网络工程规划与设计案例教程项目三_任务三_动态ARP检测.doc

动态 ARP 检测 目 录 1. 特性简介 1 1.1 动态 ARP 检测特性 1 1.2 IP 过滤特性 1 2. 特性的优点 1 2.1 动态 ARP 检测特性优点 1 2.2 IP 过滤特性优点 1 3. 版本历史记录 1 4. 使用指南 1 4.1 使用场合 1 4.2 配置步骤 2 4.2.1 动态 ARP 检测配置步骤 2 4.2.2 IP 过滤配置步骤 2 4.3 配置举例 2 4.3.1 动态 ARP 检测配置举例 2 4.3.2 IP 过滤配置举例 3 4.4 注意事项 3 5. 相关命令 3 5.1 ARP 检测模块配置命令 3 5.1.1 配置 ARP 检测使能 3 5.1.2 配置 ARP 检测信任端口功能 4 5.1.3 ARP 检测调试指令 4 5.2 IP 过滤模块配置命令 4 5.2.1 配置 IP 过滤命令 4 5.2.2 配置 IP 过滤调试命令 5 5.2.3 配置 IP 过滤静态绑定命令 5 5.2.4 显示 IP 地址过滤绑定表命令 5 特性简介 动态 ARP 检测特性 为了防止黒客或攻击者通过ARP报文实施欺骗行为，将经过交换机的所有 ARP（请求与回应）报文重定向到CPU，由上层软件去进行合法性检测并转发；如果源IP源MAC、端口号和valn id在Snooping表项或者静态绑定表中，则认为合法，进行正常处理或转发，否则认为是非 法ARP报文，丢弃，并通过debug 信息给出提示。同时该模块还支持信任端口和非信任端口（考虑聚合端口组处理，具体参见详细设计文档），如果端口被配置为信任端口，则在该端口不进行ARP检测，否则进行ARP检测。 IP 过滤特性 为防止黑客仿冒他人 IP/MAC 进行攻击，需下发 ACL 由硬件判断 IP 报文 IP、MAC 和 vlan id 对应关系是否在 Snooping 表项或者静态绑定表中，合法则允许通过，否则直接丢弃，端口初始 使能 IP 过滤时，规则为丢弃所有 IP 报文，同时此功能也要考虑聚合端口组的处理。 特性的优点 动态 ARP 检测特性优点 开启 ARP 检测功能，可以有效防止网络中常见的 ARP 欺骗攻击，同时也可以轻松限制非 法网络用户访问网络的权限。 IP 过滤特性优点 开启 IP 过滤功能，直接将非法 IP/MAC 报文丢弃，可以有效防止 IP/MAC 欺骗。报文合法 性判断由硬件直接处理，效率高，占用系统资源少。 版本历史记录 表1、版本历史记录表 平台版本号 修改描述 备注 PLATV100R003B24D001SP08 特性开发完成 低端交换机 使用指南 使用场合 任意情况下都可以使用上述特性。 配置步骤 动态 ARP 检测配置步骤 表2、 配置步骤 操作 命令 说明 进入系统视图 system-view - 进入 VLAN 视图 vlan 1 必选 配置 ARP 检测 arp detection enable 必选 进入端口视图 Interface ethernet0/1 - 配置信任端口 arp detection trust - IP 过滤配置步骤 表3、 配置步骤 操作 命令 说明 进入系统视图 system-view - 进入端口视图 Interface ethernet0/1 必选 配置 IP 过滤策略 ip check source ip-address 必选 [ mac-address ] ip source static binding 配置静态绑定项 ip-address x.x.x.x mac-address x-x-x vlan vlanid 配置举例 动态 ARP 检测配置举例 组网及应用需求 一般在做接入层的设备上启用动态 ARP 检测功能，能够有效防止 ARP 欺骗。 配置过程 Quidwaysy Quidwaysystem-view Enter system view, return to user view with Ctrl+Z. [Quidway]vlan 1 [Quidway-vlan1]arp detection enable（在 vlan 上使能 ARP 检测功能） [Quidway]interface e0/1 [Quidway-Ethernet0/1]arp detection trust（将端口设为信任端口） IP 过滤配置举例 组网及应用需求 一般在接入层设备开启 IP 过滤功能，能够有效防止 IP/MAC 欺骗。 配置过程 Quidwaysyste