华为交换机防ARP攻击配置手册

ARP下表列出了本章所包含的内容。假设您需要……ARP了解ARP协议防攻击综合配置举例

请阅读……ARP地址哄骗防攻击ARPARP防攻击配置举例ARP地址哄骗防攻击ARP地址哄骗防攻击简介ARPIPARPARP表项被非法修改，但是配置繁琐，需要花费大量人力去维护，极不便利；IPARP篡改网关设备上的用户ARP表项，可以造成其他合法用户的网络中断。3-1ARP地址哄骗攻击示意图如3-1所示，AGBAAG讯失败。ARPS9500MAC地址对于动态ARP的配置方式，交换机第一次学习到ARP表项之后就不再允许通过ARPARPMACARPMACFixed-macFixed-all。Fixed-macARPMACVLAN和端口信息进展修改。这种方式适用于静态配置IP地址，但网络存在冗余链路的状况。当链路切换时，ARP表项中的端口信息可以快速转变。Fixed-allARPARP、MAC、VLAN息均不允许修改。这种方式适用于静态配置IP地址、网络没有冗余链路、同一IP主动确认〔Send-ack〕ARPARPARPMAC假设在肯定时间内收到原用户的应答报文，说明原用户仍存在，则在后续一分钟时间内，也不允许修改此ARP表项中的MAC地址；假设肯定时间内没有收到原用户的应答报文，则对用户发起一个单播请求报文，收到用户的应答报文之后才修改ARP表项，使用户成为合法用户。主动确认方式可以适应动态安排IP地址、有冗余链路的网络。ARP地址哄骗防攻击配置3-1ARP地址哄骗防攻击配置操作进入系统视图防攻击息

命令system-viewarpentry-check{fixed-mac|fixed-all|send-ack}displayarpentry-check

说明-必选防攻击功能关闭display命令可以在任意视图下执行ARP网关冲突防攻击配置ARP网关冲突防攻击简介3-2ARP网关冲突攻击示意图ARPIP网关地址为攻击者的地址，最终导致局域网内部全部主机无法访问网络。ARPS9500ARPARPIPIPARPIPNATMACARPIPIPARPMACVRRPMAC。ARPARPVLAN的播送转发。ARP网关冲突防攻击配置留意：ARP网关冲突防攻击能够检测并防止与VLANVRRP虚地址和NAT地址池的冲突；交换机检测到网管口上存在地址冲突时，只记录日志信息，不能阻挡攻击发生；交换机工作在VRRP实MAC志信息，不能阻挡攻击发生。操作进入系统视图命令system-view说明-必选操作进入系统视图命令system-view说明-必选ARPanti-attack冲突防攻击 gateway-duplicate{enable缺省状况下，ARP网关|disable} 冲突防攻击功能处于关闭状态显示网关地址项信息displayanti-attackgateway-duplicateslotslotiddisplay命令可以在任意视图下执行ARP报文防攻击配置ARP报文防攻击简介ARPARPARPARPARPMACARPMACARPMAC发防攻击表项后，该用户将无法正常访问网络。ARP报文防攻击配置3-3ARP报文防攻击配置操作进入系统视图攻击

命令system-viewanti-attackarp{enable|monitor|

说明-必选disable} 击功能处于监控状态可选值

anti-attackarpthresholdthreshold-value

threshold-value取值范30pps操作 命令 说明可选时间址

anti-attackarpaging-timetimeanti-attackarpexclude-macmac-address

time600ARP可选MAC攻击功能过滤掉，系统最16MAC攻击表项信息 说明：

displayanti-attack display命令可以在任意arpslotslotid 视图下执行假设接口板的CPU没有收到任何报文，则接口板的ARP防攻击表项不会老化；ARPARPMAC地址的动态MAC地址表项也不能老化；网管口不支持ARP报文防攻击功能。ARP防攻击配置举例组网需求Switch1S9500Ethernet1/1/1Ethernet1/1/2Switch2Switch3。Switch3PC4、PC5，PC4、PC5PC1中病毒后，会发出大量ARP攻击报文，局部ARP报文源IP地址在本网ARPIPIPPC4MACARPSwitch1PC1PC4组网图3-3ARP防攻击配置举例组网图配置步骤<Switch1>system-view#配置ARPsend-ackPC1ARP。[Switch1]arpentry-checksend-ackPC1[Switch1]anti-attackgateway-duplicateenablePC4ARP[Switch1]anti-attackarpenable40pps。[Switch1]anti-attackarpthreshold40300[Switch1]anti-attackarpaging-time3000-0-1。[Switch1]anti-attackarpexclude-mac0-0-1配置完成后，可以通过displaycurrent命令查询当前ARP防攻击配置状况。同displayanti-attack命令查看当前网络中存在的网关地址冲突MACARP需要说明的是：配置ARP地址哄骗防攻击功能后，在存在攻击的状况下，交换机的CPU的占用率将上升，可能导致