- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
13-ARP攻擊防禦配置
本章節下載: 13-ARP攻擊防禦配置 (331.65 KB)
目 錄
ARP協議有簡單、易用的優點,但是也因為其沒有任何安全機製而容易被攻擊發起者利用。
· 攻擊者可以仿冒用戶、仿冒網關發送偽造的ARP報文,使網關或主機的ARP表項不正確,從而對網絡進行攻擊。
· 攻擊者通過向設備發送大量目標IP地址不能解析的IP報文,使得設備試圖反複地對目標IP地址進行解析,導致CPU負荷過重及網絡流量過大。
· 攻擊者向設備發送大量ARP報文,對設備的CPU形成衝擊。
關於ARP攻擊報文的特點以及ARP攻擊類型的詳細介紹,請參見“ARP攻擊防範技術白皮書”。
目前ARP攻擊和ARP病毒已經成為局域網安全的一大威脅,為了避免各種攻擊帶來的危害,設備提供了多種技術對攻擊進行防範、檢測和解決。
下麵將詳細介紹一下這些技術的原理以及配置。
表1-1 ARP攻擊防禦配置任務簡介
|
說明 |
詳細配置 |
|||
|
防止泛洪攻擊 |
配置ARP防止IP報文攻擊功能 |
配置ARP源抑製功能 |
可選 建議在網關設備上配置本功能 |
|
|
配置ARP黑洞路由功能 |
可選 建議在網關設備上配置本功能 |
|||
|
配置ARP報文限速功能 |
可選 建議在接入設備上配置本功能 |
|||
|
配置源MAC地址固定的ARP攻擊檢測功能 |
可選 建議在網關設備上配置本功能 |
|||
|
防止仿冒用戶、仿冒網關攻擊 |
配置ARP報文源MAC地址一致性檢查功能 |
可選 建議在網關設備上配置本功能 |
||
|
配置ARP主動確認功能 |
可選 建議在網關設備上配置本功能 |
|||
|
配置授權ARP功能 |
可選 建議在網關設備上配置本功能 |
|||
|
配置ARP Detection功能 |
可選 建議在接入設備上配置本功能 |
|||
如果網絡中有主機通過向設備發送大量目標IP地址不能解析的IP報文來攻擊設備,則會造成下麵的危害:
· 設備向目的網段發送大量ARP請求報文,加重目的網段的負載。
· 設備會試圖反複地對目標IP地址進行解析,增加了CPU的負擔。
為避免這種IP報文攻擊所帶來的危害,設備提供了下列兩個功能:
· 如果發送攻擊報文的源是固定的,可以采用ARP源抑製功能。開啟該功能後,如果網絡中某主機向設備某端口連續發送目標IP地址不能解析的IP報文,當每5秒內由此主機發出IP報文觸發的ARP請求報文的流量超過設置的閾值,那麼對於由此主機發出的IP報文,設備不允許其觸發ARP請求,直至5秒後再處理,從而避免了惡意攻擊所造成的危害。
· 如果發送攻擊報文的源不固定,可以采用ARP黑洞路由功能。開啟該功能後,一旦接收到目標IP地址不能解析的IP報文,設備立即產生一個黑洞路由,使得設備在一段時間內將去往該地址的報文直接丟棄。等待黑洞路由老化時間過後,如有報文觸發則再次發起解析,如果解析成功則進行轉發,否則仍然產生一個黑洞路由將去往該地址的報文丟棄。這種方式能夠有效地防止IP報文的攻擊,減輕CPU的負擔。
表1-2 配置ARP源抑製功能
|
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
使能ARP源抑製功能 |
arp source-suppression enable |
必選 缺省情況下,ARP源抑製功能處於關閉狀態 |
|
配置ARP源抑製的閾值 |
arp source-suppression limit limit-value |
可選 缺省情況下,ARP源抑製的閾值為10 |
表1-3 配置ARP黑洞路由功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能ARP黑洞路由功能 |
arp resolving-route enable |
必選 缺省情況下,ARP黑洞路由功能處於開啟狀態 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後ARP源抑製的運行情況,通過查看顯示信息驗證配置的效果。
表1-4 ARP源抑製顯示和維護
|
操作 |
命令 |
|
顯示ARP源抑製的配置信息 |
display arp source-suppression [ | { begin | exclude | include } regular-expression ] |
ARP報文限速功能是指對上送CPU的ARP報文進行限速,可以防止大量ARP報文對CPU進行衝擊。例如,在配置了ARP Detection功能後,設備會將收到的ARP報文重定向到CPU進行檢查,這樣引入了新的問題:如果攻擊者惡意構造大量ARP報文發往設備,會導致設備的CPU負擔過重,從而造成其他功能無法正常運行甚至設備癱瘓,這個時候可以啟用ARP報文限速功能來控製上送CPU的ARP報文的速率。
推薦用戶在配置了ARP Detection或者發現有ARP泛洪攻擊的情況下,使用ARP報文限速功能。
表1-5 配置ARP報文限速功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網接口/二層聚合接口視圖 |
interface interface-type interface-number |
- |
|
配置ARP報文限速功能 |
arp rate-limit { disable | rate pps drop } |
必選 缺省情況下,ARP報文上送限速功能處於關閉狀態 取值範圍為10~5000 |
本特性根據ARP報文的源MAC地址進行統計,在5秒內,如果收到同一源MAC地址的ARP報文超過一定的閾值,則認為存在攻擊,係統會將此MAC地址添加到攻擊檢測表項中。在該攻擊檢測表項老化之前,如果設置的檢查模式為過濾模式,則會打印Log信息並且將該源MAC地址發送的ARP報文過濾掉;如果設置的模式為監控模式,則隻打印Log信息,不會將該源MAC地址發送的ARP報文過濾掉。
對於網關或一些重要的服務器,可能會發送大量ARP報文,為了使這些ARP報文不被過濾掉,可以將這類設備的MAC地址配置成保護MAC地址,這樣,即使該MAC地址存在攻擊也不會被檢測、過濾。
隻對上送CPU的ARP報文進行統計。
表1-6 配置源MAC地址固定的ARP攻擊檢測功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能源MAC地址固定的ARP攻擊檢測功能,並選擇檢查模式 |
arp anti-attack source-mac { filter | monitor } |
必選 缺省情況下,源MAC地址固定的ARP攻擊檢測功能處於關閉狀態 |
|
配置源MAC地址固定的ARP報文攻擊檢測的閾值 |
arp anti-attack source-mac threshold threshold-value |
可選 缺省情況下,該閾值為150 |
|
配置源MAC地址固定的ARP攻擊檢測表項的老化時間 |
arp anti-attack source-mac aging-time time |
可選 缺省情況下,源MAC地址固定的ARP攻擊檢測表項的老化時間為300秒,即5分鍾 |
|
配置保護MAC地址 |
arp anti-attack source-mac exclude-mac mac-address&<1-n> |
可選 缺省情況下,沒有配置任何保護MAC地址 n的最大值為64 |
對於已添加到源MAC地址固定的ARP攻擊檢測表項中的MAC地址,在等待設置的老化時間後,會重新恢複成普通MAC地址。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後源MAC地址固定的ARP攻擊檢測的運行情況,通過查看顯示信息驗證配置的效果。
表1-7 源MAC地址固定的ARP攻擊檢測顯示和維護
|
操作 |
命令 |
|
顯示檢測到的源MAC地址固定的ARP攻擊檢測表項(獨立運行模式) |
display arp anti-attack source-mac { slot slot-number | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] |
|
顯示檢測到的源MAC地址固定的ARP攻擊檢測表項(IRF模式) |
display arp anti-attack source-mac { chassis chassis-number slot slot-number | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] |
對於已添加到源MAC地址固定的ARP攻擊檢測表項中的MAC地址,在等待設置的老化時間後,會重新恢複成普通MAC地址。
ARP報文源MAC地址一致性檢查功能主要應用於網關設備上,防禦以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同的ARP攻擊。
配置本特性後,網關設備在進行ARP學習前將對ARP報文進行檢查。如果以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同,則認為是攻擊報文,將其丟棄;否則,繼續進行ARP學習。
表1-8 配置ARP報文源MAC地址一致性檢查功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能ARP報文源MAC地址一致性檢查功能 |
arp anti-attack valid-check enable |
必選 缺省情況下,ARP報文源MAC地址一致性檢查功能處於關閉狀態 |
在網絡中存在集群服務器且需要透傳或者處理集群服務器的ARP報文時,需要關閉ARP報文源MAC地址一致性檢查功能。
啟用ARP主動確認功能後,設備在新建或更新ARP表項前需進行主動確認,防止產生錯誤的ARP表項。關於工作原理的詳細介紹請參見“ARP攻擊防範技術白皮書”。
表1-9 配置ARP主動確認功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能ARP主動確認功能 |
arp anti-attack active-ack enable |
必選 缺省情況下,ARP主動確認功能處於關閉狀態 |
· 本特性目前僅支持在工作在三層模式的以太網接口上進行配置,關於以太網接口的工作模式介紹請參見“接口管理配置指導”中的“以太網接口”。
· 關於DHCP服務器和DHCP中繼的介紹,請參見“三層技術-IP業務配置指導”中的“DHCP”。
所謂授權ARP(Authorized ARP),就是根據DHCP服務器生成的租約或者DHCP中繼生成的安全表項同步生成ARP表項。
使能接口的授權ARP功能後,係統會禁止該接口學習動態ARP表項,可以防止用戶仿冒其他用戶的IP地址或MAC地址對網絡進行攻擊,保證隻有合法的用戶才能使用網絡資源,增加了網絡的安全性。
靜態ARP表項可以覆蓋授權ARP表項,授權ARP表項可以覆蓋動態ARP表項,但是授權ARP表項不能覆蓋靜態ARP表項,動態ARP表項不能覆蓋授權ARP表項。
表1-10 配置授權ARP功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
切換以太網工作模式 |
port link-mode route |
必選 此命令是將以太網接口切換到三層工作模式,關於以太網接口的工作模式介紹請參見“接口管理配置指導”中的“以太網接口”。 |
|
配置DHCP服務器(DHCP中繼)支持授權ARP功能 |
dhcp update arp |
必選 缺省情況下,DHCP服務器(DHCP中繼)不支持授權ARP功能 |
|
使能授權ARP功能 |
arp authorized enable |
必選 缺省情況下,接口下沒有使能授權ARP功能 |
如果DHCP服務器(DHCP中繼)不支持授權ARP功能,當配置了arp authorized enable命令後,隻是會禁止該接口學習動態ARP表項,不會同步生成授權ARP表項。
缺省情況下,以太網接口、VLAN接口及聚合接口處於DOWN狀態。如果要對這些接口進行配置,請先使用undo shutdown命令使接口狀態處於UP。
· Switch A是DHCP服務器,為同一網段中的客戶端動態分配IP地址,地址池網段為10.1.1.0/24。通過在接口GigabitEthernet3/0/1上啟用授權ARP功能來保證客戶端的合法性。
· Host是DHCP客戶端,通過DHCP協議從DHCP服務器獲取IP地址。
圖1-1 授權ARP功能典型配置組網圖
(1) 配置Switch A
# 配置以太網接口工作在三層模式。
<SwitchA> system-view
[SwitchA] interface GigabitEthernet 3/0/1
[SwitchA-GigabitEthernet3/0/1] port link-mode route
# 配置接口的IP地址。
[SwitchA-GigabitEthernet3/0/1] ip address 10.1.1.1 24
[SwitchA-GigabitEthernet3/0/1] quit
# 使能DHCP服務。
[SwitchA] dhcp enable
[SwitchA] dhcp server ip-pool 1
[SwitchA-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.0
[SwitchA-dhcp-pool-1] quit
# 進入三層以太網接口視圖。
[SwitchA] interface GigabitEthernet 3/0/1
# 使能DHCP同步ARP表項功能。
[SwitchA-GigabitEthernet3/0/1] dhcp update arp
# 使能接口授權ARP功能。
[SwitchA-GigabitEthernet3/0/1] arp authorized enable
[SwitchA-GigabitEthernet3/0/1] quit
(2) Host獲得Switch A分配的IP後,在Switch A查看授權ARP信息。
[SwitchA] display arp all
Type: S-Static D-Dynamic A-Authorized M-Multiport
IP Address MAC Address VLAN ID Interface Aging Type
10.1.1.2 0012-3f86-e94c N/A GE3/0/1 2 A
從以上信息可以獲知Switch A為Host動態分配的IP地址為10.1.1.2。
此後,Host與Switch A通信時采用的IP地址、MAC地址等信息必須和授權ARP表項中的一致,否則將無法通信,保證了客戶端的合法性。
· Switch A是DHCP服務器,為不同網段中的客戶端動態分配IP地址,地址池網段為10.10.1.0/24。
· Switch B是DHCP中繼,通過在接口GigabitEthernet3/0/2上啟用授權ARP功能來保證客戶端的合法性。
· Host是DHCP客戶端,通過DHCP中繼從DHCP服務器獲取IP地址。
圖1-2 授權ARP功能典型配置組網圖
(1) 配置Switch A
# 配置以太網接口工作在三層模式。
<SwitchA> system-view
[SwitchA] interface GigabitEthernet 3/0/1
[SwitchA-GigabitEthernet3/0/1] port link-mode route
# 配置接口的IP地址。
[SwitchA-GigabitEthernet3/0/1] ip address 10.1.1.1 24
[SwitchA-GigabitEthernet3/0/1] quit
# 使能DHCP服務。
[SwitchA] dhcp enable
[SwitchA] dhcp server ip-pool 1
[SwitchA-dhcp-pool-1] network 10.10.1.0 mask 255.255.255.0
[SwitchA-dhcp-pool-1] gateway-list 10.10.1.1
[SwitchA-dhcp-pool-1] quit
[SwitchA] ip route-static 10.10.1.0 24 10.1.1.2
(2) 配置Switch B
# 使能DHCP服務。
<SwitchB> system-view
[SwitchB] dhcp enable
# 配置以太網接口工作在三層模式。
[SwitchB] interface GigabitEthernet 3/0/1
[SwitchB-GigabitEthernet3/0/1] port link-mode route
# 配置接口的IP地址。
[SwitchB-GigabitEthernet3/0/1] ip address 10.1.1.2 24
[SwitchB-GigabitEthernet3/0/1] quit
[SwitchB] interface GigabitEthernet 3/0/2
[SwitchB-GigabitEthernet3/0/2] port link-mode route
[SwitchB-GigabitEthernet3/0/2] ip address 10.10.1.1 24
# 配置GigabitEthernet3/0/2接口工作在DHCP中繼模式。
[SwitchB-GigabitEthernet3/0/2] dhcp select relay
[SwitchB-GigabitEthernet3/0/2] quit
# 配置DHCP服務器的地址。
[SwitchB] dhcp relay server-group 1 ip 10.1.1.1
# 配置GigabitEthernet3/0/2接口對應DHCP服務器組1。
[SwitchB] interface GigabitEthernet 3/0/2
[SwitchB-GigabitEthernet3/0/2] dhcp relay server-select 1
# 使能DHCP同步ARP表項功能。
[SwitchB-GigabitEthernet3/0/2] dhcp update arp
# 使能接口授權ARP功能。
[SwitchB-GigabitEthernet3/0/2] arp authorized enable
[SwitchB-GigabitEthernet3/0/2] quit
(3) Host獲得Switch A分配的IP後,在Switch B查看授權ARP信息。
[SwitchB] display arp all
Type: S-Static D-Dynamic A-Authorized M-Multiport
IP Address MAC Address VLAN ID Interface Aging Type
10.10.1.2 0012-3f86-e94c N/A GE3/0/2 2 A
從以上信息可以獲知Switch A為Host動態分配的IP地址為10.10.1.2。
此後,Host與Switch B通信時采用的IP地址、MAC地址等信息必須和授權ARP表項中的一致,否則將無法通信,保證了客戶端的合法性。
ARP Detection功能主要應用於接入設備上,對於合法用戶的ARP報文進行正常轉發,否則直接丟棄,從而防止仿冒用戶、仿冒網關的攻擊。
ARP Detection包含三個功能:用戶合法性檢查、ARP報文有效性檢查、ARP報文強製轉發。
對於ARP信任端口,不進行用戶合法性檢查;對於ARP非信任端口,需要進行用戶合法性檢查,以防止仿冒用戶的攻擊。
用戶合法性檢查是根據ARP報文中源IP地址和源MAC地址檢查用戶是否是所屬VLAN所在端口上的合法用戶,包括基於IP Source Guard靜態綁定表項的檢查、基於DHCP Snooping安全表項的檢查、基於802.1X安全表項的檢查和OUI MAC地址的檢查。
· 首先進行基於IP Source Guard靜態綁定表項檢查。如果找到了對應源IP地址和源MAC地址的靜態綁定表項,認為該ARP報文合法,進行轉發。如果找到了對應源IP地址的靜態綁定表項但源MAC地址不符,認為該ARP報文非法,進行丟棄。如果沒有找到對應源IP地址的靜態綁定表項,繼續進行DHCP Snooping安全表項、802.1X安全表項和OUI MAC地址檢查。
· 在基於IP Source Guard靜態綁定表項檢查之後進行基於DHCP Snooping安全表項、802.1X安全表項和OUI MAC地址檢查,隻要符合三者中任何一個,就認為該ARP報文合法,進行轉發。其中,OUI MAC地址檢查指的是,隻要ARP報文的源MAC地址為OUI MAC地址,並且使能了Voice VLAN功能,就認為是合法報文,檢查通過。
· 如果所有檢查都沒有找到匹配的表項,則認為是非法報文,直接丟棄。
· IP Source Guard靜態綁定表項通過ip source binding命令生成,詳細介紹請參見“安全配置指導”中的“IP Source Guard”。
· DHCP Snooping安全表項通過DHCP Snooping功能自動生成,詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCP”。
· 802.1X安全表項通過802.1X功能產生,802.1X用戶需要使用可以將IP地址上傳的客戶端,用戶通過了802.1X認證並且將IP地址上傳至使能ARP Detection的設備後,設備自動生成可用於ARP Detction的用戶合法性檢查的802.1X安全表項。802.1X的詳細介紹請參見“安全配置指導”中的“802.1X”。
· 關於Voice VLAN和OUI MAC地址的詳細介紹請參見“二層技術-以太網交換配置指導”中的“Voice VLAN”。
對於ARP信任端口,不進行報文有效性檢查;對於ARP非信任端口,需要根據配置對MAC地址和IP地址不合法的報文進行過濾。可以選擇配置源MAC地址、目的MAC地址或IP地址檢查模式。
· 對於源MAC地址的檢查模式,會檢查ARP報文中的源MAC地址和以太網報文頭中的源MAC地址是否一致,一致則認為有效,否則丟棄報文;
· 對於目的MAC地址的檢查模式(隻針對ARP應答報文),會檢查ARP應答報文中的目的MAC地址是否為全0或者全1,是否和以太網報文頭中的目的MAC地址一致。全0、全1、不一致的報文都是無效的,無效的報文需要被丟棄;
· 對於IP地址檢查模式,會檢查ARP報文中的源IP和目的IP地址,全0、全1、或者組播IP地址都是不合法的,需要丟棄。對於ARP應答報文,源IP和目的IP地址都進行檢查;對於ARP請求報文,隻檢查源IP地址。
對於從ARP信任端口接收到的ARP報文不受此功能影響,按照正常流程進行轉發;對於從ARP非信任端口接收到的、已經通過用戶合法性檢查的ARP報文的處理過程如下:
· 對於ARP請求報文,通過信任端口進行轉發;
· 對於ARP應答報文,首先按照報文中的以太網目的MAC地址進行轉發,若在MAC地址表中沒有查到目的MAC地址對應的表項,則將此ARP應答報文通過信任端口進行轉發。
如果既配置了報文有效性檢查功能,又配置了用戶合法性檢查功能,那麼先進行報文有效性檢查,然後進行用戶合法性檢查。
表1-11 配置用戶合法性檢查功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN視圖 |
vlan vlan-id |
- |
|
使能ARP Detection功能 |
arp detection enable |
必選 缺省情況下,ARP Detection功能處於關閉狀態。即不進行用戶合法性檢查 |
|
退回係統視圖 |
quit |
- |
|
進入二層以太網接口或者二層聚合接口視圖 |
interface interface-type interface-number |
- |
|
將不需要進行用戶合法性檢查的端口配置為ARP信任端口 |
arp detection trust |
可選 缺省情況下,端口為ARP非信任端口 |
表1-12 配置ARP報文有效性檢查功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN視圖 |
vlan vlan-id |
- |
|
使能ARP Detection功能 |
arp detection enable |
必選 缺省情況下,ARP Detection功能處於關閉狀態 |
|
退回係統視圖 |
quit |
- |
|
使能ARP報文有效性檢查功能 |
arp detection validate { dst-mac | ip | src-mac } * |
必選 |
|
進入以太網接口視圖 |
interface interface-type interface-number |
- |
|
將不需要進行ARP報文有效性檢查的端口配置為ARP信任端口 |
arp detection trust |
可選 缺省情況下,端口為ARP非信任端口 |
· 配置用戶合法性檢查功能時,必須至少配置IP Source Guard靜態綁定表項、DHCP Snooping功能、802.1X功能三者之一,否則所有從ARP非信任端口收到的ARP報文都將被丟棄(使能了Voice VLAN功能的情況下,源MAC地址為OUI MAC地址的ARP報文不會被丟棄)。
· 在配置IP Source Guard靜態綁定表項時,必須指定VLAN參數,否則ARP報文將無法通過基於IP Source Guard靜態綁定表項的檢查。
進行下麵的配置之前,需要保證已經配置了用戶合法性檢查功能。
表1-13 配置ARP報文強製轉發功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN視圖 |
vlan vlan-id |
- |
|
使能ARP報文強製轉發功能 |
arp restricted-forwarding enable |
必選 缺省情況下,ARP報文強製轉發功能處於關閉狀態 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後ARP Detection的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,用戶可以執行reset命令清除ARP Detection的統計信息。
表1-14 ARP Detection顯示和維護
|
操作 |
命令 |
|
顯示使能了ARP Detection功能的VLAN |
display arp detection [ | { begin | exclude | include } regular-expression ] |
|
顯示ARP Detection功能報文檢查的丟棄計數的統計信息 |
display arp detection statistics [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ] |
|
清除ARP Detection的統計信息 |
reset arp detection statistics [ interface interface-type interface-number ] |
· Switch A是DHCP服務器;Switch B是支持802.1X的設備,在VLAN 10內啟用ARP Detection功能,對認證客戶端進行保護,保證合法用戶可以正常轉發報文,否則丟棄。
· Host A和Host B是本地802.1X接入用戶。
圖1-3 配置用戶合法性檢查組網圖
(1) 配置組網圖中所有端口屬於VLAN及Switch A對應VLAN接口的IP地址(略)
(2) 配置DHCP服務器Switch A
# 配置DHCP地址池0。
<SwitchA> system-view
[SwitchA] dhcp enable
[SwitchA] dhcp server ip-pool 0
[SwitchA-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0
(3) 配置客戶端Host A和Host B(略),必須使用上傳IP地址方式。
(4) 配置設備Switch B
# 配置dot1x功能。
<SwitchB> system-view
[SwitchB] dot1x
[SwitchB] interface GigabitEthernet 3/0/1
[SwitchB-GigabitEthernet3/0/1] dot1x
[SwitchB-GigabitEthernet3/0/1] quit
[SwitchB] interface GigabitEthernet 3/0/2
[SwitchB-GigabitEthernet3/0/2] dot1x
[SwitchB-GigabitEthernet3/0/2] quit
# 添加本地接入用戶。
[SwitchB] local-user test
[SwitchB-luser-test] service-type lan-access
[SwitchB-luser-test] password simple test
[SwitchB-luser-test] quit
# 使能ARP Detection功能,對用戶合法性進行檢查。
[SwitchB] vlan 10
[SwitchB-vlan10] arp detection enable
# 端口狀態缺省為非信任狀態,上行端口配置為信任狀態,下行端口按缺省配置。
[SwitchB-vlan10] interface GigabitEthernet 3/0/3
[SwitchB-GigabitEthernet3/0/3] arp detection trust
[SwitchB-GigabitEthernet3/0/3] quit
完成上述配置後,對於端口GigabitEthernet 3/0/1和 GigabitEthernet 3/0/2收到的ARP報文,需基於802.1X安全表項進行用戶合法性檢查。
缺省情況下,以太網接口、VLAN接口及聚合接口處於DOWN狀態。如果要對這些接口進行配置,請先使用undo shutdown命令使接口狀態處於UP。
· Switch A是DHCP服務器;
· Host A是DHCP客戶端;用戶Host B的IP地址是10.1.1.6,MAC地址是0001-0203-0607。
· Switch B是DHCP Snooping設備,在VLAN 10內啟用ARP Detection功能,對DHCP客戶端和用戶進行保護,保證合法用戶可以正常轉發報文,否則丟棄。
(1) 配置組網圖中所有端口屬於VLAN及Switch A對應VLAN接口的IP地址(略)
(2) 配置DHCP服務器Switch A
# 配置DHCP地址池0。
<SwitchA> system-view
[SwitchA] dhcp enable
[SwitchA] dhcp server ip-pool 0
[SwitchA-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0
(3) 配置DHCP客戶端Host A和用戶Host B(略)
(4) 配置設備Switch B
# 配置DHCP Snooping功能。
<SwitchB> system-view
[SwitchB] dhcp-snooping
[SwitchB] interface GigabitEthernet 3/0/3
[SwitchB-GigabitEthernet3/0/3] dhcp-snooping trust
[SwitchB-GigabitEthernet3/0/3] quit
# 使能ARP Detection功能,對用戶合法性進行檢查。
[SwitchB] vlan 10
[SwitchB-vlan10] arp detection enable
# 端口狀態缺省為非信任狀態,上行端口配置為信任狀態,下行端口按缺省配置。
[SwitchB-vlan10] interface GigabitEthernet 3/0/3
[SwitchB-GigabitEthernet3/0/3] arp detection trust
[SwitchB-GigabitEthernet3/0/3] quit
# 在端口GigabitEthernet3/0/2上配置IP Source Guard靜態綁定表項。
[SwitchB] interface GigabitEthernet 3/0/2
[SwitchB-GigabitEthernet3/0/2] ip source binding ip-address 10.1.1.6 mac-address 0001-0203-0607 vlan 10
[SwitchB-GigabitEthernet3/0/2] ip verify source ip-address mac-address
[SwitchB-GigabitEthernet3/0/2] quit
# 配置進行報文有效性檢查。
[SwitchB] arp detection validate dst-mac ip src-mac
完成上述配置後,對於端口GigabitEthernet3/0/1和 GigabitEthernet3/0/2收到的ARP報文,先進行報文有效性檢查,然後基於IP Source Guard靜態綁定表項、DHCP Snooping安全表項進行用戶合法性檢查。
· Switch A是DHCP服務器;
· Host A是DHCP客戶端;用戶Host B的IP地址是10.1.1.6,MAC地址是0001-0203-0607。
· Host A和Host B在設備Switch B上端口隔離,但是均和網關Switch A相通,GigabitEthernet3/0/1、GigabitEthernet3/0/2、GigabitEthernet3/0/3均屬於VLAN 10。
· Switch B是DHCP Snooping設備,在VLAN 10內啟用ARP Detection功能,對DHCP客戶端和用戶進行保護,保證合法用戶可以正常轉發報文,否則丟棄。
要求:Switch B在啟用ARP Detection功能後,對於ARP廣播請求報文仍然能夠進行端口隔離。
圖1-5 配置ARP報文強製轉發組網圖
(1) 配置組網圖中所有端口屬於VLAN及Switch A對應VLAN接口的IP地址(略)
(2) 配置DHCP服務器Switch A
# 配置DHCP地址池0。
<SwitchA> system-view
[SwitchA] dhcp enable
[SwitchA] dhcp server ip-pool 0
[SwitchA-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0
(3) 配置DHCP客戶端Host A和用戶Host B(略)
(4) 配置設備Switch B
# 配置DHCP Snooping功能。
<SwitchB> system-view
[SwitchB] dhcp-snooping
[SwitchB] interface GigabitEthernet 3/0/3
[SwitchB-GigabitEthernet3/0/3] dhcp-snooping trust
[SwitchB-GigabitEthernet3/0/3] quit
# 使能ARP Detection功能,對用戶合法性進行檢查。
[SwitchB] vlan 10
[SwitchB-vlan10] arp detection enable
# 端口狀態缺省為非信任狀態,上行端口配置為信任狀態,下行端口按缺省配置。
[SwitchB-vlan10] interface GigabitEthernet 3/0/3
[SwitchB-GigabitEthernet3/0/3] arp detection trust
[SwitchB-GigabitEthernet3/0/3] quit
# 在端口GigabitEthernet3/0/2上配置IP Source Guard靜態綁定表項。
[SwitchB] interface GigabitEthernet 3/0/2
[SwitchB-GigabitEthernet3/0/2] ip source binding ip-address 10.1.1.6 mac-address 0001-0203-0607 vlan 10
[SwitchB-GigabitEthernet3/0/2] ip verify source ip-address mac-address
[SwitchB-GigabitEthernet3/0/2] quit
# 配置進行報文有效性檢查。
[SwitchB] arp detection validate dst-mac ip src-mac
# 創建隔離組2。
[SwitchB] port-isolate group 2
# 將端口GigabitEthernet3/0/1、GigabitEthernet3/0/2加入隔離組2。
[SwitchB] interface GigabitEthernet 3/0/1
[SwitchB-GigabitEthernet3/0/1] port-isolate enable group 2
[SwitchB-GigabitEthernet3/0/1] quit
[SwitchB] interface GigabitEthernet 3/0/2
[SwitchB-GigabitEthernet3/0/2] port-isolate enable group 2
[SwitchB-GigabitEthernet3/0/2] quit
完成上述配置後,對於端口GigabitEthernet3/0/1和GigabitEthernet3/0/2收到的ARP報文,先進行報文有效性檢查,然後基於IP Source Guard靜態綁定表項、DHCP Snooping安全表項進行用戶合法性檢查。但是,Host A發往Switch A的ARP廣播請求報文,由於通過了用戶合法性檢查,所以能夠被轉發到Host B,端口隔離功能失效。
# 配置ARP報文強製轉發功能。
[SwitchB] vlan 10
[SwitchB-vlan10] arp restricted-forwarding enable
[SwitchB-vlan10] quit
此時,Host A發往Switch A的合法ARP廣播請求報文隻能通過信任端口GigabitEthernet3/0/3轉發,不能被Host B接收到,端口隔離功能可以正常工作。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
