美文网首页简友广场想法
华为交换机常见ARP操作整理(下)第十九天

华为交换机常见ARP操作整理(下)第十九天

作者: 大海的成长记录 | 来源:发表于2021-03-28 22:20 被阅读0次

1、配置ARP代理。

  路由式Proxy ARP:适用于需要互通的主机(主机上没有配置缺省网关)处于相同的网段但不在同一物理网络的场景。

  脚本:

  system-view

  vlan batch 10

  interface vlanif 10

  ip address 10.1.1.1 24

  arp-proxy enable

  VLAN内Proxy ARP:适用于需要互通的主机处于相同网段,并且属于相同VLAN,但是VLAN内配置了端口隔离的场景。

  脚本:

  system-view

  vlan batch 10

  interface vlanif 10

  ip address 10.1.1.1 24

  arp-proxy inner-sub-vlan-proxy enable

  VLAN间Proxy ARP:适用于需要互通的主机处于相同网段,但属于不同VLAN的场景。

  脚本:

  system-view

  vlan batch 10

  interface vlanif 10

  ip address 10.1.1.1 24

  arp-proxy inter-sub-vlan-proxy enable

2、屏蔽基于源IP地址的ARP Miss告警。

    当某个源IP地址触发了ARP Miss告警,用户希望屏蔽此源IP地址的ARP Miss告警时,可以对这个IP地址的ARP Miss消息不进行限速。

    脚本:

  system-view

  arp-miss speed-limit source-ip 10.1.1.1 maximum 0  //配置对IP地址10.1.1.1的ARP Miss消息不进行限速。

    脚本:

  system-view

  arp-miss speed-limit source-ip maximum 0  //配置对所有源IP地址的ARP Miss消息不进行限速。

3、配置动态ARP检测(DAI)。

  该功能主要用于防御中间人攻击的场景,避免设备上合法用户的ARP表项被攻击者发送的伪造ARP报文错误更新。

  DAI是基于绑定表(DHCP动态和静态绑定表)对ARP报文进行匹配检查。

  设备收到ARP报文时,将ARP报文对应的源IP地址、源MAC地址、接口、VLAN信息和绑定表的信息进行对比:

  (1)如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过。

  (2)否则就认为是攻击,丢弃该ARP报文。

    例:

    脚本:

  system-view

  dhcp enable

  dhcp snooping enable ipv4

  interface gigabitethernet 1/0/10

  dhcp snooping enable  //设备与用户侧相连的接口使能DHCP Snooping功能。

  quit

  interface gigabitethernet 1/0/11

  dhcp snooping trusted  //设备与DHCP Server侧相连的接口配置为信任接口。如果DHCP Snooping功能部署在DHCP中继设备上,可以不配置信任接口。

    quit

  user-bind static ip-address 10.1.1.1 vlan 10  //对于静态配置IP地址的用户,在设备上配置静态绑定表。

  interface gigabitethernet 1/0/10

  arp anti-attack check user-bind enable  //设备与用户侧相连的接口使能DAI功能。

  quit

  脚本:

  system-view

  dhcp enable

  dhcp snooping enable ipv4

  vlan 10

  dhcp snooping enable  //用户设备所属VLAN内使能DHCP Snooping功能。

  quit

  vlan 20

  dhcp snooping enable

  dhcp snooping trusted interface gigabitethernet 1/0/10  //设备与DHCP Server侧相连的接口配置为信任接口。如果DHCP Snooping功能部署在DHCP中继设备上,可以不配置信任接口。

  quit

  user-bind static ip-address 10.1.1.1 vlan 10 //对于静态配置IP地址的用户,在设备上配置静态绑定表。

  vlan 10

  arp anti-attack  check user-bind enable  //用户侧所属VLAN内使能DAI功能。

  quit

4、配置ARP防网关冲突。

  如果有攻击者仿冒网关,在局域网内发送源IP地址是网关IP地址的ARP报文,会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到他们发送的数据内容,并且最终会造成这些用户主机无法访问网络。

  为了防范攻击者仿冒网关,当用户主机直接接入网关时,可以在网关设备上使能ARP防网关冲突攻击功能。当设备收到的ARP报文存在下列情况之一:

  ARP报文的源IP地址与报文入接口对应的VLAN接口的IP地址相同。

  ARP报文的源IP地址是入接口的虚拟IP地址,但ARP源MAC地址不是VRRP虚MAC。

  设备就认为该ARP报文时与网关地址冲突的ARP报文,设备将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文,这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。

  脚本:

    在网关设备上使能ARP防网关冲突攻击功能。缺省情况下设备上防网关冲突攻击功能处于未使能状态。

  system-view

  arp anti-attack gateway-duplicate enable

相关文章

网友评论

    本文标题:华为交换机常见ARP操作整理(下)第十九天

    本文链接:https://www.haomeiwen.com/subject/tdwmhltx.html