ARP防攻击策略.docVIP

配置ARP攻击防御 2.2.1? ARP攻击防御配置任务简介 表2-1 ARP 配置任务 交换机角色 说明 详细配置 配置VLAN接口学习动态ARP表项的最大数目 网关设备 可选 2.2.2? 配置ARP报文源MAC一致性检查功能 网关设备、接入设备 可选 2.2.3? 配置基于网关IP/MAC的ARP报文过滤功能 接入设备 可选 2.2.4? 配置ARP入侵检测功能 网关设备、接入设备 可选 2.2.5? 配置ARP报文限速功能 网关设备、接入设备 可选 2.2.6? ? 2.2.2? 配置VLAN接口学习动态ARP表项的最大数目 表2-2 VLAN接口学习ARP表项的最大数目 操作 命令 说明 进入系统视图 system-view - 进入VLAN接口视图 interface Vlan-interface vlan-id - 配置VLAN接口学习动态ARP表项的最大数目 arp max-learning-num number 可选 缺省情况下，S3600-EI系列以太网交换机取值为4031，S3600-SI系列以太网交换机取值为2048 ? 2.2.3? 配置ARP报文源MAC一致性检查功能 表2-3 ARP报文源MAC一致性检查 操作 命令 说明 进入系统视图 system-view - 开启ARP报文源MAC一致性检查功能 arp anti-attack valid-check enable 必选 缺省情况下，交换机ARP报文源MAC一致性检查功能处于关闭状态 ? 2.2.4? 配置基于网关IP/MAC的ARP报文过滤功能 表2-4 IP地址的ARP报文过滤功能 操作 命令 说明 进入系统视图 system-view - 进入以太网端口视图 interface interface-type interface-number - 配置基于网关IP地址的ARP报文过滤功能 arp filter source ip-address 必选 缺省情况下，没有配置基于网关IP地址的ARP报文过滤功能 ? 表2-5 IP地址、MAC地址绑定的ARP报文过滤功能 操作 命令 说明 进入系统视图 system-view - 进入以太网端口视图 interface interface-type interface-number - 配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能 arp filter binding ip-address mac-address 必选 缺省情况下，没有配置基于网关IP地址、MAC地址绑定的ARP报文过滤功能 ? 以太网端口上的arp filter source命令与arp filter binding命令互斥，即同一个以太网端口上只能配置其中的一种命令。一般情况下，基于网关IP地址的ARP报文过滤功能，配置在接入交换机与用户相连的端口；而基于网关IP地址的、MAC地址绑定的ARP报文过滤功能，配置在接入交换机的级连端口或上行端口。 ? 2.2.5? 配置ARP入侵检测功能 表2-6 ARP入侵检测功能 操作 命令 说明 进入系统视图 system-view - 配置IP静态绑定表项 interface interface-type interface-number 三者至少选一，可以多选 缺省情况下，没有配置IP静态绑定表项，且交换机的DHCP Snooping功能、基于802.1x认证用户的ARP入侵检测功能处于关闭状态 ip source static binding ip-address ip-address [ mac-address mac-address ] 开启DHCP Snooping功能 dhcp-snooping 开启基于802.1x认证用户的ARP入侵检测的功能 ip source static import dot1x 进入以太网端口视图 interface interface-type interface-number - 配置DHCP Snooping信任端口 dhcp-snooping trust 可选 如果开启了交换机的DHCP Snooping功能，则需要配置其上行连接DHCP服务器的端口为信任端口 配置ARP信任端口 arp detection trust 可选 缺省情况下，交换机所有端口为ARP非信任端口 一般情况下，需要配置交换机的上行端口作为ARP信任端口 退出至系统视图 quit - 进入VLAN视图 vlan vlan-id - 开启ARP入侵检测功能 arp detection enable 必选 缺省情况下，指定VLAN内所有端口的ARP入侵检测功能处于关闭状态