ARP安全 arp安全问题怎么解决

3. 配置基于源MAC 地址的ARP 限速，防止User1 发送大量固定源IP 地址和固定MAC 地址的ARP 报文而造成ARP 泛洪攻击，并减少交换机CPU 进程的繁忙。

4、配置基于源IP地址的ARP限速，防止User3发送大量固定源IP地址的ARP报文造成ARP泛洪攻击，导致交换机CPU进程繁忙

步

1. 创建VLAN，将接口加入VLAN，并配置VLANIF接口。

创建VLAN10、VLAN20、VLAN30，并将接口GE1/0/1加入VLAN10，接口GE1/0/2加入VLAN20，接口GE1/0/3加入VLAN30。

系统视图

[HUAWEI]sysname开关

[交换机] VLAN批次10 20 30

[交换机] 接口千兆以太网1/0/1

[Switch-GigabitEthernet1/0/1]端口链路类型trunk

[Switch-GigabitEthernet1/0/1]端口Trunk允许路径VLAN 10

[交换机-GigabitEthernet1/0/1]结束

[交换机] 接口千兆以太网1/0/2

[Switch-GigabitEthernet1/0/2]端口链路类型trunk

[Switch-GigabitEthernet1/0/2]端口Trunk允许路径VLAN 20

[交换机-GigabitEthernet1/0/2]结束

[交换机] 接口千兆以太网1/0/3

[Switch-GigabitEthernet1/0/3]端口链路类型trunk

[Switch-GigabitEthernet1/0/3]端口Trunk允许路径VLAN 30

[交换机-GigabitEthernet1/0/3]结束

创建接口VLANIF10、VLANIF20、VLANIF30，配置各VLANIF接口的IP地址。

[交换机] 接口vlanif 10

[交换机-Vlanif10] IP 地址10.8.8.4 24

[Switch-Vlanif10] 结束

[交换机] 接口vlanif 20

[交换机-Vlanif20] IP 地址10.9.9.4 24

[Switch-Vlanif20] 结束

[交换机] 接口vlanif 30

[交换机-Vlanif30] IP 地址10.10.10.3 24

[Switch-Vlanif30] 结束

2、配置ARP，防止网关冲突

[Switch] arp anti-attack gateway-duplicate enable //设置ARP防网关冲突

3、配置基于源IP地址的ARP丢失报文限速

配置对Server（IP地址为10.10.10.2）的ARP Miss消息进行限速

允许交换机每秒处理最多40 个由IP 地址触发的ARP 丢失消息。

；对于其他用户，交换机每秒最多可以处理20 个由同一源IP 地址触发的ARP miss 消息。

[Switch] arp-missspeed-limitsource-ipmaximum20 //根据源IP地址设置ARP Miss消息限速

[Switch] arp-missspeed-limitsource-ip10.10.10.2maximum40 //根据源IP地址设置ARP

违反消息速率限制

4. 配置基于源MAC地址的ARP限速。

配置对用户User1（MAC地址为0001-0001-0001）进行ARP报文限速，每秒最多只允许10个该MAC地址的ARP报文通过。

[转] ARP限速源- mac 0001-0001-0001 max 10

//根据源MAC地址设置ARP限速

5、配置基于源IP地址的ARP限速

配置对用户User3（IP地址为10.9.9.2）进行ARP报文限速，每秒最多只允许10个该IP地址的ARP报文通过。

[Switch] arpspeed-limitsource-ip10.9.9.2maximum10 //根据源IP地址设置ARP限速

6.查看配置结果

执行命令display arp anti-attack configuration all ，查看当前ARP防攻击配置情况。

[开关] 显示所有ARP防攻击设置

……

ARP防攻击表项检查方式：

弗拉尼夫模式

————————————————– ————————

全部禁用

————————————————– ————————

ARP速率限制设置：

————————————————– ————————

全局配置：

接口配置：

VLAN配置：

————————————————– ————————

ARP 未命中率限制设置：

————————————————– ————————

全局配置：

接口配置：

VLAN配置：

————————————————– ————————

源MAC配置的ARP速率限制：

MAC地址抑制率（pps）（rate=0表示关闭该功能）

————————————————– ————————

0001-0001-0001 10

其他0

————————————————– ————————

配置的指定MAC地址数量为1个，规格为1024个。

源IP配置的ARP限速：

IP地址抑制率（pps）（rate=0表示该功能关闭）

————————————————– ————————

10.9.9.2 10

其他30

————————————————– ————————

配置的指定IP地址数量为1个，规格为1024个。

源IP 配置的ARP 未命中率限制：

IP地址抑制率（pps）（rate=0表示该功能关闭）

————————————————– ————————

10.10.10.2/32 40

其他20

————————————————– ————————

配置的指定IP地址数量为1个，规格为1024个。

执行命令display arp packet statistics ，查看ARP处理的报文统计数据。

[开关] 显示ARP报文统计信息

接收ARP报文数：总计8678904

收到的ARP 未命中消息数：总计183

ARP学习数：共37

ARP报文丢弃（Limit:共146个）

SpeedLimit: ARP 数据包丢弃总数40529

代理ARP报文丢弃抑制：总计0

其他丢弃的ARP 数据包：总计8367601

SpeedLimit: ARP miss 报文丢弃总数20

Other: 的ARP-Miss 消息丢弃总数104

从显示信息中可以看到设备正在丢弃ARP报文和ARP Miss消息，说明ARP安全功能已开启。

设置文件

#切换配置文件

系统名称切换

VLAN批次10 20 30

arp-miss 速率限制源IP 10.10.10.2 最大40

arp 速率限制源ip 10.9.9.2 最大10

arp 速率限制源- mac 0001-0001-0001 最大10

arp防攻击网关复制使能

arp-miss 速率限制源IP 最大20

接口Vlanif10

IP地址10.8.8.4 255.255.255.0

接口Vlanif20

IP地址10.9.9.4 255.255.255.0

接口Vlanif30

IP地址10.10.10.3 255.255.255.0

接口千兆以太网1/0/1

端口链路类型中继

端口trunk 允许路径VLAN 10

接口千兆以太网1/0/2

端口链路类型中继

端口中继允许路径VLAN 20

接口千兆以太网1/0/3

端口链路类型中继

端口中继允许路径VLAN 30

动态ARP检测概述

ARP（地址解析）

协议）安全是针对ARP 攻击的安全功能，通过对ARP 表学习和ARP 数据包处理的一组限制和检查来确保网络设备的安全。 ARP安全特性可以防止针对ARP协议的攻击，也可以防止基于ARP协议的攻击，如网段扫描攻击等。

网络中ARP攻击不断发生，中间人攻击是一种常见的ARP欺骗攻击技术。通过中间人攻击窃取合法用户的数据。

为了防止中间人攻击，您可以在设备上部署动态ARP 检查(DAI) 功能。

动态ARP 检测使用绑定表来防止中间人攻击。设备收到ARP报文后，会将ARP报文对应的源IP、源MAC、VLAN、接口信息与绑定表中的信息进行比较。如果信息匹配，则发送ARP报文的用户是合法的。如果不允许该用户的ARP 报文通过，则视为攻击，该ARP 报文将被丢弃。

注意：设备开启DHCP Snooping功能后，当DHCP用户上线时，设备会自动生成DHCP。

窥探绑定表。对于静态配置IP地址的用户，设备不会生成DHCP Snooping绑定表，需要手动添加静态绑定表。

防止ARP中间人攻击配置举例

网络要求

SwitchA通过接口GE2/0/1连接DHCP，如图3-247所示。

服务器通过GE1/0/1和GE1/0/2接口连接DHCP客户端UserA和UserB，通过GE1/0/3接口连接静态配置IP地址的用户UserC。 SwitchA上的接口GE1/0/1、GE1/0/2、GE1/0/3、GE2/0/1均属于VLAN10。管理员希望防止ARP中间人攻击，防止合法用户的数据被中间人窃取。我们还想了解当前ARP 中间人攻击的频率和范围。

作文思路

使用以下方法配置SwitchA：

1. 配置DHCP Snooping功能并配置静态绑定表。

2. 使能动态ARP 检测功能后，SwitchA 对接收到的ARP 报文进行源IP、源MAC、VLAN 和接口信息绑定表的匹配，防止ARP 中间人攻击。

步

1. 创建VLAN，并将接口加入VLAN。

创建VLAN10，并将接口GE1/0/1、GE1/0/2、GE1/0/3、GE2/0/1加入VLAN10中。

系统视图

[华为] 系统名SwitchA

[SwitchA] VLAN批次10

[SwitchA]千兆以太网接口1/0/1

[SwitchA-GigabitEthernet1/0/1]端口链路类型接入

[SwitchA-GigabitEthernet1/0/1]端口默认VLAN 10

[SwitchA-GigabitEthernet1/0/1]结束

[SwitchA] 接口千兆以太网1/0/2

[SwitchA-GigabitEthernet1/0/2]端口链路类型接入

[SwitchA-GigabitEthernet1/0/2]端口默认VLAN 10

[SwitchA-GigabitEthernet1/0/2]结束

[SwitchA] 接口千兆以太网1/0/3

[SwitchA-GigabitEthernet1/0/3]端口链路类型接入

[SwitchA-GigabitEthernet1/0/3]端口默认VLAN 10

[SwitchA-GigabitEthernet1/0/3]结束

[SwitchA]千兆以太网接口2/0/1

[SwitchA-GigabitEthernet2/0/1]端口链路类型trunk

[SwitchA-GigabitEthernet2/0/1]端口Trunk允许路径VLAN 10

【SwitchA-GigabitEthernet2/0/1】完成

2. 设置DHCP Snooping功能

全局使能 DHCP Snooping功能。

[SwitchA] 启用dhcp

[SwitchA] 使能dhcp snooping

在VLAN10内使能 DHCP Snooping功能。

[交换机A] VLAN 10

[SwitchA-vlan10]启用dhcp监听

[SwitchA-vlan10]结束

配置接口GE2/0/1为DHCP Snooping信任接口。

[SwitchA]千兆以太网接口2/0/1

[SwitchA-GigabitEthernet2/0/1] dhcp侦听信任

【SwitchA-GigabitEthernet2/0/1】完成

配置静态绑定表。

[SwitchA]用户绑定静态IP地址10.0.0.2 MAC地址00e0-fc12-3456

接口千兆以太网1/0/3 VLAN 10

3.启用动态ARP检测功能

在接口GE1/0/1、GE1/0/2 和GE1/0/3 上启用动态ARP 发现。以GE1/0/1为例，GE1/0/2和GE1/0/3的配置与GE1/0/1接口的配置类似，不再赘述。

[SwitchA]千兆以太网接口1/0/1

[SwitchA-GigabitEthernet1/0/1]arp防攻击检查使能用户绑定

//启用动态ARP检测功能（即检查ARP报文绑定表匹配的能力）

[SwitchA-GigabitEthernet1/0/1]结束

4.查看配置结果

执行命令display arp anti-attack configuration check user-bind

在接口上以GE1/0/1为例，验证各接口的动态ARP发现配置信息。

[SwitchA] 查看用户绑定接口查看arp防攻击配置

千兆位以太网1/0/1

arp防攻击检查启用用户绑定

执行命令display arp anti-attack statistics check user-bind

在接口上以GE1/0/1为例，查看各接口动态ARP发现丢弃的ARP报文数。

[SwitchA]显示arp攻击防护统计信息，查看用户绑定接口

千兆位以太网1/0/1

丢弃的ARP 数据包数量为966

自最新警告为605 以来，已丢弃的ARP 数据包数量

从显示信息可以看出，接口GE1/0/1出现大量ARP丢包，且ARP中间人防护功能已开启。

当每个接口上多次执行display arp anti-attack stats check user-bind命令时，

管理员可以根据显示信息中“Dropped ARP Packet Number”字段值的变化来判断ARP中间人攻击的频率和范围。

设置文件

# SwitchA配置文件

系统名称SwitchA

VLAN批次10

启用DHCP

启用dhcp 监听

用户绑定静态IP地址10.0.0.2 MAC地址00e0-fc12-3456接口

千兆以太网1/0/3 VLAN 10

VLAN 10

启用dhcp 监听

接口千兆以太网1/0/1

端口链路类型接入

端口默认VLAN 10

arp防攻击检查启用用户绑定

接口千兆以太网1/0/2

端口链路类型接入

端口默认VLAN 10

arp防攻击检查启用用户绑定

接口千兆以太网1/0/3

端口链路类型接入

端口默认VLAN 10

arp防攻击检查启用用户绑定

接口千兆以太网2/0/1

端口链路类型中继

端口trunk 允许路径VLAN 10

dhcp 监听是可靠的

第一阶段：安全基础（入门）

第二阶段：Web渗透（初级网安工程师）

第三阶段：进阶部分（中级网络安全工程师）

如果您有兴趣开始网络安全，请点击此处。网络安全的主要优势：我们免费提供完整的入门级和高级共享的282G学习资源包。

学习资源分享

以上#ARP安全相关内容来源仅供参考。相关信息请参见官方公告。

原创文章，作者：CSDN，如若转载，请注明出处：https://www.sudun.com/ask/91720.html

ARP安全 arp安全问题怎么解决

创建接口VLANIF10、VLANIF20、VLANIF30，配置各VLANIF接口的IP地址。

配置对Server（IP地址为10.10.10.2）的ARP Miss消息进行限速

配置对用户User1（MAC地址为0001-0001-0001）进行ARP报文限速，每秒最多只允许10个该MAC地址的ARP报文通过。

配置对用户User3（IP地址为10.9.9.2）进行ARP报文限速，每秒最多只允许10个该IP地址的ARP报文通过。

执行命令display arp anti-attack configuration all ，查看当前ARP防攻击配置情况。

执行命令display arp packet statistics ，查看ARP处理的报文统计数据。

创建VLAN10，并将接口GE1/0/1、GE1/0/2、GE1/0/3、GE2/0/1加入VLAN10中。

全局使能 DHCP Snooping功能。

在VLAN10内使能 DHCP Snooping功能。

配置接口GE2/0/1为DHCP Snooping信任接口。

配置静态绑定表。

执行命令display arp anti-attack configuration check user-bind

执行命令display arp anti-attack statistics check user-bind