志信息干扰用户工作,用户可以设定较大的信息发送时间间隔。当用户设定的时间间隔超时时,设备执行发送告警或日志的操作。

·     如果开启了ARP报文限速的告警和日志功能,并在二层聚合接口上开启了ARP报文限速功能,则只要聚合成员接口上的ARP报文速率超过用户设定的限速值,就会发送告警和日志信息。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     (可选)开启ARP模块的告警功能。

snmp-agent trap enable arp [ rate-limit ]

缺省情况下,ARP模块的告警功能处于关闭状态。

(3)     (可选)开启ARP报文限速日志功能。

arp rate-limit log enable

缺省情况下,设备的ARP报文限速日志功能处于关闭状态。

(4)     (可选)配置当设备收到的ARP报文速率超过用户设定的限速值时,设备发送告警或日志的时间间隔。

arp rate-limit log interval interval

缺省情况下,当设备收到的ARP报文速率超过用户设定的限速值时,设备发送告警或日志的时间间隔为60秒。

(5)     进入接口视图。

interface interface-type interface-number

支持的接口类型包括二层以太网接口、二层聚合接口视图和三层以太网接口视图。

(6)     开启ARP报文限速功能,并指定ARP报文限速速率。

arp rate-limit [ pps ]

缺省情况下,ARP报文限速功能处于开启状态。

1.5  配置源MAC地址固定的ARP攻击检测功能

1.5.1  功能简介

本特性根据ARP报文的源MAC地址对上送CPU的ARP报文进行统计,在5秒内,如果收到同一源MAC地址(源MAC地址固定)的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。当开启了ARP日志信息功能(配置arp check log enable命令),且在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉;如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ARP报文过滤掉。

对于已添加到源MAC地址固定的ARP攻击检测表项中的MAC地址,在等待设置的老化时间后,会重新恢复成普通MAC地址。

关于ARP日志信息功能的详细描述,请参见“网络互通配置指导”中的“ARP”。

1.5.2  配置限制和指导

切换源MAC地址固定的ARP攻击检查模式时,如果从监控模式切换到过滤模式,过滤模式马上生效;如果从过滤模式切换到监控模式,已生成的攻击检测表项,到表项老化前还会继续按照过滤模式处理。

对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该设备存在攻击也不会被检测或过滤。

1.5.3  配置步骤

(1)     进入系统视图。

system-view

(2)     开启源MAC地址固定的ARP攻击检测功能,并选择检查模式。

arp source-mac { filter | monitor }

缺省情况下,源MAC地址固定的ARP攻击检测功能处于关闭状态。

(3)     配置源MAC地址固定的ARP报文攻击检测的阈值。

arp source-mac threshold threshold-value

缺省情况下,源MAC地址固定的ARP报文攻击检测的阈值为30。

(4)     配置源MAC地址固定的ARP攻击检测表项的老化时间。

arp source-mac aging-time time

缺省情况下,源MAC地址固定的ARP攻击检测表项的老化时间为300秒,即5分钟。

(5)     (可选)配置保护MAC地址。

arp source-mac exclude-mac mac-address&<1-n>

缺省情况下,未配置任何保护MAC地址。

1.5.4  源MAC地址固定的ARP攻击检测显示和维护

1. 显示源MAC地址固定的ARP攻击检测表项

可在任意视图下执行以下命令,显示检测到的源MAC地址固定的ARP攻击检测表项。

display arp source-mac [ interface interface-type interface-number ]

2. 维护源MAC地址固定的ARP攻击报文计数统计信息

可在任意视图下执行以下命令,显示丢弃的源MAC地址固定的ARP攻击报文计数统计信息。

display arp source-mac statistics

请在用户视图下执行以下命令,清除源MAC地址固定的ARP攻击检测丢弃ARP攻击报文的计数统计信息。

reset arp source-mac statistics

1.5.5  源MAC地址固定的ARP攻击检测功能配置举例

1. 组网需求

某局域网内客户端通过网关与外部网络通信,网络环境如图1-1所示。

网络管理员希望能够防止因恶意用户对网关发送大量ARP报文,造成设备瘫痪,并导致其它用户无法正常地访问外部网络;同时,对于正常的大量ARP报文仍然会进行处理。

2. 组网图

图1-1 源MAC地址固定的ARP攻击检测功能配置组网图

 

3. 配置步骤

# 开启源MAC固定ARP攻击检测功能,并选择过滤模式。

<AC> system-view

[AC] arp source-mac filter

# 配置源MAC固定ARP报文攻击检测阈值为30个。

[AC] arp source-mac threshold 30

# 配置源MAC地址固定的ARP攻击检测表项的老化时间为60秒。

[AC] arp source-mac aging-time 60

# 配置源MAC固定攻击检查的保护MAC地址为0012-3f86-e94c。

[AC] arp source-mac exclude-mac 0012-3f86-e94c

1.6  配置ARP报文源MAC地址一致性检查功能

1.6.1  功能简介

ARP报文源MAC地址一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。

配置本特性后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。

1.6.2  配置步骤

(1)     进入系统视图。

system-view

(2)     开启ARP报文源MAC地址一致性检查功能。

arp valid-check enable

缺省情况下,ARP报文源MAC地址一致性检查功能处于关闭状态。

1.6.3  ARP报文源MAC地址一致性检查显示和维护

可在任意视图下执行以下命令:

显示ARP攻击检测功能丢弃的源MAC地址固定的ARP攻击报文计数统计信息。

display arp valid-check statistics

请在用户视图下执行以下命令,清除ARP报文源MAC地址一致性检查功能丢弃的ARP报文计数统计信息。

reset arp valid-check statistics

1.7  配置ARP主动确认功能

1. 功能简介

ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。ARP主动确认功能分为非严格模式和严格模式,这两种模式的实现如下:

·     配置非严格模式的ARP主动确认功能时,处理方式如下:

¡     收到目标IP地址为自己的ARP请求报文时,设备会发送ARP应答报文,但先不建立对应的表项。同时,设备立即向ARP请求报文的发送端IP地址发送ARP请求,在一个探测周期内如果收到发送端IP地址对应的设备回复的ARP应答报文,则建立ARP表项。

¡     收到ARP应答报文时,需要确认本设备是否在当前探测时间周期内对该报文中的源IP地址发起过ARP请求:

-     若发起过请求,则设备建立该ARP表项;

-     若未发起过请求,则不建立ARP表项。同时,设备立即向ARP应答报文的发送端IP地址发送ARP请求,在一个探测周期内如果收到发送端IP地址对应的设备回复的ARP应答报文,则建立ARP表项。

·     配置严格模式的ARP主动确认功能时,处理方式如下:

¡     收到目标IP地址为自己的ARP请求报文时,设备会发送ARP应答报文,但不建立ARP表项;

¡     收到ARP应答报文时,需要确认本设备是否在当前探测时间周期内对该报文中的源IP地址发起过ARP请求:若发起过请求,则设备建立该ARP表项;若未发起过请求,则设备丢弃该报文,不建立表项。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启ARP主动确认功能。

arp active-ack [ strict ] enable

缺省情况下,ARP主动确认功能处于关闭状态。

在严格模式下,只有ARP黑洞路由功能处于开启状态,ARP主动确认功能才能生效。

1.8  配置授权ARP功能

1.8.1  功能简介

所谓授权ARP(Authorized ARP),就是动态学习ARP的过程中,只有和DHCP服务器生成的租约或DHCP中继生成的安全表项一致的ARP报文才能够被学习。关于DHCP服务器和DHCP中继的介绍,请参见“网络互通配置指导”中的“DHCP服务器”和“DHCP中继”。

配置接口的授权ARP功能后,可以防止用户仿冒其他用户的IP地址或MAC地址对网络进行攻击,保证只有合法的用户才能使用网络资源,增加了网络的安全性。

1.8.2  配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

支持的接口类型包括三层以太网接口、三层以太网子接口和VLAN接口视图。

(3)     开启授权ARP功能。

arp authorized enable

缺省情况下,接口下的授权ARP功能处于关闭状态。

1.8.3  授权ARP功能在DHCP服务器上的典型配置举例

1. 组网需求

·     AC是DHCP服务器,为同一网段中的客户端动态分配IP地址,地址池网段为10.1.1.0/24。通过在AC接口上启用授权ARP功能来保证客户端的合法性。

·     Client是DHCP客户端,通过DHCP协议从DHCP服务器获取IP地址。

2. 组网图

图1-2 授权ARP功能典型配置组网图

 

3. 配置步骤

# 开启DHCP服务。

<AC> system-view

[AC] dhcp enable

[AC] dhcp server ip-pool 1

[AC-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.0

[AC-dhcp-pool-1] quit

(1)     # 创建VLAN 10,并配置接口VLAN-interface10的IP地址为10.1.1.1/24。

[AC] vlan 10

[AC-vlan10] quit

[AC] interface vlan-interface 10

[AC-Vlan-interface10] ip address 10.1.1.1 24

# 开启接口VLAN-interface10的授权ARP功能。

[AC-Vlan-interface10] arp authorized enable

[AC-Vlan-interface10] quit

4. 验证配置

(1)     # Client通过DHCP申请地址后,可以在AC上查看相应的授权信息。

[AC] display arp

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   I-Invalid

IP address      MAC address    VLAN/VSI name Interface/Link ID        Aging Type

10.1.1.2        0012-3f86-e94c --            GE1/0/1                  20    D

从以上信息可以获知AC为Client动态分配的IP地址为10.1.1.2。

此后,Client与AC通信时采用的IP地址、MAC地址等信息必须和授权ARP表项中的一致,否则将无法通信,从而保证了客户端的合法性。

1.8.4  授权ARP功能在DHCP中继上的典型配置举例

1. 组网需求

·     Switch充当DHCP服务器,为不同网段中的客户端动态分配IP地址,地址池网段为10.10.1.0/24。

·     AC是DHCP中继,通过在接口Vlan-interface10上启用授权ARP功能来保证客户端的合法性。

·     Client是DHCP客户端,通过DHCP中继从DHCP服务器获取IP地址。

2. 组网图

图1-3 授权ARP功能典型配置组网图

 

3. 配置步骤

(1)     配置Switch

# 配置接口的IP地址。

<Switch> system-view

[Switch] interface vlan-interface 10

[Switch-Vlan-interface10] ip address 10.1.1.1 24

[Switch-Vlan-interface10] quit

# 启用DHCP服务。

[Switch] dhcp enable

[Switch] dhcp server ip-pool 1

[Switch-dhcp-pool-1] network 10.10.1.0 mask 255.255.255.0

[Switch-dhcp-pool-1] gateway-list 10.10.1.1

[Switch-dhcp-pool-1] quit

[Switch] ip route-static 10.10.1.0 24 10.1.1.2

(2)     配置AC

# 启用DHCP服务。

<AC> system-view

[AC] dhcp enable

# 配置Vlan-interface10以及Vlan-interface20接口的IP地址。

[AC] interface vlan-interface 10

[AC-Vlan-interface10] ip address 10.1.1.2 24

[AC-Vlan-interface10] quit

[AC] interface vlan-interface 20

[AC-Vlan-interface20] ip address 10.10.1.1 24

# 配置Vlan-interface20接口工作在DHCP中继模式。

[AC-Vlan-interface20] dhcp select relay

# 配置DHCP服务器的地址。

[AC-Vlan-interface20] dhcp relay server-address 10.1.1.1

# 启用接口授权ARP功能。

[AC-Vlan-interface20] arp authorized enable

[AC-Vlan-interface20] quit

# 开启DHCP中继用户地址表项记录功能。

[AC] dhcp relay client-information record

4. 验证配置

(1)     # 用户通过DHCP申请地址后,在AC上查看授权ARP信息。

[AC] display arp

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule  I-Invalid

IP address      MAC address    VLAN/VSI name Interface/Link ID        Aging Type

10.10.1.2       0012-3f86-e94c --            GE1/0/2                  20    D

从以上信息可以获知AC为Client动态分配的IP地址为10.10.1.2。

此后,Client与AC通信时采用的IP地址、MAC地址等信息必须和授权ARP表项中的一致,否则将无法通信,从而保证了客户端的合法性。

1.9  配置ARP Detection功能

1.9.1  功能简介

ARP Detection功能主要应用于接入设备上,通过检测并丢弃非法用户的ARP报文来防止仿冒用户、仿冒网关的攻击,具体包括以下几个功能:

·     用户合法性检查;

·     ARP报文有效性检查;

·     ARP报文强制转发;

·     ARP Detection忽略端口匹配检查;

·     ARP Detection日志功能。

如果既配置了报文有效性检查功能,又配置了用户合法性检查功能,那么先进行报文有效性检查,然后进行用户合法性检查。

ARP Detection功能与ARP Snooping功能不能同时配置,否则会导致ARP Snooping表项无法生成。

1.9.2  用户合法性检查

1. 功能简介

对于ARP信任接口,不进行用户合法性检查;对于ARP非信任接口,需要进行用户合法性检查,以防止仿冒用户的攻击。

用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在接口上的合法用户,包括基于用户合法性规则检查和基于DHCP Snooping表项的检查。设备收到ARP报文后,首先进行基于用户合法性规则检查,如果找到与报文匹配的规则,则按照该规则对报文进行处理;如果未找到与报文匹配的规则,则继续进行基于DHCP Snooping表项的检查。

·     只要符合其中的任何一个,就认为该ARP报文合法,进行转发。转发时查询报文目的IP地址对应的DHCP Snooping表项:

¡     如果查询到其中的任何一个,且和源IP地址对应表项的接口不一致,则将报文从目的IP地址对应的表项中的接口发送出去;

¡     如果查询到其中的任何一个,且和源IP地址对应表项的接口一致,则将报文进行二层转发;

¡     如果未查到任何表项,则将报文进行二层转发。

·     如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。

DHCP Snooping安全表项通过DHCP Snooping功能自动生成,详细介绍请参见“网络互通配置指导”中的“DHCP Snooping”。

2. 配置限制和指导

配置用户合法性检查功能时,必须至少配置用户合法性规则或者DHCP Snooping功能二者之一,否则所有从ARP非信任接口收到的ARP报文都将会被正常转发。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     (可选)配置用户合法性检查规则。

arp detection rule rule-id { deny | permit } ip { ip-address [ mask ] | any } mac { mac-address [ mask ] | any } [ vlan vlan-id ]缺省情况下,未配置用户合法性检查规则。

(3)     进入VLAN视图。

vlan vlan-id

(4)     开启ARP Detection功能。

arp detection enable

缺省情况下,ARP Detection功能处于关闭状态,即不进行用户合法性检查。

(5)     (可选)将不需要进行用户合法性检查的接口配置为ARP信任接口。

a.     退回系统视图。

quit

b.     进入接口视图。

interface interface-type interface-number

支持的接口类型包括二层以太网接口和二层聚合接口视图。

c.     将不需要进行用户合法性检查的接口配置为ARP信任接口。

arp detection trust

缺省情况下,接口为ARP非信任接口。

1.9.3  ARP报文有效性检查

1. 功能简介

对于ARP信任接口,不进行报文有效性检查;对于ARP非信任接口,需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。

·     源MAC地址的检查模式:会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致则认为有效,否则丢弃报文;

·     目的MAC地址的检查模式(只针对ARP应答报文):会检查ARP应答报文中的目的MAC地址是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,需要被丢弃;

·     IP地址检查模式:会检查ARP报文中的源IP或目的IP地址,如全1、或者组播IP地址都是不合法的,需要被丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。

2. 配置准备

配置本功能前需保证已经配置了“1.9.2  用户合法性检查”。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入VLAN视图。

vlan vlan-id

(3)     开启ARP Detection功能。

arp detection enable

缺省情况下,ARP Detection功能处于关闭状态,即不进行报文有效性检查。

(4)     开启ARP报文有效性检查功能。

a.     退回系统视图。

quit

b.     开启ARP报文有效性检查功能。

arp detection validate { dst-mac | ip | src-mac } *

缺省情况下,ARP报文有效性检查处于关闭状态。

(5)     (可选)将不需要进行ARP报文有效性检查的接口配置为ARP信任接口。

a.     进入接口视图。

interface interface-type interface-number

支持的接口类型包括二层以太网接口和二层聚合接口。

b.     将不需要进行ARP报文有效性检查的接口配置为ARP信任接口。

arp detection trust

缺省情况下,接口为ARP非信任接口。

1.9.4  ARP报文强制转发

1. 功能简介

对于从ARP信任接口接收到的ARP报文不受此功能影响,按照正常流程进行转发;对于从ARP非信任接口接收到的并且已经通过用户合法性检查的ARP报文的处理过程如下:

·     对于ARP请求报文,通过信任接口进行转发;

·     对于ARP应答报文,首先按照报文中的以太网目的MAC地址进行转发,若在MAC地址表中没有查到目的MAC地址对应的表项,则将此ARP应答报文通过信任接口进行转发。

2. 配置限制和指导

ARP报文强制转发功能不支持目的MAC地址为多端口MAC的情况。

3. 配置准备

配置本功能前需保证已经配置了“1.9.2  用户合法性检查”。

4. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入VLAN视图。

vlan vlan-id

(3)     开启ARP报文强制转发功能。

arp restricted-forwarding enable

缺省情况下,ARP报文强制转发功能处于关闭状态。

1.9.5  配置ARP Detection忽略端口匹配检查功能

1. 功能简介

设备开启ARP Detection功能后,会对非信任端口执行用户合法性检查,包括基于IP Source Guard静态绑定表项的检查、基于DHCP Snooping安全表项的检查、基于802.1X安全表项的检查。使用这些表项进行检查时,其中会检查ARP报文入端口和表项中的端口是否匹配,如果不匹配则丢弃此报文。

开启ARP Detection忽略端口匹配检查功能后,ARP Detection在根据表项进行用户合法性检查时,会忽略ARP报文入端口和表项中的端口是否匹配的检查。用户合法性检查通过后,则将报文进行二层转发,不再查询报文目的IP地址对应的IP Source Guard静态绑定表项、DHCP Snooping表项和802.1X安全表项转发报文。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启ARP Detection忽略端口匹配检查功能。

arp detection port-match-ignore

缺省情况下,ARP Detection忽略端口匹配检查功能处于关闭状态。

1.9.6  配置ARP Detection日志功能

1. 功能简介

配置ARP Detection日志功能后,设备在检测到非法ARP报文时将生成检测日志,日志内容包括:

·     受到攻击的端口编号;

·     非法ARP报文的源IP地址;

·     丢弃的ARP报文总数。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启ARP Detection日志功能。

arp detection log enable

缺省情况下,ARP Detection日志功能处于关闭状态。

1.9.7  ARP Detection显示和维护

1. 显示开启了ARP Detection功能的VLAN

可在任意视图下执行以下命令,显示开启了ARP Detection功能的VLAN。

display arp detection

1.9.8  用户合法性检查配置举例

1. 组网需求

·     Switch是DHCP服务器;AC是支持802.1X的设备,在VLAN 10内启用ARP Detection功能,对认证客户端进行保护,保证合法用户可以正常转发报文,否则丢弃。

·     Client 1和Client 2是本地802.1X接入用户,且支持IP地址上传。

2. 组网图

图1-4 配置用户合法性检查组网图

 

3. 配置步骤

(1)     配置组网图中所有接口属于VLAN及Switch对应VLAN接口的IP地址(略)

(2)     配置DHCP服务器Switch,创建DHCP地址池0

<Switch> system-view

[Switch] dhcp enable

[Switch] dhcp server ip-pool 0

[Switch-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0

(3)     配置客户端Client 1和 Client 2(略)。

(4)     配置AC

# 配置802.1X认证方式为CHAP。

<AC> system-view

[AC] dot1x authentication-method chap

# 配置名称为local的ISP域,并将认证、授权和计费的方式配置为本地。

[AC] domain local

[AC-isp-local] authentication lan-access local

[AC-isp-local] authorization lan-access local

[AC-isp-local] accounting lan-access local

[AC-isp-local] quit

# 配置无线服务模板,名称为wlas_local_chap,用户认证方式为802.1X,ISP域为local,SSID为wlas_local_chap。

[AC] wlan service-template wlas_local_chap

[AC-wlan-st-wlas_local_chap] client-security authentication-mode dot1x

[AC-wlan-st-wlas_local_chap] dot1x domain local

[AC-wlan-st-wlas_local_chap] ssid wlas_local_chap

# 使能无线服务模板。

[AC-wlan-st-wlas_local_chap] service-template enable

[AC-wlan-st-wlas_local_chap] quit

# 创建ap1,并配置序列号。

[AC] wlan ap ap1 model WA6320

[AC-wlan-ap-ap 1] serial-id 219801A28N819CE0002T

[AC-wlan-ap-ap 1] quit

# 配置Radio信道为149,并使能射频。

[AC] wlan ap ap1

[AC-wlan-ap-ap1] radio 1

[AC-wlan-ap-ap1-radio-1] channel 149

[AC-wlan-ap-ap1-radio-1] radio enable

# 将无线服务模板wlas_local_chap绑定到radio1上。

[AC-wlan-ap-ap1-radio-1] service-template wlas_local_chap

[AC-wlan-ap-ap1-radio-1] quit

[AC-wlan-ap-ap1] quit

# 添加本地接入用户。

[AC] local-user test class network

[AC-luser-network-test] service-type lan-access

[AC-luser-network-test] password simple test

[AC-luser-network-test] quit

# 开启ARP Detection功能,对用户合法性进行检查。

[AC] vlan 10

[AC-vlan10] arp detection enable

# 接口状态缺省为非信任状态,上行接口配置为信任状态,下行接口按缺省配置。

[AC-vlan10] interface gigabitethernet 1/0/3

[AC-GigabitEthernet1/0/3] arp detection trust

[AC-GigabitEthernet1/0/3] quit

4. 验证配置

完成上述配置后,对于接口GigabitEthernet1/0/1和GigabitEthernet1/0/2收到的ARP报文,需基于802.1X安全表项进行用户合法性检查。

1.10  配置ARP自动扫描、固化功能

1.10.1  功能简介

建议在网吧这种环境稳定的小型网络中使用ARP自动扫描、固化功能。ARP自动扫描功能一般与ARP固化功能配合使用:

·     配置ARP自动扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。

·     开启了ARP周期自动扫描功能后,会按照扫描速率周期性的向扫描区间的所有IP地址发送ARP请求报文进行扫描。设备发送ARP报文的速率可在系统视图下通过arp scan auto send-rate命令设置。

·     如果用户指定了周期自动扫描的扫描区间并指定了ARP请求报文的源地址,则接口将对ARP扫描区间进行扫描,不判断与接口网段的交集;如果用户指定了周期自动扫描的扫描区间但没有指定ARP请求报文的源地址,则接口将对ARP扫描区间和接口所在网段的交集进行扫描。

·     ARP固化用来将当前的ARP动态表项(包括ARP自动扫描生成的动态ARP表项)转换为静态ARP表项。通过对动态ARP表项的固化,可以有效防止攻击者修改ARP表项。

固化后的静态ARP表项与配置产生的静态ARP表项相同。

接口上开启了ARP自动扫描功能后,会向扫描区间的所有IP地址同时发送ARP请求报文,这会造成设备瞬间CPU利用率过高、网络负载过大的问题。用户可以通过设置接口发送ARP报文的速率解决此问题。

1.10.2  配置限制和指导

·     对于已存在ARP表项的IP地址不进行扫描。

·     如果接口下同时配置了ARP自动扫描功能和ARP周期性扫描功能,则两个功能可以同时生效。通常,仅建议在网络中用户频繁上下线的环境下开启ARP周期性扫描功能。

·     固化生成的静态ARP表项数量同样受到设备可以支持的静态ARP表项数目的限制,由于静态ARP表项数量的限制可能导致只有部分动态ARP表项被固化。

·     通过arp fixup命令将当前的动态ARP表项转换为静态ARP表项后,后续学习到的动态ARP表项可以通过再次执行arp fixup命令进行固化。

·     通过固化生成的静态ARP表项,可以通过命令行undo arp ip-address逐条删除,也可以通过命令行reset arp allreset arp static全部删除。

1.10.3  配置ARP自动扫描功能

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     开启ARP自动扫描功能。

arp scan [ start-ip-address to end-ip-address ]

注意

扫描操作可能比较耗时,用户可以通过<Ctrl_C>来终止扫描(在终止扫描时,对于已经收到的邻居应答,会建立该邻居的动态ARP表项)。

 

1.10.4  配置ARP周期自动扫描功能

1. 硬件适配关系

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

产品系列

产品型号

产品代码

说明

WX3500X系列

·     WX3510X

·     WX3520X

·     WX3540X

·     EWP-WX3510X

·     EWP-WX3520X

·     EWP-WX3540X

支持

WCG380系列

WCG382

EWP-WCG382

不支持

 

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     设置ARP周期自动扫描速率。

arp scan auto send-rate { ppm ppm | pps }

缺省情况下,ARP周期自动扫描速率为每秒发送48个包。

(3)     进入接口视图。

interface interface-type interface-number

(4)     开启ARP周期自动扫描功能。

arp scan auto enable [start-ip-address to end-ip-address [ source-addr source-ip-address ] ]

缺省情况下,接口上的ARP周期性扫描功能处于关闭状态。

1.10.5  配置ARP固化功能

(1)     进入系统视图。

system-view

(2)     将设备上的动态ARP表项转化成静态ARP表项。

arp fixup

1.11  配置ARP报文发送端IP地址检查功能

1.11.1  功能简介

配置本功能后,网关设备在进行ARP学习前将对ARP报文进行检查。如果指定VLAN内的ARP报文的发送端IP地址不在指定源IP地址范围内,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。

1.11.2  配置限制和指导

·     当Super VLAN与Sub VLAN间建立映射关系时,本功能在Sub VLAN内配置。

·     如果配置了Primary VLAN和指定的Secondary VLAN间三层互通,则本功能必须Primary VLAN中配置;否则,本功能可在Primary VLAN或任意Secondary VLAN中配置。

1.11.3  配置步骤

(1)     进入系统视图。

system-view

(2)     进入VLAN视图。

vlan vlan-id

(3)     配置ARP报文发送端IP地址检查功能,并配置允许学习ARP报文的发送端IP地址范围。

arp sender-ip-range start-ip-address end-ip-address

缺省情况下,ARP报文发送端IP地址检查功能处于关闭状态。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们