FAQ-ARP限速的几种配置与作用

发布时间:  2016-12-20 浏览次数:  459 下载次数:  0
问题描述

ARP限速的几种配置与作用?

解决方案

ARP限速的几种配置与各自的作用如下。

方法1:配置根据源IP地址进行ARP Miss消息限速

# 配置对Server(IP地址为10.10.10.2)的ARP Miss消息进行限速,允许Switch每秒最多处理该IP地址触发的40个ARP Miss消息;对于其他用户,允许Switch每秒最多处理同一个源IP地址触发的20个ARP Miss消息。
[Switch] arp-miss speed-limit source-ip maximum 20
[Switch] arp-miss speed-limit source-ip 10.10.10.2 maximum 40 

配置根据源IP地址进行ARP Miss消息限速,实现防止用户侧存在攻击者发出大量目的IP地址不可达的IP报文触发大量ARP Miss消息,形成ARP泛洪攻击。同时需要保证Switch可以正常处理服务器发出的大量此类报文,避免因丢弃服务器发出的大量此类报文而造成网络无法正常通信。
 
方法2:配置基于接口的ARP表项限制

# 配置接口GE0/0/1最多可以学习到20个动态ARP表项。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] arp-limit vlan 10 maximum 20
[Switch-GigabitEthernet0/0/1] quit

方法3:配置根据源MAC地址进行ARP限速

# 配置对用户User1(MAC地址为1–1–1)进行ARP报文限速,每秒最多只允许10个该
MAC地址的ARP报文通过。
[Switch] arp speed-limit source-mac 1-1-1 maximum 10

配置基于接口的ARP表项限制以及根据源MAC地址进行ARP限速,实现防止用户发送的大量源IP地址变化MAC地址固定的ARP报文形成的ARP泛洪攻击,避免Switch的ARP表资源被耗尽,并避免CPU进程繁忙。
 
方法4:配置根据源IP地址进行ARP限速

# 配置对用户User3(IP地址为10.9.9.2)进行ARP报文限速,每秒最多只允许10个该IP地
址的ARP报文通过。
[Switch] arp speed-limit source-ip 10.9.9.2 maximum 10

配置根据源IP地址进行ARP限速,实现防止用户发送的大量源IP地址固定的ARP报文形成的ARP泛洪攻击,避免Switch的CPU进程繁忙。

END