1、配置ARP代理。
路由式Proxy ARP:适用于需要互通的主机(主机上没有配置缺省网关)处于相同的网段但不在同一物理网络的场景。
脚本:
system-view
vlan batch 10
interface vlanif 10
ip address 10.1.1.1 24
arp-proxy enable
VLAN内Proxy ARP:适用于需要互通的主机处于相同网段,并且属于相同VLAN,但是VLAN内配置了端口隔离的场景。
脚本:
system-view
vlan batch 10
interface vlanif 10
ip address 10.1.1.1 24
arp-proxy inner-sub-vlan-proxy enable
VLAN间Proxy ARP:适用于需要互通的主机处于相同网段,但属于不同VLAN的场景。
脚本:
system-view
vlan batch 10
interface vlanif 10
ip address 10.1.1.1 24
arp-proxy inter-sub-vlan-proxy enable
2、屏蔽基于源IP地址的ARP Miss告警。
当某个源IP地址触发了ARP Miss告警,用户希望屏蔽此源IP地址的ARP Miss告警时,可以对这个IP地址的ARP Miss消息不进行限速。
脚本:
system-view
arp-miss speed-limit source-ip 10.1.1.1 maximum 0 //配置对IP地址10.1.1.1的ARP Miss消息不进行限速。
脚本:
system-view
arp-miss speed-limit source-ip maximum 0 //配置对所有源IP地址的ARP Miss消息不进行限速。
3、配置动态ARP检测(DAI)。
该功能主要用于防御中间人攻击的场景,避免设备上合法用户的ARP表项被攻击者发送的伪造ARP报文错误更新。
DAI是基于绑定表(DHCP动态和静态绑定表)对ARP报文进行匹配检查。
设备收到ARP报文时,将ARP报文对应的源IP地址、源MAC地址、接口、VLAN信息和绑定表的信息进行对比:
(1)如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过。
(2)否则就认为是攻击,丢弃该ARP报文。
例:
脚本:
system-view
dhcp enable
dhcp snooping enable ipv4
interface gigabitethernet 1/0/10
dhcp snooping enable //设备与用户侧相连的接口使能DHCP Snooping功能。
quit
interface gigabitethernet 1/0/11
dhcp snooping trusted //设备与DHCP Server侧相连的接口配置为信任接口。如果DHCP Snooping功能部署在DHCP中继设备上,可以不配置信任接口。
quit
user-bind static ip-address 10.1.1.1 vlan 10 //对于静态配置IP地址的用户,在设备上配置静态绑定表。
interface gigabitethernet 1/0/10
arp anti-attack check user-bind enable //设备与用户侧相连的接口使能DAI功能。
quit
脚本:
system-view
dhcp enable
dhcp snooping enable ipv4
vlan 10
dhcp snooping enable //用户设备所属VLAN内使能DHCP Snooping功能。
quit
vlan 20
dhcp snooping enable
dhcp snooping trusted interface gigabitethernet 1/0/10 //设备与DHCP Server侧相连的接口配置为信任接口。如果DHCP Snooping功能部署在DHCP中继设备上,可以不配置信任接口。
quit
user-bind static ip-address 10.1.1.1 vlan 10 //对于静态配置IP地址的用户,在设备上配置静态绑定表。
vlan 10
arp anti-attack check user-bind enable //用户侧所属VLAN内使能DAI功能。
quit
4、配置ARP防网关冲突。
如果有攻击者仿冒网关,在局域网内发送源IP地址是网关IP地址的ARP报文,会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到他们发送的数据内容,并且最终会造成这些用户主机无法访问网络。
为了防范攻击者仿冒网关,当用户主机直接接入网关时,可以在网关设备上使能ARP防网关冲突攻击功能。当设备收到的ARP报文存在下列情况之一:
ARP报文的源IP地址与报文入接口对应的VLAN接口的IP地址相同。
ARP报文的源IP地址是入接口的虚拟IP地址,但ARP源MAC地址不是VRRP虚MAC。
设备就认为该ARP报文时与网关地址冲突的ARP报文,设备将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文,这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。
脚本:
在网关设备上使能ARP防网关冲突攻击功能。缺省情况下设备上防网关冲突攻击功能处于未使能状态。
system-view
arp anti-attack gateway-duplicate enable
网友评论