交换机ARP和端口配置
交换机的几种配置模式的介绍
交换机的几种配置模式介绍2016-08-03弱电行业网交换机的几种配置模式简介1、普通用户模式开机直接进入普通用户模式•在该模式下我们只能查询交换机的一些基础信息.如版本号(ShoW VerSion )等。
2、特权用户模式在普通用户模式下输入enable命令即可进入特权用户模式.在该模式下我们可以查看交换机的配置信息和调试信息等等。
3、全局配置模式在特权用户模式下输入C terminal命令即可进入全局配置模式.在该模式下主要完成全局参数的配置.具体配置以后介绍。
4、接口配置模式在全局配置模式下输入in terface in terface-list 即可进入接口配置模式.在该模式下主要完成接口参数的配置.具体配置以后介绍。
5、vlan配置模式在全局配置模式下输入vlan vlan-number 即可进入vlan 配置模式.在该配置模式下可以完成vlan 的一些相关配置。
6、恢复交换机的缺省配置在实验开始时. 为了不让实验受交换机以前的配置影响. 常常需要先恢复交换机的缺省配置。
在特权用户模式下顺序使用erase.restet 命令即可恢复交换机的缺省配置。
交换机说明说明1:在实验环境中. 如果配置两个vlan :vlan1.vlan2. 注意其中vlan1 是交换机默认的vlan. 既不能创建也不能删除. 所有端口都属于vlan1. 所以应该首先创建vlan2. 然后为各个vlan 分配端口( switchport interface-list )。
说明2:① 在使用命令行进行配置的时候. 在任何模式下均可以使用“?” 来帮助我们完成配置。
② 使用“?”可以查询任何模式下可以使用的命令; 或者某参数后面可以输入的参数; 或者以某字母开始的命令。
例如在全局配置模式下输入“?”或“ ShoW ? ”或“ s?”.可以看看它们分别有什么帮助信息显示。
如果你不能确认当前模块所在的插槽的编号•可以通过命令行中的show命令来查看插槽以及插槽上的端口信息;也可以在路由器特权EXEC^式下执行show VerSiOn命令.在路由器版本信息中有每个模块所在插槽编号的信息。
迈普交换机配置
迈普交换机基本配置一. 基本配置进入特权模式:Switch> enSwitch#进入全局模式:Switch# config terminalSwitch(Config)#退出命令exit举例:Switch#exitSwitch>帮助命令help举例:Switch>helpenable -- Enable Privileged modeexit -- Exit telnet session时钟配置:clock set <HH:MM:SS> <YYYY/MM/DD>功能:设置系统日期和时钟。
参数:<HH:MM:SS >为当前时钟,HH 取值范围为0~23,MM 和SS 取值范围为0~59;< YYYY/MM/DD >为当前年、月和日,YYYY 取值范围为2000~2035,MM 取值范围为1~12,DD 取值范围为1~31。
举例:设置交换机当前日期为2002年8月1日23时0分0秒。
Switch# clock set 23:0:0 2002.8.1相关命令:show clock超时设置:exec timeout <minutes >功能:设置退出特权用户配置模式超时时间。
参数:< minute >为时间值,单位为分钟,取值范围为0~300。
命令模式:全局配置模式。
缺省情况:系统缺省为5分钟。
使用指南:为确保交换机使用的安全性,防止非法用户的恶意操作,当特权用户在做完最后一项配置后,开始计时,到达设置时间值时,系统就自动退出特权用户配置模式。
数值为0表示没有超时。
举例:设置交换机退出特权用户配置模式的超时时间为6分钟。
Switch(Config)# exec timeout 6↵修改交换机的主机名hostname XXX举例:设置提示符为Test。
Switch(Config)#hostname TestTest(config)#保存交换机配置的命令:write重启交换机的命令:reload恢复交换机出厂配置命令:set default举例:Switch#set defaultAre you sure? [Y/N] = ySwitch#writeSwitch#reload更改语言命令:language {chinese|english}功能:设置显示的帮助信息的语言类型。
华为交换机防止同网段ARP欺骗攻击配置案例
在S3026C-A系统视图下发acl规则:
[S3026C-A] packet-filter user-group 5000
这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文。
am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4
则IP为100.1.1.4并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过,从而不会出现错误ARP表项。
上述配置案例中仅仅列举了部分Quidway S系列以太网交换机的应用。在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定。仅仅具有上述功能的交换机才能防止ARP欺骗。
1.1.2 配置步骤
对于二层交换机如S3026C等支持用户自定义ACL(number为5000到5999)的交换机,可以配置ACL来进行ARP报文过滤。
全局配置ACL禁止所有源IP是网关的ARP报文
acl um 5000
rule 0 deny 0806 ffff 24 64010101 ffffffff 40
rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址100.1.1.5的16进制表示形式。
2 仿冒他人IP的arp攻击
作为网关的设备有可能会出现ARP错误表项,因此在网关设备上还需对仿冒他人IP的ARP攻击报文进行过滤。
如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B的mac (000d-88f8-09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是网关(3552P)的,这样3552上就会学习错误的arp,如下所示:
华为交换机端口汇聚的配置
交换机端口汇聚的配置一、实验目的通过对交换机端口汇聚的配置,了解交换机端口的一些基本配置信息,并掌握相关的重要命令,利用交换机Console口命令对交换机进行配置,明白端口汇聚的作用。
二、实验内容1、修改交换机主机名2、修改交换机端口地址与属性3、配置交换机端口的静态MAC 地址表4、实现交换机的端口汇聚三、网络实验图PC机四、实验步骤(1)、按拓扑图连线连线:按拓扑图将Switch1的E1/0/1与Switch2的E0/1相连,Switch1的E1/0/2与Switch2的E0/2相连,PC机COM口与Switch1的Console口相连,网线与E0/24相连。
(2)、设置Switch1的E1/0/1和E1/0/2端口<Quidway>sysSystem View: return to User View with Ctrl+Z. [Quidway]sysname switch1[switch1]interface ethernet 1/0/1[switch1-Ethernet0/1]speed 100[switch1-Ethernet0/1]duplex full[switch1-Ethernet0/1]int e1/0/2[switch1-Ethernet0/2]speed 100[switch1-Ethernet0/2]duplex full[switch1-Ethernet0/2]quit(3)、设置Switch2的E0/1和E0/2端口<Quidway>sysSystem View: return to User View with Ctrl+Z. [Quidway]sysname switch2[switch2]interface ethernet 0/1[switch2-Ethernet0/1]speed 100[switch2-Ethernet0/1]duplex full[switch2-Ethernet0/1]int e0/2[switch2-Ethernet0/2]speed 100[switch2-Ethernet0/2]duplex full[switch2-Ethernet0/2]quit(4)、汇聚交换机的E0/1和E0/2端口交换机Switch1上端口汇聚[switch1-Ethernet1/0/2]quit[switch1]link-aggregation group 1 mode static[switch1]interface e1/0/1[switch1-Ethernet1/0/1]port link-aggregationgroup 1[switch1-Ethernet1/0/1]interface e1/0/2[switch1-Ethernet1/0/2]port link-aggregationgroup 1交换机Switch2上端口汇聚[switch2]link-aggregation e0/1 to e0/2 both(5)、配置交换机1的VLAN1地址[switch1]int vlan-interface 1[switch1-Vlan-interface1]%Apr 2 00:01:27:508 2000 switch1 L2INF/5/VLANIFLINK STATUS CHANGE:- 1 - Vlan-interface1: is UP[switch1-Vlan-interface1]ip address192.168.1.1 255.255.255.0[switch1-Vlan-interface1]%Apr 2 00:01:41:967 2000 switch1IFNET/5/UPDOWN:- 1 -Line protocol on the interface Vlan-interface1 is UP[switch1-Vlan-interface1]quit[switch1]disp int vlan 1Vlan-interface1 current state :UP Line protocol current state :UP IP Sending Frames' Format is PKTFMT_ETHNT_2,Hardware address is 000f-e220-938b Internet Address is 19Description : HUAWEI, Quidway Series,Vlan-interface1 Interface The Maximum Transmit Unit is 1500(6)、配置交换机2的VLAN1地址[switch2]interface vlan-interface 1[switch2-Vlan-interface1]ip address192.168.1.2 255.255.0[switch2-Vlan-interface1]quit[switch2]disp interface vlan 1Vlan-interface1 current state :UPDLine protocol current state :UP[switch2-Ethernet1/0/2]IP Sending Frames' Format is PKTFMT_ETHNT_2,Hardware address is 000f-e220-938bNGE:- 1-8:01:04 2000 switch2 ARP/4/DUPIFIP:Duplicateaddress 192.168.1.2 on VLInternet Address is 192.168.1.2/24 Primary227634, ifAdminStatus is 1, ifOperStatuN1,Description : HUAWEI, Quidway Series,Vlan-interface1 Interface-Vlan-interfas is 2%Apr 1 23:57:54:1000 2000 switch2The Maximum Transmit Unit is 1500(7)、测试汇聚结果[switch1]ping 192.168.1.2PING 192.168.1.2: 56 data bytes, press CTRL_Cto break Reply from 192.168.1.2: bytes=56 Sequence=1ttl=254 time=27 ms Reply from 192.168.1.2: bytes=56 Sequence=2ttl=254 time=7 ms Reply from 192.168.1.2: bytes=56 Sequence=3ttl=254 time=7 msReply from 192.168.1.2: bytes=56 Sequence=4ttl=254 time=20 ms Reply from 192.168.1.2: bytes=56 Sequence=5ttl=254 time=14 ms--- 192.168.1.2 ping statistics --- 5 packet(s) transmitted 5 packet(s) received0.00% packet lossround-trip min/avg/max = 7/15/27 ms(8)、验证端口汇聚[switch1]display mac-addressMAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)000f-e21a-ec6f 1 Learned Ethernet1/0/1 AGING0016-ec0b-d89b 1 Learned Ethernet1/0/1 AGING00e0-4c90-3da5 1 Learned Ethernet1/0/24 AGING--- 2 mac address(es) found --- [switch1]int e1/0/1[switch1-Ethernet1/0/1]shutdown[switch1-Ethernet1/0/1]#Apr 2 00:07:49:321 2000 switch1 L2INF/2/PORTLINK STATUS CHANGE:- 1 - Trap 1.3.6.1.6.3.1.1.5.3: portIndex is 4227626, ifAdminStatus is 2, ifOperStatu s is 2#Apr 2 00:07:49:514 2000 switch1LAGG/2/AggPortInactive:- 1 -Trap 1.3.6.1.4.1.2 011.5.25.25.2.2: TrapIndex 31465473 AggregationGroup 1: port member Ethernet1/0 /1 is INACTIVE!#Apr 2 00:07:49:731 2000 switch1LAGG/2/AggPortRecoverActive:- 1 -Trap 1.3.6.1.4.1.2011.5.25.25.2.2: TrapIndex 31465474A t1/0/2 is now ACTIVE!%Apr 2 00:07:49:947 2000 switch1 L2INF/5/PORTLINK STATUS CHANGE:- 1 -Ethernet1/0/1: is DOWN[switch1-Ethernet1/0/1]quit[switch1]ping 192.168.1.2PING 192.168.1.2: 56 data bytes, press CTRL_C to breakReply from 192.168.1.2: bytes=56 Sequence=1 ttl=254 time=9 msReply from 192.168.1.2: bytes=56 Sequence=2 ttl=254 time=13 msReply from 192.168.1.2: bytes=56 Sequence=3 ttl=254 time=19 msReply from 192.168.1.2: bytes=56 Sequence=4 ttl=254 time=8 msReply from 192.168.1.2: bytes=56 Sequence=5 ttl=254 time=10 ms--- 192.168.1.2 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 8/11/19 ms[switch1]disp mac-addressMAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)000f-e21a-ec6f 1 Learned Ethernet1/0/2 AGING0016-ec0b-d89b 1 Learned Ethernet1/0/2 AGING00e0-4c90-3da5 1 Learned Ethernet1/0/24 AGING--- 3 mac address(es) found ---五、实验小结由显示的MAC地址看出,此时MAC地址000f-e21a-ec6f、0016-ec0b-d89b都在E0/2端口所连接的网段上。
arp攻击与防范
arp攻击与防范如今互联网的重要性越来越大,很多人也对一些知识很感兴趣,那么你知道arp攻击与防范吗?下面是店铺整理的一些关于arp攻击与防范的相关资料,供你参考。
arp攻击与防范:一、要想防患arp攻击,那么我们要知道什么是arp?ARP:地址解析协议,用于将32位的IP地址解析成48位的物理mac地址。
在以太网协议中,规定同一局域网中的主机相互通信,必须知道对方的物理地址(即mac地址),而在tcp/ip协议中,网络层和传输层只关心目标主机的ip地址。
这就导致在以太网中使用IP协议时,数据链路层的以太网协议接到上层的IP协议提供的数据中,只包含目的主机的IP地址。
所以就需要一种协议,根据目的的IP地址,获得其mac 地址。
所以arp协议就应运而生。
另外,当发送主机和目的主机不在同一个局域网中时,即便知道目的主机的MAC地址,两者也不能直接通信,必须经过路由转发才可以。
所以此时,发送主机通过ARP协议获得的将不是目的主机的真实MAC地址,而是一台可以通往局域网外的路由器的某个端口的MAC 地址。
于是此后发送主机发往目的主机的所有帧,都将发往该路由器,通过它向外发送。
这种情况称为ARP代理(ARP Proxy)。
二、arp攻击的原理ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
三、什么是ARP欺骗在局域网中,黑客经过收到ARP Request广播包,能够偷听到其它节点的 (IP, MAC) 地址, 黑客就伪装为A,告诉B (受害者) 一个假地址,使得B在发送给A 的数据包都被黑客截取,而A, B 浑然不知。
H3C交换机基本配置命令大全介绍
H3C交换机基本配置命令大全介绍交换机工作于OSI参考模型的第二层,即数据链路层。
交换机内部的CPU会在每个端口成功连接时,通过将MAC地址和端口对应,形成一张MAC表,其中H3C交换机是比较常用的一种,那么有哪些配置命令呢?这篇文章主要介绍了H3C交换机基本配置命令明细一览,需要的朋友可以参考下1:配置登录用户,口令等//用户直行模式提示符,用户视图system-view //进入配置视图[H3C] //配置视图(配置密码后必须输入密码才可进入配置视图)[H3C] sysname xxx //设置主机名成为xxx这里使用修改特权用户密码system-view[H3C]super password level 3 cipher/simple xxxxx //设置本地登录交换机命令[H3C] aaa //进入aaa认证模式定义用户账户[H3C-aaa] local-user duowan password cipher duowan[H3C-aaa] local-user duowan level 15[H3C-aaa] local-user duowan service-type telnet terminal ssh //有时候这个命令是最先可以运 //行的,上边两个命令像password,level都是定义完vty 的 // authentication-mode aaa后才出现[H3C-aaa] quit[H3C] user-interface vty 0 4 //当时很奇怪这个命令就是找不到,最后尝试了几次才能运行[H3C-ui-vty0-4] authentication-mode aaa[H3C-ui-vty0-4] quit单独设置远程登录账户:system-view[H3C]user-interface vty 0 4[H3C-ui-vty0-4]authentication-mode password //设置登录模式[H3C-ui-vty0-4]user privilege level 3 //管理权限配置,3为管理级权限[H3C-ui-vty0-4]set authentication password cipher 123456 //设置登录密码以密文方式登录[H3C-ui-vty0-4]quit[H3C]2:H3C VLan设置创建vlan://用户直行模式提示符,用户视图system-view //进入配置视图[H3C] vlan 10 //创建vlan 10,并进入vlan10配置视图,如果vlan10存在就直接进入vlan10配置视图[H3C-vlan10] quit //回到配置视图[H3C] vlan 100 //创建vlan 100,并进入vlan100配置视图,如果vlan10存在就直接进入vlan100配置视图[H3C-vlan100] quit //回到配置视图将端口加入到vlan中:[H3C] interface GigabitEthernet2/0/1 (10G光口)[H3C- GigabitEthernet2/0/1] port link-type access //定义端口传输模式[H3C- GigabitEthernet2/0/1] port default vlan 100 //将端口加入vlan100[H3C- GigabitEthernet2/0/1] quit[H3C] interface GigabitEthernet1/0/0 //进入1号插槽上的第一个千兆网口配置视图中。
交换机ARP和端口配置
网关
192.168.0.254 001a.a908.9f0b 192.168.0.1 00d0.f800.0001 192.168.0.2 00d0.f800.0002
PC1
PC2
8
ARP表变化-ARP Request
• ARP Request报文更新ARP表的条件
ARP报文中Target IP为自己 用ARP报文中的Sender MAC与Sender IP更新自己的ARP 表
192.168.0.2 00d0.f800.0002
10
ARP表变化- Gratuitous ARP
• Gratuitous ARP报文更新ARP表的条件
Gratuitous ARP是一种特殊的ARP Request/Replay报文,即Sender IP与 Target IP一致 ARP报文中Target IP为自己 用ARP报文中的Sender MAC与Sender IP更新自己的ARP表 网关
6
课程内容
• • • • 第一章: 第一章:ARP协议原理 协议原理 第二章: 第二章:ARP欺骗攻击概述 欺骗攻击概述 第三章:常见ARP欺骗“应付”手段 欺骗“ 第三章:常见 欺骗 应付” 第四章:锐捷网络ARP欺骗解决方案 第四章:锐捷网络ARP欺骗解决方案
7
正常情况下的ARP表
PC与设备之间相互通信后形成的ARP表
25
两个概念
• 安全地址
主机真实的IP与MAC地址 在主机发送ARP报文前获得
• ARP报文校验
检查ARP报文中Sender’s MAC与安全地址中的MAC是否一 致,否则丢弃 检查ARP报文中Sender’s IP与安全地址中的IP是否一致, 否则丢弃
博达交换机配置说明
博达交换机配置说明博达交换机常用功能配置提示符状态定义Switch>用户模式(enable命令进入特权模式)Switch#特权模式(Config命令进入全局配置模式)Switch_config#全局配置模式Switch_config_f0/1#端口配置模式常用命令:1、AAA认证Enable密码认证必设、登录密码认证和line密码认证二选一全局配置模式下:(1)设置登录密码认证aaa authentication login default localusername bdcom password bdcom(2)设置enable密码认证aaa authentication enable default enableenable password bdcom(3)设置line密码认证aaa authentication login default line!line console 0password bdcom!line vty 0 4password bdcom!(4)密码加密service password-encryption2、Radius认证全局配置模式下设置对登录用户进行Radius认证aaa authentication login default group radius设置Radius服务器:radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 设置Radius Key:radius-server key bdcom3、生成树全局配置模式spanning-tree mode sstpspanning-tree mode rstpspanning-tree mode mstp相关查看命令show spanning-tree4、Logging日志全局配置模式(关闭)开启日志功能(缺省开启)(no)logging on记录日志到服务器logging 192.168.1.1记录日志到本地缓冲区(机器重启后消失)logging buffered 4096005、VLAN全局模式,创建VLANVlan 1-10,15,20-30进入端口模式,将端口加入某个VLAN interface FastEthernet0/1switchport pvid 10!查看命令:Show vlan6、端口模式全局模式下,进入端口模式,配置端口为802.1Q Trunk模式interface FastEthernet0/1switchport mode trunk!全局模式下,进入端口模式,配置端口为802.1Q Access模式(交换机端口缺省配置)interface FastEthernet0/1switchport mode access!7、邻居发现协议全局模式,启用CDP协议查看邻居:show pdp neighbor8、广播、组播风暴抑制端口配置模式(500个包每秒)storm-control broadcast threshold 500storm-control multicast threshold 500思科的配置:端口下配置,端口带宽的百分比>> storm-control broadcast level 1.00>> storm-control multicast level 1.00按照100Mbps的1%计算即1Mbps,250Kbytes/s,按照一个报文500字节平均长度计算,就是500个包/秒9、端口环路检测全局模式:设置端口检测到环路shutdown之后,30秒钟端口重启动errdisable-recover keepalive interval 30端口模式,开启keepalive端口环路检测功能Keepalive (0-32767秒,缺省12秒)10、交换机命名全局模式hostname BDCOM_S202611、端口保护全局模式下switchport protected注:配置了该命令的端口之间不能互相访问。
华为交换机 01-02 ARP配置
缺省情况下,动态ARP表项的老化探测次数为3次。 步骤5 执行命令arp detect-mode unicast,配置接口以单播方式发送ARP老化探测报文。
静态ARP表项不会被老化, 不会被动态ARP表项覆盖, 只能通过手工配置和维护。
说明 静态ARP可以提高网络通信的 安全性,但是如果有大量的表 项,将增加配置和维护的成 本。
应用场景
动态ARP表项由ARP协议通 过ARP报文自动生成和维 护。
对于网络中重要设备,如服 务器等,可以在设备上将与 其通信的成员的IP地址和 MAC地址映射关系配置为静 态ARP表项。这种静态映射 关系不会被伪造的ARP报文 动态改写,从而避免服务器 等设备受到网络攻击。
说明
配置静态ARP表项虽然可以保护ARP表不被改写,但是配置工作量大,不适用于主机IP地址可能 发生更改的网络环境,建议在比较小的网络里使用。
操作步骤
步骤1 执行命令system-view,进入系统视图。
文档版本 07 (2020-04-15)
版权所有 © 华为技术有限公司
12
S2700, S3700 系列以太网交换机 配置指南-IP 业务
2 ARP 配置
2 ARP 配置
关于本章
ARP(Address Resolution Protocol)是一种地址解析协议。通过ARP协议,建立IP地 址与MAC地址之间的映射,实现以太网数据帧在物理网络中的传送。
2.1 ARP概述 ARP提供了一种将IP地址解析为MAC地址的解析机制,是以太网通信的基础。
H3C-ARP命令
【描述】
arp static 命令用来配置 ARP 映射表中的静态 ARP 表项。undo arp 命令用来删除 ARP 表项。 缺省情况下,系统 ARP 映射表为空,地址映射由 ARP 协议动态获取。 需要注意的是:
z 静态 ARP 表项在以太网交换机正常工作时间内一直有效,但如果执行删除 VLAN 或把端口从 VLAN 中删除等使 ARP 表项不再合法的操作,则相应的静 态 ARP 表项将被自动删除。
【视图】 系统视图、以太网端口视图
【参数】 ip-address:ARP 表项的 IP 地址部分。 mac-address:ARP 表项的 MAC 地址部分,格式为 H-H-H。 vlan-id:静态 ARP 表项所属的 VLAN,取值范围为 1~4094。 interface-type:静态 ARP 表项所属端口的端口类型。 interface-number:静态 ARP 表项所属端口的端口编号。
H3C S5100-SI/EI 系列以太网交换机 命令手册 ARP
目录
目录
第 1 章 ARP配置 .....................................................................................................................1-1 1.1 ARP配置命令 ..................................................................................................................... 1-1 1.1.1 arp check enable ..................................................................................................... 1-1 1.1.2 arp detection enable................................................................................................ 1-1 1.1.3 arp detection trust ................................................................................................... 1-2 1.1.4 arp restricted-forwarding enable ............................................................................. 1-3 1.1.5 arp static.................................................................................................................. 1-4 1.1.6 arp timer aging ........................................................................................................ 1-5 1.1.7 display arp ............................................................................................................... 1-5 1.1.8 display arp | ............................................................................................................. 1-6 1.1.9 display arp count ..................................................................................................... 1-7 1.1.10 display arp detection statistics interface ............................................................... 1-8 1.1.11 display arp timer aging .......................................................................................... 1-9 1.1.12 gratuitous-arp-learning enable ............................................................................ 1-10 1.1.13 reset arp .............................................................................................................. 1-10
2-ARP及交换机配置交流
15
预防措施
1,及时升级客户端的操作系统和应用程式补丁; 2,安装和更新杀毒软件。 3,如果网络规模较少,尽量使用手动指定IP 设置,而不
是使用 DHCP 来分配IP 地址。
4,如果交换机支持,在交换机上绑定MAC 地址与IP 地 址。(不过这个实在不是好主意)
10
ARP攻击临时处理对策 步骤2续
手工绑定的命令为: arp –s 218.197.192.254 00-01-02-03-04-05 。 绑定完,可再用arp –a查看arp缓存,如下: C:\Documents and Settings>arp -a
Interface: 218.197.192.1 --- 0x2
9
ARP攻击临时处理对策 步骤2
2. 如果已经有网关的正确MAC地址,在不能上网时,手动将网关IP和正 确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MSDOS窗口下运行以下 命令: arp –s 网关IP 网关MAC 例如:假设 计算机所处网段的网关为218.197.192.254,本机地址为 218.197.192.1在计算机上运行arp –a后输出如下: C:\Documents and Settings>arp -a Interface: 218.197.192.1 --- 0x2 Internet Address 218.197.192.254 Physical Address 00-01-02-03-04-05 Type dynamic
访问外网
IP Address 1.1.1.5 MAC 3-3-3 Type Dynamic
已更新
ARP表项更新为 IP Address 1.1.1.5 MAC 2-2-2 Type Dynamic IP Address G 1.1.1.1 MAC G 1-1-1
交换机配置实验
确保网线连接稳定,没有松动或 断线。
实验目的与要求
掌握交换机的配置命令和基本 操作。
能够进行VLAN划分、端口配 置等基本配置。
理解交换机的工作原理和作用。
02
交换机基本配置
登录交换机
连接交换机
使用控制线将计算机连接到交换机的控制台 端口。
启动交换机
给交换机加电,观察交换机的启动过程。
登录交换机
03
通过亲手配置交换机,我不仅掌握了理论知识,还提高了实践
能力,为日后的工作和学习打下了坚实的基础。
实验不足与改进
实验时间不足
由于实验时间有限,我在某些配置环节上可能没有做到位,需要 更多的时间来深入研究和探索。
理论知识掌握不够扎实
在实验过程中,我发现自己对交换机的理论知识掌握不够扎实,需 要加强学习,深入理解交换机的原理和工作机制。
探索网络安全配置
在掌握基本配置的基础上,可以 进一步探索网络安全配置,如 VPN设置、访问控制列表等,提 高网络安全防护能力。
THANKS FOR WATCHING
感谢您的观看
04
交换机VLAN配置
创建VLAN
要点一
总结词
在交换机上创建VLAN是实现网络隔离和安全性的重要步骤 。
要点二
详细描述
通过VLAN,可以将网络划分为多个逻辑上的子网,每个 VLAN可以包含多个端口,以便更好地管理网络流量和安全 性。在交换机上创建VLAN需要指定VLAN ID和名称,并可 以选择性地配置VLAN属性,如访问控制列表和IP地址。
交换机配ห้องสมุดไป่ตู้实验
目录
• 实验准备 • 交换机基本配置 • 交换机端口配置 • 交换机VLAN配置 • 交换机安全配置 • 实验总结与思考
华为交换机静态ARP与动态ARP结合使用配置示例
华为交换机静态ARP与动态ARP结合使用配置示例1、组网需求图1 动态ARP与静态ARP组网示例图如上图1所示,Switch的接口GE1/0/1通过LAN Switch(即LSW)连接主机,接口GE1/0/2连接Server。
要求:GE1/0/1属于VLAN2,GE1/0/2属于VLAN3。
为了适应网络的快速变化,保证报文的正确转发,在Switch的接口VLANIF2上配置动态ARP的参数。
为了保证Server的安全性,防止其他设备仿冒Server发送非法ARP报文,在Switch的接口GE1/0/2上增加一个静态ARP表项,表项的IP地址为10.2.2.3,对应的MAC地址为00e0-fc01-0000。
2、配置思路2.1、创建VLAN,并将接口加入到VLAN中。
2.2、配置用户侧VLANIF接口的动态ARP的参数。
2.3、配置静态ARP表项。
3、操作步骤3.1、创建VLAN,并将接口加入到VLAN中。
# 创建VLAN2和VLAN3。
<HUAWEI> system-view[HUAWEI] vlan batch 2 3# 将接口GE1/0/1加入VLAN2中,接口GE1/0/2加入VLAN3中。
[HUAWEI] interface gigabitethernet 1/0/1[HUAWEI-GigabitEthernet1/0/1] port link-type trunk[HUAWEI-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 [HUAWEI-GigabitEthernet1/0/1] quit[HUAWEI] interface gigabitethernet 1/0/2[HUAWEI-GigabitEthernet1/0/2] port link-type access[HUAWEI-GigabitEthernet1/0/2] port default vlan 3[HUAWEI-GigabitEthernet1/0/2] quit3.2、配置VLANIF接口的动态ARP的参数。
华为22-ARP命令
1.1.2 arp detection enable
第 3 章 Resilient ARP 配置命令...............................................................................................3-1 3.1 Resilient ARP 配置命令 ..................................................................................................... 3-1 3.1.1 display resilient-arp ................................................................................................. 3-1 3.1.2 resilient-arp enable.................................................................................................. 3-2 3.1.3 resilient-arp interface vlan-interface ........................................................................ 3-2
交换机解决ARP攻击的配置
交换机配置解决ARP攻击如何来解决ARP攻击没有实在太好的解决办法,目前有几种方法不过不能彻底解决像在DHC P上设置保留、在本机上设置IP与MAC绑定、装防护软件等,作用不大。
下面我来介绍一种方法,那就是在交换机上做IP与MAC绑定。
Cisco中有以下三种方案可供选择,方案1和方案2实现的功能是一样的,即在具体的交换机端口上绑定特定的主机的MAC地址(网卡硬件地址),方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址(网卡硬件地址)和IP地址。
方法1——基于端口的MAC地址绑定思科2950交换机为例,登录进入交换机,输入管理口令进入配置模式:Switch#config terminal#进入配置模式Switch(config)# Interface fastethernet 0/1#进入具体端口配置模式Switch(config-if)#Switchport port-secruity#配置端口安全模式Switch(config-if )switchport port-security mac-address 0009.6bc4.d4bf (主机的MAC地址)#配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address 0009.6bc4.d 4bf (主机的MAC地址)#删除绑定主机的MAC地址注意:以上命令设置交换机上某个端口绑定一个具体的MAC地址,这样只有这个主机可以使用网络,如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用,除非删除或修改该端口上绑定的MAC地址,才能正常使用。
以上功能适用于思科2950、3550、4500、6500系列交换机方法2——基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC10#定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any#定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf#定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20#进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in#在该端口上应用名为MAC10的访问列表(即前面我们定义的访问策略)Switch(config)no mac access-list extended MAC10#清除名为MAC10的访问列表此功能与应用与第一种方法相同,但它是基于端口做的MAC地址访问控制列表限制,可以限定特定源MAC地址与目的地址范围。
H3C_S3100系列以太网交换机_操作手册-Release_22XX系列(V1.00)-ARP操作
目录1 ARP配置............................................................................................................................................1-11.1 ARP简介............................................................................................................................................1-11.1.1 ARP作用.................................................................................................................................1-11.1.2 ARP报文结构..........................................................................................................................1-11.1.3 ARP表.....................................................................................................................................1-21.1.4 ARP地址解析过程...................................................................................................................1-31.1.5 ARP入侵检测简介...................................................................................................................1-31.1.6 ARP报文限速功能简介...........................................................................................................1-41.1.7 免费ARP简介..........................................................................................................................1-51.2 配置ARP............................................................................................................................................1-51.2.1 ARP基本配置..........................................................................................................................1-51.2.2 配置ARP入侵检测功能...........................................................................................................1-51.2.3 配置ARP报文限速功能...........................................................................................................1-71.3 配置免费ARP....................................................................................................................................1-81.4 ARP的显示和维护.............................................................................................................................1-81.5 ARP典型配置举例.............................................................................................................................1-91.5.1 ARP基本配置举例...................................................................................................................1-91.5.2 ARP入侵检测与ARP报文限速配置举例..................................................................................1-91 ARP配置1.1 ARP简介1.1.1 ARP作用ARP(Address Resolution Protocol,地址解析协议)用于将网络层的IP地址解析为数据链路层的物理地址。
06_三层转发及ARP操作命令
三层转发及ARP操作命令目录目录第1章 L3转发配置命令.............................................................1-11.1 三层接口配置命令............................................................................1-11.1.1 bandwidth...........................................................................................................1-11.1.2 shutdown.............................................................................................................1-11.1.3 interface vlan......................................................................................................1-11.1.4 interface loopback..............................................................................................1-21.1.5 ip address............................................................................................................1-21.2 三层开关配置命令............................................................................1-31.2.1 l3 enable..............................................................................................................1-31.2.2 ip-forward l3.......................................................................................................1-31.2.3 ip-forward lpm...................................................................................................1-31.3 IP路由聚合配置命令.........................................................................1-41.3.1 ip fib optimize.....................................................................................................1-41.4 ARP转发配置命令.............................................................................1-41.4.1 arp........................................................................................................................1-41.4.2 clear arp-cache...................................................................................................1-51.4.3 debug arp............................................................................................................1-51.4.4 ip proxy-arp........................................................................................................1-51.4.5 l3 hashselect........................................................................................................1-61.4.6 show arp..............................................................................................................1-6第1章 L3转发配置命令1.1 三层接口配置命令1.1.1 1.1.2 1.1.3bandwidth命令:bandwidth <bandwidth>no bandwidth功能:配置interface vlan 的带宽。
H3CNE交换机端口安全配置(802.1x 端口隔离 端口绑定) 交换机-端口绑定与端口安全
H3C端口绑定与端口安全端口安全:1.启用端口安全功能[H3C]port-security enable2.配置端口允许接入的最大MAC地址数[H3C-Ethernet1/0/3]port-security max-mac-count count-value缺省情况下,最大数不受限制为03.配置端口安全模式[H3C-Ethernet1/0/3]port-security port-mode { autolearn |noRestriction… }4.手动添加Secure MAC地址表项[H3C-Ethernet1/0/3] mac-address security mac-address vlan vlan-id5.配置Intrusion Protection(Intrusion Protection被触发后,设置交换机采取的动作)[H3C-Ethernet1/0/3]port-security intrusion-mode { blockmac | disableport | disableport -temporarily }验证命令:display port-security [ interface interface-list ] 显示端口安全配置的相关信息display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ]显示Secure MAC地址的配置信息端口+IP+MAC绑定方法一:[H3C]am user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106 interface Ethernet 1/0/3方法二:[H3C-Ethernet1/0/3] am user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106验证命令:[H3C]display am user-bind 显示端口绑定的配置信息端口+IP绑定[H3C-Ethernet1/0/3] am user-bind ip-addr 192.168.1.106注:交换机只要接收一个3层表项,交换机使用动态ARP产生一条arp条目。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 产生原因
发送ARP Request后,为接收ARP Reply做准备
• 大量存在的原因
同网段扫描(主机) 跨网段扫描(网络设备)
12
主机或网络设备怎样判断IP冲突
• IP地址发生冲突的条件
收到Gratuitous ARP报文,且Sender/Target IP与当前IP一 致,但Sender MAC与当前MAC不同 当针对主机或网络设备发送上述报文时,即为IP冲突攻击
交换机端口形成的硬件资源表项 通过硬件对报文的转发进行判断
交换机端口
转发
ACE 丢弃
• 端口策略
未配置安全地址时
• permit any any any any
配置安全地址后
• • • • permit mac1 ip1 any any permit mac2 ip2 any any permit macN ipN any any deny any any any any
ARP表中同一个MAC对应许多IP地址
19
课程内容
• • • • 第一章: 第一章:ARP协议原理 协议原理 第二章: 第二章:ARP欺骗攻击概述 欺骗攻击概述 第三章:常见ARP欺骗“应付”手段 欺骗“ 第三章:常见 欺骗 应付” 第四章:锐捷网络ARP欺骗解决方案 第四章:锐捷网络ARP欺骗解决方案
192.168.0.254 001a.a908.9f0b 192.168.0.1 00d0.f800.0001
PC1
Cheat( Gratuitous ARP) ( ) PC2
192.168.0.2 00d0.f800.0002
11
理解invalid ARP表项
• Invalid ARP表项
ARP表中的MAC地址为全零(Windows主机)或“No completed”(网络设备)
转发 丢弃
CPU
交换机端口
注意事项:DAI功能开启开启 后,如果DHCP Snooping表 为空,则所有的ARP报文将被 丢弃
合法ARP报文
非法ARP报文
0/1比特位
31
1.1、port-security + ARP-check方 案概述
• 原理
通过port-security功能将用户正确的IP与MAC写入交换机端 口ACE 使用ARP-check功能校验ARP报文的正确性
• DAI + PVLAN
DAI为动态ARP检测,网关 通过DHCP Snooping确保网 关ARP表的正确性,即防止 了网关型ARP欺骗的发生 PVLAN的isolate vlan方式将 主机之间的通讯隔离,防止 了主机型ARP欺骗的发生 网关设备与接入设备必须同 时支持相应的功能,同时主 机之间将不能互访,致使很 多局域网通讯失效。
ARP报文 ARP报文
ARP报文校验 ARP报文校验
ARP报文S/T字段是否 与安全地址一致
否
丢弃
是
转发
27
安全地址
• 定义
主机的真实信息 IP+MAC地址组成
• 获取方式
手工指定
• port-security
自动获取
• DHCP Snooping理
• 什么是ACE
6
课程内容
• • • • 第一章: 第一章:ARP协议原理 协议原理 第二章: 第二章:ARP欺骗攻击概述 欺骗攻击概述 第三章:常见ARP欺骗“应付”手段 欺骗“ 第三章:常见 欺骗 应付” 第四章:锐捷网络ARP欺骗解决方案 第四章:锐捷网络ARP欺骗解决方案
7
正常情况下的ARP表
PC与设备之间相互通信后形成的ARP表
17
判断ARP欺骗攻击-主机
• 怎样判断是否受到了ARP欺骗 攻击?
网络时断时续或网速特别慢 在命令行提示符下执行“arp –d”命 arp –d” 令就能好上一会
在命令行提示符下执行“arp –a”命 令查看网关对应的MAC地址发生了 改变
18
判断ARP欺骗攻击-网关设备
• 网关设备怎样判断是否受到了ARP欺骗攻击?
锐捷防ARP欺骗解决方案 锐捷防ARP欺骗解决方案 ARP
学习目标
• 掌握ARP协议及ARP欺骗原理 • 掌握锐捷网络防ARP欺骗解决方案的应用场合 • 掌握锐捷网络防ARP欺骗解决方案的配置
3
课程内容
• • • • 第一章: 第一章:ARP协议原理 协议原理 第二章: 第二章:ARP欺骗攻击概述 欺骗攻击概述 第三章:常见ARP欺骗“应付”手段 欺骗“ 第三章:常见 欺骗 应付” 第四章:锐捷网络ARP欺骗解决方案 第四章:锐捷网络ARP欺骗解决方案
• 中国科技大学:对于异常多arp请求,请禁用xx防火墙的arp攻击防御 功能 • 中山大学:当打开xx防火墙的arp防护功能时,防火墙会以每秒1000个 arp包的向外广播,询问同一个地址 • 四川大学:装xx防火墙的主机在发现网上有ARP欺骗的时候会发送大 量广播包,致使正常网络出现中断
22
3、常见ARP欺骗“应付”手段
192.168.0.2 00d0.f800.0002
10
ARP表变化- Gratuitous ARP
• Gratuitous ARP报文更新ARP表的条件
Gratuitous ARP是一种特殊的ARP Request/Replay报文,即Sender IP与 Target IP一致 ARP报文中Target IP为自己 用ARP报文中的Sender MAC与Sender IP更新自己的ARP表 网关
ARP报文中Target IP为自己 当前ARP表中已存在Sender IP的表项 用ARP报文中的Sender MAC与Sender IP更新自己的ARP 表
网关
192.168.0.254 001a.a908.9f0b 192.168.0.1 00d0.f800.0001
PC1
Cheat(ARP Reply) ( ) PC2
网关
192.168.0.254 001a.a908.9f0b 192.168.0.1 00d0.f800.0001 192.168.0.2 00d0.f800.0002
PC1
PC2
8
ARP表变化-ARP Request
• ARP Request报文更新ARP表的条件
ARP报文中Target IP为自己 用ARP报文中的Sender MAC与Sender IP更新自己的ARP 表
20
1、常见ARP欺骗“应付”手段-双 向绑定
• 手工设置静态ARP表项
静态ARP优先级高于动态ARP表项 可有效解决 分别在网关设备与用户主机上配置静态ARP表项 ARP欺骗 工作维护量大,网关设备、用户都需要进行操作
21
2、常见ARP欺骗“应付”手段ARP防火墙
• ARP防火墙
软件定期向网关发送Gratuitous ARP,以通告自己正确的 ARP信息 不能解决 ARP欺骗 发送频率过高严重占用网络带宽 发送频率过低则达不到防范目的 惹祸的ARP防火墙(摘录自部分著名院校网络中心通知)
支持DAI功能 可有效解决 的网关设备
ARP欺骗
支持PVLAN 的接入设备
23
课程内容
• • • • 第一章: 第一章:ARP协议原理 协议原理 第二章: 第二章:ARP欺骗攻击概述 欺骗攻击概述 第三章:常见ARP欺骗“应付”手段 欺骗“ 第三章:常见 欺骗 应付” 第四章:锐捷网络ARP欺骗解决方案 第四章:锐捷网络ARP欺骗解决方案
4
ARP协议原理
ARP协议是“Address Resolution Protocol” (地址解析协议)的缩写。根据TCP/IP层次模型, 在以太网中,一个主机要和另一个主机进行直接 通信,必须知道目标主机的MAC地址。 在现实环境中,一般采用IP地址标示通信的 对象,而ARP的功能就是将IP翻译成对应的MAC地 址。 IP: IP:姓名
5
ARP过程
正常的ARP通讯过程只需广播ARP Request和单播ARP Replay两个 过程,简单的说就是一问一答:
ARP request
PC1
IP:192.168.0.1 MAC:00d0.f800.0001
ARP reply
PC2
PC3
PCN
IP:192.168.0.2 MAC:00d0.f800.0002
合法IP+MAC报文
非法IP+MAC报文
0/1比特位
29
ARP报文校验方式一(ARP-check)
• ARP-check
原理:
• 提取ACE中IP+MAC对的信息 • 在原有ACE(过滤IP+MAC) 的基础上形成新的ACE(过滤 ARP) 交换机端口
转发 ACE 丢弃
应用后端口策略
• permit mac1 ip1 any any • permit arp 源MAC1 源IP1 any any • deny any any any any
网关
192.168.0.1 00d0.f800.0001
PC1
Gratuitous ARP
PC2
192.168.0.1 00d0.f800.0002
13
ARP欺骗攻击分类-主机型
• 主机型ARP欺骗
欺骗者主机冒充网关设备对其他主机进行欺骗
网关
嗨,我是网关
PC 1
欺骗者
14
ARP欺骗攻击分类-网关型
网关
192.168.0.254 001a.a908.9f0b 192.168.0.1 00d0.f800.0001
PC1
Cheat(ARP Request) ( ) PC2
192.168.0.2 00d0.f800.0002