一、防ARP泛洪攻击

当针对全局、VLAN、接口的ARP报文限速以及根据源MAC地址、源IP地址进行ARP报文限速中的多个限速功能同时配置时，设备对同时满足这些限速条件的ARP报文以其中最小的限速值进行限速。

当针对全局、VLAN、接口的ARP Miss消息限速以及根据源IP地址进行ARP Miss消息限速中的多个限速功能同时配置时，设备对同时满足这些限速条件的ARP Miss消息以其中最小的限速值进行限速。

防止ARP泛洪攻击包括ARP报文限速功能、ARP Miss消息限速功能、免费ARP报文主动丢弃功能、ARP表项严格

学习功能以及ARP表项限制功能。并不是所有情况下都需要配置全部的ARP安全功能，根据实际情况选择在网关上部署。

1、配置ARP报文限速功能

1.1、配置根据源MAC地址的ARP限速

可以在网关设备上配置设备根据源MAC地址进行ARP报文限速。设备会对上送CPU的ARP报文根据源MAC地址进行统计，如果在1秒内收到的同一个源MAC地址的ARP报文超过设定阈值（ARP报文限速值），设备则丢弃超出阈值部分的ARP报文。

具体配置：

1、针对所有源MAC地址的arp报文源限制速率，单位为pps ，默认为0，即不限制

[Huawei]arp speed-limit source-mac maximum 100

2、针对指定源MAC地址的arp报文源限制速率

[Huawei]arp speed-limit source-mac 5489-98b9-6b46 maximum 20

1.2、配置基于源IP的arp报文限速

可以在网关设备上配置设备根据源IP地址进行ARP报文限速。设备会对上送CPU的ARP报文根据源IP地址进行统计，如果在1秒内收到的同一个源IP地址的ARP报文超过设定阈值（ARP报文限速值），设备则丢弃超出阈值部分的ARP报文。

当同一个源IP地址的ARP报文速率超过30pps时，如果是在网关请求同网段内很多个用户MAC地址的场景下，则需要增大设备的ARP报文源IP地址抑制速率值，否则超过30pps的ARP报文将被丢弃，会造成网关学习ARP很慢；

如果是在ARP扫描攻击的场景下，则需要减小设备的ARP报文源IP地址抑制速率值。

具体配置：

1、针对所有源IP的arp报文限制速率

[Huawei]arp speed-limit source-ip maximum 100 （5700未能模拟）

2、针对具体源IP的arp报文限速

[Huawei]arp speed-limit source-ip 10.1.1.1 maximum 20

1.3、配置基于全局、vlan、接口的ARP报文限速

建议在网关设备上进行如下配置。

当接入设备上部署了MFF功能时，为了避免MFF模块处理过多的过路ARP报文（即ARP报文的目的IP地址不是该报文接收接口的IP地址）导致CPU负荷过重，则可以在接入设备上部署针对全局、VLAN和接口的ARP报文限速功能。

具体配置

1、打开arp报文限速功能

[Huawei]arp anti-attack rate-limit enable

[Huawei-vlan20]arp anti-attack rate-limit enable

[Huawei-Vlanif20] arp anti-attack rate-limit enable  # 未能模拟

[Huawei-GigabitEthernet0/0/12]arp anti-attack rate-limit enable  #对于二层模式接口需要undo portswitch切换到三层

2、使能arp报文限速值（报文个数）和限速时间（默认为1S）

[Huawei]arp anti-attack rate-limit 100 3

[Huawei-vlan20]arp anti-attack rate-limit 100 3

[Huawei-Vlanif20] arp anti-attack rate-limit  100 3

3. 使能arp报文限速值（报文个数）和限速时间（默认为1S）以及超过限速值时后续持续丢弃报文的时间（默

认1S，该功能仅在接口下配置才能使用）

[Huawei-GigabitEthernet0/0/12]arp anti-attack rate-limit 100 3 block timer 60

#该命令在非block模式下只对上送CPU的ARP报文进行限速，对芯片转发的报文不会产生影响；在block模式下，仅在接口下上送CPU的ARP报文超过限速值时会触发block，触发后设备会持续丢弃该接口下的所有ARP报文。

4、设置ARP报文限速告警功能

[Huawei]arp anti-attack rate-limit alarm enable

5、设置ARP报文限速告警阈值

[Huawei]arp anti-attack rate-limit alarm threshold ?

  INTEGER<1-16384>  Threshold value

1.4、配置针对Super VLAN的VLANIF接口的ARP报文限速

以下两种情况会触发Super VLAN的VLANIF接口进行ARP学习：

VLANIF接口接收到触发ARP Miss消息的IP报文

VLANIF接口上启用ARP代理功能之后，设备接收到目的IP符合代理条件且该IP对应的ARP条目不存在的ARP请求报文

Super VLAN的VLANIF接口进行ARP学习时会将ARP请求报文在每个Sub VLAN下复制，如果该Super VLAN下配置了大量Sub VLAN，那么设备将产生大量的ARP请求报文。

为了避免CPU因复制、发送大量ARP请求报文而负担过重，设备支持Super VLAN的VLANIF接口下的ARP报文限速功能，以对该场景下设备发送的ARP请求报文进行流量控制。

当设备CPU较为繁忙时，可适当调小ARP请求报文的广播发送限制速率；当设备CPU较为空闲时，且希望能够快速广播ARP请求报文，则可以适当调大该速率。请根据设备实际状况和实际网络环境进行调整。

建议在网关设备上进行如下配置。

具体配置

[Huawei]arp speed-limit flood-rate  #缺省为1000pps

2、ARP Miss消息限速配置

1、根据源IP地址进行ARP Miss消息限速

如果同一个源IP地址频繁触发ARP Miss消息且触发的ARP Miss消息速率超过30pps属于正常的情况，则需要增大ARP Miss消息根据源IP地址进行限速的限速值。

否则超过30pps的ARP Miss消息会触发ARP Miss消息限速，设备默认在5秒内丢弃匹配该源IP地址的所有ARP Miss报文，造成该源IP地址无法触发ARP学习，使该源IP地址的Ping报文会出现丢包现象。

建议在网关设备上进行如下配置。

具体配置：

1、设置根据源IP地址限制arp miss速率

[Huawei]arp-miss speed-limit source-ip maximum ?

  INTEGER<0-16384>  The range of speed-limit value

2、设置根据具体源IP地址限制arp miss速率

[Huawei]arp-miss speed-limit source-ip 192.168.1.1 ?

  mask     The source ip address mask

  maximum  Input the speed-limit value

#如果将限速值配置为0，则表示不根据源IP地址进行ARP Miss消息限速。缺省情况下，设备允许每秒最多处理同一个源IP地址触发的30个ARP Miss消息。

如果同一个源IP地址在1秒内触发的ARP Miss消息个数超过ARP Miss消息限速值，设备会丢弃超过限速值的ARP Miss消息，即丢弃触发这些ARP Miss消息的ARP Miss报文，并默认使用block方式在5秒内持续丢弃该源IP地址的后续所有ARP Miss报文。

2、针对全局、VLAN和接口的ARP Miss消息限速

具体配置：

1、打开arp miss消息限速功能（全局或vlan或接口）

[Huawei]arp-miss anti-attack rate-limit enable

2、配置ARP Miss消息的限速值和限速时间

[Huawei]arp-miss anti-attack rate-limit 200 20

3、设置ARP Miss消息的告警功能

[Huawei]arp-miss anti-attack rate-limit alarm enable

4、配置ARP Miss消息限速丢弃告警阈值

[Huawei]arp-miss anti-attack rate-limit alarm threshold