任务 操作 进入以太网端口视图 命令 interface interface-type interface-number - 可选 说明 配置指定端口的IP静态绑定表项 ip source static binding ip-address ip-address 配置IP静态绑定表项 [ mac-address mac-address ] 退出至系统视图 进入以太网端口视图 quit interface interface-type interface-number arp detection trust 缺省情况下,没有配置IP静态绑定表项 - - 可选 配置ARP信任端口 缺省情况下,端口为ARP非信任端口 - - 必选 配置ARP入退出至系统视图 侵检测功能,进入VLAN视图 防御常见的ARP攻击 开启ARP入侵检测功能 quit vlan vlan-id arp detection enable 缺省情况下,指定VLAN内所有端口的ARP入侵检测功能处于关闭状态 - 必选 退出至系统视图 quit 开启ARP报文限速功能 arp rate-limit enable 缺省情况下,端口的ARP报文限速功能处于关闭状态 可选 配置允许通过端口的ARP报文的最大速率 arp rate-limit rate 缺省情况下,端口能通过的ARP报文的最大速率为15pps - 可选 配置ARP限速功能 退出至系统视图 开启因ARP报文超速而被关闭的端口的状态自动恢复功能 quit arp protective-down recover enable 缺省情况下,交换机的端口状态自动恢复功能处于关闭状态 可选 配置因ARP报文超速而被关闭的端口的端口状态自动恢复时间 arp protective-down recover interval interval 缺省情况下,开启端口状态自动恢复功能后,交换机的端口状态自动恢复时间为300秒
7
? 说明:
有关各款交换机支持的ARP攻击防御功能的详细介绍和配置命令,请参见各产品的操作、命令手册。
1.4 支持ARP攻击防御功能的产品列表
表1-3 支持ARP攻击防御功能的产品列表 功能 产品型号 S5600(Release1602) S5100-EI(Release2200) S5100-SI(Release2200) S3600-EI(Release1602) S3600-SI(Release1602) S3100-EI(Release2104) S3100-52P(Release1602) E352/E328(Release1602) E152(Release1602) E126A(Release2104) DHCP Snooping ? ? ? ? ? ? ? ? ? ? ARP入侵检测 ? ? ? ? ? ? ? ? ? ? IP静态绑定 ? ? ? ? ? ? ? ? ? ? ARP报文限速 ? ? ? ? ? ? ? ? ? ?
? 说明:
有关各款交换机支持的防ARP攻击功能的详细介绍,请参见各产品的操作手册。
8
第2章 ARP攻击防御配置举例
2.1 DHCP监控模式下的ARP攻击防御配置举例
2.1.1 组网需求
某校园网内大部分用户通过接入设备连接网关和DHCP服务器,动态获取IP地址。管理员通过在接入交换机上全面部署ARP攻击防御相关特性,形成保护屏障,过滤掉攻击报文。详细网络应用需求分析如下。
?
校园网用户分布在两个区域Host area1和Host area2,分别属于VLAN10和VLAN20,通过接入交换机Switch A和Switch B连接到网关Gateway,最终连接外网和DHCP。
Host area1所在子网内拥有一台TFTP服务器,其IP地址为192.168.0.10/24,MAC地址为000d-85c7-4e00。
为防止仿冒网关、欺骗网关等ARP攻击形式,开启Switch A上VLAN10内、Switch B上VLAN20内ARP入侵检测功能,设置Switch A和Switch B的端口Ethernet1/0/1为ARP信任端口。
为防止ARP泛洪攻击,在Switch A和Switch B所有直接连接客户端的端口上开启ARP报文限速功能。同时,开启因ARP报文超速而被关闭的端口的状态自动恢复功能,并设置恢复时间间隔100秒。
?
?
?
2.1.2 组网图
DHCP serverIP networkEth1/0/3Vlan-int 10192.168.0.1/24Eth1/0/1Vlan-int 20192.168.1.1/24Eth1/0/2GatewayVLAN10Host area1Switch ASwtich BEth1/0/1Eth1/0/2Eth1/0/1Eth1/0/4VLAN20Host area2Eth1/0/4Eth1/0/2Eth1/0/3Eth1/0/3TFTP serverIP:192.168.0.10/24Host AHost BHost CHost DHost E 图2-1 DHCP监控模式下的ARP攻击防御组网示意图
2.1.3 配置思路
?
在接入交换机Switch A和Switch B上开启DHCP snooping功能,并配置与DHCP服务器相连的端口为DHCP snooping信任端口。
在接入交换机Switch A上为固定IP地址的TFTP服务器配置对应的IP静态绑定表项。
在接入交换机Switch A和Switch B对应VLAN上开启ARP入侵检测功能,并配置其上行口为ARP信任端口。
在接入交换机Switch A和Switch B直接连接客户端的端口上配置ARP报文限速功能,同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。
?
?
?
2.1.4 配置步骤
1. 使用的版本
本举例中使用的接入交换机Switch A和Switch B为E126A系列以太网交换机。
2. 配置客户端动态获取IP地址。
图2-2 配置客户端自动获取IP地址示意图
3. 配置Switch A
# 创建VLAN10,并将端口Ethernet1/0/1到Ethernet1/0/4加入VLAN10中。
[SwitchA-vlan10] port Ethernet 1/0/1 to Ethernet 1/0/4 [SwitchA-vlan10] quit
# 配置Switch A的上行口为DHCP snooping信任端口。
[SwitchA] interface ethernet1/0/1
[SwitchA-Ethernet1/0/1] dhcp-snooping trust [SwitchA-Ethernet1/0/1] quit
# 开启DHCP snooping。
[SwitchA] dhcp-snooping
# 在Switch A的端口Ethernet1/0/4上配置IP静态绑定表项。
[SwitchA] interface Ethernet1/0/4
[SwitchA-Ethernet1/0/4] ip source static binding ip-address 192.168.0.10 mac-address 000d-85c7-4e00 [SwitchA-Ethernet1/0/4] quit
# 配置Switch A的上行口为ARP信任端口。
[SwitchA] interface ethernet1/0/1
[SwitchA-Ethernet1/0/1] arp detection trust [SwitchA-Ethernet1/0/1] quit
# 开启VLAN 10内所有端口的ARP入侵检测功能。