ARP配置教程(三)
首页 > HuaWei > ARP   作者:杭州清默网络  2015年11月2日 16:45 星期一  字号:   评论:0 条
时间:2015-11-2 16:45   评论:0 条 

二、防arp欺骗攻击

1、arp表项固化

可在全局和VLANIF接口下配置ARP表项固化功能。

具体配置:

[Huawei]arp anti-attack entry-check ?

fixed-all  Fixed all mode

fixed-mac  Fixed mac mode

send-ack   Inquire mode

 

 

2、动态arp检测

为了防御中间人攻击,避免合法用户的数据被中间人窃取,可以在接入设备上使能动态ARP检测DAI功能。可在接口视图或VLAN视图下使能动态ARP检测功能。

当网关设备上部署了DHCP触发ARP学习功能时,则可以在网关设备上部署本功能。

本功能仅适用于DHCP Snooping场景。

具体配置

1、使能arp动态检测功能

[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind enable

2、配置arp动态检测的检测项(默认对IP MAC vlan都检查)

[Huawei-GigabitEthernet0/0/1arp anti-attack check user-bind check-item ?

ip-address   Check ip address

mac-address  Check mac-address

vlan         Check vlan


 

 

3、arp防网关冲突

如果有攻击者仿冒网关,在局域网内部发送源IP地址是网关IP地址的ARP报文,会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。

[Huawei]arp  anti-attack  gateway-duplicate  enable

 

 

4、配置免费ARP报文主动丢弃

在确认攻击来自免费ARP报文之后,可以在网关设备上使能免费ARP报文主动丢弃功能,使网关设备直接丢弃免费ARP报文。

丢弃免费ARP报文功能可以在全局和VLANIF接口下使能。

一般在用户侧的VLANIF接口下配置免费ARP报文主动丢弃功能。

具体配置

1、全局使能免费ARP报文主动丢弃

[Huawei]arp anti-attack gratuitous-arp drop

2vlanif接口下使能免费ARP报文主动丢弃

[Huawei-Vlanif3]arp anti-attack gratuitous-arp drop

 

 

5、发送arp免费报文

如果有攻击者向其他用户发送仿冒网关的ARP报文,会导致其他用户的ARP表中记录错误的网关地址映射关系,

造成其他用户的正常数据不能被网关接收。发送免费ARP报文的功能,用来定期更新合法用户的ARP表项,使得合法用户ARP表项中记录的是正确的网关地址映射关系。

可在全局或VLANIF接口下配置发送免费ARP报文功能。

具体配置

1、使能网关发送免费arp报文

[Huawei]arp gratuitous-arp send enable

2、设备免费arp报文发送时间间隔(确实6700及以下是60S,以上是30S

[Huawei]arp gratuitous-arp send interval 120

 您阅读这篇文章共花了: 
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:647682417 互相学习。     
本文地址:http://www.023wg.com/arp/44.html
版权声明:若无注明,本文皆为“杭州清默网络”原创,转载请保留文章出处。
返回顶部    首页   
版权所有:杭州清默网络    杭州清默网络