Настройка безопасности ARP (ARP Anti-Spoofing)
Поддерживаемые продукты и версии
Этот пример относится к CE12800, CE6800, CE5800 по версии V100R001C00 или более поздней версии.
Этот пример относится к CE7800 по версии V100R003C00 или более поздней версии.
Этот пример относится к CE8800 по версии V100R006C00 или более поздней версии.
Требования к сети
Как показано на Figure 2-38, коммутатор подключается к серверу через 10GE1/0/3 и подключается к пользователям в VLAN 10 и VLAN 20 через 10GE1/0/1 и 10GE1/0/2. Атакующие отправляют поддельные ARP-пакеты или фиктивные безвозмездные ARP-пакеты коммутатору для изменения записей ARP на коммутаторе. В результате авторизованные пользователи не могут отправлять и принимать пакеты данных.
Администратор хочет предотвратить предыдущие атаки подмены ARP и предоставить пользователям стабильные службы в защищенной сети.
План конфигурации
- Настройте строгое обучение ARP и фиксированный ARP для предотвращения изменения записей ARP поддельными ARP-пакетами.
- Настройте безвозмездные ARP-пакеты, отбрасывающие, чтобы предотвратить запись ARP-записей фиктивными безвозмездными ARP-пакетами.
Procedure
- Создайте VLAN, добавьте интерфейсы
к VLAN и настройте интерфейсы VLANIF.
# Создайте VLAN 10, VLAN 20 и VLAN 30, добавьте 10GE1/0/1 к VLAN 10, 10GE1/0/2 к VLAN 20 и 10GE1/0/3 к VLAN 30.
<HUAWEI>system-view [~HUAWEI] sysname Switch [*HUAWEI] commit [~Switch] vlan batch 10 20 30 [~Switch] interface 10ge 1/0/1 [~Switch-10GE1/0/1] port link-type trunk [*Switch-10GE1/0/1] port trunk allow-pass vlan 10 [*Switch-10GE1/0/1] quit [*Switch] interface 10ge 1/0/2 [*Switch-10GE1/0/2] port link-type trunk [*Switch-10GE1/0/2] port trunk allow-pass vlan 20 [*Switch-10GE1/0/2] quit [*Switch] interface 10ge 1/0/3 [*Switch-10GE1/0/3] port link-type trunk [*Switch-10GE1/0/3] port trunk allow-pass vlan 30 [*Switch-10GE1/0/3] quit [*Switch] commit
# Создайте VLANIF 10, VLANIF 20 и VLANIF 30 и назначьте им IP-адреса.
[~Switch] interface vlanif 10 [~Switch-Vlanif10] ip address 8.8.8.1 24 [*Switch-Vlanif10] quit [*Switch] interface vlanif 20 [*Switch-Vlanif20] ip address 9.9.9.1 24 [*Switch-Vlanif20] quit [*Switch] interface vlanif 30 [*Switch-Vlanif30] ip address 10.10.10.3 24 [*Switch-Vlanif30] quit [*Switch] commit
- Настройте строгое распознавание
ARP.
[~Switch] arp learning strict
- Настройте фиксированный ARP.
# Включите режим fixed-mac.
[*Switch] arp anti-attack entry-check fixed-mac enable
- Настройте безвозмездное отбрасывание
ARP-пакетов.
[*Switch] arp anti-attack gratuitous-arp drop [*Switch] commit
Проверка конфигурации
Запустите команду display arp learning strict, чтобы проверить глобальную конфигурацию строгого обучения ARP.
[~Switch] display arp learning strict The global arp learning strict state:enable Interface LearningStrictState ------------------------------------------------------------ ------------------------------------------------------------ Total:0 Force-enable:0 Force-disable:0
Запустите команду display arp anti-attack entry-check для проверки конфигурации фиксированного ARP.
[~Switch] display arp anti-attack entry-check Vlanif Mode ------------------------------------------------------------------------------- All fix-mac -------------------------------------------------------------------------------
Запустите команду display arp packet statistics для проверки статистики по ARP-пакетам.
[~Switch] display arp packet statistics ARP Packets Received Total: 9253 Learnt Count: 2 Discard For Entry Limit: 0 Discard For Speed Limit: 0 Discard For Proxy Suppress: 0 Discard For Other: 0 ARP Packets Sent Total: 3359 Request: 453 Reply: 2906 Gratuitous ARP: 303 ARP-Miss Message Received Total: 16 Discard For Speed Limit: 0 Discard For Other: 0
На предыдущем выходе команды отображается количество ARP-пакетов, отбрасываемых коммутатором, что указывает на то, что функция ARP-защиты (ARP-защита от спуфинга) вступила в силу.
Файл конфигурации
# sysname Switch # vlan batch 10 20 30 # arp learning strict arp anti-attack entry-check fixed-mac enable arp anti-attack gratuitous-arp drop # interface Vlanif10 ip address 8.8.8.1 255.255.255.0 # interface Vlanif20 ip address 9.9.9.1 255.255.255.0 # interface Vlanif30 ip address 10.10.10.3 255.255.255.0 # interface 10GE1/0/1 port link-type trunk port trunk allow-pass vlan 10 # interface 10GE1/0/2 port link-type trunk port trunk allow-pass vlan 20 # interface 10GE1/0/3 port link-type trunk port trunk allow-pass vlan 30 # return