Настройка безопасности ARP (ARP Anti-Spoofing)

Продолжая просмотр сайта и(или) нажимая X, я соглашаюсь с использованием файлов cookie владельцем сайта в соответствии с Политикой в отношении файлов cookie в том числе на передачу данных, указанных в Политике, третьим лицам (статистическим службам сети Интернет), в соответствии с Пользовательским соглашением >X

Для предприятий

Huawei в странах и регионах

Huawei Global - English

- Южная Африка - English
- Морокко - English
- Бразилия - Português
- Мексика - Español
- Саудовская Аравия - English
- ОАЭ - English
- Австралия - English
- Китай - 简体中文
- Гонконг, Китай - English
- Индия - English
- Япония - 日本語
- Южная Корея - English
- Казахстан - русский
- Малайзия - English
- Новая Зеландия - English
- Филиппины - English
- Сингапур - English
- Индонезия- English
- Таиланд- English
- Philippines - English
- Австрия - Deutsch
- Франция - Français
- Германия - Deutsch
- Греция - English
- Венгрия - English
- Италия - Italiano
- Польша - English
- Швеция - English
- Россия - русский
- Испания - Español
- Турция - Türkçe
- Швейцария - English
- Объединенное Королевство - English
- Чехия - English
- Украина - English

Меню
Продукты и услуги
Отрасли
Техническая поддержка
Партнёры
Форум

Популярные запросы
Коммутаторы Маршрутизаторы Серверы Хранилища Cистемы электроснабжения ЦОДов Облачные вычисления

Типичные примеры конфигураци коммутаторов серии CloudEngine

Rate and give feedback:

Информация об этом переводе

Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).

Настройка безопасности ARP (ARP Anti-Spoofing)

Поддерживаемые продукты и версии

Этот пример относится к CE12800, CE6800, CE5800 по версии V100R001C00 или более поздней версии.

Этот пример относится к CE7800 по версии V100R003C00 или более поздней версии.

Этот пример относится к CE8800 по версии V100R006C00 или более поздней версии.

Требования к сети

Как показано на Figure 2-38, коммутатор подключается к серверу через 10GE1/0/3 и подключается к пользователям в VLAN 10 и VLAN 20 через 10GE1/0/1 и 10GE1/0/2. Атакующие отправляют поддельные ARP-пакеты или фиктивные безвозмездные ARP-пакеты коммутатору для изменения записей ARP на коммутаторе. В результате авторизованные пользователи не могут отправлять и принимать пакеты данных.

Администратор хочет предотвратить предыдущие атаки подмены ARP и предоставить пользователям стабильные службы в защищенной сети.

Figure 2-38 Диаграмма для настройки безопасности ARP

План конфигурации

План конфигурации выглядит следующим образом:

Настройте строгое обучение ARP и фиксированный ARP для предотвращения изменения записей ARP поддельными ARP-пакетами.
Настройте безвозмездные ARP-пакеты, отбрасывающие, чтобы предотвратить запись ARP-записей фиктивными безвозмездными ARP-пакетами.

Procedure

Создайте VLAN, добавьте интерфейсы к VLAN и настройте интерфейсы VLANIF.

# Создайте VLAN 10, VLAN 20 и VLAN 30, добавьте 10GE1/0/1 к VLAN 10, 10GE1/0/2 к VLAN 20 и 10GE1/0/3 к VLAN 30.

<HUAWEI>system-view
[~HUAWEI] sysname Switch
[*HUAWEI] commit
[~Switch] vlan batch 10 20 30
[~Switch] interface 10ge 1/0/1
[~Switch-10GE1/0/1] port link-type trunk
[*Switch-10GE1/0/1] port trunk allow-pass vlan 10
[*Switch-10GE1/0/1] quit
[*Switch] interface 10ge 1/0/2
[*Switch-10GE1/0/2] port link-type trunk
[*Switch-10GE1/0/2] port trunk allow-pass vlan 20
[*Switch-10GE1/0/2] quit
[*Switch] interface 10ge 1/0/3
[*Switch-10GE1/0/3] port link-type trunk
[*Switch-10GE1/0/3] port trunk allow-pass vlan 30
[*Switch-10GE1/0/3] quit
[*Switch] commit

# Создайте VLANIF 10, VLANIF 20 и VLANIF 30 и назначьте им IP-адреса.

[~Switch] interface vlanif 10
[~Switch-Vlanif10] ip address 8.8.8.1 24
[*Switch-Vlanif10] quit
[*Switch] interface vlanif 20
[*Switch-Vlanif20] ip address 9.9.9.1 24
[*Switch-Vlanif20] quit
[*Switch] interface vlanif 30
[*Switch-Vlanif30] ip address 10.10.10.3 24
[*Switch-Vlanif30] quit
[*Switch] commit

Настройте строгое распознавание ARP.
```
[~Switch] arp learning strict
```
Настройте фиксированный ARP.
# Включите режим fixed-mac.
```
[*Switch] arp anti-attack entry-check fixed-mac enable
```
Настройте безвозмездное отбрасывание ARP-пакетов.
```
[*Switch] arp anti-attack gratuitous-arp drop
[*Switch] commit
```

Проверка конфигурации

Запустите команду display arp learning strict, чтобы проверить глобальную конфигурацию строгого обучения ARP.

[~Switch] display arp learning strict
 The global arp learning strict state:enable
 Interface                           LearningStrictState
------------------------------------------------------------
------------------------------------------------------------
 Total:0      Force-enable:0      Force-disable:0

Запустите команду display arp anti-attack entry-check для проверки конфигурации фиксированного ARP.

[~Switch] display arp anti-attack entry-check
Vlanif      Mode                                                                
------------------------------------------------------------------------------- 
  All        fix-mac                                                            
-------------------------------------------------------------------------------

Запустите команду display arp packet statistics для проверки статистики по ARP-пакетам.

[~Switch] display arp packet statistics
ARP Packets Received                                                            
  Total:                             9253                                       
  Learnt Count:                         2                                       
  Discard For Entry Limit:              0                                       
  Discard For Speed Limit:              0                                       
  Discard For Proxy Suppress:           0                                       
  Discard For Other:                    0                                       
ARP Packets Sent                                                                
  Total:                             3359                                       
  Request:                            453                                       
  Reply:                             2906                                       
  Gratuitous ARP:                     303                                       
ARP-Miss Message Received                                                       
  Total:                               16                                       
  Discard For Speed Limit:              0                                       
  Discard For Other:                    0

На предыдущем выходе команды отображается количество ARP-пакетов, отбрасываемых коммутатором, что указывает на то, что функция ARP-защиты (ARP-защита от спуфинга) вступила в силу.

Файл конфигурации

#                                                                               
sysname Switch
#                                                                               
vlan batch 10 20 30
#                                                                               
arp learning strict 
arp anti-attack entry-check fixed-mac enable                                    
arp anti-attack gratuitous-arp drop                
# 
interface Vlanif10                                                              
 ip address 8.8.8.1 255.255.255.0                                               
#   
interface Vlanif20                                                              
 ip address 9.9.9.1 255.255.255.0                                               
#   
interface Vlanif30                                                              
 ip address 10.10.10.3 255.255.255.0                                               
#   
interface 10GE1/0/1                                                             
 port link-type trunk                                                           
 port trunk allow-pass vlan 10                                                  
# 
interface 10GE1/0/2                                                             
 port link-type trunk                                                           
 port trunk allow-pass vlan 20                                            
#                                                                               
interface 10GE1/0/3                                                             
 port link-type trunk                                                           
 port trunk allow-pass vlan 30                                             
#   
return

английский

Загрузить

Updated: 2019-11-08

№ документа:EDOC1100112933

Просмотры:57998

Загрузки: 365

Average rating:

This Document Applies to these Products