ARP配置教程(四)
首页 > HuaWei > ARP   作者:圈哥  2015年11月3日 12:17 星期二  热度:2561°  字号:   评论:0 条
时间:2015-11-3 12:17   热度:2561°  评论:0 条 
 

6arp报文内MAC地址一致性检查

ARP报文内MAC地址一致性检查功能主要应用于网关设备上,可以防御以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址不同的ARP攻击。

本命令不支持在子接口上配置,当子接口收到ARP报文时,ARP报文内MAC地址一致性检查遵循主接口下的检查规则。

本命令不支持在VLANIF接口上配置,当VLANIF接口收到ARP报文时,ARP报文内MAC地址一致性检查遵循成员口下的检查规则。

[Huawei-GigabitEthernet0/0/1]arp validate ?

destination-mac  Destination MAC

source-mac       Source MAC

 

7arp报文合法性检查

为了防止非法ARP报文的攻击,可以在接入设备或网关设备上配置ARP报文合法性检查功能,用来对MAC地址和IP地址不合法的ARP报文进行过滤。设备提供以下三种可以任意组合的检查项配置:

1IP地址检查:

设备会检查ARP报文中的源IP和目的IP地址,全0、全1、或者组播IP地址都是不合法的,需要丢弃。对于ARP

应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。

2、源MAC地址检查:

设备会检查ARP报文中的源MAC地址和以太网数据帧首部中的源MAC地址是否一致,一致则认为合法,否则丢弃报文。

3、目的MAC地址检查:

设备会检查ARP应答报文中的目的MAC地址是否和以太网数据帧首部中的目的MAC地址一致,一致则认为合法,否则丢弃报文。

通常,ARP报文中源MAC地址和以太网数据帧首部中的源MAC地址不一致的ARP报文,以及目的MAC地址和以太网数据帧首部中的目的MAC地址不一致的ARP应答报文均是ARP协议允许的ARP报文。因此,只有在网络管理员发现攻击产生后,通过报文头获取方式定位,确定是由于对应项不一致的ARP报文导致的攻击,才能指定ARP报文合法性检查时需要检查源MAC地址和检查目的MAC地址。

[Huawei]arp anti-attack packet-check sender-mac  #模拟器只有目的MAC

 

8、配置ARP表项严格学习

只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP,这样,可以拒绝大部分的ARP报文攻击。

ARP表项严格学习功能可在全局和接口视图下进行配置。

在全局使能ARP表项严格学习功能的前提下:

如果在指定接口下执行命令arp learning strict force-disable,则该接口将会被强制执行去使能ARP表项严格学习的功能。

如果在指定接口下执行命令arp learning strict trust时,则该接口的ARP表项严格学习功能和全局的配置保持一致。

由于有些用户主机上安装的防火墙会阻止其收到ARP请求时发送ARP应答或网卡无法回复ARP应答,所以使能ARP表项严格学习功能后,如果设备上触发了ARP Miss消息,则设备主动发出的ARP请求将无法得到该用户的ARP应答,从而使设备无法学习到该用户的ARP。在这种场景下,如果仅是个别用户出现该问题,则可以为其配置静态ARP;如果该问题在用户中非常普遍,则建议去使能ARP表项严格学习功能。

具体配置:

1、全局配置

[Huawei]arp learning strict

2、接口配置

[Huawei-GigabitEthernet0/0/4]undo portswitch

[Huawei-GigabitEthernet0/0/4]arp learning strict

 

9DHCP触发arp学习

DHCP用户场景下,当DHCP用户数目很多时,设备进行大规模ARP表项的学习和老化会对设备性能和网络环境形成冲击。

为了避免此问题,可以在网关设备上使能DHCP触发ARP学习功能。当DHCP服务器给用户分配了IP地址,网关设备会根据VLANIF接口上收到的DHCP ACK报文直接生成该用户的ARP表项。

DHCP触发ARP学习功能生效的前提是通过命令dhcp snooping enable使能DHCP Snooping功能。

VRRPDHCP Relay组合场景下,VRRP主备设备上都不能再配置命令dhcp snooping enablearp learning

dhcp-trigger

网关设备上还可同时部署动态ARP检测功能,防止DHCP用户的ARP表项被伪造的ARP报文恶意修改。

具体配置:

[Huawei-Vlanif10]arp learning dhcp-trigger

 

10、配置VPLS网络中ARP代理

VPLS网络中,为了防止PWPseudo Wire)侧的伪造ARP报文被广播到ACAttachment Circuit)侧形成ARP欺骗攻击,可以在PE设备上使能在VPLS网络中的ARP代理功能。

使能该功能后,PW侧的ARP报文将会被上送到主控板进行处理:

如果是ARP请求报文,并且报文的目的IP地址在DHCP Snooping绑定表中存在,则设备根据DHCP Snooping绑定表组装ARP应答报文直接回应PW侧的请求方。

如果不是ARP请求报文,或者ARP请求报文的目的IP地址不在DHCP Snooping绑定表中,则报文被正常转发。

本功能需要和DHCP Snooping over VPLS功能配合使用。

[Huawei]arp over-vpls enable

 您阅读这篇文章共花了: 
捐赠支持:如果觉得这篇文章对您有帮助,请“扫一扫”鼓励作者!
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:481294053/474079428 互相学习。     
本文地址:http://www.023wg.com/arp/45.html
版权声明:若无注明,本文皆为“重庆网管”原创,转载请保留文章出处。

返回顶部    首页    捐赠支持   
版权所有:重庆网管    圈哥