- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
13-ARP攻擊防禦配置
本章節下載: 13-ARP攻擊防禦配置 (395.08 KB)
設備提供了多種ARP攻擊防禦技術對局域網中的ARP攻擊和ARP病毒進行防範、檢測和解決。常見的ARP攻擊方式包括:
· 攻擊者通過向設備發送大量目標IP地址不能解析的IP報文,使得設備試圖反複地對目標IP地址進行解析,導致CPU負荷過重及網絡流量過大。
· 攻擊者向設備發送大量ARP報文,對設備的CPU形成衝擊。
· 攻擊者可以仿冒用戶、仿冒網關發送偽造的ARP報文,使網關或主機的ARP表項不正確,從而對網絡進行攻擊。
如下所有配置均為可選,請根據實際情況選擇配置。
· 防止泛洪攻擊
· 防止仿冒用戶、仿冒網關攻擊
如果網絡中有主機通過向設備發送大量目標IP地址不能解析的IP報文來攻擊設備,則會造成下麵的危害:
· 設備向目的網段發送大量ARP請求報文,加重目的網段的負載。
· 設備會試圖反複地對目標IP地址進行解析,增加了CPU的負擔。
為避免這種IP報文攻擊所帶來的危害,設備提供了下列兩個功能:
· ARP源抑製功能:如果發送攻擊報文的源是固定的,可以采用ARP源抑製功能。開啟該功能後,如果網絡中每5秒內從某IP地址向設備某接口發送目的IP地址不能解析的IP報文超過了設置的閾值,則設備將不再處理由此IP地址發出的IP報文直至該5秒結束,從而避免了惡意攻擊所造成的危害。
· ARP黑洞路由功能:無論發送攻擊報文的源是否固定,都可以采用ARP黑洞路由功能。開啟該功能後,一旦接收到目標IP地址不能解析的IP報文,設備立即產生一個黑洞路由,並同時發起ARP主動探測,如果在黑洞路由老化時間內ARP解析成功,則設備馬上刪除此黑洞路由並開始轉發去往該地址的報文,否則設備直接丟棄該報文。在刪除黑洞路由之前,後續去往該地址的IP報文都將被直接丟棄。用戶可以通過命令配置ARP請求報文的發送次數和發送時間間隔。等待黑洞路由老化時間過後,如有報文觸發則再次發起解析,如果解析成功則進行轉發,否則仍然產生一個黑洞路由將去往該地址的報文丟棄。這種方式能夠有效地防止IP報文的攻擊,減輕CPU的負擔。
(1) 進入係統視圖。
system-view
(2) 開啟ARP源抑製功能。
arp source-suppression enable
缺省情況下,ARP源抑製功能處於關閉狀態。
(3) 配置ARP源抑製的閾值。
arp source-suppression limit limit-value
缺省情況下,ARP源抑製的閾值為10。
當用戶配置的ARP主動探測總時長(發送次數×發送時間間隔)大於黑洞路由老化時間時,係統隻會取小於等於該老化時間的最大值作為真正的探測總時長。
當發起ARP主動探測過程結束且生成的黑洞路由還未老化時,設備無法主動對黑洞路由對應的設備進行ARP解析,為了緩解該問題,用戶可以配置較大的發送ARP請求報文次數。
(1) 進入係統視圖。
system-view
(2) 開啟ARP黑洞路由功能。
arp resolving-route enable
缺省情況下,ARP黑洞路由功能處於開啟狀態。
(3) (可選)配置發送ARP請求報文的次數。
arp resolving-route probe-count count
缺省情況下,發送ARP請求報文的次數為3次。
(4) (可選)配置發送ARP請求報文的時間間隔。
arp resolving-route probe-interval interval
缺省情況下,發送ARP請求報文的時間間隔為1秒。
可在任意視圖下執行以下命令,顯示ARP源抑製的配置信息。
display arp source-suppression
某局域網內存在兩個區域:研發區和辦公區,分別屬於VLAN 10和VLAN 20,通過接入交換機連接到網關Device,如圖1-1所示。
網絡管理員在監控網絡時發現辦公區存在大量ARP請求報文,通過分析認為存在IP泛洪攻擊,為避免這種IP報文攻擊所帶來的危害,可采用ARP源抑製功能和ARP黑洞路由功能。
圖1-1 ARP防止IP報文攻擊配置組網圖
· 如果發送攻擊報文的源地址是固定的,需要配置ARP源抑製功能
# 開啟ARP源抑製功能,並配置ARP源抑製的閾值為100。即當每5秒內的ARP請求報文的流量超過100後,對於由此IP地址發出的IP報文,設備不允許其觸發ARP請求,直至5秒後再處理。
<Device> system-view
[Device] arp source-suppression enable
[Device] arp source-suppression limit 100
· 如果發送攻擊報文的源地址是不固定的,需要配置ARP黑洞路由功能
# 開啟ARP黑洞路由功能。
[Device] arp resolving-route enable
ARP報文限速功能是指對上送CPU的ARP報文進行限速,可以防止大量ARP報文對CPU進行衝擊。例如,在配置了ARP Detection功能後,設備會將收到的ARP報文重定向到CPU進行檢查,這樣引入了新的問題:如果攻擊者惡意構造大量ARP報文發往設備,會導致設備的CPU負擔過重,從而造成其他功能無法正常運行甚至設備癱瘓,這個時候可以配置ARP報文限速功能來控製接口收到ARP報文的速率。
設備上配置ARP報文限速功能後,當接口上單位時間收到的ARP報文數量超過用戶設定的限速值,設備處理方式如下:
· 當開啟了ARP模塊的告警功能後,設備將這個時間間隔內的超速峰值作為告警信息發送出去,生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關特性。有關告警信息的詳細介紹請參見“網絡管理和監控命令參考”中的SNMP;
· 當開啟了ARP限速日誌功能後,設備將這個時間間隔內的超速峰值作為日誌的速率值發送到設備的信息中心,通過設置信息中心的參數,最終決定日誌報文的輸出規則(即是否允許輸出以及輸出方向)。有關信息中心參數的配置請參見“設備管理配置指導”中的“信息中心”。
· 建議用戶在配置了ARP Detection、ARP Snooping、ARP快速應答、MFF,或者發現有ARP泛洪攻擊的情況下,配置ARP報文限速功能。
· 為防止過多的告警和日誌信息幹擾用戶工作,用戶可以設定較大的信息發送時間間隔。當用戶設定的時間間隔超時時,設備執行發送告警或日誌的操作。
· 如果開啟了ARP報文限速的告警和日誌功能,並在聚合接口上開啟了ARP報文限速功能,則隻要聚合成員接口上的ARP報文速率超過用戶設定的限速值,就會發送告警和日誌信息。
(1) 進入係統視圖。
system-view
(2) (可選)開啟ARP模塊的告警功能。
snmp-agent trap enable arp [ rate-limit ]
缺省情況下,ARP模塊的告警功能處於關閉狀態。
(3) (可選)開啟ARP報文限速日誌功能。
arp rate-limit log enable
缺省情況下,設備的ARP報文限速日誌功能處於關閉狀態。
(4) (可選)配置當設備收到的ARP報文速率超過用戶設定的限速值時,設備發送告警或日誌的時間間隔。
arp rate-limit log interval interval
缺省情況下,當設備收到的ARP報文速率超過用戶設定的限速值時,設備發送告警或日誌的時間間隔為60秒。
(5) 進入接口視圖。
interface interface-type interface-number
支持的接口類型包括二層以太網接口、二層聚合接口視圖、三層以太網接口和三層聚合接口視圖。
(6) 開啟ARP報文限速功能,並指定ARP報文限速速率。
arp rate-limit [ pps ]
缺省情況下,ARP報文限速功能處於開啟狀態。
本特性根據ARP報文的源MAC地址對上送CPU的ARP報文進行統計,在5秒內,如果收到同一源MAC地址(源MAC地址固定)的ARP報文超過一定的閾值,則認為存在攻擊,係統會將此MAC地址添加到攻擊檢測表項中。當開啟了ARP日誌信息功能(配置arp check log enable命令),且在該攻擊檢測表項老化之前,如果設置的檢查模式為過濾模式,則會打印日誌信息並且將該源MAC地址發送的ARP報文過濾掉;如果設置的檢查模式為監控模式,則隻打印日誌信息,不會將該源MAC地址發送的ARP報文過濾掉。
對於已添加到源MAC地址固定的ARP攻擊檢測表項中的MAC地址,在等待設置的老化時間後,會重新恢複成普通MAC地址。
關於ARP日誌信息功能的詳細描述,請參見“三層技術-IP業務配置指導”中的“ARP”。
切換源MAC地址固定的ARP攻擊檢查模式時,如果從監控模式切換到過濾模式,過濾模式馬上生效;如果從過濾模式切換到監控模式,已生成的攻擊檢測表項,到表項老化前還會繼續按照過濾模式處理。
對於網關或一些重要的服務器,可能會發送大量ARP報文,為了使這些ARP報文不被過濾掉,可以將這類設備的MAC地址配置成保護MAC地址,這樣,即使該設備存在攻擊也不會被檢測或過濾。
(1) 進入係統視圖。
system-view
(2) 開啟源MAC地址固定的ARP攻擊檢測功能,並選擇檢查模式。
arp source-mac { filter | monitor }
缺省情況下,源MAC地址固定的ARP攻擊檢測功能處於關閉狀態。
(3) 配置源MAC地址固定的ARP報文攻擊檢測的閾值。
arp source-mac threshold threshold-value
本命令的缺省情況與設備的型號有關,請以設備的實際情況為準。
(4) 配置源MAC地址固定的ARP攻擊檢測表項的老化時間。
arp source-mac aging-time time
缺省情況下,源MAC地址固定的ARP攻擊檢測表項的老化時間為300秒,即5分鍾。
(5) (可選)配置保護MAC地址。
arp source-mac exclude-mac mac-address&<1-n>
缺省情況下,未配置任何保護MAC地址。
可在任意視圖下執行以下命令,顯示檢測到的源MAC地址固定的ARP攻擊檢測表項。
display arp source-mac { interface interface-type interface-number [ slot slot-number ] | slot slot-number }
可在任意視圖下執行以下命令,顯示丟棄的源MAC地址固定的ARP攻擊報文計數統計信息。
display arp source-mac statistics
display arp source-mac statistics slot slot-number
display arp source-mac statistics chassis chassis-number slot slot-number
請在用戶視圖下執行以下命令,清除源MAC地址固定的ARP攻擊檢測丟棄ARP攻擊報文的計數統計信息。
reset arp source-mac statistics [ interface interface-type interface-number | mac mac-address | vlan vlan-id ] [ slot slot-number ]
某局域網內客戶端通過網關與外部網絡通信,網絡環境如圖1-2所示。
網絡管理員希望能夠防止因惡意用戶對網關Device發送大量ARP報文,造成設備Device癱瘓,並導致其它用戶無法正常地訪問外部網絡;同時,Device對於正常的大量ARP報文仍然會進行處理。
圖1-2 源MAC地址固定的ARP攻擊檢測功能配置組網圖
# 開啟源MAC固定ARP攻擊檢測功能,並選擇過濾模式。
<Device> system-view
[Device] arp source-mac filter
# 配置源MAC固定ARP報文攻擊檢測閾值為30個。
[Device] arp source-mac threshold 30
# 配置源MAC地址固定的ARP攻擊檢測表項的老化時間為60秒。
[Device] arp source-mac aging-time 60
# 配置源MAC固定攻擊檢查的保護MAC地址為0012-3f86-e94c。
[Device] arp source-mac exclude-mac 0012-3f86-e94c
ARP報文源MAC地址一致性檢查功能主要應用於網關設備上,防禦以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同的ARP攻擊。
配置本特性後,網關設備在進行ARP學習前將對ARP報文進行檢查。如果以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同,則認為是攻擊報文,將其丟棄;否則,繼續進行ARP學習。
(1) 進入係統視圖。
system-view
(2) 開啟ARP報文源MAC地址一致性檢查功能。
arp valid-check enable
缺省情況下,ARP報文源MAC地址一致性檢查功能處於關閉狀態。
可在任意視圖下執行以下命令:
顯示ARP攻擊檢測功能丟棄的源MAC地址固定的ARP攻擊報文計數統計信息。
display arp valid-check statistics slot slot-number
請在用戶視圖下執行以下命令,清除ARP報文源MAC地址一致性檢查功能丟棄的ARP報文計數統計信息。
reset arp valid-check statistics { all | slot slot-number }
ARP的主動確認功能主要應用於網關設備上,防止攻擊者仿冒用戶欺騙網關設備。ARP主動確認功能分為非嚴格模式和嚴格模式,這兩種模式的實現如下:
· 配置非嚴格模式的ARP主動確認功能時,處理方式如下:
¡ 收到目標IP地址為自己的ARP請求報文時,設備會發送ARP應答報文,但先不建立對應的表項。同時,設備立即向ARP請求報文的發送端IP地址發送ARP請求,在一個探測周期內如果收到發送端IP地址對應的設備回複的ARP應答報文,則建立ARP表項。
¡ 收到ARP應答報文時,需要確認本設備是否在當前探測時間周期內對該報文中的源IP地址發起過ARP請求:
- 若發起過請求,則設備建立該ARP表項;
- 若未發起過請求,則不建立ARP表項。同時,設備立即向ARP應答報文的發送端IP地址發送ARP請求,在一個探測周期內如果收到發送端IP地址對應的設備回複的ARP應答報文,則建立ARP表項。
· 配置嚴格模式的ARP主動確認功能時,處理方式如下:
¡ 收到目標IP地址為自己的ARP請求報文時,設備會發送ARP應答報文,但不建立ARP表項;
¡ 收到ARP應答報文時,需要確認本設備是否在當前探測時間周期內對該報文中的源IP地址發起過ARP請求:若發起過請求,則設備建立該ARP表項;若未發起過請求,則設備丟棄該報文,不建立表項。
(1) 進入係統視圖。
system-view
(2) 開啟ARP主動確認功能。
arp active-ack [ strict ] enable
缺省情況下,ARP主動確認功能處於關閉狀態。
在嚴格模式下,隻有ARP黑洞路由功能處於開啟狀態,ARP主動確認功能才能生效。
所謂授權ARP(Authorized ARP),就是動態學習ARP的過程中,隻有和DHCP服務器生成的租約或DHCP中繼生成的安全表項一致的ARP報文才能夠被學習。關於DHCP服務器和DHCP中繼的介紹,請參見“三層技術-IP業務配置指導”中的“DHCP服務器”和“DHCP中繼”。
配置接口的授權ARP功能後,可以防止用戶仿冒其他用戶的IP地址或MAC地址對網絡進行攻擊,保證隻有合法的用戶才能使用網絡資源,增加了網絡的安全性。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
支持的接口類型包括三層以太網接口、三層以太網子接口、三層聚合接口、三層聚合子接口、VSI虛接口視圖和VLAN接口視圖。
(3) 開啟授權ARP功能。
arp authorized enable
缺省情況下,接口下的授權ARP功能處於關閉狀態。
· Device A是DHCP服務器,為同一網段中的客戶端動態分配IP地址,地址池網段為10.1.1.0/24。通過在接口GigabitEthernet0/0/1上開啟授權ARP功能來保證客戶端的合法性。
· Device B是DHCP客戶端,通過DHCP協議從DHCP服務器獲取IP地址。
圖1-3 授權ARP功能典型配置組網圖
(1) 配置Device A
# 配置接口的IP地址。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 0/0/1
[DeviceA-GigabitEthernet0/0/1] ip address 10.1.1.1 24
[DeviceA-GigabitEthernet0/0/1] quit
# 開啟DHCP服務。
[DeviceA] dhcp enable
[DeviceA] dhcp server ip-pool 1
[DeviceA-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.0
[DeviceA-dhcp-pool-1] quit
# 進入三層以太網接口視圖。
[DeviceA] interface gigabitethernet 0/0/1
# 開啟接口授權ARP功能。
[DeviceA-GigabitEthernet0/0/1] arp authorized enable
[DeviceA-GigabitEthernet0/0/1] quit
(2) 配置Device B
<DeviceB> system-view
[DeviceB] interface gigabitethernet 0/0/1
[DeviceB-GigabitEthernet0/0/1] ip address dhcp-alloc
[DeviceB-GigabitEthernet0/0/1] quit
Device B獲得Device A分配的IP後,在Device A查看授權ARP信息。
[DeviceA] display arp all
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN/VSI name Interface Aging Type
10.1.1.2 0012-3f86-e94c -- GE0/0/1 960 D
從以上信息可以獲知Device A為Device B動態分配的IP地址為10.1.1.2。
此後,Device B與Device A通信時采用的IP地址、MAC地址等信息必須和授權ARP表項中的一致,否則將無法通信,保證了客戶端的合法性。
· Device A是DHCP服務器,為不同網段中的客戶端動態分配IP地址,地址池網段為10.10.1.0/24。
· Device B是DHCP中繼,通過在接口GigabitEthernet0/0/2上開啟授權ARP功能來保證客戶端的合法性。
· Device C是DHCP客戶端,通過DHCP中繼從DHCP服務器獲取IP地址。
圖1-4 授權ARP功能典型配置組網圖
(1) 配置Device A
# 配置接口的IP地址。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 0/0/1
[DeviceA-GigabitEthernet0/0/1] ip address 10.1.1.1 24
[DeviceA-GigabitEthernet0/0/1] quit
# 開啟DHCP服務。
[DeviceA] dhcp enable
[DeviceA] dhcp server ip-pool 1
[DeviceA-dhcp-pool-1] network 10.10.1.0 mask 255.255.255.0
[DeviceA-dhcp-pool-1] gateway-list 10.10.1.1
[DeviceA-dhcp-pool-1] quit
[DeviceA] ip route-static 10.10.1.0 24 10.1.1.2
(2) 配置Device B
# 開啟DHCP服務。
<DeviceB> system-view
[DeviceB] dhcp enable
# 配置接口的IP地址。
[DeviceB] interface gigabitethernet 0/0/1
[DeviceB-GigabitEthernet0/0/1] ip address 10.1.1.2 24
[DeviceB-GigabitEthernet0/0/1] quit
[DeviceB] interface gigabitethernet 0/0/2
[DeviceB-GigabitEthernet0/0/2] ip address 10.10.1.1 24
# 配置GigabitEthernet0/0/2接口工作在DHCP中繼模式。
[DeviceB-GigabitEthernet0/0/2] dhcp select relay
# 配置DHCP服務器的地址。
[DeviceB-GigabitEthernet0/0/2] dhcp relay server-address 10.1.1.1
# 開啟接口授權ARP功能。
[DeviceB-GigabitEthernet0/0/2] arp authorized enable
[DeviceB-GigabitEthernet0/0/2] quit
# 開啟DHCP中繼用戶地址表項記錄功能。
[DeviceB] dhcp relay client-information record
(3) 配置Device C
<DeviceC> system-view
[DeviceC] ip route-static 10.1.1.0 24 10.10.1.1
[DeviceC] interface gigabitethernet 0/0/2
[DeviceC-GigabitEthernet0/0/2] ip address dhcp-alloc
[DeviceC-GigabitEthernet0/0/2] quit
(1) Device C獲得Device A分配的IP後,在Device B查看授權ARP信息。
[DeviceB] display arp all
Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid
IP address MAC address VLAN/VSI name Interface Aging Type
10.10.1.2 0012-3f86-e94c -- GE0/0/2 960 D
從以上信息可以獲知Device A為Device C動態分配的IP地址為10.10.1.2。
(2) 此後,Device C與Device B通信時采用的IP地址、MAC地址等信息必須和授權ARP表項中的一致,否則將無法通信,保證了客戶端的合法性。
建議在網吧這種環境穩定的小型網絡中使用ARP自動掃描、固化功能。ARP自動掃描功能一般與ARP固化功能配合使用:
· 配置ARP自動掃描功能後,設備會對局域網內的鄰居自動進行掃描(向鄰居發送ARP請求報文,獲取鄰居的MAC地址,從而建立動態ARP表項)。
· 開啟了ARP周期自動掃描功能後,會按照掃描速率周期性的向掃描區間的所有IP地址發送ARP請求報文進行掃描。設備發送ARP報文的速率可在係統視圖下通過arp scan auto send-rate命令設置。
· 如果用戶指定了周期自動掃描的掃描區間並指定了ARP請求報文的源地址,則接口將對ARP掃描區間進行掃描,不判斷與接口網段的交集;如果用戶指定了周期自動掃描的掃描區間但沒有指定ARP請求報文的源地址,則接口將對ARP掃描區間和接口所在網段的交集進行掃描。
· ARP固化用來將當前的ARP動態表項(包括ARP自動掃描生成的動態ARP表項)轉換為靜態ARP表項。通過對動態ARP表項的固化,可以有效防止攻擊者修改ARP表項。
固化後的靜態ARP表項與配置產生的靜態ARP表項相同。
接口上開啟了ARP自動掃描功能後,會向掃描區間的所有IP地址同時發送ARP請求報文,這會造成設備瞬間CPU利用率過高、網絡負載過大的問題。用戶可以通過設置接口發送ARP報文的速率解決此問題。
· 對於已存在ARP表項的IP地址不進行掃描。
· 如果接口下同時配置了ARP自動掃描功能和ARP周期性掃描功能,則兩個功能可以同時生效。通常,僅建議在網絡中用戶頻繁上下線的環境下開啟ARP周期性掃描功能。
· 固化生成的靜態ARP表項數量同樣受到設備可以支持的靜態ARP表項數目的限製,由於靜態ARP表項數量的限製可能導致隻有部分動態ARP表項被固化。
· 通過arp fixup命令將當前的動態ARP表項轉換為靜態ARP表項後,後續學習到的動態ARP表項可以通過再次執行arp fixup命令進行固化。
· 通過固化生成的靜態ARP表項,可以通過命令行undo arp ip-address [ vpn-instance-name ]逐條刪除,也可以通過命令行reset arp all或reset arp static全部刪除。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 開啟ARP自動掃描功能。
arp scan [ start-ip-address to end-ip-address ]
掃描操作可能比較耗時,用戶可以通過<Ctrl_C>來終止掃描(在終止掃描時,對於已經收到的鄰居應答,會建立該鄰居的動態ARP表項)。
(1) 進入係統視圖。
system-view
(2) 設置ARP周期自動掃描速率。
arp scan auto send-rate { ppm ppm | pps }
缺省情況下,ARP周期自動掃描速率為每秒發送48個包。
(3) 進入接口視圖。
interface interface-type interface-number
(4) 開啟ARP周期自動掃描功能。
arp scan auto enable [start-ip-address to end-ip-address [ source-addr source-ip-address ] ]
缺省情況下,接口上的ARP周期性掃描功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 將設備上的動態ARP表項轉化成靜態ARP表項。
arp fixup
配置本功能後,網關設備在進行ARP學習前將對ARP報文進行檢查。如果指定VLAN內的ARP報文的發送端IP地址不在指定源IP地址範圍內,則認為是攻擊報文,將其丟棄;否則,繼續進行ARP學習。
· 當Super VLAN與Sub VLAN間建立映射關係時,本功能在Sub VLAN內配置。
· 如果配置了Primary VLAN和指定的Secondary VLAN間三層互通,則本功能必須Primary VLAN中配置;否則,本功能可在Primary VLAN或任意Secondary VLAN中配置。
(1) 進入係統視圖。
system-view
(2) 進入VLAN視圖。
vlan vlan-id
(3) 配置ARP報文發送端IP地址檢查功能,並配置允許學習ARP報文的發送端IP地址範圍。
arp sender-ip-range start-ip-address end-ip-address
缺省情況下,ARP報文發送端IP地址檢查功能處於關閉狀態。
Device為網關設備連接不同的VLAN。現有如下組網需求:
· 通過創建Super VLAN,實現Device連接的各VLAN用戶(均在10.1.1.0/24網段)之間能夠二層隔離和三層互通,且各VLAN的用戶公用IP地址10.1.1.1/24作為三層通信的網關地址。
· 通過配置ARP報文發送端IP地址檢查功能,實現VLAN 2內隻允許IP地址範圍為10.1.1.1~10.1.1.10的用戶訪網關設備。
圖1-5 ARP報文發送端IP地址檢查功能組網圖
# 創建VLAN 10,配置VLAN接口的IP地址為10.1.1.1/24。
<Device> system-view
[Device] vlan 10
[Device-vlan10] quit
[Device] interface vlan-interface 10
[Device-Vlan-interface10] ip address 10.1.1.1 255.255.255.0
[Device] quit
# 創建VLAN 2,並向VLAN 2中添加端口GigabitEthernet0/0/1和端口GigabitEthernet0/0/2。
[Device] vlan 2
[Device-vlan2] port gigabitethernet 0/0/1 gigabitethernet 0/0/2
[Device-vlan2] quit
# 創建VLAN 3,並向VLAN 3中添加端口GigabitEthernet0/0/3和端口GigabitEthernet0/0/4。
[Device] vlan 3
[Device-vlan3] port gigabitethernet 0/0/3 gigabitethernet 0/0/4
[Device-vlan3] quit
# 創建VLAN 4,並向VLAN 4中添加端口GigabitEthernet0/0/5和端口GigabitEthernet0/0/6。
[Device] vlan 4
[Device-vlan4] port gigabitethernet 0/0/5 gigabitethernet 0/0/6
[Device-vlan4] quit
# 配置VLAN 10為Super VLAN,其關聯的Sub VLAN為VLAN 2、VLAN 3和VLAN 4。
[Device] vlan 10
[Device-vlan10] supervlan
[Device-vlan10] subvlan 2 3 4
[Device-vlan10] quit
# 在VLAN 2內,配置ARP報文發送端IP地址檢查功能,並指定允許學習ARP報文的發送端IP地址範圍為10.1.1.1~10.1.1.10。
[Device] vlan 2
[Device-vlan2] arp sender-ip-range 10.1.1.1 10.1.1.10
完成上述配置後,隻有當VLAN 2內的ARP報文的發送端IP地址屬於10.1.1.1~10.1.1.10地址範圍時,才允許用戶訪問網關設備Device,其他不屬於該地址範圍內的ARP報文將被丟棄。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
