09-ARP配置 MyPower S4330 V1.0 系列交换机配置手册

版权所有 2011 迈普通信技术股份有限公司 保留所有权利 ARP 配配置置 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 本手册著作权属迈普通信技术有限公司所有 未经著作权人书面许可 任何单位或个 人不得以任何方式摘录 复制或翻译 侵权必究 策 划 研究院 资料服务处 迈普通信技术有限公司 地址 成都市高新区九兴大道 16 号迈普大厦 技术支持热线 400 886 8669 传真 8628 85148948 E mail support 网址 邮编 610041 版本 2011 年 8 月 v1 0 版 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 目目 录录 第第 1 章章ARP 配置配置 1 1 1 ARP 简介 1 1 1 1 ARP 的作用 1 1 1 2 ARP 的工作过程 1 1 1 3 ARP 的报文结构 3 1 1 4 ARP 表 3 1 2 配置防止 ARP 欺骗 4 1 2 1 ARP 欺骗简介 4 1 2 2 arp anti spoofing 防护机制 5 1 2 3 配置 anti spoofing 6 1 2 4 配置防网关欺骗功能 6 1 2 5 配置 ARP 报文源 MAC 一致性检查 7 1 2 6 Anti spoofing 功能的默认配置 7 1 2 7 anti spoofing 功能的显示和维护 7 1 3 配置防止 ARP 泛洪攻击 8 1 3 1 ARP flood 攻击 8 1 3 2 arp anti flood 防护机制 8 1 3 3 配置 arp anti flood 9 1 3 4 ARP Anti flood 功能的显示和维护 10 1 4 配置举例 10 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 1 第第 1 章章 ARP 配置配置 1 1 ARP简介简介 1 1 1 ARP 的作用的作用 ARP Address Resolution Protocol 地址解析协议 是 TCP IP 协议族中最重要的协 议之一 主要用于 IP 地址到以太网 MAC 地址的解析 当两台主机开始通信并只知道对方 的 IP 地址时 IP 地址只是主机在网络层中的地址 如果要将网络层中数据包传送给目的 主机 必须知道目的主机的硬件地址 比如以太网络 MAC 地址 因此需要将 IP 地址解 析为数据链路层地址 在本文档中 如无特殊说明 主机硬件地址均指的是 48bits 的以太网 MAC 地址 1 1 2 ARP 的工作过程的工作过程 我们以 FTP 通信为例 描述一下 ARP 的工作过程 1 如图 1 1 主机 A 希望能够访问到网络里 IP 地址为 192 168 1 4 的主机 图 1 1 组网图 2 假定这是一个以太网 并且每一台主机都不知道局域网中有其他的主机 那么主 机 A 需要知道 192 168 1 4 主机的 MAC 地址 才能建立通信 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 2 3 根据 ARP 协议 主机 A 会发送一个 ARP 请求 ARP Request 内容为请求 192 168 1 4 主机的 MAC 地址 该请求是一个广播报文 局域网内的所有主机都将收到主 机 A 发出的这个请求 如图 1 2 所示 图 1 2 发送 ARP 请求 4 按照协议 只有主机 D 才会响应主机 A 的请求 这时 这个回应报文 ARP Reply 是一个单播报文 图 1 3 发送 ARP 响应 5 主机 A 收到主机 D 的应答后 会将主机 D 的 IP 地址和 MAC 地址记录在 ARP 缓存中 下次通信时 就不需要再发送 ARP 来请求目的主机的 MAC 地址了 除非该表项 被老化 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 3 1 1 3 ARP 的报文结构的报文结构 图 1 4 ARP 报文结构图 硬件类型 表示硬件地址的类型 它的值为 1 表示以太网地址 协议类型 表示要映射的协议地址类型 它的值为 0 x0800 即表示 IP 地址 硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度 以字节为单 位 对于以太网上 IP 地址的 ARP 请求或应答来说 它们的值分别为 6 和 4 操作类型 OP 1 表示 ARP 请求 2 表示 ARP 应答 源 MAC 地址 发送方设备的硬件地址 源 IP 地址 发送方设备的 IP 地址 目的 MAC 地址 接收方设备的硬件地址 目的 IP 地址 接收方设备的 IP 地址 1 1 4 ARP 表表 设备通过 ARP 解析到目的 MAC 地址后 将会向自己的 ARP 表中增加包含 IP 地址 MAC 地址 端口等的映射表项 以作为后续报文转发的依据 ARP 表项分为动态 ARP 表项和静态 ARP 表项 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 4 1 动态 ARP 表项由 ARP 协议通过 ARP 报文自动生成和维护 可以被老化 可以 被新的 ARP 报文更新 可以被静态 ARP 表项覆盖 当到达老化时间 端口 down 时会删 除相应的动态 ARP 表项 2 静态 ARP 表项主要通过手工配置和维护 不会被老化 不会被动态 ARP 表项 覆盖 静态 ARP 表项分为短静态 ARP 表项和长静态 ARP 表项 在配置长静态 ARP 表项时 除了配置 IP 地址和 MAC 地址项外 还必须配置该 ARP 表项所在 VLAN 和出端口 长静态 ARP 表项可以直接用于报文转发 在配置短静态 ARP 表项时 只需要配置 IP 地址和 MAC 地址项 短静态 ARP 表 项不能直接用于报文转发 当需要用到短静态 ARP 表项时 先发送 ARP 请求报文 如果 收到的响应报文中的源 IP 地址和源 MAC 地址与所配置的 IP 地址和 MAC 地址相同 则将 该 ARP 表项补充完整 之后就可以用于 IP 数据包的转发 注意 在手工配置长静态 ARP 表项时 该表项里的 IP 地址需和出端口所在的 VLAN 接口的 IP 在同一网段 否则就会添加不成功 1 2 配置防止配置防止ARP欺骗欺骗 1 2 1 ARP 欺骗简介欺骗简介 从前面的介绍我们可以知道 网络中两台主机需要通信时 需要知道双方的 MAC 地 址 ARP 协议使得这个过程对用户是透明的 但因为 ARP 协议里没有对报文的认证说明 也就是说无条件的相信 就导致了攻击者有机可乘 还是以上面的例子来说明 由于局域网内所有的设备都能接收到主机 A 的 ARP 请求 如果主机 C 是一个恶意的攻击者 它冒充主机 B 发送了 ARP 回应给主机 A 说 我的地 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 5 址是 00 00 00 00 00 03 主机 A 会无条件的相信这个回应报文并且增加或者覆盖掉原有的 ARP 表项 这个表项的 IP 是 192 168 1 4 但对应的 MAC 却是 00 00 00 00 00 03 这样 主机 C 就截获了本来应该发给主机 B 的信息 由于主机 A 被虚假的 ARP 欺骗 这也叫 ARP 欺骗攻击 1 2 2 arp anti spoofing 防护机制防护机制 要防护 ARP 欺骗的攻击 关键是要识别和禁止转发伪装的 ARP 报文 从 ARP 欺骗 的原理我们可以看到 要防止 ARP 欺骗的攻击需要从两方面入手 首先防止病毒主机伪 装成网关 这样会造成整个网段的用户不能上网 其次是防止病毒主机伪装成其他主机 窃听数据或导致同 一网段内个别主机之间不能通信 交换机提供了主动防御 ARP 欺骗的功能 在实际应用中 网络中的主机第一次通信 交换机便会记录其 ARP 表项 表项中有报文中的 sender IP MAC VID 和 port 的对应关 系 在开启防 ARP 欺骗功能后 可以实现下面几种操作 1 自动绑定动态 ARP 表项 防 ARP 欺骗的一个有效手段就是添加静态 ARP 表项 但在实际网络中 管理员不可能一条一条的去添加 ARP 表项 并且这样的方法也 容易出错 而现在 管理员只需要确认动态 ARP 表项里的信息正确 就可以只执行一条 命令 交换机就会自动将动态 ARP 表项转换为静态表项 2 防 ARP 欺骗功能开启后 交换机对收到的每一个 ARP 报文与静态 ARP 表 项进行比较 如果该 ARP 报文包含的信息 比如 VID port 和 MAC 与表项的信息完全相 同 则转发报文 如果有所不同 则丢弃此报文 如果在静态 ARP 表项里没有找到与这 个报文相关的信息 则可以根据用户的配置来丢弃或者是泛洪该报文 3 某些 ARP 攻击报文的以太网数据帧首部中的源 MAC 和 ARP 协议报文中的 源 MAC 不同 通过使能 ARP 报文源 MAC 一致性检查功能 可以过滤掉这一类的 ARP 攻击报文 4 防止网关伪装者 在交换机作为网络里某些主机的网关的情况下 如果交换 机检测到网络里有主机冒充为网关 则直接将该主机拖入黑名单 并主动发出免费 ARP 以便网络里的主机知道正确的网关所在 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 6 1 2 3 配置配置 anti spoofing 表 1 1 配置 anti spoofing 步骤命令操作 步骤 1configure terminal进入全局模式 步骤 2arp anti spoofing 开启防止 ARP 欺骗功能 步骤 3arp anti spoofing unknown diacard flood 配置对于在静态 ARP 表里 没有对应信息的 ARP 报文 的处理办法 步骤 4end返回特权模式 步骤 5copy running config startup config保存修改的配置 1 2 4 配置防网关欺骗功能配置防网关欺骗功能 当交换机作为某些局域网内设备的网关时 如果局域网内有攻击者想冒充交换机而使 得网内其他设备认为其是网关的话 交换机会将这个攻击者列入黑名单 并同时发送免费 ARP 告知网内设备说 我才是正确的网关 缺省配置下 该功能处于关闭状态 表 1 1配置防网关欺骗 步骤命令操作 步骤 1configure terminal进入全局模式 步骤 2 arp anti spoofing deny disguiser ipadress mac 开启防网关欺骗功能 步骤 3show arp anti spoofing验证操作 步骤 4end返回特权模式 步骤 5copy running config startup config保存修改的配置 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 7 1 2 5 配置配置 ARP 报文源报文源 MAC 一致性检查一致性检查 对于某些 ARP 攻击报文 它的以太网数据帧首部中的源 MAC 和 ARP 协议报文中的 源 MAC 不同 使能 ARP 报文源 MAC 一致性检查功能后 交换机将会检查送到 CPU 的 ARP 报文的以太网源地址 MAC 是否和 ARP 协议报文中的源 MAC 相同 不一致则丢弃该 报文 缺省配置下 该功能处于关闭状态 表 1 2配置 ARP 报文源 MAC 一致性检查 步骤命令操作 步骤 1configure terminal进入全局模式 步骤 2arp anti spoofing valid check 开启 ARP 报文源 MAC 一致 性检查 步骤 3show arp anti spoofing验证操作 步骤 4end返回特权模式 步骤 5copy running config startup config保存修改的配置 1 2 6 Anti spoofing 功能的默认配置功能的默认配置 表 1 3Anti spoofing 的默认配置 功能默认配置 arp anti spoofingdisable ARP 报文源报文源 MAC 地址一致性检测地址一致性检测 disable 防网关欺骗功能防网关欺骗功能 disable arp anti spoofing unknown diacard flood discard 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 8 1 2 7 anti spoofing 功能的显示和维护功能的显示和维护 表 1 4anti spoofing 功能的显示和维护 命令行操作 show arp anti spoofing 查看 anti spoofing 功能的当 前状态 show mac address table blackhole 查看是否有用户被添加到黑 名单 1 3 配置防止配置防止ARP泛洪攻击泛洪攻击 1 3 1 ARP flood 攻击攻击 flood 攻击的原理一般都是以大量的报文流量攻击网络中的设备 如路由器 交换机和 服务器等 导致网络设备的 CPU 资源耗尽而使网络瘫痪 面对此类 flood 攻击 最重要的是要保证网络设备的正常运行 防止大面积的网络瘫 痪 网络中 flood 攻击的方式多种多样 对设备危害最大的就是 ARP 类的攻击 根据前面 讲到的 ARP 机制 网络中所有的设备收到 ARP 请求报文时都会送到 CPU 去处理 这样 才能判断是不是其他设备在请求自己的 MAC 地址 ARP flood 攻击就是利用 ARP 机制的 这种缺陷在局域网中随机发送大量的 ARP 请求报文来对网络设备进行攻击 1 3 2 arp anti flood 防护机制防护机制 ARP flood 攻击的主要目的就是冲击网络设备的 CPU 导致核心设备的 CPU 资源耗 尽 要防御该类型的攻击 交换机必须要提前判断并禁止 flood 报文的转发 arp anti flood 功能可以识别每一条 ARP 流 根据设置的安全 ARP 速率阈值 判断是 否为 ARP flood 攻击 当一台主机的 ARP 流量超过设置的阈值 交换机便会认为是 flood 攻击 立即将该病毒主机拉入黑名单 禁止来自该主机的所有报文的转发 为了方便网络管理员的管理维护 在自动防护的同时还会在系统日志中保存相关的告 警信息 对于被禁止的用户 管理员可以设置手动恢复或者自动恢复 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 9 在交换机上的整个处理流程如下 1 启用 arp anti flood 功能 将广播的 ARP 报文收上 CPU 根据 ARP 报文中的源 MAC 地址来识别不同的流 2 设置安全的 ARP 速率 如果速率超过该阀值则交换机认为是 ARP 攻击 3 上面命令如果选择了 deny all 当一个 ARP 流量超过设置的阀值 交换机会根 据源 MAC 地址判断 将该 MAC 地址加到黑洞地址列表中 禁止这个地址后续所有报文的 转发 4 上面命令如果选择了 deny arp 当一个 ARP 流量超过设置的阀值 交换机会根 据源 MAC 地址来判断 禁止处理这个地址后续的所有 ARP 报文 5 对于恢复被禁止掉的用户的转发 管理员可以设置自动恢复时间或者手动恢复两 种方式 1 3 3 配置配置 arp anti flood 表 1 5配置 anti flood 操作命令说明 进入全局模式configure terminal 开启防止 ARP 泛洪功能 arp anti flood必选 配置安全触发阈值arp anti flood threshold threshold 可选 缺省配置下 安全触发阈 值为 16PPS 配置对于攻击者的处理方式 arp anti flood action deny arp deny all threshold threshold 可选 缺省配置下 对于攻击者 的处理方式为 deny arp 配置被禁止的用户的自动恢 复时间 arp anti flood recover time time 可选 可配置的时间范围为分钟 配置为 0 时 表示需手工恢复 缺省配置下 被禁止用户 的自动恢复时间为 10 分 版权所有 2011 迈普通信技术股份有限公司 保留所有权利 10 钟 手工恢复被禁止用户的转发 arp anti flood recover H H H H H H all 可选 1 3 4 ARP Anti flood 功能的显示和维护功能的显示和维护 操作命令行备注 查看 arp anti flood 功能所有相关配置 及攻击者列表 show arp anti flood 任何模式下可执行 1 4 配置举例配置举例 组网需求 如图所示 Switch A 的端