ARP配置教程

九月 12, 2022 by
Filed under: killtest 

ARP報文內MAC地址一致性檢查功能主要應用於網關設備上,可以防禦以太網數據幀首部中的源/目的MAC地址和ARP報文數據區中的源/目的MAC地址不同的ARP攻擊。

本命令不支持在子接口上配置,當子接口收到ARP報文時,ARP報文內MAC地址一致性檢查遵循主接口下的檢查規則。

本命令不支持在VLANIF接口上配置,當VLANIF接口收到ARP報文時,ARP報文內MAC地址一致性檢查遵循成員口下的檢查規則。

[Huawei-GigabitEthernet0/0/1]arp validate ?

destination-mac Destination MAC

source-mac Source MAC

7、arp報文合法性檢查

為了防止非法ARP報文的攻擊,可以在接入設備或網關設備上配置ARP報文合法性檢查功能,用來對MAC地址和IP地址不合法的ARP報文進行過濾。設備提供以下三種可以任意組合的檢查項配置:

1、IP地址檢查:

設備會檢查ARP報文中的源IP和目的IP地址,全0、全1、或者組播IP地址都是不合法的,需要丟棄。對於ARP

應答報文,源IP和目的IP地址都進行檢查;對於ARP請求報文,只檢查源IP地址。

2、源MAC地址檢查:

設備會檢查ARP報文中的源MAC地址和以太網數據幀首部中的源MAC地址是否一致,一致則認為合法,否則丟棄報文。

3、目的MAC地址檢查:

設備會檢查ARP應答報文中的目的MAC地址是否和以太網數據幀首部中的目的MAC地址一致,一致則認為合法,否則丟棄報文。

通常,ARP報文中源MAC地址和以太網數據幀首部中的源MAC地址不一致的ARP報文,以及目的MAC地址和以太網數據幀首部中的目的MAC地址不一致的ARP應答報文均是ARP協議允許的ARP報文。因此,只有在網絡管理員發現攻擊產生後,通過報文頭獲取方式定位,確定是由於對應項不一致的ARP報文導致的攻擊,才能指定ARP報文合法性檢查時需要檢查源MAC地址和檢查目的MAC地址。

[Huawei]arp anti-attack packet-check sender-mac #模擬器只有目的MAC

8、配置ARP表項嚴格學習

只有本設備主動發送的ARP請求報文的應答報文才能觸發本設備學習ARP,其他設備主動向本設備發送的ARP報文不能觸發本設備學習ARP,這樣,可以拒絕大部分的ARP報文攻擊。

ARP表項嚴格學習功能可在全局和接口視圖下進行配置。

在全局使能ARP表項嚴格學習功能的前提下:

如果在指定接口下執行命令arp learning strict force-disable,則該接口將會被強制執行去使能ARP表項嚴格學習的功能。

如果在指定接口下執行命令arp learning strict trust時,則該接口的ARP表項嚴格學習功能和全局的配置保持一致。

由於有些用戶主機上安裝的防火牆會阻止其收到ARP請求時發送ARP應答或網卡無法回复ARP應答,所以使能ARP表項嚴格學習功能後,如果設備上觸發了ARP Miss消息,則設備主動發出的ARP請求將無法得到該用戶的ARP應答,從而使設備無法學習到該用戶的ARP。在這種場景下,如果僅是個別用戶出現該問題,則可以為其配置靜態ARP;如果該問題在用戶中非常普遍,則建議去使能ARP表項嚴格學習功能。

具體配置:

1、全局配置

[Huawei]arp learning strict

2、接口配置

[Huawei-GigabitEthernet0/0/4]undo portswitch

[Huawei-GigabitEthernet0/0/4]arp learning strict

9、DHCP觸發arp學習

在DHCP用戶場景下,當DHCP用戶數目很多時,設備進行大規模ARP表項的學習和老化會對設備性能和網絡環境形成衝擊。

為了避免此問題,可以在網關設備上使能DHCP觸發ARP學習功能。當DHCP服務器給用戶分配了IP地址,網關設備會根據VLANIF接口上收到的DHCP ACK報文直接生成該用戶的ARP表項。

DHCP觸發ARP學習功能生效的前提是通過命令dhcp snooping enable使能DHCP Snooping功能。

在VRRP和DHCP Relay組合場景下,VRRP主備設備上都不能再配置命令dhcp snooping enable和arp learning

dhcp-trigger。

網關設備上還可同時部署動態ARP檢測功能,防止DHCP用戶的ARP表項被偽造的ARP報文惡意修改。

具體配置:

[Huawei-Vlanif10]arp learning dhcp-trigger

10、配置VPLS網絡中ARP代理

在VPLS網絡中,為了防止PW(Pseudo Wire)側的偽造ARP報文被廣播到AC(Attachment Circuit)側形成ARP欺騙攻擊,可以在PE設備上使能在VPLS網絡中的ARP代理功能。

使能該功能後,PW側的ARP報文將會被上送到主控板進行處理:

如果是ARP請求報文,並且報文的目的IP地址在DHCP Snooping綁定表中存在,則設備根據DHCP Snooping綁定表組裝ARP應答報文直接回應PW側的請求方。

如果不是ARP請求報文,或者ARP請求報文的目的IP地址不在DHCP Snooping綁定表中,則報文被正常轉發。

本功能需要和DHCP Snooping over VPLS功能配合使用。

[Huawei]arp over-vpls enable

Tags:

Comments

Tell me what you're thinking...
and oh, if you want a pic to show with your comment, go get a gravatar!





CAPTCHA 驗證圖片
*