交换机ARP攻击检测功能配置示例

华为交换机防ARP攻击配置手册ARP防攻击配置下表列出了本章所包含的内容。

3.1 ARP地址欺骗防攻击3.1.1 ARP地址欺骗防攻击简介ARP协议缺少安全保障机制，维护起来耗费人力，且极易受到攻击。

●对于静态配置IP地址的网络，目前只能通过配置静态ARP方式防止ARP表项被非法修改，但是配置繁琐，需要花费大量人力去维护，极不方便；●对于动态配置IP地址的网络，攻击者通过伪造其他用户发出的ARP报文，篡改网关设备上的用户ARP表项，可以造成其他合法用户的网络中断。

图3-1 ARP地址欺骗攻击示意图如图3-1所示，A为合法用户，通过交换机G与外界通讯：攻击者B通过伪造A 的ARP报文，使得G设备上A的ARP表项中的相应信息被修改，导致A与G的通讯失败。

对于动态ARP地址欺骗攻击方式，S9500系列交换机可通过以下方法进行防御。

1. 固定MAC地址对于动态ARP的配置方式，交换机第一次学习到ARP表项之后就不再允许通过ARP学习对MAC地址进行修改，直到此ARP表项老化之后才允许此ARP表项更新MAC地址，以此来确保合法用户的ARP 表项不被修改。

固定MAC有两种方式：Fixed-mac和Fixed-all。

●Fixed-mac方式；不允许通过ARP学习对MAC地址进行修改，但允许对VLAN 和端口信息进行修改。

这种方式适用于静态配置IP地址，但网络存在冗余链路的情况。

当链路切换时，ARP表项中的端口信息可以快速改变。

●Fixed-all方式；对动态ARP和已解析的短静态ARP、MAC、VLAN和端口信息均不允许修改。

这种方式适用于静态配置IP地址、网络没有冗余链路、同一IP地址用户不会从不同端口接入交换机的情况。

2. 主动确认（Send-ack）交换机收到一个涉及MAC地址修改的ARP报文时，不会立即修改原ARP表项，而是先对原ARP表中与此MAC地址对应的对应用户发一个单播确认：●如果在一定时间内收到原用户的应答报文，说明原用户仍存在，则在后续一分钟时间内不允许对此ARP表项进行MAC地址修改；同样，ARP表项在新生成一分钟时间内，也不允许修改此ARP表项中的MAC地址；●如果一定时间内没有收到原用户的应答报文，则对新用户发起一个单播请求报文，收到新用户的应答报文之后才修改ARP表项，使新用户成为合法用户。

华为交换机防止仿冒网关 ARP 攻击配置实例作者：未知 文章来源：转贴 点击数：1059 更新时间：2007-7-3 16:27:00 二层交换机实现仿冒网关的 ARP 防攻击：一、组网需求：1. 二层交换机阻止网络用户仿冒网关 IP 的 ARP 攻击二、组网图：图 1 二层交换机防 ARP 攻击组网S3552P 是三层设备， 其中 IP： 100.1.1.1 是所有 PC 的网关， S3552P 上的网关 MAC 地址为 000f-e200-3999。

PC-B 上装有 ARP 攻击软件。

现在需要对 S3026C_A 进行一些特殊配置，目的是过滤掉仿冒网关 IP 的 ARP 报文。

三、配置步骤对于二层交换机如 S3026C 等支持用户自定义 ACL(number 为 5000 到 5999)的交换机，可以配置 ACL 来进行 ARP 报文过滤。

全局配置 ACL 禁止所有源 IP 是网关的 ARP 报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中 rule0 把整个 S3026C_A 的端口冒充网关的 ARP 报文禁掉，其中斜体部分 64010101 是网关 IP 地 址 100.1.1.1 的 16 进制表示形式。

Rule1 允许通过网关发送的 ARP 报文，斜体部分为网关的 mac 地址 000f-e200-3999。

注意：配置 Rule 时的配置顺序，上述配置为先下发后生效的情况。

在 S3026C-A 系统视图下发 acl 规则：[S3026C-A] packet-filter user-group 5000这样只有 S3026C_A 上连网关设备才能够发送网关的 ARP 报文，其它主机都不能发送假冒网关的 arp 响应报文。

ARP 防攻击命令行及功能简要说明1. [no] arp anti-flood-- 开启/关闭arp 防泛洪攻击2. arp anti-flood action { deny-arp | deny-all } threshold <1-100pps>-- 设置抵制动作类型和触发的报文速率阈值1-100 pps。

此命令不受命令1控制deny-all ：将以太源mac 拖入黑名单，禁止此mac，因此所有包将不能通过deny-arp ：acl 实现，仅所有arp 报文不能通过默认action: deny-all ，默认threshold: 16 pps注：此处deny-all 拖入黑名单后，受黑名单命令行影响，故除用命令4可恢复被禁mac 外，手工命令no mac-address-table blackhole 也可恢复用户3. arp anti-flood recover-time <0-1440 minutes>-- 设置被禁用户自动重新恢复时间，若为0表示永远不自动恢复（但可用命令4恢复）。

此命令不受命令1控制默认recover-time: 10 minutes4. arp anti-flood recover { <mac> | all }-- 手工恢复指定被禁mac 或者所有mac。

恢复时会根据禁止时是deny-arp 或deny-all 来做相应的恢复。

此命令不受命令1控制5. show arp-anti-flood-- 显示各参数配置(命令1，2，3) 和被禁用户列表6. arp bind dynamic { <A.B.C.C> | all }-- 绑定有效动态arp为静态arp：状态为invalid 的动态arp 表项不会被绑定，mac 为多播，广播或全0的arp 表项不会被绑定(为了保证反编译重启后能顺利进行)7. [no] arp anti-spoofing-- 开启/关闭arp 防欺骗功能：开启后：3650会将所有arp 报文上送cpu 进行检查，检查按如下方式：1) 如果sender ip 对应静态arp 存在有效且vid port mac与此arp 进来的信息均相同时：允许此报文正常转发或送cpu，否则2) 如果sender ip 对应静态arp 存在有效但vid port mac与此arp 进来的信息有所不同：丢弃此报文，否则3) sender ip 对应静态arp 不存在或无效，按命令8设置进行处理：丢弃或洪泛8. arp unknown { discard | flood }-- 设置没有匹配项（无此ip的静态arp表项）的arp报文处理方式:丢弃或洪泛9. [no] arp anti-spoofing deny-disguiser-- 开启/关闭拖黑网关冒充者: 将与自身ip相同的用户mac 拖入黑名单，同时发送免费arp 报文。

华为交换机如何识别arp攻击篇一：华为交换机防攻击配置手册防攻击配置下表列出了本章所包含的内容。

31地址欺骗防攻击311地址欺骗防攻击简介协议缺少安全保障机制，维护起来耗费人力，且极易受到攻击。

对于静态配置地址的网络，目前只能通过配置静态方式防止表项被非法修改，但是配置繁琐，需要花费大量人力去维护，极不方便；?对于动态配置地址的网络，攻击者通过伪造其他用户发出的报文，篡改网关设备上的用户表项，可以造成其他合法用户的网络中断。

?图3-1地址欺骗攻击示意图如图3-1所示，为合法用户，通过交换机与外界通讯：攻击者通过伪造的报文，使得设备上的表项中的相应信息被修改，导致与的通讯失败。

对于动态地址欺骗攻击方式，9500系列交换机可通过以下方法进行防御。

1固定地址对于动态的配置方式，交换机第一次学习到表项之后就不再允许通过学习对地址进行修改，直到此表项老化之后才允许此表项更新地址，以此来确保合法用户的表项不被修改。

固定有两种方式：-和-。

-方式；不允许通过学习对地址进行修改，但允许对和端口信息进行修改。

这种方式适用于静态配置地址，但网络存在冗余链路的情况。

当链路切换时，表项中的端口信息可以快速改变。

?-方式；对动态和已解析的短静态、、和端口信息均不允许修改。

这种方式适用于静态配置地址、网络没有冗余链路、同一地址用户不会从不同端口接入交换机的情况。

?2主动确认（-）交换机收到一个涉及地址修改的报文时，不会立即修改原表项，而是先对原表中与此地址对应的对应用户发一个单播确认：如果在一定时间内收到原用户的应答报文，说明原用户仍存在，则在后续一分钟时间内不允许对此表项进行地址修改；同样，表项在新生成一分钟时间内，也不允许修改此表项中的地址；?如果一定时间内没有收到原用户的应答报文，则对新用户发起一个单播请求报文，收到新用户的应答报文之后才修改表项，使新用户成为合法用户。

H3C交换机如何配置ARP1、arp anti-attack valid-check enable命令用于开启ARP报文源MAC地址一致性检查功能。

undo arp anti-attack valid-check enable命令用于关闭ARP源MAC地址一致性检查功能。

【举例】# 开启交换机ARP报文源MAC地址一致性检查功能。

<sysname> system-view[sysname] arp anti-attack valid-check enable2、gratuitous-arp-learning enable命令用来开启免费ARP报文的学习功能。

开启该功能后，交换机对于收到的免费ARP报文，如果自身ARP表中没有与此报文源IP地址对应的ARP 表项，就将免费ARP报文中携带的源IP地址，源MAC地址信息添加到动态ARP映射表中。

undo gratuitous-arp-learning enable命令用来关闭免费ARP报文的学习功能。

3、arp static命令用来配置ARP映射表中的静态ARP表项。

undo arp命令用来删除ARP表项。

4、arp check enable命令用来开启ARP表项的检查功能。

undo arp check enable命令用来关闭ARP表项的检查功能。

5、arp timer aging命令用来配置动态ARP表项的老化时间。

undo arp timer aging命令用来恢复动态ARP表项的老化时间为缺省值。

6、display arp命令用来显示ARP表项。

当不带任何可选参数的时候，将显示所有ARP表项。

display arp | 命令用来显示指定内容的ARP表项。

display arp count命令用来显示指定类型的ARP表项的数目；当不带任何可选参数时，用来显示所有ARP表项的数目t。

display arp timer aging命令用来显示动态ARP表项的老化时间。

H3C_ARP配置1 ARP配置1.1 ARP配置命令1.1.1 arp anti-attack valid-check enable【命令】arp anti-attack valid-check enableundo arp anti-attack valid-check enable【视图】系统视图【参数】⽆【描述】arp anti-attack valid-check enable命令⽤于开启ARP报⽂源MAC地址⼀致性检查功能。

undo arp anti-attack valid-check enable命令⽤于关闭ARP源MAC地址⼀致性检查功能。

缺省情况下，交换机的ARP源MAC地址⼀致性检查功能处于关闭状态。

【举例】# 开启交换机ARP报⽂源MAC地址⼀致性检查功能。

system-view[sysname] arp anti-attack valid-check enable1.1.2 arp check enable【命令】arp check enableundo arp check enable【视图】系统视图【参数】⽆【描述】arp check enable命令⽤来开启ARP表项的检查功能。

undo arp check enable 命令⽤来关闭ARP表项的检查功能。

开启ARP表项检查功能后，若交换机接收到的ARP报⽂中的源MAC地址为组播MAC，则不进⾏动态ARP表项的学习；且交换机上不能配置MAC地址为组播MAC 的静态ARP表项，否则会有错误提⽰。

关闭ARP表项检查功能后，可以对源MAC地址为组播MAC的ARP表项进⾏学习，且可以配置MAC地址为组播MAC的静态ARP表项。

缺省情况下，开启ARP表项的检查功能。

【举例】# 关闭ARP表项的检查功能。

system-viewSystem View: return to User View with Ctrl+Z.[Sysname] undo arp check enable1.1.3 arp detection enable【命令】arp detection enableundo arp detection enable【视图】VLAN视图【参数】⽆【描述】arp detection enable命令⽤来开启指定VLAN内所有端⼝的ARP⼊侵检测功能，即对该VLAN内端⼝收到的ARP报⽂的源IP地址、源MAC地址、接收ARP报⽂的端⼝编号以及端⼝所在VLAN的对应关系进⾏检测。

华为交换机如何识别arp攻击篇一：华为交换机防ARP攻击配置手册ARP防攻击配置下表列出了本章所包含的内容。

3.1 ARP地址欺骗防攻击3.1.1 ARP地址欺骗防攻击简介ARP协议缺少安全保障机制，维护起来耗费人力，且极易受到攻击。

对于静态配置IP地址的网络，目前只能通过配置静态ARP方式防止ARP表项被非法修改，但是配置繁琐，需要花费大量人力去维护，极不方便；?对于动态配置IP地址的网络，攻击者通过伪造其他用户发出的ARP报文，篡改网关设备上的用户ARP表项，可以造成其他合法用户的网络中断。

?图3-1 ARP地址欺骗攻击示意图如图3-1所示，A为合法用户，通过交换机G与外界通讯：攻击者B通过伪造A的ARP报文，使得G设备上A的ARP表项中的相应信息被修改，导致A与G的通讯失败。

对于动态ARP地址欺骗攻击方式，S9500系列交换机可通过以下方法进行防御。

1. 固定MAC地址对于动态ARP的配置方式，交换机第一次学习到ARP表项之后就不再允许通过ARP学习对MAC地址进行修改，直到此ARP表项老化之后才允许此ARP表项更新MAC地址，以此来确保合法用户的ARP 表项不被修改。

固定MAC有两种方式：Fixed-mac和Fixed-all。

Fixed-mac方式；不允许通过ARP学习对MAC地址进行修改，但允许对VLAN和端口信息进行修改。

这种方式适用于静态配置IP地址，但网络存在冗余链路的情况。

当链路切换时，ARP表项中的端口信息可以快速改变。

?Fixed-all方式；对动态ARP和已解析的短静态ARP、MAC、VLAN 和端口信息均不允许修改。

这种方式适用于静态配置IP地址、网络没有冗余链路、同一IP地址用户不会从不同端口接入交换机的情况。

?2. 主动确认（Send-ack）交换机收到一个涉及MAC地址修改的ARP报文时，不会立即修改原ARP表项，而是先对原ARP表中与此MAC地址对应的对应用户发一个单播确认：如果在一定时间内收到原用户的应答报文，说明原用户仍存在，则在后续一分钟时间内不允许对此ARP表项进行MAC地址修改；同样，ARP表项在新生成一分钟时间内，也不允许修改此ARP表项中的MAC地址；?。

H3C防ARP解决方案及配置防ARP攻击配置举例关键词：ARP、DHCP Snooping摘要：本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能，防止校园网中常见的“仿冒网关”、“欺骗网关”、“欺骗终端用户”、ARP泛洪等攻击形式。

同时，详细描述了组网中各个设备的配置步骤和配置注意事项，指导用户进行实际配置。

缩略语：ARP（Address Resolution Protocol，地址解析协议）MITM（Man-In-The-Middle，中间人攻击）第1章防ARP攻击功能介绍近来，许多校园网络都出现了ARP攻击现象。

严重者甚至造成大面积网络不能正常访问外网，学校深受其害。

H3C公司根据校园网ARP攻击的特点，给出了DHCP监控模式下的防ARP攻击解决方案，可以有效的防御“仿冒网关”、“欺骗网关”、“欺骗终端用户”、“ARP中间人攻击”、“ARP泛洪攻击”等校园网中常见的ARP攻击方式；且不需要终端用户安装额外的客户端软件，简化了网络配置。

1.1 ARP攻击简介按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。

这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗”创造了条件。

校园网中，常见的ARP攻击有如下几中形式。

(1) 仿冒网关攻击者伪造ARP报文，发送源IP地址为网关IP地址，源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机，使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。

这样一来，主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

图1-1 “仿冒网关”攻击示意图(2) 欺骗网关攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给网关；使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。

ARP攻击防御典型配置案例⽬录第1章 ARP攻击防御功能介绍................................................................................................. 1-1１.1 ARP攻击简介................................................................................................................ 1-１1.2 ＡRＰ攻击防御 ................................................................................................................. 1-41．2.１ DHCＰＳnｏｏｐiｎg功能1?-４１．2.２ IP静态绑定功能............................................................................................. 1－51.２.３ARＰ⼊侵检测功能1?－5１.2.４ AＲＰ报⽂限速功能1?-５1.2.5 ＣAMS下发⽹关配置功能6-1?1.3 ARP攻击防御配置指南................................................................................................. １-６1.4 ⽀持ＡＲＰ攻击防御功能的产品列表?１-8第２章ＡRP攻击防御配置举例2?-１2．1 DHＣＰ监控模式下的ARＰ攻击防御配置举例............................................................ 2-12.１.1 组⽹需求 ............................................................................................................... 2-12.1.2 组⽹图................................................................................................................... 2－22.1.3 配置思路................................................................................................................ 2-２２.1.４配置步骤....................................................................................................... 2－２２．1.5 注意事项......................................................................................................... ２-６２.２认证模式下的ARP攻击防御配置举例7-2?2．2.1 组⽹需求.............................................................................................................. 2-72.2.2 组⽹图.................................................................................................................... 2-７2．２.3 配置思路 .......................................................................................................... 2－8２.２.4 配置步骤............................................................................................................ ２-8 2．２.5 注意事项.......................................................................................................... 2-19防ＡRP攻击配置举例关键词：ARP、DHCP Snooｐｉｎg摘要：本⽂主要介绍如何利⽤以太⽹交换机DHCP监控模式下的防AＲＰ攻击功能,防⽌校园⽹中常见的“仿冒⽹关”、“欺骗⽹关”、“欺骗终端⽤户”、ＡRP泛洪等攻击形式。

华为交换机防止同网段ARP欺骗攻击配置案例WEB安全 -电脑资料1阻止仿冒网关IP的arp攻击1.1 二层交换机实现防攻击S3552P是三层设备，其中IP：100.1.1.1是所有PC的网关，S3552P上的网关MAC地址为000f-e200-3999，华为交换机防止同网段ARP欺骗攻击配置案例WEB安全。

PC-B上装有ARP攻击软件。

现在需要对S3026_A进行一些特殊配置，目的是过滤掉仿冒网关IP的ARP报文。

1.1.2 配置步骤对于二层交换机如S3026C等支持用户自定义ACL（number为5000到5999）的交换机，可以配置ACL来进行ARP报文过滤。

全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 3 4其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉，其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式。

Rule1允许通过网关发送的ARP报文，斜体部分为网关的mac地址000f-e200-3999。

注意：配置Rule时的配置顺序，上述配置为先下发后生效的情况。

在S3026C-A系统视图下发acl规则：[S3026C-A] packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文，其它主机都不能发送假冒网关的arp响应报文。

1.2 三层交换机实现防攻击1.2.2 防攻击配置举例对于三层设备，需要配置过滤源IP是网关的ARP报文的ACL规则，配置如下ACL规则：acl number 5000rule 0 deny 0806 ffff 24 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充网关的ARP报文，其中斜体部分64010105是网关IP地址100.1.1.5的16进制表示形式。

Catalyst 交换机对ARP攻击的抑制配置实例概述:ARP 攻击的现象ARP攻击的分析Catalyst 交换机对ARP攻击的抑制应用配置实例Gratutious ARP的数据包格式概述:目前，很多局域网络都遇到了ARP攻击，典型现象是交换机的日志或Console口上出现大量的地址重复信息（Duplicate address），大量的PC机不能上网，查看不能上网的PC的ARP表，发现网关IP对应的 MAC地址不正确。

这是遇到ARP攻击的典型现象，遇到这种攻击主要是因为ARP攻击的编写者将它附在P2P软件上，此外网络上有很多免费的软件如，"网络执法官"、"网络剪刀手(NetCut)" 都具有ARP攻击能力，Cisco的Catalyst 交换机的 ARP Inspection能力可以成功抑制这种攻击，并且根据Log记录攻击者的源MAC和所连接端口的信息。

1.ARP 攻击的现象1.1 显示IP地址重复当LAN遇到网络攻击时，典型的现象是在Console口上或在日志信息显示：09:12:11: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aa09:12:11: %SYS-5-CONFIG_I: Configured from console by console09:12:41: %IP-4-DUPADDR: Duplicate address 210.53.131.169 on Vlan300, sourced by 0000.d234.83aaPC都不能上网，PC ARP表网关IP对应的MAC地址不正确Vlan 上的PC不能上网，PC ping网关地址不通。

在不能上网的机器上不断显示ARP 表，网关IP对应的MAC地址在不断的变化，偶尔是正确的MAC地址，偶尔是攻击者的MAC地址：C:\Documents and Settings\jiangjun>arp -aInterface: 210.53.131.161--- 0x2Internet Address Physical Address Type210.53.131.169 00-15-fa-87-3f-c0 dynamicC:\Documents and Settings\jiangjun>arp -aInterface: 210.53.131.161 --- 0x2Internet Address Physical Address Type210.53.131.169 00-00-d2-34-83-aa dynamic00-00-d2-34-83-aa是攻击者的MAC地址。

实验16 配置ARP检查【实验名称】配置ARP检查。

【实验目的】使用交换机的ARP检查功能，防止ARP欺骗攻击。

【背景描述】某企业的网络管理员发现最近经常有员工抱怨无法访问互联网，经过故障排查后，发现客户端PC上缓存网关的ARP绑定条目是错误的，从该现象可以判断网络中可能出现了ARP欺骗攻击，导致客户端PC不能获取正确的ARP条目，以至不能够访问外部网络。

【需求分析】ARP欺骗攻击是目前内部网络出现的最频繁的一种攻击。

对于这种攻击，需要检查网络中ARP报文的合法性。

交换机的ARP检查功能可以满足这个要求，防止ARP欺骗攻击。

【实验拓扑】实验的拓扑图，如图16-1所示。

图16-1【实验设备】交换机1台PC机2台（其中一台需要安装ARP欺骗攻击工具WinArpSpoofer（测试用）路由器1台（作为网关）【预备知识】交换机转发原理、交换机基本配置、ARP欺骗原理、ARP检查原理。

实验16 配置ARP 检查 ·2·【实验原理】交换机的ARP 检查功能，可以检查端口收到的ARP 报文的合法性，并可以丢弃非法的ARP 报文，防止ARP 欺骗攻击。

【实验步骤】步骤1 配置IP 地址，测试网络连通性。

按照拓扑图正确配置PC 机、攻击机、路由器的IP 地址，使用ping 命令验证设备之间的连通性，保证可以互通。

查看PC 机本地的ARP 缓存，ARP 表中存有正确的网关的IP 与MAC 地址绑定，如图16-2所示。

图16-2步骤2 在攻击机上运行WinArpSpoofer 软件后，界面如图16-3所示。

图16-3在“Adapter ”选项卡中，选择正确的网卡后，WinArpSpoofer 会显示网卡的IP 地址、掩码、实验16 配置ARP 检查 ·3·网关、MAC 地址以及网关的MAC 地址信息。

步骤3 在WinArpSpoofer 界面中选择“Spoofing ”标签，打开“Spoofing ”选项卡界面如图16-4所示。

1.5.2 ARP入侵检测与ARP报文限速配置举例1. 组网需求如图1-4所示，Switch A（S3100-EI）的端口Ethernet1/0/1连接DHCP服务器，端口Ethernet1/0/2和Ethernet1/0/3分别连接DHCP Client A和DHCP Client B，且三个端口都属于VLAN 1。

●开启交换机的DHCP Snooping功能，并设置端口Ethernet1/0/1为DHCP Snooping信任端口。

●为防止ARP中间人攻击，配置VLAN 1的ARP入侵检测功能，设置Switch 的端口Ethernet1/0/1为ARP信任端口；●开启端口Ethernet1/0/2和Ethernet1/0/3上的ARP报文限速功能，防止来自Client A和Client B的ARP报文流量攻击。

●开启Switch A上的端口状态自动恢复功能，设置恢复时间间隔为200秒。

2. 典型组网图图1-4 配置ARP入侵检测与端口ARP报文限速组网图3. 配置步骤# 开启交换机DHCP Snooping功能。

<SwitchA> system-view[SwitchA] dhcp-snooping# 设置端口Ethernet1/0/1为DHCP Snooping信任端口，ARP信任端口。

[SwitchA] interface Ethernet1/0/1[SwitchA-Ethernet1/0/1] dhcp-snooping trust[SwitchA-Ethernet1/0/1] arp detection trust[SwitchA-Ethernet1/0/1] quit# 开启VLAN 1内所有端口的ARP入侵检测功能。

[SwitchA] vlan 1[SwitchA-vlan1] arp detection enable[SwitchA-vlan1] quit# 开启端口Ethernet1/0/2上的ARP报文限速功能，设置ARP报文通过的最大速率为20pps。

华为交换机静态ARP与动态ARP结合使用配置示例1、组网需求图1 动态ARP与静态ARP组网示例图如上图1所示，Switch的接口GE1/0/1通过LAN Switch（即LSW）连接主机，接口GE1/0/2连接Server。

要求：GE1/0/1属于VLAN2，GE1/0/2属于VLAN3。

为了适应网络的快速变化，保证报文的正确转发，在Switch的接口VLANIF2上配置动态ARP的参数。

为了保证Server的安全性，防止其他设备仿冒Server发送非法ARP报文，在Switch的接口GE1/0/2上增加一个静态ARP表项，表项的IP地址为10.2.2.3，对应的MAC地址为00e0-fc01-0000。

2、配置思路2.1、创建VLAN，并将接口加入到VLAN中。

2.2、配置用户侧VLANIF接口的动态ARP的参数。

2.3、配置静态ARP表项。

3、操作步骤3.1、创建VLAN，并将接口加入到VLAN中。

# 创建VLAN2和VLAN3。

<HUAWEI> system-view[HUAWEI] vlan batch 2 3# 将接口GE1/0/1加入VLAN2中，接口GE1/0/2加入VLAN3中。

[HUAWEI] interface gigabitethernet 1/0/1[HUAWEI-GigabitEthernet1/0/1] port link-type trunk[HUAWEI-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 [HUAWEI-GigabitEthernet1/0/1] quit[HUAWEI] interface gigabitethernet 1/0/2[HUAWEI-GigabitEthernet1/0/2] port link-type access[HUAWEI-GigabitEthernet1/0/2] port default vlan 3[HUAWEI-GigabitEthernet1/0/2] quit3.2、配置VLANIF接口的动态ARP的参数。

交换机配置解决ARP攻击如何来解决ARP攻击没有实在太好的解决办法，目前有几种方法不过不能彻底解决像在DHC P上设置保留、在本机上设置IP与MAC绑定、装防护软件等，作用不大。

下面我来介绍一种方法，那就是在交换机上做IP与MAC绑定。

Cisco中有以下三种方案可供选择，方案1和方案2实现的功能是一样的，即在具体的交换机端口上绑定特定的主机的MAC地址（网卡硬件地址），方案3是在具体的交换机端口上同时绑定特定的主机的MAC地址（网卡硬件地址）和IP地址。

方法1——基于端口的MAC地址绑定思科2950交换机为例，登录进入交换机，输入管理口令进入配置模式：Switch#config terminal＃进入配置模式Switch(config)# Interface fastethernet 0/1＃进入具体端口配置模式Switch(config-if)#Switchport port-secruity＃配置端口安全模式Switch(config-if )switchport port-security mac-address 0009.6bc4.d4bf (主机的MAC地址)＃配置该端口要绑定的主机的MAC地址Switch(config-if )no switchport port-security mac-address 0009.6bc4.d 4bf (主机的MAC地址)＃删除绑定主机的MAC地址注意：以上命令设置交换机上某个端口绑定一个具体的MAC地址，这样只有这个主机可以使用网络，如果对该主机的网卡进行了更换或者其他PC机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC地址，才能正常使用。

以上功能适用于思科2950、3550、4500、6500系列交换机方法2——基于MAC地址的扩展访问列表Switch(config)Mac access-list extended MAC10＃定义一个MAC地址访问控制列表并且命名该列表名为MAC10Switch(config)permit host 0009.6bc4.d4bf any＃定义MAC地址为0009.6bc4.d4bf的主机可以访问任意主机Switch(config)permit any host 0009.6bc4.d4bf＃定义所有主机可以访问MAC地址为0009.6bc4.d4bf的主机Switch(config-if )interface Fa0/20#进入配置具体端口的模式Switch(config-if )mac access-group MAC10 in＃在该端口上应用名为MAC10的访问列表（即前面我们定义的访问策略）Switch(config)no mac access-list extended MAC10＃清除名为MAC10的访问列表此功能与应用与第一种方法相同，但它是基于端口做的MAC地址访问控制列表限制，可以限定特定源MAC地址与目的地址范围。

ARP攻击配置案例ARP攻击配置案例应⽤要求某局域⽹中⽤户都在同⼀VLAN1内，并且通过接⼊设备连接⽹关和DHCP服务器，Host A、Host B和Host C动态获取IP地址，Host D采⽤静态IP地址访问⽹络，⽹络环境如图1-3所⽰。

图1-3 防⽌仿冒⽤户、仿冒⽹关攻击配置（监控⽅式）组⽹图⽹络管理员希望通过在接⼊交换机上全⾯部署ARP攻击防御相关特性，形成保护屏障，过滤掉仿冒⽤户、欺骗⽹关的攻击报⽂。

配置思路l 为防⽌仿冒⽤户、欺骗⽹关等ARP攻击形式，可以在接⼊交换机上配置ARP Detection功能，通过ARP Detection功能对ARP报⽂的有效性和⽤户合法性进⾏检查，以达到防⽌仿冒⽤户、欺骗⽹关的⽬的。

l 根据组⽹情况，配置ARP Detection功能的⽤户合法性检查采⽤基于IP Source Guard静态绑定表项的检查（针对需要配置静态IP地址访问⽹络的主机）和DHCP Snooping安全表项的检查（针对通过DHCP服务器动态获取IP地址的主机，并且需要在接⼊设备上开启DHCP Snooping功能）。

l 在配置ARP Detection功能后，为防⽌ARP泛洪攻击对ARP Detection功能的影响，在Switch A和Switch B所有直接连接客户端的端⼝上开启ARP报⽂限速功能。

适⽤产品、版本表1-5 配置适⽤的产品与软件版本关系产品软件版本S7500E系列以太⽹交换机Release 6300系列，Release 6600系列，Release 6610系列S7600系列以太⽹交换机Release 6600系列，Release 6610系列S5800&S5820X系列以太⽹交换机Release 1110，Release 1211CE3000-32F以太⽹交换机Release 1211S5810系列以太⽹交换机Release 1102S5500-EI系列以太⽹交换机Release 2202，Release 2208S5500-EI-D系列以太⽹交换机Release 2208S5500-SI系列以太⽹交换机Release 2202，Release 2208S5120-EI系列以太⽹交换机Release 2202，Release 2208S5120-EI-D系列以太⽹交换机Release 1505S5120-SI系列以太⽹交换机Release 1101，Release 1505S5120-LI系列以太⽹交换机Release 1107E552&E528以太⽹交换机Release 1103S3610&S5510系列以太⽹交换机Release 5306，Release 5309S3500-EA系列以太⽹交换机Release 5309S3100V2系列以太⽹交换机Release 5103E126B以太⽹交换机Release 51031.4.4 配置过程和解释(1) 配置DHCP客户端Host A、⽤户Host B和⽤户Host C（略）(2) 配置设备l 配置Switch A# 配置DHCP Snooping功能。