ARP配置教程
Warning: Division by zero in /var/www/html/wwwroot/itrenzheng.hk/wp-content/themes/code-blue_20/functions.php on line 16
Warning: Division by zero in /var/www/html/wwwroot/itrenzheng.hk/wp-content/themes/code-blue_20/functions.php on line 16
Warning: Division by zero in /var/www/html/wwwroot/itrenzheng.hk/wp-content/themes/code-blue_20/functions.php on line 16
ARP報文內MAC地址一致性檢查功能主要應用於網關設備上,可以防禦以太網數據幀首部中的源/目的MAC地址和ARP報文數據區中的源/目的MAC地址不同的ARP攻擊。
本命令不支持在子接口上配置,當子接口收到ARP報文時,ARP報文內MAC地址一致性檢查遵循主接口下的檢查規則。
本命令不支持在VLANIF接口上配置,當VLANIF接口收到ARP報文時,ARP報文內MAC地址一致性檢查遵循成員口下的檢查規則。
[Huawei-GigabitEthernet0/0/1]arp validate ?
destination-mac Destination MAC
source-mac Source MAC
7、arp報文合法性檢查
為了防止非法ARP報文的攻擊,可以在接入設備或網關設備上配置ARP報文合法性檢查功能,用來對MAC地址和IP地址不合法的ARP報文進行過濾。設備提供以下三種可以任意組合的檢查項配置:
1、IP地址檢查:
設備會檢查ARP報文中的源IP和目的IP地址,全0、全1、或者組播IP地址都是不合法的,需要丟棄。對於ARP
應答報文,源IP和目的IP地址都進行檢查;對於ARP請求報文,只檢查源IP地址。
2、源MAC地址檢查:
設備會檢查ARP報文中的源MAC地址和以太網數據幀首部中的源MAC地址是否一致,一致則認為合法,否則丟棄報文。
3、目的MAC地址檢查:
設備會檢查ARP應答報文中的目的MAC地址是否和以太網數據幀首部中的目的MAC地址一致,一致則認為合法,否則丟棄報文。
通常,ARP報文中源MAC地址和以太網數據幀首部中的源MAC地址不一致的ARP報文,以及目的MAC地址和以太網數據幀首部中的目的MAC地址不一致的ARP應答報文均是ARP協議允許的ARP報文。因此,只有在網絡管理員發現攻擊產生後,通過報文頭獲取方式定位,確定是由於對應項不一致的ARP報文導致的攻擊,才能指定ARP報文合法性檢查時需要檢查源MAC地址和檢查目的MAC地址。
[Huawei]arp anti-attack packet-check sender-mac #模擬器只有目的MAC
8、配置ARP表項嚴格學習
只有本設備主動發送的ARP請求報文的應答報文才能觸發本設備學習ARP,其他設備主動向本設備發送的ARP報文不能觸發本設備學習ARP,這樣,可以拒絕大部分的ARP報文攻擊。
ARP表項嚴格學習功能可在全局和接口視圖下進行配置。
在全局使能ARP表項嚴格學習功能的前提下:
如果在指定接口下執行命令arp learning strict force-disable,則該接口將會被強制執行去使能ARP表項嚴格學習的功能。
如果在指定接口下執行命令arp learning strict trust時,則該接口的ARP表項嚴格學習功能和全局的配置保持一致。
由於有些用戶主機上安裝的防火牆會阻止其收到ARP請求時發送ARP應答或網卡無法回复ARP應答,所以使能ARP表項嚴格學習功能後,如果設備上觸發了ARP Miss消息,則設備主動發出的ARP請求將無法得到該用戶的ARP應答,從而使設備無法學習到該用戶的ARP。在這種場景下,如果僅是個別用戶出現該問題,則可以為其配置靜態ARP;如果該問題在用戶中非常普遍,則建議去使能ARP表項嚴格學習功能。
具體配置:
1、全局配置
[Huawei]arp learning strict
2、接口配置
[Huawei-GigabitEthernet0/0/4]undo portswitch
[Huawei-GigabitEthernet0/0/4]arp learning strict
9、DHCP觸發arp學習
在DHCP用戶場景下,當DHCP用戶數目很多時,設備進行大規模ARP表項的學習和老化會對設備性能和網絡環境形成衝擊。
為了避免此問題,可以在網關設備上使能DHCP觸發ARP學習功能。當DHCP服務器給用戶分配了IP地址,網關設備會根據VLANIF接口上收到的DHCP ACK報文直接生成該用戶的ARP表項。
DHCP觸發ARP學習功能生效的前提是通過命令dhcp snooping enable使能DHCP Snooping功能。
在VRRP和DHCP Relay組合場景下,VRRP主備設備上都不能再配置命令dhcp snooping enable和arp learning
dhcp-trigger。
網關設備上還可同時部署動態ARP檢測功能,防止DHCP用戶的ARP表項被偽造的ARP報文惡意修改。
具體配置:
[Huawei-Vlanif10]arp learning dhcp-trigger
10、配置VPLS網絡中ARP代理
在VPLS網絡中,為了防止PW(Pseudo Wire)側的偽造ARP報文被廣播到AC(Attachment Circuit)側形成ARP欺騙攻擊,可以在PE設備上使能在VPLS網絡中的ARP代理功能。
使能該功能後,PW側的ARP報文將會被上送到主控板進行處理:
如果是ARP請求報文,並且報文的目的IP地址在DHCP Snooping綁定表中存在,則設備根據DHCP Snooping綁定表組裝ARP應答報文直接回應PW側的請求方。
如果不是ARP請求報文,或者ARP請求報文的目的IP地址不在DHCP Snooping綁定表中,則報文被正常轉發。
本功能需要和DHCP Snooping over VPLS功能配合使用。
[Huawei]arp over-vpls enable
Comments
Warning: count(): Parameter must be an array or an object that implements Countable in /var/www/html/wwwroot/itrenzheng.hk/wp-includes/class-wp-comment-query.php on line 399
Tell me what you're thinking...
and oh, if you want a pic to show with your comment, go get a gravatar!