ARP配置教程（四）

首页 > HuaWei > ARP 作者：浙江思唯网络 2015年11月3日 12:17 星期二字号：小中大评论：0 条

时间：2015-11-3 12:17 评论：0 条

6、arp报文内MAC地址一致性检查

ARP报文内MAC地址一致性检查功能主要应用于网关设备上，可以防御以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址不同的ARP攻击。

本命令不支持在子接口上配置，当子接口收到ARP报文时，ARP报文内MAC地址一致性检查遵循主接口下的检查规则。

本命令不支持在VLANIF接口上配置，当VLANIF接口收到ARP报文时，ARP报文内MAC地址一致性检查遵循成员口下的检查规则。

[Huawei-GigabitEthernet0/0/1]arp validate ?

destination-mac Destination MAC

source-mac Source MAC

7、arp报文合法性检查

为了防止非法ARP报文的攻击，可以在接入设备或网关设备上配置ARP报文合法性检查功能，用来对MAC地址和IP地址不合法的ARP报文进行过滤。设备提供以下三种可以任意组合的检查项配置：

1、IP地址检查：

设备会检查ARP报文中的源IP和目的IP地址，全0、全1、或者组播IP地址都是不合法的，需要丢弃。对于ARP

应答报文，源IP和目的IP地址都进行检查；对于ARP请求报文，只检查源IP地址。

2、源MAC地址检查：

设备会检查ARP报文中的源MAC地址和以太网数据帧首部中的源MAC地址是否一致，一致则认为合法，否则丢弃报文。

3、目的MAC地址检查：

设备会检查ARP应答报文中的目的MAC地址是否和以太网数据帧首部中的目的MAC地址一致，一致则认为合法，否则丢弃报文。

通常，ARP报文中源MAC地址和以太网数据帧首部中的源MAC地址不一致的ARP报文，以及目的MAC地址和以太网数据帧首部中的目的MAC地址不一致的ARP应答报文均是ARP协议允许的ARP报文。因此，只有在网络管理员发现攻击产生后，通过报文头获取方式定位，确定是由于对应项不一致的ARP报文导致的攻击，才能指定ARP报文合法性检查时需要检查源MAC地址和检查目的MAC地址。

[Huawei]arp anti-attack packet-check sender-mac #模拟器只有目的MAC

8、配置ARP表项严格学习

只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP，其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP，这样，可以拒绝大部分的ARP报文攻击。

ARP表项严格学习功能可在全局和接口视图下进行配置。

在全局使能ARP表项严格学习功能的前提下：

如果在指定接口下执行命令arp learning strict force-disable，则该接口将会被强制执行去使能ARP表项严格学习的功能。

如果在指定接口下执行命令arp learning strict trust时，则该接口的ARP表项严格学习功能和全局的配置保持一致。

由于有些用户主机上安装的防火墙会阻止其收到ARP请求时发送ARP应答或网卡无法回复ARP应答，所以使能ARP表项严格学习功能后，如果设备上触发了ARP Miss消息，则设备主动发出的ARP请求将无法得到该用户的ARP应答，从而使设备无法学习到该用户的ARP。在这种场景下，如果仅是个别用户出现该问题，则可以为其配置静态ARP；如果该问题在用户中非常普遍，则建议去使能ARP表项严格学习功能。