No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar funciones de seguridad ARP

Ejemplo para configurar funciones de seguridad ARP

Descripción general de seguridad de ARP

La seguridad del Protocolo de resolución de direcciones (ARP) protege los dispositivos de red contra los ataques de ARP al aprender las entradas de ARP, limitar la velocidad de paquetes de ARP y comprobar los paquetes de ARP. Además de prevenir los ataques del protocolo ARP, la seguridad ARP también previene los ataques de escaneo de red basados ​​en ARP.

Las siguientes son amenazas ARP comunes para las redes:
  1. Cuando los hosts de los usuarios se conectan directamente a gateway, el atacante falsifica un paquete ARP de gateway y envía el paquete ARP a los hosts del usuario. Los hosts del usuario consideran que el atacante es gateway y registra los mapeos incorrectas de la dirección de gateway en sus tablas de ARP. Luego el tráfico destinado a la gateway es recibido por el atacante. De esta forma, el atacante intercepta los datos enviados por los hosts del usuario.

  2. Un host de usuario envía una gran cantidad de paquetes IP con direcciones IP de destino irresolubles (la tabla de enrutamiento contiene las entradas de enrutamiento que coinciden con las direcciones IP de destino de los paquetes, pero el dispositivo no tiene las entradas de ARP que coinciden con las direcciones de salto siguiente de las entradas de enrutamiento) al dispositivo, lo que hace que el dispositivo genere una gran cantidad de paquetes de ARP Miss. Los paquetes de IP (paquetes de Miss ARP) que activan los mensajes de ARP Miss se envían a la CPU para su procesamiento. El dispositivo genera y entrega muchas entradas ARP temporales de acuerdo con los mensajes de ARP Miss y envía una gran cantidad de paquetes de solicitud de ARP a la red de destino. Esto aumenta el uso de CPU del dispositivo y consume mucho ancho de banda de red.

  3. El dispositivo recibe una gran cantidad de paquetes de ataque de ARP y necesita procesarlos todos. Como resultado, la CPU del dispositivo puede estar sobrecargada.

Se pueden tomar las siguientes medidas de seguridad de ARP para proteger la red contra ataques de ARP:
  • Para evitar el primer ataque (el atacante se presenta como la gateway para interceptar la información del host), configure la anticolisión del gateway de ARP.

  • Para evitar el segundo ataque, configure la limitación de la velocidad de ARP Miss para reducir la carga de la CPU y ahorrar ancho de banda en la red de destino.

  • Para evitar el tercer ataque, configure la limitación de la velocidad de paquetes de ARP para proteger los recursos de la CPU.

Notas de configuración

  • Este ejemplo se aplica a todos los modelos y versiones de switch modulares.
  • Que los modelos y versiones de switches fijos a los que se aplica este ejemplo son los siguientes.
    Tabla 12-2  Anticolisión de gateway de ARP

    Producto

    Modelo del Producto

    Versión del software

    S2300

    S2300SI

    V100R006C05

    S2300EI

    V100R006C05

    S2352P-EI

    V100R006C05

    S3300

    S3300SI y S3300EI

    V100R006C05

    S3300HI

    V200R001C00

    S5300

    S5300SI

    V200R001C00, V200R002C00, V200R003C00, V200R005(C00&C02)

    S5300EI

    V200R001C00, V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S5310EI

    V200R003C00, V200R005(C00&C02)

    S5300HI

    V200R001(C00&C01), V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S5320EI

    V200R007C00, V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S5320SI

    V200R008(C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S5320HI

    V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S5330SI

    V200R011C10, V200R012C00

    S6300

    S6300EI

    V200R001(C00&C01), V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S6320EI

    V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S6320SI

    V200R011C10, V200R012C00

    S6320HI

    V200R012C00

    Tabla 12-3  Limitación de la velocidad de mensajes de ARP Miss (basada en las direcciones IP de origen)

    Producto

    Modelo del Producto

    Versión del software

    S2300

    S2300SI

    V100R006C05

    S2300EI

    V100R006C05

    S2352P-EI

    V100R006C05

    S3300

    S3300SI y S3300EI

    V100R006C05

    S3300HI

    V200R001C00

    S5300

    S5300SI

    V200R001C00, V200R002C00, V200R003C00, V200R005(C00&C02)

    S5300EI

    V200R001C00, V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S5310EI

    V200R003C00, V200R005(C00&C02)

    S5300HI

    V200R001(C00&C01), V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S5320EI

    V200R007C00, V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S5320SI

    V200R008(C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S5320HI

    V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S5330SI

    V200R011C10, V200R012C00

    S6300

    S6300EI

    V200R001(C00&C01), V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S6320EI

    V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S6320SI

    V200R011C10, V200R012C00

    S6320HI

    V200R012C00

    Tabla 12-4  Limitación de velocidad de paquete de ARP (basado en direcciones MAC de origen)

    Producto

    Modelo del Producto

    Versión del software

    S3300

    S3300HI

    V200R001C00

    S5300

    S5310EI

    V200R002C00, V200R003C00, V200R005(C00&C02)

    S5300HI

    V200R001(C00&C01), V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S5306

    V200R001C00, V200R002C00, V200R003C00, V200R005C00

    S5320EI

    V200R007C00, V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S5320HI

    V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S6300

    S6300EI

    V200R001(C00&C01), V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S6320EI

    V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S6320HI

    V200R012C00

    Tabla 12-5  Límite de velocidad de paquete ARP (basado en direcciones IP de origen)

    Producto

    Modelo del Producto

    Versión del software

    S2300

    S2300SI

    V100R006C05

    S2300EI

    V100R006C05

    S2320EI

    V200R011C10, V200R012C00

    S2352P-EI

    V100R006C05

    S2350EI

    V200R005C00SPC300, V200R006C00, V200R007C00, V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S3300

    S3300SI y S3300EI

    V100R006C05

    S3300HI

    V200R001C00

    S5300

    S5300LI

    V200R005C00SPC300, V200R006C00, V200R007C00, V200R008(C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S5300SI

    V200R001C00, V200R002C00, V200R003C00, V200R005(C00&C02)

    S5300EI

    V200R001C00, V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S5310EI

    V200R003C00, V200R005(C00&C02)

    S5300HI

    V200R001(C00&C01), V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S5306

    V200R002C00, V200R003C00, V200R005C00

    S5320EI

    V200R007C00, V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S5320SI

    V200R008(C00&C10), V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S5320HI

    V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S5320LI

    V200R010C00, V200R011C10, V200R012C00

    S5330SI

    V200R011C10, V200R012C00

    S6300

    S6300EI

    V200R001(C00&C01), V200R002C00, V200R003C00, V200R005(C00&C01&C02)

    S6320EI

    V200R008C00, V200R009C00, V200R010C00, V200R011C10, V200R012C00

    S6320SI

    V200R011C10, V200R012C00

    S6320HI

    V200R012C00

    NOTA:
    Para conocer los detalles sobre las asignaciones de software, consulte Hardware Query Tool.

Requisitos de red

Como se muestra en Figura 12-10, el switch que funciona como gateway se conecta a un servidor utilizando GE 1/0/3 y se conecta a cuatro usuarios en VLAN 10 y VLAN 20 usando GE 1/0/1 y GE 1/0/2, respectivamente. Las siguientes amenazas ARP existen en una red:
  • El atacante se presenta como la gateway para enviar un paquete ARP al switch, por lo que los hosts de los usuarios consideran que el atacante es la gateway. Como resultado, el atacante recibe el tráfico destinado a la gateway de los hosts de los usuarios y el atacante intercepta los datos de los hosts de los usuarios.
  • Los atacantes envían una gran cantidad de paquetes IP con direcciones IP de destino irresolubles al switch, lo que provoca una sobrecarga de la CPU.
  • El User1 envía una gran cantidad de paquetes ARP con direcciones MAC fijas pero con direcciones IP de fuente variable al switch. Como resultado, la CPU disponible del switch es insuficiente para procesar otros servicios.
  • El User3 envía una gran cantidad de paquetes ARP con direcciones IP de fuente fija al switch. Como resultado, la CPU disponible del switch es insuficiente para procesar otros servicios.
El administrador desea evitar los ataques de ARP anteriores y proporcionar a los usuarios servicios estables en una red segura.
Figura 12-10  Redes para configurar funciones de seguridad ARP

Hoja de ruta de configuración

La hoja de ruta de la configuración es la siguiente:
  1. Configure la anticolisión de la gateway de ARP para evitar que los atacantes se hagan pasar por la gateway para interceptar los datos.
  2. Configure la limitación de velocidad de ARP Miss basada en las direcciones IP de origen para evitar que los atacantes del lado del usuario envíen una gran cantidad de paquetes IP no resueltos, desencadenando mensajes de ARP Miss y formando ataques de inundación ARP. Además, asegúrese de que el switch pueda procesar los paquetes ARP de los servidores porque la comunicación de red no estará disponible si dichos paquetes se descartan.
  3. Configure la limitación de velocidad ARP en función de las direcciones MAC de origen para evitar que el Usuario1 envíe una gran cantidad de paquetes ARP con diferentes direcciones IP de origen y una dirección MAC fija para formar ataques de inundación ARP. Los ataques de inundación de ARP sobrecargarán la CPU del switch.
  4. Configure la limitación de velocidad en los paquetes ARP en función de la dirección IP de origen. Esta función defiende contra los ataques de inundación ARP del Usuario3 con una dirección IP fija y evita la sobrecarga de la CPU.

Procedimiento

  1. Cree VLAN, agregue interfaces a las VLAN y configure las interfaces VLANIF.

    # Cree VLAN 10, VLAN 20, VLAN 30 y agregue GE1/0/1 a VLAN 10, GE1/0/2 a VLAN 20 y GE1/0/3 a VLAN 30.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 10 20 30
    [Switch] interface gigabitethernet 1/0/1
    [Switch-GigabitEthernet1/0/1] port link-type trunk
    [Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
    [Switch-GigabitEthernet1/0/1] quit
    [Switch] interface gigabitethernet 1/0/2
    [Switch-GigabitEthernet1/0/2] port link-type trunk
    [Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
    [Switch-GigabitEthernet1/0/2] quit
    [Switch] interface gigabitethernet 1/0/3
    [Switch-GigabitEthernet1/0/3] port link-type trunk
    [Switch-GigabitEthernet1/0/3] port trunk allow-pass vlan 30
    [Switch-GigabitEthernet1/0/3] quit
    

    # Cree VLANIF 10, VLANIF 20 y VLANIF 30 y les asigne direcciones IP.

    [Switch] interface vlanif 10
    [Switch-Vlanif10] ip address 10.8.8.4 24
    [Switch-Vlanif10] quit
    [Switch] interface vlanif 20
    [Switch-Vlanif20] ip address 10.9.9.4 24
    [Switch-Vlanif20] quit
    [Switch] interface vlanif 30
    [Switch-Vlanif30] ip address 10.10.10.3 24
    [Switch-Vlanif30] quit
    

  2. Configure la anticolisión de la gateway de ARP.

    [Switch] arp anti-attack gateway-duplicate enable  //Configure la anticolisión de gateway de ARP

  3. Configure la limitación de velocidad en mensajes de ARP Miss basados ​​en la dirección IP de origen.

    # Establezca la velocidad máxima de mensajes de ARP Miss activados por el servidor con la dirección IP 10.10.10.2 a 40 pps, y establezca la velocidad máxima de mensajes de ARP Miss activados por otros hosts a 20 pps.

    [Switch] arp-miss speed-limit source-ip maximum 20  //Configure la limitación de velocidad en mensajes de ARP Miss basados en la dirección IP de origen
    [Switch] arp-miss speed-limit source-ip 10.10.10.2 maximum 40  //Configure la limitación de velocidad en las mensajes ARP Miss basados en la dirección IP de origen

  4. Configure la limitación de velocidad en los paquetes ARP según la dirección MAC de origen.

    # Establezca la velocidad máxima de paquetes ARP del Usuario1 con la dirección MAC de origen 0001-0001-0001 a 10 pps.

    [Switch] arp speed-limit source-mac 0001-0001-0001 maximum 10  //Configure la limitación de velocidad en los paquetes de ARP según la dirección MAC de origen

  5. Configure la limitación de velocidad en los paquetes ARP según la dirección IP de origen.

    # Establezca la velocidad máxima de paquetes ARP del Usuario3 con la dirección IP de origen 10.9.9.2 a 10 pps.

    [Switch] arp speed-limit source-ip 10.9.9.2 maximum 10  //Configure la limitación de velocidad en los paquetes de IP según la dirección MAC de origen

  6. Verifique la configuración

    # Ejecute el comando display arp anti-attack configuration all para comprobar la configuración del ARP anti-ataque.

    [Switch] display arp anti-attack configuration all
    ......
    ARP anti-attack entry-check mode:
    Vlanif      Mode
    -------------------------------------------------------------------------------
    All         disabled
    -------------------------------------------------------------------------------
    
    ARP rate-limit configuration:
    -------------------------------------------------------------------------------
    Global configuration:
    Interface configuration:
    Vlan configuration:
    -------------------------------------------------------------------------------
    
    ARP miss rate-limit configuration:
    -------------------------------------------------------------------------------
    Global configuration:
    Interface configuration:
    Vlan configuration:
    -------------------------------------------------------------------------------
    
    ARP speed-limit for source-MAC configuration:
    MAC-address         suppress-rate(pps)(rate=0 means function disabled)
    -------------------------------------------------------------------------------
    0001-0001-0001      10
    Others              0
    -------------------------------------------------------------------------------
    The number of configured specified MAC address(es) is 1, spec is 1024.
    
    ARP speed-limit for source-IP configuration:
    IP-address          suppress-rate(pps)(rate=0 means function disabled)
    -------------------------------------------------------------------------------
    10.9.9.2            10
    Others              30
    -------------------------------------------------------------------------------
    The number of configured specified IP address(es) is 1, spec is 1024.
    
    ARP miss speed-limit for source-IP configuration:
    IP-address          suppress-rate(pps)(rate=0 means function disabled)
    -------------------------------------------------------------------------------
    10.10.10.2/32       40
    Others              20
    -------------------------------------------------------------------------------
    The number of configured specified IP address(es) is 1, spec is 1024. 

    # Ejecute el comando de display arp packet statistics para comprobar las estadísticas en los paquetes basados ​​en ARP.

    [Switch] display arp packet statistics
    ARP Pkt Received:   sum  8678904                                                 
    ARP-Miss Msg Received:   sum      183                                             
    ARP Learnt Count:   sum     37                                                  
    ARP Pkt Discard For Limit:   sum      146                                         
    ARP Pkt Discard For SpeedLimit:   sum      40529                                    
    ARP Pkt Discard For Proxy Suppress:   sum      0                                
    ARP Pkt Discard For Other:   sum  8367601                                        
    ARP-Miss Msg Discard For SpeedLimit:   sum      20                               
    ARP-Miss Msg Discard For Other:   sum      104     

    En la salida del comando anterior, se muestran los números de paquetes ARP y mensajes de ARP Miss descartados por el switch, lo que indica que las funciones de seguridad ARP han surtido efecto.

Archivo de configuración

# Archivo de configuración de Switch

#
sysname Switch
#
vlan batch 10 20 30
#
arp-miss speed-limit source-ip 10.10.10.2 maximum 40
arp speed-limit source-ip 10.9.9.2 maximum 10
arp speed-limit source-mac 0001-0001-0001 maximum 10
arp anti-attack gateway-duplicate enable
#
arp-miss speed-limit source-ip maximum 20
#
interface Vlanif10
 ip address 10.8.8.4 255.255.255.0
#
interface Vlanif20
 ip address 10.9.9.4 255.255.255.0
#
interface Vlanif30
 ip address 10.10.10.3 255.255.255.0
#
interface GigabitEthernet1/0/1
 port link-type trunk
 port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/2
 port link-type trunk
 port trunk allow-pass vlan 20
#
interface GigabitEthernet1/0/3
 port link-type trunk
 port trunk allow-pass vlan 30
#
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15460

Descargas: 129

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente