ARP配置教程(二)
首页 > HuaWei > ARP   作者:杭州清默网络  2015年10月30日 16:14 星期五  字号:   评论:0 条
时间:2015-10-30 16:14   评论:0 条 
 3、配置临时ARP表项的老化时间

IP报文触发ARP Miss消息时,设备会根据ARP Miss消息生成临时ARP表项,并且向目的网段发送ARP请求报文。

在临时ARP表项老化时间范围内:

设备收到ARP应答报文前,匹配临时ARP表项的IP报文将被丢弃并且不会触发ARP Miss消息。设备收到ARP应答报文后,则生成正确的ARP表项来替换临时ARP表项。

当老化时间超时后,设备会清除临时ARP表项。此时如果设备转发IP报文匹配不到对应的ARP表项,则会重新触发ARP Miss消息并生成临时ARP表项,如此循环重复。

故可以通过配置临时ARP表项的老化时间来控制ARP Miss消息的触发频率。当判断设备受到攻击时,可以调大该时间,减小设备ARP Miss消息的触发频率,从而减小攻击对设备的影响。

具体配置:

[Huawei-Vlanif10]arp-fake expire-time ?

  INTEGER<1-36000>  Expire time of fake ARP entries(in seconds)

#对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式才能配置

 

4、配置免费ARP报文主动丢弃

在确认攻击来自免费ARP报文之后,可以在网关设备上使能免费ARP报文主动丢弃功能,使网关设备直接丢弃免费ARP报文。

丢弃免费ARP报文功能可以在全局和VLANIF接口下使能。一般在用户侧的VLANIF接口下配置免费ARP报文主动丢弃功能。

具体配置:

[Huawei-Vlanif10]arp anti-attack gratuitous-drop 

 

5、配置ARP优化应答

使能该功能后,对于目的IP地址是本设备接口IP地址的ARP请求报文,接口板直接回复ARP应答,对于目的IP地址不是本设备IP地址的ARP请求报文,设备直接丢弃,从而可以提高设备防御ARP泛洪攻击的能力。该功能尤其适用于设备上安装了多块接口板的场景。

缺省情况下,ARP优化应答功能处于使能状态。

具体配置:

[Huawei]undo arp optimized-rely disable

说明:

设备不支持对无线用户发送的ARP请求报文进行ARP优化应答。

设备仅支持对VLANIF接口接收到的ARP请求报文进行ARP优化应答。其中,Separate VLAN(隔离型从VLAN)、Group VLAN(互通性从VLAN)、Super-VLANSub-VLANVLANIF接口不支持ARP优化应答。

以下配置会导致全局或相应VLANIF接口的ARP优化应答功能不生效:

执行命令arp anti-attack gateway-duplicate enable,使能了设备的ARP防网关冲突攻击功能。

执行命令arp ip-conflict-detect enable,使能了设备的IP地址冲突检测功能。

执行命令arp anti-attack check user-bind enable,使能了动态ARP检测功能。

执行命令dhcp snooping arp security enable,使能了出口ARP检测功能。

执行命令arp over-vpls enable,使能了设备在VPLS网络中的ARP代理功能。

执行命令arp-proxy enablearp-proxy inner-sub-vlan-proxy enablearp-proxy inter-sub-vlan-proxy enable,配置了ARP代理功能。

 

6、配置ARP表项严格学习

可以在网关设备上配置ARP表项严格学习功能。配置该功能后,只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP,这样,可以拒绝大部分的ARP报文攻击。

ARP表项严格学习功能可在全局和接口视图下进行配置。

    说明:

在全局使能ARP表项严格学习功能的前提下:

如果在指定接口下执行命令arp learning strict force-disable,则该接口将会被强制执行去使能ARP表项严格学习的功能。

如果在指定接口下执行命令arp learning strict trust时,则该接口的ARP表项严格学习功能和全局的配置保持一致。

由于有些用户主机上安装的防火墙会阻止其收到ARP请求时发送ARP应答或网卡无法回复ARP应答,所以使能ARP表项严格学习功能后,如果设备上触发了ARP Miss消息,则设备主动发出的ARP请求将无法得到该用户的ARP应答,从而使设备无法学习到该用户的ARP。在这种场景下,如果仅是个别用户出现该问题,则可以为其配置静态ARP;如果该问题在用户中非常普遍,则建议去使能ARP表项严格学习功能。

具体配置:

1、配置全局ARP表项严格学习功能

[Huawei]arp learning strict

2、配置接口的ARP表项严格学习功能

[Huawei-GigabitEthernet0/0/2]undo portswitch #切换到三层模式,否则无法使用此命令。

[Huawei-GigabitEthernet0/0/2]arp learning strict ?

  force-disable  Force to disable ARP strict learning #去使能arp严格学习功能

  force-enable   Force to enable ARP strict learning #使能arp严格学习功能

  trust          ARP strict learning complies with the global configuration

 

7、配置基于接口的ARP表项限制

为了防止当一个接口所接入的某一用户主机发起ARP攻击时导致整个设备的ARP表资源都被耗尽,可以在指定接口下配置接口能够学习到的最大动态ARP表项数目。当指定接口下的动态ARP表项达到允许学习的最大数目后,将不允许新增动态ARP表项。

建议在网关设备上进行如下配置。可以在物理接口、vlanifeth-trunk、子接口上配置。

具体配置

1、配置二层以太网(物理接口/eth-trunk)接口的ARP表项限制(限制从哪些vlan学习)

[Huawei-GigabitEthernet0/0/2]arp-limit vlan 2 to 5 maximum ?

  INTEGER<1-16384>  The maximum of limitation

2、配置三层接口(vlanif/子接口等)的ARP表项限制

[Huawei-GigabitEthernet0/0/2]arp-limit maximum ?

  INTEGER<1-16384>  The maximum of limitation

 

8、配置禁止接口学习ARP表项

当某接口下出现大量动态ARP表项时,出于安全考虑建议在网关设备上配置禁止该接口学习ARP表项的功能,以防止该接口下所接入的用户主机发起ARP攻击使整个设备的ARP表资源都被耗尽。

 注意:

禁止接口下的动态ARP学习能力,可能会造成转发不通,用户配置时需要注意。

禁止ARP学习前,如果接口上已经有动态学习到的ARP表项,系统并不会自动删除这些表项。用户可以根据需要,手动删除或保留这些已经学习到的动态ARP表项。

具体配置:

[Huawei-Vlanif3]arp learning disable #待验证

 您阅读这篇文章共花了: 
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:647682417 互相学习。     
本文地址:http://www.023wg.com/arp/41.html
版权声明:若无注明,本文皆为“杭州清默网络”原创,转载请保留文章出处。

返回顶部    首页   
版权所有:杭州清默网络    杭州清默网络