登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C园区盒式交换机 Web快速配置指南-6W101

  • 发布时间:2024/7/9 19:51:12
  • 浏览量:
  • 下载量:

20-ARP攻击防御

本章节下载  (344.67 KB)

20-ARP攻击防御

目  录

1 ARP防IP报文攻击快速配置指南

1.1 组网需求

1.2 配置思路

1.3 配置步骤

1.4 验证配置

2 ARP Detection快速配置指南

2.1 组网需求

2.2 配置步骤

2.3 验证配置

 

1  ARP防IP报文攻击快速配置指南

1.1  组网需求

某局域网内存在两个区域:研发区和办公区,分别属于VLAN 10和VLAN 20,通过接入交换机连接到网关Device,如图1所示。

网络管理员在监控网络时发现办公区存在大量ARP请求报文,通过分析认为存在IP泛洪攻击,为避免这种IP报文攻击所带来的危害,可采用ARP源抑制功能和ARP黑洞路由功能。

图1 ARP防止IP报文攻击配置组网图

 

1.2  配置思路

·     如果发送攻击报文的源IP地址是不固定的,可配置ARP黑洞路由功能。

·     如果发送攻击报文的源IP地址是固定的,可配置ARP源抑制功能,并配置源抑制的阈值。当固定时间内(5秒)ARP请求报文的流量超过阈值后,对于由此IP地址发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理。

1.3  配置步骤

(1)     开启ARP黑洞路由功能

进入Switch C配置界面,选择页面左侧导航栏的[网络/IP/ARP],进入“ARP”配置页面,进行如下配置。

¡     在右侧点击“”高级设置,进入“ARP高级设置”页面。

¡     在“ARP高级设置”页面,点击“ARP攻击防御”,进入“ARP攻击防御”配置页面。

图2 进入ARP攻击防御配置页面

 

¡     在“ARP攻击防御”配置页面,开启“ARP黑洞路由”功能。

图3 开启ARP黑洞路由功能

 

(2)     配置ARP源抑制功能

在“ARP攻击防御”配置页面,开启“ARP源抑制”功能,并配置源抑制的阈值为100。

图4 开启ARP源抑制功能并配置ARP源抑制的阈值

 

(3)     保存配置

点击页面左上方标识和辅助区内的“”按钮保存配置。

1.4  验证配置

完成上述配置后,Switch C的端口收到某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束;非固定IP地址发送的不能解析的IP报文,会产生黑洞路由,丢弃报文。

2  ARP Detection快速配置指南

2.1  组网需求

·     网络中Device为一台DHCP服务器;Host A和Host B是DHCP客户端。

·     Switch是DHCP Snooping设备,在VLAN 10内配置ARP Detection功能,对DHCP客户端和用户进行用户合法性检查和报文有效性检查。

图5 ARP Detection组网图

2.2  配置步骤

(1)     配置DHCP服务器和DHCP client(略)

(2)     配置Switch的DHCP snooping功能

进入Switch配置界面,选择页面左侧导航栏的[网络/链路/DHCP Snooping],进入“DHCP Snooping”配置页面,进行如下配置。

¡     开启“DHCP Snooping”功能。

图6 开启DHCP snooping功能

 

¡     配置连接合法DHCP服务器的接口GigabitEthernet1/0/3为信任接口。

¡     配置连接DHCP Client的接口GigabitEthernet1/0/1和GigabitEthernet1/0/2开启DHCP Snooping表项记录功能。

¡     点击<确定>按钮,完成信任端口和DHCP Snooping表项记录功能的配置。

图7 配置DHCP snooping信任端口和表项记录功能

 

¡     点击右上角的“”,进入“DHCP Snooping高级设置”页面。

¡     在高级设置页面,配置DHCP Snooping设备的表项备份功能:将DHCP Snooping表项备份到本地,并命名为“dhcp snooping binding record-001”。

图8 将DHCP Snooping表项备份到本地

 

(3)     开启Switch的ARP Detection功能

进入Switch配置界面,选择页面左侧导航栏的[网络/IP/ARP],进入“ARP”配置页面,进行如下配置。

¡     点击右上角的“”,进入“ARP高级设置”页面。

¡     点击“ARP攻击防御”,进入“ARP攻击防御”配置页面。

图9 进入ARP攻击防御配置页面

 

¡     从“ARP攻击防御”配置页面的接入设备防攻击区域,进入“ARP Detection”配置页面。

图10 进入ARP Detection配置页面

 

¡     在“ARP Detection”配置页面,选择开启ARP Detection功能的VLAN,点击右侧的“”按钮完成配置。

图11 在VLAN内开启ARP Detection功能

 

¡     在“ARP Detection”配置页面,选择高级设置,进入“ARP Detection高级设置”页面。

¡     开启ARP报文有效性检查,选择检查模式为同时开启源MAC地址的检查、目的MAC地址的检查和IP地址检查。

图12 配置ARP报文有效性检查

 

¡     在“ARP Detection高级设置”页面,将连接DHCP服务器的接口GigabitEthernet1/0/3设置为ARP Detection信任接口,点击右侧的“”按钮完成配置。

图13 配置ARP Detection信任接口

 

(4)     保存配置

点击页面左上方标识和辅助区内的“”按钮保存配置。

2.3  验证配置

完成上述配置后,对于接口GigabitEthernet1/0/1和GigabitEthernet1/0/2收到的ARP报文,先进行报文有效性检查,然后基于DHCP Snooping安全表项进行用户合法性检查。

 

顶端
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。 H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们