ARP防攻击策略
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
配置ARP攻击防御
2.2.1 ARP攻击防御配置任务简介
表2-1 ARP攻击防御配置任务简介
2.2.2 配置VLAN接口学习动态ARP表项的最大数目表2-2 配置VLAN接口学习ARP表项的最大数目
2.2.3 配置ARP报文源MAC一致性检查功能
表2-3 配置ARP报文源MAC一致性检查
2.2.4 配置基于网关IP/MAC的ARP报文过滤功能表2-4 配置基于网关IP地址的ARP报文过滤功能
表2-5 配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能
以太网端口上的arp filter source命令与arp filter binding命令互斥,即同一个以太网端口上只能配置其中的一种命令。一般情况下,基于网关IP地址的ARP报文过滤功能,配置在接入交换机与用户相连的端口;而基于网关IP地址的、MAC地址绑定的ARP报文过滤功能,配置在接入交换机的级连端口或上行端口。
2.2.5 配置ARP入侵检测功能
表2-6 配置ARP入侵检测功能
●
在接入用户多数为DHCP 动态获取IP 地址,部分为手工配置IP 地址的组网环境中,建议同时开启DHCP Snooping 功能和配置IP 静态绑定表项,配合ARP 入侵检测功能完成ARP 报文的合法性检查。
●
基于802.1x 认证用户的ARP 入侵检测功能需要和交换机基于MAC 地址认证的802.1x 功能以及ARP 入侵检测功能一起配合使用。
●
目前,S3600系列以太网交换机在端口上配置的IP 静态绑定表项,其所属VLAN 为端口的缺省VLAN ID 。因此,如果ARP 报文的VLAN TAG 与端口的缺省VLAN ID 值不同,报文将无法通过根据IP 静态绑定表项进行的ARP 入侵检测。
● 在开启ARP 严格转发功能之前,需要先在交换机上开启ARP 入侵检测功能,并配置ARP 信任端口。
●
建议用户不要在汇聚组中的端口上配置ARP 入侵检测功能。
2.2.6 配置ARP 报文限速功能
表2-7 配置ARP 报文限速功能
●用户必须先开启交换机的端口状态自动恢复功能,才能设置端口状态自动恢复的时间。
●建议用户不要在汇聚组中的端口上配置ARP报文限速功能。
2.3 ARP攻击防御典型配置举例
2.3.1 ARP攻击防御配置举例一
1. 组网需求
如图2-3所示,Switch A的端口Ethernet1/0/1连接DHCP服务器,端口Ethernet1/0/2和
Ethernet1/0/3分别连接Client A和Client B,且三个端口都属于VLAN 1。
●开启交换机的DHCP Snooping功能,并设置端口Ethernet1/0/1
为DHCP Snooping信任端口。
●为防止ARP中间人攻击,配置VLAN 1的ARP入侵检测功能,设
置Switch的端口Ethernet1/0/1为ARP信任端口;
●开启端口Ethernet1/0/2和Ethernet1/0/3上的ARP报文限速功能,防止来自Client A和Client B的ARP报文流量攻击。
●开启Switch A上的端口状态自动恢复功能,设置恢复时间间隔为200秒。
2. 典型组网图
图2-3 配置ARP入侵检测与端口ARP报文限速组网图
3. 配置步骤
# 开启交换机DHCP Snooping功能。
[SwitchA] dhcp-snooping
# 设置端口Ethernet1/0/1为DHCP Snooping信任端口,ARP信任端口。
[SwitchA] interface Ethernet1/0/1
[SwitchA-Ethernet1/0/1] dhcp-snooping trust
[SwitchA-Ethernet1/0/1] arp detection trust
[SwitchA-Ethernet1/0/1] quit
# 开启VLAN 1内所有端口的ARP入侵检测功能。
[SwitchA] vlan 1
[SwitchA-vlan1] arp detection enable
# 开启端口Ethernet1/0/2上的ARP报文限速功能,设置ARP报文通过的最大速率为20pps。[SwitchA] interface Ethernet1/0/2
[SwitchA-Ethernet1/0/2] arp rate-limit enable
[SwitchA-Ethernet1/0/2] arp rate-limit 20
[SwitchA-Ethernet1/0/2] quit
# 开启端口Ethernet1/0/3上ARP报文限速功能,设置ARP报文通过的最大速率为50pps。[SwitchA] interface Ethernet1/0/3
[SwitchA-Ethernet1/0/3] arp rate-limit enable
[SwitchA-Ethernet1/0/3] arp rate-limit 50
[SwitchA-Ethernet1/0/3] quit
# 配置端口状态自动恢复功能,恢复时间间隔为200秒。
[SwitchA] arp protective-down recover enable
[SwitchA] arp protective-down recover interval 200
2.3.2 ARP攻击防御典型配置举例二
1. 组网需求
如图2-4所示,Host A和Host B通过接入交换机(Switch)与网关(Gateway)相连。网关的IP地址为192.168.100.1/24,MAC地址为000D-88F8-528C。为了防止Host A和Host B 进行“仿冒网关”的ARP攻击,可以在接入交换机上配置基于网关IP/MAC的ARP过滤功能。