Для выбранного языка не найдены ресурсы переадресации.

Продолжая просмотр сайта и(или) нажимая X, я соглашаюсь с использованием файлов cookie владельцем сайта в соответствии с Политикой в отношении файлов cookie в том числе на передачу данных, указанных в Политике, третьим лицам (статистическим службам сети Интернет), в соответствии с Пользовательским соглашением >X

Меню
Поддержка Центр документации
Типичные примеры конфигураци коммутаторов серии CloudEngine
Rate and give feedback:
Информация об этом переводе
Чтобы помочь вам лучше понять содержимое этого документа, компания Huawei перевела его на разные языки, используя машинный перевод, отредактированный людьми. Примечание: даже самые передовые программы машинного перевода не могут обеспечить качество на уровне перевода, выполненного профессиональным переводчиком. Компания Huawei не несет ответственность за точность перевода и рекомендует ознакомиться с документом на английском языке (по ссылке, которая была предоставлена ранее).
Настройка безопасности ARP (ARP Anti-Spoofing)

Настройка безопасности ARP (ARP Anti-Spoofing)

Поддерживаемые продукты и версии

Этот пример относится к CE12800, CE6800, CE5800 по версии V100R001C00 или более поздней версии.

Этот пример относится к CE7800 по версии V100R003C00 или более поздней версии.

Этот пример относится к CE8800 по версии V100R006C00 или более поздней версии.

Требования к сети

Как показано на Figure 2-38, коммутатор подключается к серверу через 10GE1/0/3 и подключается к пользователям в VLAN 10 и VLAN 20 через 10GE1/0/1 и 10GE1/0/2. Атакующие отправляют поддельные ARP-пакеты или фиктивные безвозмездные ARP-пакеты коммутатору для изменения записей ARP на коммутаторе. В результате авторизованные пользователи не могут отправлять и принимать пакеты данных.

Администратор хочет предотвратить предыдущие атаки подмены ARP и предоставить пользователям стабильные службы в защищенной сети.

Figure 2-38  Диаграмма для настройки безопасности ARP

План конфигурации

План конфигурации выглядит следующим образом:
  1. Настройте строгое обучение ARP и фиксированный ARP для предотвращения изменения записей ARP поддельными ARP-пакетами.
  2. Настройте безвозмездные ARP-пакеты, отбрасывающие, чтобы предотвратить запись ARP-записей фиктивными безвозмездными ARP-пакетами.

Procedure

  1. Создайте VLAN, добавьте интерфейсы к VLAN и настройте интерфейсы VLANIF.

    # Создайте VLAN 10, VLAN 20 и VLAN 30, добавьте 10GE1/0/1 к VLAN 10, 10GE1/0/2 к VLAN 20 и 10GE1/0/3 к VLAN 30.

    <HUAWEI>system-view
[~HUAWEI] sysname Switch
[*HUAWEI] commit
[~Switch] vlan batch 10 20 30
[~Switch] interface 10ge 1/0/1
[~Switch-10GE1/0/1] port link-type trunk
[*Switch-10GE1/0/1] port trunk allow-pass vlan 10
[*Switch-10GE1/0/1] quit
[*Switch] interface 10ge 1/0/2
[*Switch-10GE1/0/2] port link-type trunk
[*Switch-10GE1/0/2] port trunk allow-pass vlan 20
[*Switch-10GE1/0/2] quit
[*Switch] interface 10ge 1/0/3
[*Switch-10GE1/0/3] port link-type trunk
[*Switch-10GE1/0/3] port trunk allow-pass vlan 30
[*Switch-10GE1/0/3] quit
[*Switch] commit

    # Создайте VLANIF 10, VLANIF 20 и VLANIF 30 и назначьте им IP-адреса.

    [~Switch] interface vlanif 10
[~Switch-Vlanif10] ip address 8.8.8.1 24
[*Switch-Vlanif10] quit
[*Switch] interface vlanif 20
[*Switch-Vlanif20] ip address 9.9.9.1 24
[*Switch-Vlanif20] quit
[*Switch] interface vlanif 30
[*Switch-Vlanif30] ip address 10.10.10.3 24
[*Switch-Vlanif30] quit
[*Switch] commit

  2. Настройте строгое распознавание ARP.

    [~Switch] arp learning strict

  3. Настройте фиксированный ARP.

    # Включите режим fixed-mac.

    [*Switch] arp anti-attack entry-check fixed-mac enable

  4. Настройте безвозмездное отбрасывание ARP-пакетов.

    [*Switch] arp anti-attack gratuitous-arp drop
[*Switch] commit

Проверка конфигурации

  1. Запустите команду display arp learning strict, чтобы проверить глобальную конфигурацию строгого обучения ARP.

    [~Switch] display arp learning strict
 The global arp learning strict state:enable
 Interface                           LearningStrictState
------------------------------------------------------------
------------------------------------------------------------
 Total:0      Force-enable:0      Force-disable:0

  2. Запустите команду display arp anti-attack entry-check для проверки конфигурации фиксированного ARP.

    [~Switch] display arp anti-attack entry-check
Vlanif      Mode                                                                
------------------------------------------------------------------------------- 
  All        fix-mac                                                            
-------------------------------------------------------------------------------

  3. Запустите команду display arp packet statistics для проверки статистики по ARP-пакетам.

    [~Switch] display arp packet statistics
ARP Packets Received                                                            
  Total:                             9253                                       
  Learnt Count:                         2                                       
  Discard For Entry Limit:              0                                       
  Discard For Speed Limit:              0                                       
  Discard For Proxy Suppress:           0                                       
  Discard For Other:                    0                                       
ARP Packets Sent                                                                
  Total:                             3359                                       
  Request:                            453                                       
  Reply:                             2906                                       
  Gratuitous ARP:                     303                                       
ARP-Miss Message Received                                                       
  Total:                               16                                       
  Discard For Speed Limit:              0                                       
  Discard For Other:                    0

    На предыдущем выходе команды отображается количество ARP-пакетов, отбрасываемых коммутатором, что указывает на то, что функция ARP-защиты (ARP-защита от спуфинга) вступила в силу.

Файл конфигурации

#                                                                               
sysname Switch
#                                                                               
vlan batch 10 20 30
#                                                                               
arp learning strict 
arp anti-attack entry-check fixed-mac enable                                    
arp anti-attack gratuitous-arp drop                
# 
interface Vlanif10                                                              
 ip address 8.8.8.1 255.255.255.0                                               
#   
interface Vlanif20                                                              
 ip address 9.9.9.1 255.255.255.0                                               
#   
interface Vlanif30                                                              
 ip address 10.10.10.3 255.255.255.0                                               
#   
interface 10GE1/0/1                                                             
 port link-type trunk                                                           
 port trunk allow-pass vlan 10                                                  
# 
interface 10GE1/0/2                                                             
 port link-type trunk                                                           
 port trunk allow-pass vlan 20                                            
#                                                                               
interface 10GE1/0/3                                                             
 port link-type trunk                                                           
 port trunk allow-pass vlan 30                                             
#   
return
английский
Загрузить
Updated: 2019-11-08

№ документа:EDOC1100112933

Просмотры:19333

Загрузки: 192

Average rating:
This Document Applies to these Products

Related Version

Связанные документы

Share
Назад Далее
Enterprise APP

Copyright © 2021 Huawei Technologies Co., Ltd. All rights reserved.

You are going to visit :