华为交换机 01-02 ARP配置

合集下载

华为交换机防止仿冒网关ARP攻击配置实例

华为交换机防止仿冒网关ARP攻击配置实例

华为交换机防止仿冒网关 ARP 攻击配置实例作者:未知 文章来源:转贴 点击数:1059 更新时间:2007-7-3 16:27:00 二层交换机实现仿冒网关的 ARP 防攻击:一、组网需求:1. 二层交换机阻止网络用户仿冒网关 IP 的 ARP 攻击二、组网图:图 1 二层交换机防 ARP 攻击组网S3552P 是三层设备, 其中 IP: 100.1.1.1 是所有 PC 的网关, S3552P 上的网关 MAC 地址为 000f-e200-3999。

PC-B 上装有 ARP 攻击软件。

现在需要对 S3026C_A 进行一些特殊配置,目的是过滤掉仿冒网关 IP 的 ARP 报文。

三、配置步骤对于二层交换机如 S3026C 等支持用户自定义 ACL(number 为 5000 到 5999)的交换机,可以配置 ACL 来进行 ARP 报文过滤。

全局配置 ACL 禁止所有源 IP 是网关的 ARP 报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中 rule0 把整个 S3026C_A 的端口冒充网关的 ARP 报文禁掉,其中斜体部分 64010101 是网关 IP 地 址 100.1.1.1 的 16 进制表示形式。

Rule1 允许通过网关发送的 ARP 报文,斜体部分为网关的 mac 地址 000f-e200-3999。

注意:配置 Rule 时的配置顺序,上述配置为先下发后生效的情况。

在 S3026C-A 系统视图下发 acl 规则:[S3026C-A] packet-filter user-group 5000这样只有 S3026C_A 上连网关设备才能够发送网关的 ARP 报文,其它主机都不能发送假冒网关的 arp 响应报文。

华为交换机配置命令超详解

华为交换机配置命令超详解

H3C交换机配置命令大全1、system-view 进入系统视图模式2、sysname 为设备命名3、display current-configuration 当前配置情况4、 language-mode Chinese|English 中英文切换5、interface Ethernet 1/0/1 进入以太网端口视图6、 port link-type Access|Trunk|Hybrid 设置端口访问模式7、 undo shutdown 打开以太网端口8、 shutdown 关闭以太网端口9、 quit 退出当前视图模式10、 vlan 10 创建VLAN 10并进入VLAN 10的视图模式11、 port access vlan 10 在端口模式下将当前端口加入到vlan 10中12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中13、port trunk permit vlan all 允许所有的vlan通过H3C路由器1、system-view 进入系统视图模式2、sysname R1 为设备命名为R13、display ip routing-table 显示当前路由表4、 language-mode Chinese|English 中英文切换5、interface Ethernet 0/0 进入以太网端口视图6、配置IP地址和子网掩码7、 undo shutdown 打开以太网端口8、 shutdown 关闭以太网端口9、 quit 退出当前视图模式10、配置静态路由11、配置默认的路由H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Router1、调整超级终端的显示字号;2、捕获超级终端操作命令行,以备日后查对;3、 language-mode Chinese|English 中英文切换;4、复制命令到超级终端命令行,粘贴到主机;5、交换机清除配置 :reset save ;reboot ;6、路由器、交换机配置时不能掉电,连通测试前一定要检查网络的连通性,不要犯最低级的错误。

华为交换机配置方法

华为交换机配置方法

华为交换机配置方法华为交换机是一种高性能网络交换设备,广泛应用于企业、政府机构、教育机构等各种网络环境中。

下面是华为交换机配置的详细方法:登录华为交换机使用终端软件,如SecureCRT或PuTTY,连接到华为交换机的管理口,并输入用户名和密码进行登录。

一般情况下,用户名为admin,密码为admin。

进入系统视图华为交换机采用层级结构的管理视图,系统视图是最高层级的视图。

在登录成功后,可以通过输入system-view命令进入系统视图。

配置基本网络参数在系统视图下,可以配置华为交换机的基本网络参数,包括IP地址、子网掩码、网关和DNS服务器等。

具体命令如下:配置IP地址:interface vlanif 1,ip address 192.168.1.1 24配置网关:ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 配置DNS服务器:ip dns server-address 8.8.8.8其中,vlanif 1是虚拟接口编号,192.168.1.1是华为交换机的IP地址,24是子网掩码的长度,0.0.0.0 0.0.0.0表示默认路由,192.168.1.254是网关的IP地址,8.8.8.8是DNS服务器的IP地址。

配置VLANVLAN是一种虚拟局域网技术,可以将不同的物理端口划分到不同的逻辑网络中。

华为交换机支持IEEE 802.1Q标准的VLAN。

具体命令如下:创建VLAN:vlan batch 10 20配置VLAN接口:interface vlanif 10,ip address 192.168.10.1 24配置端口所属VLAN:interface gigabitethernet 1/0/1,port link-type access,port default vlan 10其中,vlan batch 10 20是批量创建VLAN 10和VLAN 20,interface vlanif 10是VLAN 10的虚拟接口,192.168.10.1是VLAN 10的IP地址,gigabitethernet 1/0/1是物理端口的接口编号。

华为交换机基本配置命令

华为交换机基本配置命令

华为交换机基本配置命令华为交换机基本配置命令一、单交换机VLAN划分以下是单交换机VLAN划分的基本命令:system:进入系统视图。

system-view:进入系统视图。

quit:退出系统视图。

undovlan20:删除vlan20.XXX:交换机命名。

dispvlan:显示vlan。

vlan20:创建vlan(也可进入vlan20)。

porte1/0/1toe1/0/5:把端口1-5放入VLAN20中。

对于5700系列交换机,单个端口放入VLAN的命令如下:XXX]intg0/0/1XXX]portlink-type access(注:接口类型access,hybrid、trunk)XXX]portdefaultvlan10而批量端口放入VLAN的命令如下:XXX]port-group1XXX-port-group-1]group-XXXXXX-port-group-1]porthybriduntaggedvlan3如果需要删除group(组)vlan200内的15端口,可以使用以下命令:XXX]intg0/0/15XXX-XXX]XXX通过group端口限速设置的命令如下:XXX]Port-group2XXX]group-memberg0/0/2tog0/0/23XXX]qoslroutboundcir2000cbs要显示vlan里的端口20,可以使用以下命令:dispvlan20如果需要进入端口24,可以使用以下命令:inte1/0/24要删除当前VLAN端口10,可以使用以下命令:XXX如果需要显示当前配置,可以使用以下命令:dispcurr如果需要保存配置,可以使用以下命令:save如果需要通过关闭日志信息命令改变DS模块来实现关闭配置后的确认信息显示,可以使用以下命令:info-XXXoff如果需要通过打开日志信息命令改变DS模块来实现打开配置后的确认信息显示,可以使用以下命令:info-XXX二、配置交换机支持XXX以下是配置交换机支持XXX的基本命令:system:进入系统视图。

华为交换机防止同网段ARP欺骗攻击配置案例

华为交换机防止同网段ARP欺骗攻击配置案例
注意:配置Rule时的配置顺序,上述配置为先下发后生效的情况。
在S3026C-A系统视图下发acl规则:
[S3026C-A] packet-filter user-group 5000
这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文。
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4
则IP为100.1.1.4并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项。
上述配置案例中仅仅列举了部分Quidway S系列以太网交换机的应用。在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定。仅仅具有上述功能的交换机才能防止ARP欺骗。
1.1.2 配置步骤
对于二层交换机如S3026C等支持用户自定义ACL(number为5000到5999)的交换机,可以配置ACL来进行ARP报文过滤。
全局配置ACL禁止所有源IP是网关的ARP报文
acl um 5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40
rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址100.1.1.5的16进制表示形式。
2 仿冒他人IP的arp攻击
作为网关的设备有可能会出现ARP错误表项,因此在网关设备上还需对仿冒他人IP的ARP攻击报文进行过滤。
如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B的mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是网关(3552P)的,这样3552上就会学习错误的arp,如下所示:

华为路由器交换机配置

华为路由器交换机配置

华为路由器交换机VLAN配置实例()使用4台PC(pc多和少,原理是一样的,所以这里我只用了4台pc),华为路由器(R2621)、交换机(S3026e)各一台,组建一VLAN,实现虚拟网和物理网之间的连接。

实现防火墙策略,和访问控制(ACL)。

方案说明:四台PC的IP地址、掩码如下列表:P1 192.168.1.1 255.255.255.0 网关IP为192.168.1.5P2 192.168.1.2 255.255.255.0 网关IP为192.168.1.5P3 192.168.1.3 255.255.255.0 网关IP为192.168.1.6P4 192.168.1.4 255.255.255.0 网关IP为192.168.1.6路由器上Ethernet0的IP为192.168.1.5Ethernet1的IP为192.168.1.6firewall 设置默认为deny实施命令列表:交换机上设置,划分VLAN:sys//切换到系统视图[Quidway]vlan enable[Quidway]vlan 2[Quidway-vlan2]port e0/1 to e0/8[Quidway-vlan2]quit//默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2[Quidway]vlan 3[Quidway-vlan3]port e0/9 to e0/16[Quidway-vlan3]quit//指定交换机的e0/9 到e0/16八个端口属于VLAN3[Quidway]dis vlan all[Quidway]dis cu路由器上设置,实现访问控制:[Router]interface ethernet 0[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0[Router-Ethernet0]quit//指定ethernet 0的ip[Router]interface ethernet 1[Router-Ethernet1]ip address 192.168.1.6 255.255.255.0[Router-Ethernet1]quit//开启firewall,并将默认设置为deny[Router]fire enable[Router]fire default deny//允许192.168.1.1访问192.168.1.3//firewall策略可根据需要再进行添加[Router]acl 101[Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0 destination 192.168.1.3 255.255.255.0[Router-acl-101]quit//启用101规则[Router-Ethernet0]fire pa 101[Router-Ethernet0]quit[Router-Ethernet1]fire pa 101[Router-Ethernet1]quit华为QuidWay交换机配置命令手册华为QuidWay交换机配置命令手册:1、开始建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console口连接。

华为路由器 配置ARP

华为路由器 配置ARP

华为路由器配置ARP华为路由器配置ARP1、简介本文档介绍了如何配置华为路由器的ARP(地质解析协议)功能。

ARP是一种网络协议,用于将IP地质映射到MAC地质,以实现本地网络设备之间的通信。

2、确认网络拓扑在开始配置ARP之前,需要确认网络拓扑,以确定各设备之间的连接方式和IP地质分配情况。

3、配置基本网络参数首先,通过命令行界面(CLI)或Web界面登录路由器,并进入系统视图。

3.1 设置路由器主机名在系统视图下,使用以下命令设置路由器的主机名:hostname [主机名]3.2 设置IP地质使用以下命令设置路由器的IP地质:interface [接口名称]ip address [IP地质] [子网掩码]3.3 启动接口使用以下命令启动接口:interface [接口名称]undo shutdown4、配置ARP表项在确认网络拓扑后,可以开始配置路由器的ARP表项。

4.1 添加静态ARP表项对于已知的设备,可以手动添加静态ARP表项来加速地质解析过程。

使用以下命令添加静态ARP表项:arp static [IP地质] [MAC地质] interface [接口名称]4.2 添加动态ARP表项对于未知的设备,路由器可以自动添加动态ARP表项。

可以通过以下命令开启ARP动态学习功能:arp learning enable5、配置静态ARP高速缓存为了提高ARP表项的查找速度,可以配置静态ARP高速缓存。

使用以下命令配置静态ARP高速缓存:arp cache enable6、配置ARP缓存超时时间为了控制ARP缓存中的表项有效期,可以配置ARP缓存超时时间。

使用以下命令配置ARP缓存超时时间:arp cache timeout [超时时间]7、配置ARP请求重试次数为了提高地质解析的成功率,可以配置ARP请求的重试次数。

使用以下命令配置ARP请求重试次数:arp retry [重试次数]8、保存配置并重启路由器完成上述配置后,使用以下命令保存配置并重启路由器:savereboot本文档涉及附件:无本文所涉及的法律名词及注释:无。

华为配置静态ARP

华为配置静态ARP

配置静态ARP示例图1 配置静态ARP组网图静态ARP简介静态ARP表项是指网络管理员手工建立IP地址和MAC地址之间固定的映射关系。

正常情况下网络中设备可以通过ARP协议进行ARP表项的动态学习,生成的动态ARP表项可以被老化,可以被更新。

但是当网络中存在ARP攻击时,设备中动态ARP表项可能会被更新成错误的ARP表项,或者被老化,造成合法用户通信异常。

静态ARP表项不会被老化,也不会被动态ARP表项覆盖,可以保证网络通信的安全性。

静态ARP表项可以限制本端设备和指定IP地址的对端设备通信时只使用指定的MAC地址,此时攻击报文无法修改本端设备的ARP表中IP地址和MAC地址的映射关系,从而保护了本端设备和对端设备间的正常通信。

一般在网关设备上配置静态ARP表项。

对于以下场景,用户可以配置静态ARP表项。

•对于网络中的重要设备,如服务器等,可以在交换机上配置静态ARP表项。

这样可以避免交换机上重要设备IP地址对应的ARP表项被ARP攻击报文错误更新,从而保证用户与重要设备之间正常通信。

•当网络中用户设备的MAC地址为组播MAC地址时,可以在交换机上配置静态ARP表项。

缺省情况下,设备收到源MAC地址为组播MAC地址的ARP报文时不会进行ARP学习。

•当希望禁止某个IP地址访问设备时,可以在交换机上配置静态ARP表项,将该IP地址与一个不存在的MAC地址进行绑定。

配置注意事项•设备上配置的静态ARP表项数目不能大于设备静态ARP表项规格,可以执行命令display arp statistics all查看设备上已有的ARP表项数目。

•本举例适用于S系列交换机所有产品的所有版本。

如需了解交换机软件配套详细信息,请点击Info-Finder,在选择产品系列或产品型号后,在“硬件中心”进行查询。

S5731-L和S5731S-L属于远端模块,不支持Web管理、YANG和命令行,仅支持通过中心交换机对其下发配置,相关操作请参见《S300, S500, S2700,S5700, S6700 V200R021C10 配置指南-设备管理》中的“极简架构配置(小行星方案)”。

(完整版)华为交换机配置命令手册.doc

(完整版)华为交换机配置命令手册.doc

为 QuidWay 交换机配置命令手册:1、开始建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的 Console 口连接。

在主机上运行终端仿真程序(如Windows 的超级终端等),设置终端通信参数为:波特率为 9600bit/s 、8 位数据位、 1 位停止位、无校验和无流控,并选择终端类型为 VT100。

以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如 <Quidway>)。

键入命令,配置以太网交换机或查看以太网交换机运行状态。

需要帮助可以随时键入“?“2、命令视图(1)用户视图 (查看交换机的简单运行状态和统计信息)<Quidway>:与交换机建立连接即进入 (2)系统视图 (配置系统参数 )[Quidway]:在用户视图下键入system- view(3)以太网端口视图 (配置以太网端口参数在系统视图下键入(4)VLAN视图 (配置 VLAN参数 )[Quidway-Vlan1]:在系统视图下键入 vlan 1(5)VLAN接口视图 (配置 VLAN和 VLAN汇聚对应的 IP 接口参数 )[Quidway-Vlan-interface1]:在系统视图下键入 interface vlan-interface 1(6)本地用户视图 (配置本地用户参数 )[Quidway-luser-user1]:在系统视图下键入 local-useruser1(7)用户界面视图 (配置用户界面参数 )[Quidway-ui0]:在系统视图下键入 user-interface3、其他命令设置系统时间和时区 <Quidway>clock time Beijing add 8设置交换机的名称 [Quidway]sysname TRAIN-3026-1[TRAIN-3026-1]配置用户登录 [Quidway]user-interface vty 0 4[Quidway-ui-vty0]authentication-mode scheme创建本地用户 [Quidway]local-user huawei[Quidway-luser-huawei]password simple huawei[Quidway-luser-huawei] service-type telnet level3 4、VLAN配置方法『配置环境参数』SwitchA 端口属于 VLAN2,属于 VLAN3『组网需求』把交换机端口加入到VLAN2,加入到 VLAN3数据配置步骤『 VLAN配置流程』(1)缺省情况下所有端口都属于 VLAN 1,并且端口是 access端口,一个access端口只能属于一个 vlan;(2)如果端口是 access端口,则把端口加入到另外一个 vlan 的同时,系统自动把该端口从原来的 vlan 中删除掉;(3)除了 VLAN1,如果 VLAN XX不存在,在系统视图下键入VLAN XX,则创建VLANXX并进入 VLAN视图;如果 VLAN XX已经存在,则进入VLAN视图。

华为交换机 01-02 优先级映射配置

华为交换机 01-02 优先级映射配置

2优先级映射配置关于本章优先级映射配置介绍优先级映射等基本概念并介绍优先级映射的配置方法、配置示例以及常见配置错误。

2.1 优先级映射概述优先级映射用来实现报文携带的QoS优先级与设备内部优先级(又称为本地优先级,是设备内部区分报文服务等级的优先级)之间的转换,从而设备根据内部优先级提供有差别的QoS服务质量。

2.2 设备支持的优先级映射特性介绍优先级映射在设备的支持情况。

2.3 配置优先级映射(S2700SI、S2700EI、S2710SI)配置优先级映射后,设备将根据报文携带的优先级或端口优先级进行优先级映射,确定报文进入的队列和报文出设备时携带的优先级,从而提供差异化的服务。

2.4 配置优先级映射(S2700-52P-EI、S2700-52P-PWR-EI、S3700SI、S3700EI)配置优先级映射后,设备将根据报文携带的优先级或端口优先级进行优先级映射,确定报文进入的队列和报文出设备时携带的优先级,从而提供差异化的服务。

2.5 配置举例通过示例介绍如何应用优先级映射。

配置示例中包括组网需求、配置注意事项、配置思路等。

2.1 优先级映射概述优先级映射用来实现报文携带的QoS优先级与设备内部优先级(又称为本地优先级,是设备内部区分报文服务等级的优先级)之间的转换,从而设备根据内部优先级提供有差别的QoS服务质量。

用户可以根据网络规划在不同网络中使用不同的QoS优先级字段,例如在VLAN网络中使用802.1p,IP网络中使用DSCP,MPLS网络中使用EXP。

当报文经过不同网络时,为了保持报文的优先级,需要在连接不同网络的设备上配置这些优先级字段的映射关系。

当设备连接不同网络时,所有进入设备的报文,其外部优先级字段(包括802.1p、DSCP和MPLS EXP)都被映射为内部优先级;设备发出报文时,将内部优先级映射为某种外部优先级字段。

2.2 设备支持的优先级映射特性介绍优先级映射在设备的支持情况。

华为交换机 01-02 ARP配置

华为交换机 01-02 ARP配置
缺省情况下,动态ARP表项的老化超时时间为1200秒,即20分钟。 步骤4 执行命令arp detect-times detect-times,设置动态ARP表项的老化探测次数。
缺省情况下,动态ARP表项的老化探测次数为3次。 步骤5 执行命令arp detect-mode unicast,配置接口以单播方式发送ARP老化探测报文。
静态ARP表项不会被老化, 不会被动态ARP表项覆盖, 只能通过手工配置和维护。
说明 静态ARP可以提高网络通信的 安全性,但是如果有大量的表 项,将增加配置和维护的成 本。
应用场景
动态ARP表项由ARP协议通 过ARP报文自动生成和维 护。
对于网络中重要设备,如服 务器等,可以在设备上将与 其通信的成员的IP地址和 MAC地址映射关系配置为静 态ARP表项。这种静态映射 关系不会被伪造的ARP报文 动态改写,从而避免服务器 等设备受到网络攻击。
说明
配置静态ARP表项虽然可以保护ARP表不被改写,但是配置工作量大,不适用于主机IP地址可能 发生更改的网络环境,建议在比较小的网络里使用。
操作步骤
步骤1 执行命令system-view,进入系统视图。
文档版本 07 (2020-04-15)
版权所有 © 华为技术有限公司
12
S2700, S3700 系列以太网交换机 配置指南-IP 业务
2 ARP 配置
2 ARP 配置
关于本章
ARP(Address Resolution Protocol)是一种地址解析协议。通过ARP协议,建立IP地 址与MAC地址之间的映射,实现以太网数据帧在物理网络中的传送。
2.1 ARP概述 ARP提供了一种将IP地址解析为MAC地址的解析机制,是以太网通信的基础。

华为交换机基础配置教程

华为交换机基础配置教程

1:配置登录用户,口令等<Quidway> //用户直行模式提示符,用户视图<Quidway>system-view //进入配置视图[Quidway] //配置视图(配置密码后必须输入密码才可进入配置视图)[Quidway] sysname xxx //设置主机名成为xxx这里使用[Quidway] aaa //进入aaa认证模式定义用户账户[Quidway-aaa] local-user wds password cipher wds[Quidway-aaa] local-user wds level 15[Quidway-aaa] local-user wds service-type telnet terminal ssh //有时候这个命令是最先可以运//行的,上边两个命令像password,level都是定义完vty 的// authentication-mode aaa后才出现[Quidway-aaa] quit[Quidway] user-interface vty 0 4 //当时很奇怪这个命令就是找不到,最后尝试了几次才能运行[Quidway-ui-vty0-4] authentication-mode aaa[Quidway-ui-vty0-4] quit2:华为S9303 VLan设置创建vlan:<Quidway> //用户直行模式提示符,用户视图<Quidway>system-view //进入配置视图[Quidway] vlan 10 //创建vlan 10,并进入vlan10配置视图,如果vlan10存在就直接进入vlan10配置视图[Quidway-vlan10] quit //回到配置视图[Quidway] vlan 100 //创建vlan 100,并进入vlan100配置视图,如果vlan10存在就直接进入vlan100配置视图[Quidway-vlan100] quit //回到配置视图将端口加入到vlan中:[Quidway] interface GigabitEthernet2/0/1 (10G光口)[Quidway- GigabitEthernet2/0/1] port link-type access //定义端口传输模式[Quidway- GigabitEthernet2/0/1] port default vlan 100 //将端口加入vlan100[Quidway- GigabitEthernet2/0/1] quit[Quidway] interface GigabitEthernet1/0/0 //进入1号插槽上的第一个千兆网口配置视图中。

华为AR系列路由器 01-02 ARP配置

华为AR系列路由器 01-02 ARP配置

2 ARP配置关于本章地址解析协议ARP(Address Resolution Protocol)是用来将IP地址解析为MAC地址的协议。

2.1 ARP简介介绍ARP的定义和作用。

2.2 ARP原理描述介绍ARP的实现原理。

2.3 ARP配置任务概览ARP表项分为动态ARP表项和静态ARP表项两种。

设备支持调整动态ARP老化参数和配置静态ARP表项,还支持一些扩展ARP的应用,比如Proxy ARP等。

2.4 ARP配置注意事项介绍ARP的配置注意事项。

2.5 ARP缺省配置介绍ARP相关参数的缺省配置。

2.6 配置ARP介绍ARP详细的配置过程。

2.7 维护ARP维护ARP包括查看ARP表项、清除ARP表项和监控ARP运行状况。

2.8 ARP配置举例配置示例中包括组网需求、配置思路等。

2.1 ARP简介介绍ARP的定义和作用。

定义地址解析协议ARP(Address Resolution Protocol)是用来将IP地址解析为MAC地址的协议。

目的在局域网中,当主机或其它三层网络设备有数据要发送给另一台主机或三层网络设备时,它需要知道对方的网络层地址(即IP地址)。

但是仅有IP地址是不够的,因为IP报文必须封装成帧才能通过物理网络发送,因此发送方还需要知道接收方的物理地址(即MAC地址),这就需要一个从IP地址到MAC地址的映射。

ARP即可以实现将IP地址解析为MAC地址。

主机或三层网络设备上会维护一张ARP表,用于存储IP地址和MAC地址的关系。

一般ARP表项包括动态ARP表项和静态ARP表项。

2.2 ARP原理描述介绍ARP的实现原理。

2.2.1 动态ARP定义动态ARP表项由ARP协议通过ARP报文自动生成和维护,可以被老化,可以被新的ARP报文更新,可以被2.2.2 静态ARP表项覆盖。

动态ARP适用于拓扑结构复杂、通信实时性要求高的网络。

ARP地址解析过程动态ARP通过广播ARP请求和单播ARP应答这两个过程完成地址解析。

华为低端交换机ARP攻击的处理

华为低端交换机ARP攻击的处理

ARP攻击的处理:1 故障现象网管段设备ping不通交换机下挂的设备,但登陆交换机可ping通下挂设备,查看cpu利用率,达到50%以上(正常情况下低于20%),再查看交换机端口状态,存在有端口in方向流量远远高于out方向流量,且以广播包为主,可能该端口下有设备中毒而对交换机进行arp攻击。

2 故障处理2.1 应急处理应急处理:交换机进入该端口,输入broadcast-suppression 1,broadcast-suppression命令用来在接口下设置广播风暴抑制比,输入命令后,抑制比为1%。

2.2抓包处理1、抓包确定攻击源。

进入隐含模式:[DCN_GuoDa_S3528_1]_检查CPU是否有丢包:[DCN_GuoDa_S3528_1-hidecmd ] ip showvarRun mode 3 gDrvRtListHead 17fac58 g_ulDrvRtNum 1973 g_ulDefaultRtID 0g_pstCurRef 2764188 g_pstArpShadowHead 1a3d1e4 g_pstArpHead 1a45564g_ulARPNum 80 g_ulRtID 291 g_ulCurID 223 g_pusArpIndexMng 3af6c7cg_usArpIndexStackTop 80 g_ulNextHopNum 4096 g_ulDropID 16 g_ulTrapID 17g_bNSFull 0 g_uc_HashLen 8 g_ulTrapID_2 18 g_ulCoreAPIErrCounter 227419g_ulMulticastErr 0ulQueueTotallimit 300, 200, 300, 300, 300, 300, 300, 300ulQueueTotalCounters 0, 8, 12, 95, 0, 2, 0, 1 //共8个队列,有计数标识某个队列有丢包。

最新华为交换机基本配置命令(2)

最新华为交换机基本配置命令(2)

最新华为交换机基本配置命令(2)2016最新华为交换机基本配置命令network 192.168.5.0 定义IPnetwork 192.168.3.0 定义IPdisp ip rout 查看路由接口R2:int e1/0 进入e1/0端口ip address 192.168.4.1 255.255.255.0 设置IPint e2/0 进入e2/0端口ip adress 192.168.5.2 255.255.255.0 设置IPrip 设置动态路由network 192.168.5.0 定义IPnetwork 192.168.4.0 定义IPdisp ip rout 查看路由接口(注意:两台PC机的网关设置PC1 IP:192.168.3.1 PC2 IP:192.168.4.1)七、IP访问列表int e1/0ip address 192.168.3.1 255.255.255.0int e2/0ip address 192.168.1.1 255.255.255.0int e3/0ip address 192.168.2.1 255.255.255.0acl number 2001 (2001-2999属于基本的访问列表)rule 1 deny source 192.168.1.0 0.0.0.255 (拒绝地址192.168.1.0网段的`数据通过)rule 2 permit source 192.168.3.0 0.0.0.255(允许地址192.168.3.0网段的数据通过)以下是把访问控制列表在接口下应用:firewall enablefirewall default permitint e3/0firewall packet-filter 2001 outbounddisp acl 2001 显示信息undo acl number 2001 删除2001控制列表扩展访问控制列表acl number 3001rule deny tcp source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 destination-port eq ftp必须在r-acl-adv-3001下才能执行rule permit ip source an destination any (rule permit ip)int e3/0firewall enable 开启防火墙firewall packet-filter 3001 inbound必须在端口E3/0下才能执行八、命令的标准访问IP列表(三层交换机):允许A组机器访问服务器内资料,不允许访问B组机器(服务器没有限制)sysvlan 10name servervlan 20name teachervlan 30name studentint e1/0/5port access vlan 10int e1/0/10port access vlan 20int e1/0/15port access vlan 30int vlan 10ip address 192.168.10.1 255.255.255.0undo shint vlan 20ip address 192.168.20.1 255.255.255.0int vlan 30ip address 192.168.30.1 255.255.255.0acl number 2001rule 1 deny source 192.168.30.0 0.0.0.255rule 2 permit source anydisp acl 2001 查看2001列表int e1/0/10port access vlan 20packet-filter outbound ip-group 2001 rule 1出口九、允许A机器访问B机器的FTP但不允许访问WWW,C机器没有任何限制。

华为交换机静态ARP与动态ARP结合使用配置示例

华为交换机静态ARP与动态ARP结合使用配置示例

华为交换机静态ARP与动态ARP结合使用配置示例1、组网需求图1 动态ARP与静态ARP组网示例图如上图1所示,Switch的接口GE1/0/1通过LAN Switch(即LSW)连接主机,接口GE1/0/2连接Server。

要求:GE1/0/1属于VLAN2,GE1/0/2属于VLAN3。

为了适应网络的快速变化,保证报文的正确转发,在Switch的接口VLANIF2上配置动态ARP的参数。

为了保证Server的安全性,防止其他设备仿冒Server发送非法ARP报文,在Switch的接口GE1/0/2上增加一个静态ARP表项,表项的IP地址为10.2.2.3,对应的MAC地址为00e0-fc01-0000。

2、配置思路2.1、创建VLAN,并将接口加入到VLAN中。

2.2、配置用户侧VLANIF接口的动态ARP的参数。

2.3、配置静态ARP表项。

3、操作步骤3.1、创建VLAN,并将接口加入到VLAN中。

# 创建VLAN2和VLAN3。

<HUAWEI> system-view[HUAWEI] vlan batch 2 3# 将接口GE1/0/1加入VLAN2中,接口GE1/0/2加入VLAN3中。

[HUAWEI] interface gigabitethernet 1/0/1[HUAWEI-GigabitEthernet1/0/1] port link-type trunk[HUAWEI-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 [HUAWEI-GigabitEthernet1/0/1] quit[HUAWEI] interface gigabitethernet 1/0/2[HUAWEI-GigabitEthernet1/0/2] port link-type access[HUAWEI-GigabitEthernet1/0/2] port default vlan 3[HUAWEI-GigabitEthernet1/0/2] quit3.2、配置VLANIF接口的动态ARP的参数。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

2.5 优化动态 ARP
ARP表项动态学习是主机和交换机本身就具有的功能,并且设备的缺省状态即为ARP表 项动态学习,不需要使用命令启动此功能。但根据网络需要,用户可以调整动态ARP 的一些参数。
前置任务
在优化动态ARP之前,需完成以下任务: ● 配置接口的链路层协议参数,使接口的链路协议状态为Up。
2.2 设备支持的 ARP 特性
ARP可以分为静态和动态两种。设备还支持一些扩展ARP的应用,比如Proxy ARP、出 口ARP检测EAI(Egress ARP Inspection)功能以及配置IP地址冲突检测功能。
动态 ARP 和静态 ARP 对比
ARP表项分为动态ARP表项和静态ARP表项。动态ARP和静态ARP的概念、表项生成与 维护情况和应用场景如表2-1所示。
该场景存在这样一个问题:当SwitchB接收到ARP请求报文时,SwitchB会在整个VLAN 内广播该ARP请求报文,增大了该VLAN内的网络负荷。
图 2-1 EAI 功能组网图 SwitchA
DHCP Server SwitchB
VLAN2 VLANIF 2 10.10.10.12/24
UserC
S2700, S3700 系列以太网交换机 配置指南-IP 业务
2 ARP 配置
2 ARP 配置
关于本章
ARP(Address Resolution Protocol)是一种地址解析协议。通过ARP协议,建立IP地 址与MAC地址之间的映射,实现以太网数据帧在物理网络中的传送。
2.1 ARP概述 ARP提供了一种将IP地址解析为MAC地址的解析机制,是以太网通信的基础。
表 2-1 动态 ARP 与静态 ARP 对比表
特性 概念
表项生成与维护情况
动态 ARP
设备通过ARP 协议自动生 成和维护ARP 表项。
● 动态ARP表项可以被老 化,可以被新的ARP报文 更新,可以被静态ARP表 项覆盖。
● ARP表项缺省学习方式为 动态学习,动态维护。
静态 ARP
静态ARP表项 是指通过手 动配置,建 立IP地址和 MAC地址之 间固定的映 射关系。
2.5 优化动态ARP ARP表项动态学习是主机和交换机本身就具有的功能,并且设备的缺省状态即为ARP表 项动态学习,不需要使用命令启动此功能。但根据网络需要,用户可以调整动态ARP 的一些参数。
2.6 配置Proxy ARP 交换机可以作为ARP请求中目标主机的代理,代为回答一些特殊情况下不可达的ARP请 求。
2.5.1 调整动态 ARP 的老化参数
背景信息
ARP老化参数包括老化超时时间、老化探测次数和老化探测模式。合理的调整老化参 数,可以提高网络可靠性。
调整动态ARP参数主要是调整以下参数:
● 调整动态ARP表项的老化时间,当表项到达老化时间时,设备向表项对应的出接 口发送ARP请求报文,同时启动表项探测功能。如果ARP表项的老化时间设置太 小,会使得ARP请求报文的发送太过频繁,建议使用默认的老化时间,即20分 钟。
2 ARP 配置
步骤2 执行命令arp static ip-address mac-address [ vpn-instance vpn-instance-name [ vid vlan-id ] ]或者执行命令arp static ip-address mac-address vid vlan-id [ interface interface-type interface-number ],配置静态ARP表项。
● VLAN间Proxy ARP:主要用于实 现属于不同VLAN或者不同SubVLAN间但在同一网段的网络设备 的互通。
出口ARP检测EAI(Egress ARP Inspection)功能
如图2-1所示,SwitchB上行连接三层交换机SwitchA(DHCP Server),下挂用户主 机。各用户主机同属于VLAN2,并通过DHCP方式获取IP地址。
● 调整动态ARP表项的老化探测次数,即在将一个动态ARP表项被老化删除之前,系 统需要进行探测,如果超过设置的探测次数后设备仍没有收到应答来刷新此表 项,则此ARP表项将被删除。
● 调整动态ARP表项的老化探测模式,ARP表项老化之前,接口会发送ARP老化探测 报文。
说明
● 当对端设备的IP地址不变化而MAC地址频繁更新时,建议使用广播模式发送ARP老化探 测报文。
缺省情况下,接口以广播方式发送ARP老化探测报文。 ----结束
2.5.2 使能 ARP 抑制功能
背景信息
在特殊组网或者遭受到ARP攻击时,系统在同一时间内会接收到多个源IP地址相同的 ARP报文,这就需要系统对ARP表项进行重复更新。为了维护系统性能,系统可以启动 ARP抑制功能,即在1s内收到多次源IP地址相同的ARP报文,系统将只通知发送ARP报 文的设备已收到ARP报文,而不更新设备的ARP表。
文档版本 07 (2020-04-15)
版权所有 © 华为技术有限公司
11
S2700, S3700 系列以太网交换机 配置指南-IP 业务
2 ARP 配置
ARP-CPCAR 注意事项
CPCAR通过对上送控制平面的不同业务的协议报文分别进行限速,来保护控制平面的 安全。设备针对每类协议报文都有缺省的CPCAR值,部分协议报文的CPCAR值需要根 据实际业务规模和具体的用户网络环境进行调整。
调整CPCAR不当将会影响网络业务,如果需要调整ARP请求报文和ARP应答报文的 CPCAR,建议联系华为工程师处理。
说明
采用缺省CPCAR值情况下,建议S2700和S3700EI上每秒发送88个ARP Request报文或者ARP Reply报文。
2.3 缺省配置
介绍ARP相关参数的缺省配置。 ARP的缺省配置如表2-3所示。
2.7 配置出口ARP检测功能 配置出口ARP检测功能,设备可以限制ARP报文的转发范围,防止ARP报文在VLAN内 广播,减小了VLAN内的网络负荷。
2.8 配置IP地址冲突检测功能 配置IP地址冲突检测功能,设备可以通过ARP报文检测网络中存在的IP地址冲突。
2.9 维护ARP 维护ARP包括清除ARP表项、监控ARP运行状况。
2.2 设备支持的ARP特性 ARP可以分为静态和动态两种。设备还支持一些扩展ARP的应用,比如Proxy ARP、出 口ARP检测EAI(Egress ARP Inspection)功能以及配置IP地址冲突检测功能。
2.3 缺省配置 介绍ARP相关参数的缺省配置。
2.4 配置静态ARP 配置静态ARP表项可以增加通信的安全性。
操作步骤
步骤1 执行命令system-view,进入系统视图。 步骤2 执行命令arp-suppress enable,使能当前设备上的ARP抑制功能。
缺省情况下,ARP抑制功能关闭,只对VLANIF进行抑制。 ----结束
ARP 支持的扩展应用
ARP还支持扩展应用,如表2-2所示。
文档版本 07 (2020-04-15)
版权所有 © 华为技术有限公司
10
S2700, S3700 系列以太网交换机 配置指南-IP 业务
2 ARP 配置
表 2-2 ARP 支持的其他扩展应用功能及其应用场景
功能
概念
应用场景
Proxy ARP
缺省情况下,动态ARP表项的老化超时时间为1200秒,即20分钟。 步骤4 执行命令arp detect-times detect-times,设置动态ARP表项的老化探测次数。
缺省情况下,动态ARP表项的老化探测次数为3次。 步骤5 执行命令arp detect-mode unicast,配置接口以单播方式发送ARP老化探测报文。
● 当对端设备MAC地址不变,当前网络带宽资源特别紧缺,建议使用单播模式发送ARP老 化探测报文。
文档版本 07 (2020-04-15)
版权所有 © 华为技术有限公司
13
S2700, S3700 系列以太网交换机 配置指南-IP 业务
2 ARP 配置
操作步骤
步骤1 执行命令system-view,进入系统视图。 步骤2 执行命令interface interface-type interface-number,进入接口视图。 步骤3 执行命令arp expire-time expire-time,设置动态ARP表项的老化超时时间。
----结束
检查配置结果
完成配置后,可以按以下指导来检查配置结果。
● 执行命令display arp vpn-instance vpn-instance-name [ dynamic | static ], 基于VPN实例查看ARP映射表。
● 执行命令display arp static,查看静态ARP映射表。
当主机或其它网络设备有数据要发送给另一个主机或设备时,它需要知道对方的网络 层地址(即IP地址)。但是仅有IP地址是不够的,IP数据报文必须封装成帧才能通过物 理网络发送,因此发送方还必须有接收方的物理地址,这就需要一个从IP地址到物理 地址的映射。地址解析协议ARP(Address Resolution Protocol)可以将IP地址解析为 MAC地址。
交换机可以作为ARP请求 中目标主机的代理,代 为回答一些特殊情况下 不可达的ARP请求。
Proxy ARP可以分为三种:
● 路由式Proxy ARP:主要用于使IP 地址属于同一网段却不属于同一物 理网络的设备能够相互通信。
● VLAN内Proxy ARP:主要用于同 一VLAN内被隔离的网络设备间的 互通。
UserB 10.10.10.0/24
VLAN2
UserA
为了解决上述问题,设备提供了EAI功能,该功能需要与DHCP Snooping功能配合使 用。在SwitchB的VLAN2里部署EAI功能后,SwitchB会利用ARP请求报文的目的IP地址 匹配DHCP Snooping动态绑定表来确定该报文的出接口。如果存在该ARP报文的目的 IP地址匹配的表项,则直接将ARP报文发至该绑定关系的出接口(当匹配的是静态绑定 关系表时,由于静态绑定关系表可能未指定出接口,则SwitchB使用该绑定关系中的 MAC地址查询动态MAC表获取出接口),否则将其转发至信任接口或者丢弃该ARP报 文。
相关文档
最新文档