华为交换机常见ARP操作整理(下)第十九天
1、配置ARP代理。路由式Proxy ARP:适用于需要互通的主机(主机上没有配置缺省网关)处于相同的网段但不在同一物理网络的场景。
脚本:
system-view
vlan batch 10
interface vlanif 10
ip address 10.1.1.1 24
arp-proxy enable
VLAN内Proxy ARP:适用于需要互通的主机处于相同网段,并且属于相同VLAN,但是VLAN内配置了端口隔离的场景。
脚本:
system-view
vlan batch 10
interface vlanif 10
ip address 10.1.1.1 24
arp-proxy inner-sub-vlan-proxy enable
VLAN间Proxy ARP:适用于需要互通的主机处于相同网段,但属于不同VLAN的场景。
脚本:
system-view
vlan batch 10
interface vlanif 10
ip address 10.1.1.1 24
arp-proxy inter-sub-vlan-proxy enable
2、屏蔽基于源IP地址的ARP Miss告警。
当某个源IP地址触发了ARP Miss告警,用户希望屏蔽此源IP地址的ARP Miss告警时,可以对这个IP地址的ARP Miss消息不进行限速。
脚本:
system-view
arp-miss speed-limit source-ip 10.1.1.1 maximum 0 //配置对IP地址10.1.1.1的ARP Miss消息不进行限速。
脚本:
system-view
arp-miss speed-limit source-ip maximum 0 //配置对所有源IP地址的ARP Miss消息不进行限速。
3、配置动态ARP检测(DAI)。
该功能主要用于防御中间人攻击的场景,避免设备上合法用户的ARP表项被攻击者发送的伪造ARP报文错误更新。
DAI是基于绑定表(DHCP动态和静态绑定表)对ARP报文进行匹配检查。
设备收到ARP报文时,将ARP报文对应的源IP地址、源MAC地址、接口、VLAN信息和绑定表的信息进行对比:
(1)如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过。
(2)否则就认为是攻击,丢弃该ARP报文。
例:
脚本:
system-view
dhcp enable
dhcp snooping enable ipv4
interface gigabitethernet 1/0/10
dhcp snooping enable //设备与用户侧相连的接口使能DHCP Snooping功能。
quit
interface gigabitethernet 1/0/11
dhcp snooping trusted //设备与DHCP Server侧相连的接口配置为信任接口。如果DHCP Snooping功能部署在DHCP中继设备上,可以不配置信任接口。
quit
user-bind static ip-address 10.1.1.1 vlan 10 //对于静态配置IP地址的用户,在设备上配置静态绑定表。
interface gigabitethernet 1/0/10
arp anti-attack check user-bind enable //设备与用户侧相连的接口使能DAI功能。
quit
脚本:
system-view
dhcp enable
dhcp snooping enable ipv4
vlan 10
dhcp snooping enable //用户设备所属VLAN内使能DHCP Snooping功能。
quit
vlan 20
dhcp snooping enable
dhcp snooping trusted interface gigabitethernet 1/0/10 //设备与DHCP Server侧相连的接口配置为信任接口。如果DHCP Snooping功能部署在DHCP中继设备上,可以不配置信任接口。
quit
user-bind static ip-address 10.1.1.1 vlan 10 //对于静态配置IP地址的用户,在设备上配置静态绑定表。
vlan 10
arp anti-attack check user-bind enable //用户侧所属VLAN内使能DAI功能。
quit
4、配置ARP防网关冲突。
如果有攻击者仿冒网关,在局域网内发送源IP地址是网关IP地址的ARP报文,会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到他们发送的数据内容,并且最终会造成这些用户主机无法访问网络。
为了防范攻击者仿冒网关,当用户主机直接接入网关时,可以在网关设备上使能ARP防网关冲突攻击功能。当设备收到的ARP报文存在下列情况之一:
ARP报文的源IP地址与报文入接口对应的VLAN接口的IP地址相同。
ARP报文的源IP地址是入接口的虚拟IP地址,但ARP源MAC地址不是VRRP虚MAC。
设备就认为该ARP报文时与网关地址冲突的ARP报文,设备将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文,这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。
脚本:
在网关设备上使能ARP防网关冲突攻击功能。缺省情况下设备上防网关冲突攻击功能处于未使能状态。
system-view
arp anti-attack gateway-duplicate enable
绛旓細 arp fixup //鍦ㄦ帴鍙LANIF20涓婅繘琛屽浐鍖栵紝灏嗗涔犵殑鍔ㄦ丄RP琛ㄩ」鍥哄寲涓洪潤鎬丄RP琛ㄩ」銆
绛旓細3銆侀厤缃姩鎬丄RP妫娴嬶紙DAI锛銆 璇ュ姛鑳戒富瑕佺敤浜庨槻寰′腑闂翠汉鏀诲嚮鐨勫満鏅紝閬垮厤璁惧涓婂悎娉曠敤鎴风殑ARP琛ㄩ」琚敾鍑昏呭彂閫佺殑浼燗RP鎶ユ枃閿欒鏇存柊銆 DAI鏄熀浜庣粦瀹氳〃锛圖HCP鍔ㄦ佸拰闈欐佺粦瀹氳〃锛夊ARP鎶ユ枃杩涜鍖归厤妫鏌ャ 璁惧鏀跺埌ARP鎶ユ枃鏃讹紝灏咥RP鎶ユ枃瀵瑰簲鐨勬簮IP鍦板潃銆佹簮MAC鍦板潃銆佹帴鍙c乂LAN淇℃伅鍜...
绛旓細鎵ц鍛戒护reset arp all锛屾竻闄ゆ墍鏈夌殑ARP琛ㄩ」銆傛墽琛屽懡浠eset arp dynamic [ ip ip-address [ vpn-instance vpn-instance-name ] ]锛屾竻闄ゅ姩鎬丄RP琛ㄩ」銆傛墽琛屽懡浠eset arp static锛屾竻闄ら潤鎬丄RP琛ㄩ」銆傜敤鎴蜂篃鍙互鍦ㄧ郴缁熻鍥句笅鎵ц鍛戒护undo arp static ip-address [ mac-address ] [ vpn-instance vpn-inst...
绛旓細1銆佸厛鍦ㄨ矾鐢卞櫒涓婄敤display arp 鍛戒护:涓句緥鏉ヨdisplay arp ***.*** (xxx灏辨槸鎮ㄦ兂鏌ョ殑閭d釜IP)鍙互寰楀埌濡備笅缁撴灉***.*** 001d-7d4d-2891 15 DF0 Eth0/0/2 100涓婇潰閭d釜鈥001d-7d4d-2891鈥濆氨鏄幇鍦ㄤ娇鐢ㄨ繖涓猧p鐨勭數鑴戠殑MAC鍦板潃銆2銆佲淓th0/0/2鈥濇槸鎸囪繖涓湴鍧鏄粠鏈満鐨凟th0/0/2杩欎釜绔彛...
绛旓細鍗庝负浜ゆ崲鏈哄父鐢鍛戒护锛1銆乨isplay current-configuration 鏄剧ず褰撳墠閰嶇疆 2銆乨isplay interface GigabitEthernet 1/1/4 鏄剧ず鎺ュ彛淇℃伅 3銆乨isplay packet-filter interface GigabitEthernet 1/1/4 鏄剧ず鎺ュ彛acl搴旂敤淇℃伅 4銆乨isplay acl all 鏄剧ず鎵鏈塧cl璁剧疆 3900绯诲垪浜ゆ崲鏈 5銆乨isplay acl config all 鏄剧ず鎵鏈塧cl...
绛旓細1. MAC鍦板潃琛細浜ゆ崲鏈虹殑閫氫俊鎸囧崡閽圡AC鍦板潃琛紝鏄綉缁滆澶囩殑鏍稿績璁板繂搴擄紝璁板綍浜嗘瘡涓澶囩殑鐗╃悊鍦板潃涓庤繛鎺ョ鍙g殑鏄犲皠鍏崇郴锛堣涓嬪浘锛夈備緥濡傦紝鍦鍗庝负浜ゆ崲鏈涓婏紝閫氳繃dis mac-address鍛戒护锛屾垜浠彲浠ョ湅鍒5489-98b1-79f4鐨凪AC鍦板潃鏄粠G0/0/2绔彛瀛︿範鍒扮殑锛岃繖灏辨槸浜ゆ崲鏈鸿浆鍙戞暟鎹殑閲嶈渚濇嵁銆2. ARP琛細IP涓...
绛旓細鍗庝负浜ゆ崲鏈哄父鐢鍛戒护锛1銆乨isplay current-configuration 鏄剧ず褰撳墠閰嶇疆 2銆乨isplay interface GigabitEthernet 1/1/4 鏄剧ず鎺ュ彛淇℃伅 3銆乨isplay packet-filter interface GigabitEthernet 1/1/4 鏄剧ず鎺ュ彛acl搴旂敤淇℃伅 4銆乨isplay acl all 鏄剧ず鎵鏈塧cl璁剧疆 3900绯诲垪浜ゆ崲鏈 5銆乨isplay acl config all 鏄剧ず鎵鏈塧cl...
绛旓細鍗庝负浜ゆ崲鏈哄父鐢鍛戒护锛1銆乨isplay current-configuration 鏄剧ず褰撳墠閰嶇疆 2銆乨isplay interface GigabitEthernet 1/1/4 鏄剧ず鎺ュ彛淇℃伅 3銆乨isplay packet-filter interface GigabitEthernet 1/1/4 鏄剧ず鎺ュ彛acl搴旂敤淇℃伅 4銆乨isplay acl all 鏄剧ず鎵鏈塧cl璁剧疆 3900绯诲垪浜ゆ崲鏈 5銆乨isplay acl config all 鏄剧ず鎵鏈塧cl...
绛旓細鍗庝负浜ゆ崲鏈哄父鐢鍛戒护锛1銆乨isplay current-configuration 鏄剧ず褰撳墠閰嶇疆 2銆乨isplay interface GigabitEthernet 1/1/4 鏄剧ず鎺ュ彛淇℃伅 3銆乨isplay packet-filter interface GigabitEthernet 1/1/4 鏄剧ず鎺ュ彛acl搴旂敤淇℃伅 4銆乨isplay acl all 鏄剧ず鎵鏈塧cl璁剧疆 3900绯诲垪浜ゆ崲鏈 5銆乨isplay acl config all 鏄剧ず鎵鏈塧cl...
绛旓細鍗庝负浜ゆ崲鏈哄父鐢鍛戒护锛1銆乨isplay current-configuration 鏄剧ず褰撳墠閰嶇疆 2銆乨isplay interface GigabitEthernet 1/1/4 鏄剧ず鎺ュ彛淇℃伅 3銆乨isplay packet-filter interface GigabitEthernet 1/1/4 鏄剧ず鎺ュ彛acl搴旂敤淇℃伅 4銆乨isplay acl all 鏄剧ず鎵鏈塧cl璁剧疆 3900绯诲垪浜ゆ崲鏈 5銆乨isplay acl config all 鏄剧ず鎵鏈塧cl...
