ARP配置教程(一)
首页 > HuaWei > ARP   作者:浙江思唯网络  2015年10月28日 16:28 星期三  字号:   评论:0 条
时间:2015-10-28 16:28   评论:0 条 
 

一、防ARP泛洪攻击

当针对全局、VLAN、接口的ARP报文限速以及根据源MAC地址、源IP地址进行ARP报文限速中的多个限速功能同时配置时,设备对同时满足这些限速条件的ARP报文以其中最小的限速值进行限速。

当针对全局、VLAN、接口的ARP Miss消息限速以及根据源IP地址进行ARP Miss消息限速中的多个限速功能同时配置时,设备对同时满足这些限速条件的ARP Miss消息以其中最小的限速值进行限速。

防止ARP泛洪攻击包括ARP报文限速功能、ARP Miss消息限速功能、免费ARP报文主动丢弃功能、ARP表项严格

学习功能以及ARP表项限制功能。并不是所有情况下都需要配置全部的ARP安全功能,根据实际情况选择在网关上部署。

 

1、配置ARP报文限速功能

1.1、配置根据源MAC地址的ARP限速

可以在网关设备上配置设备根据源MAC地址进行ARP报文限速。设备会对上送CPUARP报文根据源MAC地址进行统计,如果在1秒内收到的同一个源MAC地址的ARP报文超过设定阈值(ARP报文限速值),设备则丢弃超出阈值部分的ARP报文。

具体配置:

1、针对所有源MAC地址的arp报文源限制速率,单位为pps ,默认为0,即不限制

[Huawei]arp speed-limit source-mac maximum 100

2、针对指定源MAC地址的arp报文源限制速率

[Huawei]arp speed-limit source-mac 5489-98b9-6b46 maximum 20

1.2、配置基于源IParp报文限速

可以在网关设备上配置设备根据源IP地址进行ARP报文限速。设备会对上送CPUARP报文根据源IP地址进行统计,如果在1秒内收到的同一个源IP地址的ARP报文超过设定阈值(ARP报文限速值),设备则丢弃超出阈值部分的ARP报文。

当同一个源IP地址的ARP报文速率超过30pps时,如果是在网关请求同网段内很多个用户MAC地址的场景下,则需要增大设备的ARP报文源IP地址抑制速率值,否则超过30ppsARP报文将被丢弃,会造成网关学习ARP很慢;

如果是在ARP扫描攻击的场景下,则需要减小设备的ARP报文源IP地址抑制速率值。

具体配置:

1、针对所有源IParp报文限制速率

[Huawei]arp speed-limit source-ip maximum 100 5700未能模拟)

2、针对具体源IParp报文限速

[Huawei]arp speed-limit source-ip 10.1.1.1 maximum 20

 

1.3、配置基于全局、vlan、接口的ARP报文限速

建议在网关设备上进行如下配置。

当接入设备上部署了MFF功能时,为了避免MFF模块处理过多的过路ARP报文(即ARP报文的目的IP地址不是该报文接收接口的IP地址)导致CPU负荷过重,则可以在接入设备上部署针对全局、VLAN和接口的ARP报文限速功能。

具体配置

1、打开arp报文限速功能

[Huawei]arp anti-attack rate-limit enable

[Huawei-vlan20]arp anti-attack rate-limit enable

[Huawei-Vlanif20] arp anti-attack rate-limit enable  # 未能模拟

[Huawei-GigabitEthernet0/0/12]arp anti-attack rate-limit enable  #对于二层模式接口需要undo portswitch切换到三层

2、使能arp报文限速值(报文个数)和限速时间(默认为1S

[Huawei]arp anti-attack rate-limit 100 3

[Huawei-vlan20]arp anti-attack rate-limit 100 3

[Huawei-Vlanif20] arp anti-attack rate-limit  100 3

3. 使能arp报文限速值(报文个数)和限速时间(默认为1S)以及超过限速值时后续持续丢弃报文的时间(默

1S,该功能仅在接口下配置才能使用)

[Huawei-GigabitEthernet0/0/12]arp anti-attack rate-limit 100 3 block timer 60

#该命令在非block模式下只对上送CPUARP报文进行限速,对芯片转发的报文不会产生影响;在block模式下,仅在接口下上送CPUARP报文超过限速值时会触发block,触发后设备会持续丢弃该接口下的所有ARP报文。

4、设置ARP报文限速告警功能

[Huawei]arp anti-attack rate-limit alarm enable

5、设置ARP报文限速告警阈值

[Huawei]arp anti-attack rate-limit alarm threshold ?

  INTEGER<1-16384>  Threshold value

 

1.4、配置针对Super VLANVLANIF接口的ARP报文限速

以下两种情况会触发Super VLANVLANIF接口进行ARP学习:

VLANIF接口接收到触发ARP Miss消息的IP报文

VLANIF接口上启用ARP代理功能之后,设备接收到目的IP符合代理条件且该IP对应的ARP条目不存在的ARP请求报文

Super VLANVLANIF接口进行ARP学习时会将ARP请求报文在每个Sub VLAN下复制,如果该Super VLAN下配置了大量Sub VLAN,那么设备将产生大量的ARP请求报文。

为了避免CPU因复制、发送大量ARP请求报文而负担过重,设备支持Super VLANVLANIF接口下的ARP报文限速功能,以对该场景下设备发送的ARP请求报文进行流量控制。

当设备CPU较为繁忙时,可适当调小ARP请求报文的广播发送限制速率;当设备CPU较为空闲时,且希望能够快速广播ARP请求报文,则可以适当调大该速率。请根据设备实际状况和实际网络环境进行调整。

建议在网关设备上进行如下配置。

具体配置

[Huawei]arp speed-limit flood-rate  #缺省为1000pps

 

2ARP Miss消息限速配置

1、根据源IP地址进行ARP Miss消息限速

如果同一个源IP地址频繁触发ARP Miss消息且触发的ARP Miss消息速率超过30pps属于正常的情况,则需要增大ARP Miss消息根据源IP地址进行限速的限速值。

否则超过30ppsARP Miss消息会触发ARP Miss消息限速,设备默认在5秒内丢弃匹配该源IP地址的所有ARP Miss报文,造成该源IP地址无法触发ARP学习,使该源IP地址的Ping报文会出现丢包现象。

建议在网关设备上进行如下配置。

具体配置:

1、设置根据源IP地址限制arp miss速率

[Huawei]arp-miss speed-limit source-ip maximum ?

  INTEGER<0-16384>  The range of speed-limit value

2、设置根据具体源IP地址限制arp miss速率

[Huawei]arp-miss speed-limit source-ip 192.168.1.1 ?

  mask     The source ip address mask

  maximum  Input the speed-limit value

#如果将限速值配置为0,则表示不根据源IP地址进行ARP Miss消息限速。缺省情况下,设备允许每秒最多处理同一个源IP地址触发的30ARP Miss消息。

如果同一个源IP地址在1秒内触发的ARP Miss消息个数超过ARP Miss消息限速值,设备会丢弃超过限速值的ARP Miss消息,即丢弃触发这些ARP Miss消息的ARP Miss报文,并默认使用block方式在5秒内持续丢弃该源IP地址的后续所有ARP Miss报文。

 

2、针对全局、VLAN和接口的ARP Miss消息限速

具体配置:

1、打开arp miss消息限速功能(全局或vlan或接口)

[Huawei]arp-miss anti-attack rate-limit enable

2、配置ARP Miss消息的限速值和限速时间

[Huawei]arp-miss anti-attack rate-limit 200 20

3、设置ARP Miss消息的告警功能

[Huawei]arp-miss anti-attack rate-limit alarm enable

4、配置ARP Miss消息限速丢弃告警阈值

[Huawei]arp-miss anti-attack rate-limit alarm threshold

 您阅读这篇文章共花了: 
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:647682417 互相学习。     
本文地址:http://www.023wg.com/arp/40.html
版权声明:若无注明,本文皆为“思唯网络教育博客”原创,转载请保留文章出处。
返回顶部    首页   
版权所有:思唯网络教育博客    浙江思唯网络