- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
17-ARP攻擊防禦配置
本章節下載: 17-ARP攻擊防禦配置 (376.54 KB)
目 錄
ARP協議有簡單、易用的優點,但是也因為其沒有任何安全機製而容易被攻擊發起者利用。
· 攻擊者可以仿冒用戶、仿冒網關發送偽造的ARP報文,使網關或主機的ARP表項不正確,從而對網絡進行攻擊。
· 攻擊者通過向設備發送大量目標IP地址不能解析的IP報文,使得設備試圖反複地對目標IP地址進行解析,導致CPU負荷過重及網絡流量過大。
· 攻擊者向設備發送大量ARP報文,對設備的CPU形成衝擊。
目前ARP攻擊和ARP病毒已經成為局域網安全的一大威脅,為了避免各種攻擊帶來的危害,設備提供了多種技術對攻擊進行防範、檢測和解決。
下麵將詳細介紹一下這些技術的原理以及配置。
表1-1 ARP攻擊防禦配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
防止泛洪攻擊 |
配置源MAC地址固定的ARP攻擊檢測功能 |
可選 建議在網關設備上配置本功能 |
|
|
防止仿冒用戶、仿冒網關攻擊 |
配置ARP報文源MAC地址一致性檢查功能 |
可選 建議在網關設備上配置本功能 |
|
|
配置ARP主動確認功能 |
可選 建議在網關設備上配置本功能 |
||
|
配置授權ARP功能 |
可選 建議在網關設備上配置本功能 |
||
|
配置ARP Detection功能 |
可選 建議在接入設備上配置本功能 |
||
|
配置ARP自動掃描、固化功能 |
可選 建議在網關設備上配置本功能 |
||
|
配置ARP網關保護功能 |
可選 建議在接入設備上配置本功能 |
||
|
配置ARP過濾保護功能 |
可選 建議在接入設備上配置本功能 |
||
本特性根據ARP報文的源MAC地址對上送CPU的ARP報文進行統計,在5秒內,如果收到同一源MAC地址(源MAC地址固定)的ARP報文超過一定的閾值,則認為存在攻擊,係統會將此MAC地址添加到攻擊檢測表項中。在該攻擊檢測表項老化之前,如果設置的檢查模式為過濾模式,則會打印日誌信息並且將該源MAC地址發送的ARP報文過濾掉;如果設置的檢查模式為監控模式,則隻打印日誌信息,不會將該源MAC地址發送的ARP報文過濾掉。
切換源MAC地址固定的ARP攻擊檢查模式時,如果從監控模式切換到過濾模式,過濾模式馬上生效;如果從過濾模式切換到監控模式,已生成的攻擊檢測表項,到表項老化前還會繼續按照過濾模式處理。
對於網關或一些重要的服務器,可能會發送大量ARP報文,為了使這些ARP報文不被過濾掉,可以將這類設備的MAC地址配置成保護MAC地址,這樣,即使該設備存在攻擊也不會被檢測或過濾。
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟源MAC地址固定的ARP攻擊檢測功能,並選擇檢查模式 |
arp source-mac { filter | monitor } |
缺省情況下,源MAC地址固定的ARP攻擊檢測功能處於關閉狀態 |
|
配置源MAC地址固定的ARP報文攻擊檢測的閾值 |
arp source-mac threshold threshold-value |
缺省情況下,ARP報文攻擊檢測的閾值為50 |
|
配置源MAC地址固定的ARP攻擊檢測表項的老化時間 |
arp source-mac aging-time time |
缺省情況下,源MAC地址固定的ARP攻擊檢測表項的老化時間為300秒,即5分鍾 |
|
(可選)配置保護MAC地址 |
arp source-mac exclude-mac mac-address&<1-10> |
缺省情況下,沒有配置任何保護MAC地址 |
對於已添加到源MAC地址固定的ARP攻擊檢測表項中的MAC地址,在等待設置的老化時間後,會重新恢複成普通MAC地址。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後源MAC地址固定的ARP攻擊檢測的運行情況,通過查看顯示信息驗證配置的效果。
表1-3 源MAC地址固定的ARP攻擊檢測顯示和維護
|
操作 |
命令 |
|
顯示檢測到的源MAC地址固定的ARP攻擊檢測表項 |
display arp source-mac { slot slot-number | interface interface-type interface-number } |
某局域網內客戶端通過網關與外部網絡通信,網絡環境如圖1-1所示。
網絡管理員希望能夠防止因惡意用戶對網關發送大量ARP報文,造成設備癱瘓,並導致其它用戶無法正常地訪問外部網絡;同時,對於正常的大量ARP報文仍然會進行處理。
圖1-1 源MAC地址固定的ARP攻擊檢測功能配置組網圖
如果惡意用戶發送大量報文的源MAC地址是使用客戶端合法的MAC地址,並且源MAC是固定的,可以在網關上進行如下配置:
· 使能源MAC固定ARP攻擊檢測功能,並選擇過濾模式;
· 配置源MAC固定ARP報文攻擊檢測的閾值;
· 配置源MAC固定的ARP攻擊檢測表項的老化時間;
· 配置服務器的MAC為保護MAC,使服務器可以發送大量ARP報文。
# 使能源MAC固定ARP攻擊檢測功能,並選擇過濾模式。
<AC> system-view
[AC] arp source-mac filter
# 配置源MAC固定ARP報文攻擊檢測閾值為30個。
[AC] arp source-mac threshold 30
# 配置源MAC地址固定的ARP攻擊檢測表項的老化時間為60秒。
[AC] arp source-mac aging-time 60
# 配置源MAC固定攻擊檢查的保護MAC地址為0012-3f86-e94c。
[AC] arp source-mac exclude-mac 0012-3f86-e94c
ARP報文源MAC地址一致性檢查功能主要應用於網關設備上,防禦以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同的ARP攻擊。
配置本特性後,網關設備在進行ARP學習前將對ARP報文進行檢查。如果以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同,則認為是攻擊報文,將其丟棄;否則,繼續進行ARP學習。
表1-4 配置ARP報文源MAC地址一致性檢查功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能ARP報文源MAC地址一致性檢查功能 |
arp valid-check enable |
缺省情況下,ARP報文源MAC地址一致性檢查功能處於關閉狀態 |
ARP的主動確認功能主要應用於網關設備上,防止攻擊者仿冒用戶欺騙網關設備。
啟用ARP主動確認功能後,設備在新建或更新ARP表項前需進行主動確認,防止產生錯誤的ARP表項。
使能嚴格模式後,新建ARP表項前,ARP主動確認功能會執行更嚴格的檢查:
· 收到目標IP地址為自己的ARP請求報文時,設備會發送ARP應答報文,但不建立ARP表項;
· 收到ARP應答報文時,需要確認本設備是否對該報文中的源IP地址發起過ARP解析:若發起過解析,解析成功後則設備啟動主動確認功能,主動確認流程成功完成後,設備可以建立該表項;若未發起過解析,則設備丟棄該報文。
表1-5 配置ARP主動確認功能
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能ARP主動確認功能 |
arp active-ack [ strict ] enable |
缺省情況下,ARP主動確認功能處於關閉狀態 |
所謂授權ARP(Authorized ARP),就是動態學習ARP的過程中,隻有和DHCP服務器生成的租約或DHCP中繼生成的安全表項一致的ARP報文才能夠被學習。關於DHCP服務器和DHCP中繼的介紹,請參見“三層技術-IP業務配置指導”中的“DHCP”。
使能接口的授權ARP功能後,係統會禁止該接口學習動態ARP表項,可以防止用戶仿冒其他用戶的IP地址或MAC地址對網絡進行攻擊,保證隻有合法的用戶才能使用網絡資源,增加了網絡的安全性。
表1-6 配置授權ARP功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
使能授權ARP功能 |
arp authorized enable |
缺省情況下,接口下的授權ARP功能處於關閉狀態 |
· AC是DHCP服務器,為同一網段中的客戶端動態分配IP地址,地址池網段為10.1.1.0/24。通過在AC接口上啟用授權ARP功能來保證客戶端的合法性。
· Client是DHCP客戶端,通過DHCP協議從DHCP服務器獲取IP地址。
圖1-2 授權ARP功能典型配置組網圖
# 使能DHCP服務。
<AC> system-view
[AC] dhcp enable
[AC] dhcp server ip-pool 1
[AC-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.0
[AC-dhcp-pool-1] quit
# 配置VLAN-interface10接口的IP地址為10.1.1.1/24。
[AC] interface vlan-interface 10
[AC-Vlan-interface10] ip address 10.1.1.1 24
# 使能接口授權ARP功能。
[AC-Vlan-interface10] arp authorized enable
[AC-Vlan-interface10] quit
# Client通過DHCP申請地址後,可以在AC上查看相應的授權信息。
[AC] display arp
Type: S-Static D-Dynamic O-Openflow R-Rule I-Invalid
IP Address MAC Address VLAN Interface Aging Type
10.1.1.2 0012-3f86-e94c N/A GE1/0/1 20 D
從以上信息可以獲知AC為Client動態分配的IP地址為10.1.1.2。
此後,Client與AC通信時采用的IP地址、MAC地址等信息必須和授權ARP表項中的一致,否則將無法通信,保證了客戶端的合法性。
· Switch充當DHCP服務器,為不同網段中的客戶端動態分配IP地址,地址池網段為10.1.1.0/24。
· AC是DHCP中繼,通過在接口上啟用授權ARP功能來保證客戶端的合法性。
· Client是DHCP客戶端,通過DHCP中繼從DHCP服務器獲取IP地址。
圖1-3 授權ARP功能典型配置組網圖
(1) 配置Switch
# 配置接口的IP地址。
<Switch> system-view
[Switch] interface vlan-interface 10
[Switch-Vlan-interface10] ip address 10.1.1.1 24
[Switch-Vlan-interface10] quit
# 啟用DHCP服務。
[Switch] dhcp enable
[Switch] dhcp server ip-pool 1
[Switch-dhcp-pool-1] network 10.10.1.0 mask 255.255.255.0
[Switch-dhcp-pool-1] gateway-list 10.10.1.1
[Switch-dhcp-pool-1] quit
[Switch] ip route-static 10.10.1.0 24 10.1.1.2
(2) 配置AC
# 啟用DHCP服務。
<AC> system-view
[AC] dhcp enable
# 配置Vlan-interface20接口的IP地址。
[AC] interface vlan-interface 10
[AC-Vlan-interface10] ip address 10.1.1.2 24
[AC-Vlan-interface10] quit
[AC] interface vlan-interface 20
[AC-Vlan-interface20] ip address 10.10.1.1 24
# 配置Vlan-interface20接口工作在DHCP中繼模式。
[AC-Vlan-interface20] dhcp select relay
# 配置DHCP服務器的地址。
[AC-Vlan-interface20] dhcp relay server-address 10.1.1.1
# 啟用接口授權ARP功能。
[AC-Vlan-interface20] arp authorized enable
[AC-Vlan-interface20] quit
# 開啟DHCP中繼用戶地址表項記錄功能。
[AC] dhcp relay client-information record
# 用戶通過DHCP申請地址後,在AC上查看授權ARP信息。
[AC] display arp
Type: S-Static D-Dynamic O-Openflow R-Rule I-Invalid
IP Address MAC Address VLAN Interface Aging Type
10.10.1.2 0012-3f86-e94c N/A GE1/0/2 20 D
從以上信息可以獲知AC為Client動態分配的IP地址為10.10.1.2。
此後,Client與AC通信時采用的IP地址、MAC地址等信息必須和授權ARP表項中的一致,否則將無法通信,保證了客戶端的合法性。
ARP Detection功能主要應用於接入設備上,對於合法用戶的ARP報文進行正常轉發,否則直接丟棄,從而防止仿冒用戶、仿冒網關的攻擊。
ARP Detection包含三個功能:用戶合法性檢查、ARP報文有效性檢查、ARP報文強製轉發。
對於ARP信任接口,不進行用戶合法性檢查;對於ARP非信任接口,需要進行用戶合法性檢查,以防止仿冒用戶的攻擊。
用戶合法性檢查是根據ARP報文中源IP地址和源MAC地址檢查用戶是否是所屬VLAN所在接口上的合法用戶,包括基於用戶合法性規則檢查和基於802.1X安全表項的檢查。設備收到ARP報文後,首先進行基於用戶合法性規則檢查,如果找到與報文匹配的規則,則按照該規則對報文進行處理;如果未找到與報文匹配的規則,則繼續進行基於802.1X安全表項的檢查。如果找到與報文匹配的表項,就認為該ARP報文合法,進行轉發。如果所有檢查都沒有找到匹配的表項,則認為是非法報文,直接丟棄。
802.1X安全表項通過802.1X功能產生,802.1X用戶需要使用支持將IP地址上傳的客戶端,用戶通過了802.1X認證並且將IP地址上傳至使能ARP Detection的設備後,設備自動生成可用於ARP Detection的用戶合法性檢查的802.1X安全表項。802.1X的詳細介紹請參見“安全配置指導”中的“802.1X”。
對於ARP信任接口,不進行報文有效性檢查;對於ARP非信任接口,需要根據配置對MAC地址和IP地址不合法的報文進行過濾。可以選擇配置源MAC地址、目的MAC地址或IP地址檢查模式。
· 源MAC地址的檢查模式:會檢查ARP報文中的源MAC地址和以太網報文頭中的源MAC地址是否一致,一致則認為有效,否則丟棄報文;
· 目的MAC地址的檢查模式(隻針對ARP應答報文):會檢查ARP應答報文中的目的MAC地址是否為全0或者全1,是否和以太網報文頭中的目的MAC地址一致。全0、全1、不一致的報文都是無效的,需要被丟棄;
· IP地址檢查模式:會檢查ARP報文中的源IP或目的IP地址,如全1、或者組播IP地址都是不合法的,需要被丟棄。對於ARP應答報文,源IP和目的IP地址都進行檢查;對於ARP請求報文,隻檢查源IP地址。
對於從ARP信任接口接收到的ARP報文不受此功能影響,按照正常流程進行轉發;對於從ARP非信任接口接收到的並且已經通過用戶合法性檢查的ARP報文的處理過程如下:
· 對於ARP請求報文,通過信任接口進行轉發;
· 對於ARP應答報文,首先按照報文中的以太網目的MAC地址進行轉發,若在MAC地址表中沒有查到目的MAC地址對應的表項,則將此ARP應答報文通過信任接口進行轉發。
· ARP報文強製轉發功能不支持目的MAC地址為多端口MAC的情況。
· 如果既配置了報文有效性檢查功能,又配置了用戶合法性檢查功能,那麼先進行報文有效性檢查,然後進行用戶合法性檢查。
配置用戶合法性檢查功能時,必須至少配置用戶合法性規則和802.1X功能兩者之一,否則所有從ARP非信任接口收到的ARP報文都將被丟棄。
表1-7 配置用戶合法性檢查功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
(可選)配置用戶合法性檢查規則 |
arp detection rule rule-id { deny | permit } ip { ip-address [ mask ] | any } mac { mac-address [ mask ] | any } [ vlan vlan-id ] |
缺省情況下,未配置用戶合法性檢查規則 |
|
進入VLAN視圖 |
vlan vlan-id |
- |
|
使能ARP Detection功能 |
arp detection enable |
缺省情況下,ARP Detection功能處於關閉狀態,即不進行用戶合法性檢查 |
|
退回係統視圖 |
quit |
- |
|
進入二層以太網接口或者二層聚合接口視圖 |
interface interface-type interface-number |
- |
|
(可選)將不需要進行用戶合法性檢查的接口配置為ARP信任接口 |
arp detection trust |
缺省情況下,接口為ARP非信任接口 |
表1-8 配置ARP報文有效性檢查功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN視圖 |
vlan vlan-id |
- |
|
使能ARP Detection功能 |
arp detection enable |
缺省情況下,ARP Detection功能處於關閉狀態 |
|
退回係統視圖 |
quit |
- |
|
使能ARP報文有效性檢查功能 |
arp detection validate { dst-mac | ip | src-mac } * |
缺省情況下,ARP報文有效性檢查功能處於關閉狀態 |
|
進入二層以太網接口或者二層聚合接口視圖 |
interface interface-type interface-number |
- |
|
(可選)將不需要進行ARP報文有效性檢查的接口配置為ARP信任接口 |
arp detection trust |
缺省情況下,接口為ARP非信任接口 |
進行下麵的配置之前,需要保證已經配置了用戶合法性檢查功能。
表1-9 配置ARP報文強製轉發功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入VLAN視圖 |
vlan vlan-id |
- |
|
使能ARP報文強製轉發功能 |
arp restricted-forwarding enable |
缺省情況下,ARP報文強製轉發功能處於關閉狀態 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後ARP Detection的運行情況,通過查看顯示信息驗證配置的效果。
表1-10 ARP Detection顯示和維護
|
操作 |
命令 |
|
顯示使能了ARP Detection功能的VLAN |
display arp detection |
|
顯示ARP Detection功能報文檢查的丟棄計數的統計信息 |
display arp detection statistics [ interface interface-type interface-number ] |
· Switch是DHCP服務器;AC是支持802.1X的設備,在VLAN 10內啟用ARP Detection功能,對認證客戶端進行保護,保證合法用戶可以正常轉發報文,否則丟棄。
· Client 1和Client 2是本地802.1X接入用戶。
圖1-4 配置用戶合法性檢查組網圖
(1) 配置組網圖中所有接口屬於VLAN及Switch對應VLAN接口的IP地址(略)
(2) 配置DHCP服務器Switch
# 配置DHCP地址池0。
<Switch> system-view
[Switch] dhcp enable
[Switch] dhcp server ip-pool 0
[Switch-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0
(3) 配置客戶端Client 1和 Client 2(略),必須使用上傳IP地址方式。
(4) 配置AC
# 配置802.1X認證方式為CHAP。
[AC] dot1x authentication-method chap
# 配置名稱為local的ISP域,並將認證、授權和計費的方式配置為本地。
[AC-isp-local] authentication lan-access local
[AC-isp-local] authorization lan-access local
[AC-isp-local] accounting lan-access local
[AC-isp-local] quit
# 配置無線服務模板,名稱為wlas_local_chap,用戶認證方式為802.1X,ISP域為local,SSID為wlas_local_chap。
[AC] wlan service-template wlas_local_chap
[AC-wlan-st-wlas_local_chap] client-security authentication-mode dot1x
[AC-wlan-st-wlas_local_chap] dot1x domain local
[AC-wlan-st-wlas_local_chap] ssid wlas_local_chap
# 無線服務模板使能。
[AC-wlan-st-wlas_local_chap] service-template enable
[AC-wlan-st-wlas_local_chap] quit
# 創建ap1,並配置序列號。
[AC] wlan ap ap1 model WA4320i-ACN
[AC-wlan-ap-ap 1] serial-id 210235A1BSC123000050
[AC-wlan-ap-ap 1] quit
# 配置Radio信道為149,並使能射頻。
[AC-wlan-ap-ap1] radio 1
[AC-wlan-ap-ap1-radio-1] channel 149
[AC-wlan-ap-ap1-radio-1] radio enable
# 將無線服務模板wlas_local_chap綁定到radio1上。
[AC-wlan-ap-ap1-radio-1] service-template wlas_local_chap
[AC-wlan-ap-ap1-radio-1] quit
[AC-wlan-ap-ap1] quit
# 添加本地接入用戶。
[AC] local-user test class network
[AC-luser-network-test] service-type lan-access
[AC-luser-network-test] password simple test
[AC-luser-network-test] quit
# 開啟ARP Detection功能,對用戶合法性進行檢查。
[AC] vlan 10
[AC-vlan10] arp detection enable
# 接口狀態缺省為非信任狀態,上行接口配置為信任狀態,下行接口按缺省配置。
[AC-vlan10] interface gigabitethernet 1/0/3
[AC-GigabitEthernet1/0/3] arp detection trust
[AC-GigabitEthernet1/0/3] quit
完成上述配置後,對於接口GigabitEthernet1/0/1和GigabitEthernet1/0/2收到的ARP報文,需基於802.1X安全表項進行用戶合法性檢查。
ARP自動掃描功能一般與ARP固化功能配合使用:
· 啟用ARP自動掃描功能後,設備會對局域網內的鄰居自動進行掃描(向鄰居發送ARP請求報文,獲取鄰居的MAC地址,從而建立動態ARP表項)。
· ARP固化功能用來將當前的ARP動態表項(包括ARP自動掃描生成的動態ARP表項)轉換為靜態ARP表項。通過對動態ARP表項的固化,可以有效防止攻擊者修改ARP表項。
建議在網吧這種環境穩定的小型網絡中使用這兩個功能。
配置ARP自動掃描、固化功能時,需要注意:
· 對於已存在ARP表項的IP地址不進行掃描。
· 掃描操作可能比較耗時,用戶可以通過<Ctrl_C>來終止掃描(在終止掃描時,對於已經收到的鄰居應答,會建立該鄰居的動態ARP表項)。
· 固化後的靜態ARP表項與配置產生的靜態ARP表項相同。
· 固化生成的靜態ARP表項數量同樣受到設備可以支持的靜態ARP表項數目的限製,由於靜態ARP表項數量的限製可能導致隻有部分動態ARP表項被固化。
表1-11 配置ARP自動掃描、固化功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入三層以太網接口/三層以太網子接口/VLAN接口視圖 |
interface interface-type interface-number |
- |
|
啟動ARP自動掃描功能 |
arp scan [ start-ip-address to end-ip-address ] |
- |
|
退回係統視圖 |
quit |
- |
|
配置ARP固化功能 |
arp fixup |
- |
· 通過arp fixup命令將當前的動態ARP表項轉換為靜態ARP表項後,後續學習到的動態ARP表項可以通過再次執行arp fixup命令進行固化。
· 通過固化生成的靜態ARP表項,可以通過命令行undo arp ip-address逐條刪除。
在設備上不與網關相連的接口上配置此功能,可以防止偽造網關攻擊。
在接口上配置此功能後,當接口收到ARP報文時,將檢查ARP報文的源IP地址是否和配置的被保護網關的IP地址相同。如果相同,則認為此報文非法,將其丟棄;否則,認為此報文合法,繼續進行後續處理。
配置ARP網關保護功能,需要注意:
· 每個接口最多支持配置8個被保護的網關IP地址。
· 不能在同一接口下同時配置命令arp filter source和arp filter binding。
· 本功能與ARP Detection功能配合使用時,先進行本功能檢查,本功能檢查通過後才會進行ARP Detection功能的處理。
表1-12 配置ARP網關保護功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網接口/二層聚合接口視圖 |
interface interface-type interface-number |
- |
|
開啟ARP網關保護功能,配置被保護的網關IP地址 |
arp filter source ip-address |
缺省情況下,ARP網關保護功能處於關閉狀態 |
與AC相連的無線客戶端Client 2進行了仿造網關Switch(IP地址為10.1.1.1)的ARP攻擊,導致與AC相連的設備與網關Switch 通信時錯誤發往了錯誤的Client 2。
要求:通過配置防止這種仿造網關攻擊。
圖1-5 配置ARP網關保護功能組網圖
# 在AC上配置ARP網關保護功能。
<AC> system-view
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] arp filter source 10.1.1.1
[AC-GigabitEthernet1/0/1] quit
[AC] interface gigabitethernet 1/0/2
[AC-GigabitEthernet1/0/2] arp filter source 10.1.1.1
完成上述配置後,對於Client 2發送的偽造的源IP地址為網關IP地址的ARP報文將會被丟棄,不會再被轉發。
本功能用來限製接口下允許通過的ARP報文,可以防止仿冒網關和仿冒用戶的攻擊。
在接口上配置此功能後,當接口收到ARP報文時,將檢查ARP報文的源IP地址和源MAC地址是否和允許通過的IP地址和MAC地址相同:
· 如果相同,則認為此報文合法,繼續進行後續處理;
· 如果不相同,則認為此報文非法,將其丟棄。
配置ARP過濾保護功能,需要注意:
· 每個接口最多支持配置8組允許通過的ARP報文的源IP地址和源MAC地址。
· 不能在同一接口下同時配置命令arp filter source和arp filter binding。
· 本功能與ARP Detection功能配合使用時,先進行本功能檢查,本功能檢查通過後才會進行ARP Detection功能的處理。
表1-13 配置ARP過濾保護功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網接口/二層聚合接口視圖 |
interface interface-type interface-number |
- |
|
開啟ARP過濾保護功能,配置允許通過的ARP報文的源IP地址和源MAC地址 |
arp filter binding ip-address mac-address |
缺省情況下,ARP過濾保護功能處於關閉狀態 |
· Client 1的IP地址為10.1.1.2,MAC地址為000f-e349-1233。
· Client 2的IP地址為10.1.1.3,MAC地址為000f-e349-1234。
· 限製AC的GigabitEthernet1/0/1、GigabitEthernet1/0/2接口隻允許指定用戶接入,不允許其他用戶接入。
圖1-6 配置ARP過濾保護功能組網圖
# 配置AC的ARP過濾保護功能。
<AC> system-view
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] arp filter binding 10.1.1.2 000f-e349-1233
[AC-GigabitEthernet1/0/1] quit
[AC] interface gigabitethernet 1/0/2
[AC-GigabitEthernet1/0/2] arp filter binding 10.1.1.3 000f-e349-1234
完成上述配置後,接口GigabitEthernet1/0/1收到Client 1發出的源IP地址為10.1.1.2、源MAC地址為000f-e349-1233的ARP報文將被允許通過,其他ARP報文將被丟棄;接口GigabitEthernet1/0/2收到Client 2發出的源IP地址為10.1.1.3、源MAC地址為000f-e349-1234的ARP報文將被允許通過,其他ARP報文將被丟棄。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
