Настройка безопасности ARP (ARP Anti-Flood)
Поддерживаемые продукты и версии
Этот пример относится к CE12800, CE6800, CE5800 по версии V100R001C00 или более поздней версии.
Этот пример относится к CE7800 по версии V100R003C00 или более поздней версии.
Этот пример относится к CE8800 по версии V100R006C00 или более поздней версии.
Требования к сети
- Атакующие отправляют большое количество IP-пакетов с недостижимыми IP-адресами назначения коммутатору, что приводит к перегрузке процессора.
- Пользователь с MAC-адресом 1-1-1 отправляет большое количество ARP-пакетов с фиксированным MAC-адресом и переменными IP-адресами коммутатору. В результате записи ARP на коммутаторе исчерпаны, а ресурсов CPU недостаточно для обработки других сервисов.
- Пользователь с IP-адресом 9.9.9.2 отправляет большое количество ARP-пакетов с фиксированным IP-адресом источника в коммутатор. В результате CPU перегружен и не может обрабатывать службы.
План конфигурации
- Настройте ограничение скорости для пакетов ARP Miss на основе
IP-адресов источника. Если устройство потребляет много ресурсов в
пакетах ARP Miss, это влияет на другие службы.
- Когда пользовательские злоумышленники отправляют большое количество IP-пакетов с недостижимыми IP-адресами назначения коммутатору, коммутатор подвергается атакам ARP.
- Коммутатор все еще может обрабатывать пакеты ARP Miss, отправленные серверами; поэтому связь не будет прервана.
- Настройте ограничение входа ARP на основе интерфейсов, чтобы предотвратить атаки, инициированные пользователями, подключенными к определенному интерфейсу.
Настройте ограничение скорости ARP на основе исходных MAC-адресов и исходных IP-адресов, чтобы предотвратить большое количество ARP-пакетов с MAC-адресом фиксированного источника или IP-адресом, отправленным злоумышленниками.
Procedure
- Создайте VLAN, добавьте интерфейсы
к VLAN и настройте интерфейсы VLANIF.
# Создайте VLAN 10, VLAN 20 и VLAN 30, добавьте 10GE1/0/1 в VLAN 10, 10GE1/0/2 в VLAN 20 и 10GE1/0/3 в VLAN 30.
<HUAWEI>system-view [~HUAWEI] sysname Switch [*HUAWEI] commit [~Switch] vlan batch 10 20 30 [~Switch] interface 10ge 1/0/1 [~Switch-10GE1/0/1] port link-type trunk [*Switch-10GE1/0/1] port trunk allow-pass vlan 10 [*Switch-10GE1/0/1] quit [*Switch] interface 10ge 1/0/2 [*Switch-10GE1/0/2] port link-type trunk [*Switch-10GE1/0/2] port trunk allow-pass vlan 20 [*Switch-10GE1/0/2] quit [*Switch] interface 10ge 1/0/3 [*Switch-10GE1/0/3] port link-type trunk [*Switch-10GE1/0/3] port trunk allow-pass vlan 30 [*Switch-10GE1/0/3] quit [*Switch] commit
# Создайте VLANIF 10, VLANIF 20 и VLANIF 30 и назначьте им IP-адреса.
[~Switch] interface vlanif 10 [~Switch-Vlanif10] ip address 8.8.8.1 24 [*Switch-Vlanif10] quit [*Switch] interface vlanif 20 [*Switch-Vlanif20] ip address 9.9.9.1 24 [*Switch-Vlanif20] quit [*Switch] interface vlanif 30 [*Switch-Vlanif30] ip address 10.10.10.3 24 [*Switch-Vlanif30] quit [*Switch] commit
- Настройте ограничение скорости
для пакетов ARP Miss на основе исходного IP-адреса.
# Установите максимальную скорость пакетов ARP Miss, запускаемых сервером с IP-адресом 10.10.10.2 до 40 pps, и установите максимальную скорость ARP-пакетов, инициированных другими хостами, до 20 pps.
[~Switch] arp miss anti-attack rate-limit source-ip maximum 20 [*Switch] arp miss anti-attack rate-limit source-ip 10.10.10.2 maximum 40 [*Switch] commit
- Настройте предельный вход ARP
на основе интерфейса.
# Настройте, что 10GE1/0/1 может динамически изучать максимум 20 записей ARP.
[~Switch] interface 10ge 1/0/1 [~Switch-10GE1/0/1] arp limit vlan 10 20 [*Switch-10GE1/0/1] quit [*Switch] commit
- Настройте ограничение скорости
ARP на основе MAC-адреса источника или IP-адреса источника.
# Установите максимальную скорость ARP-пакетов от пользователя (MAC-адрес 1-1-1) до 10 pps.
[~Switch] arp anti-attack rate-limit source-mac 1-1-1 maximum 10
# Установите максимальную скорость ARP-пакетов от пользователя (IP-адрес 9.9.9.2) до 10 pps.
[*Switch] arp anti-attack rate-limit source-ip 9.9.9.2 maximum 10 [*Switch] commit
Проверка конфигурации
Запустите команду display arp anti-attack rate-limit, чтобы проверить конфигурацию ограничения скорости ARP.
[~Switch] display arp anti-attack rate-limit Global ARP packet rate limit (pps) : -- Suppress Rate of each destination IP (pps): -- VLAN ID Suppress Rate(pps) ------------------------------------------------------------------------------- All -- ------------------------------------------------------------------------------- Total: 0, spec of rate-limit configuration for VLAN is 1024. Source IP Suppress Rate(pps) ------------------------------------------------------------------------------- 9.9.9.2 10 Other -- ------------------------------------------------------------------------------- Total: 1, spec of rate-limit configuration for Source IP is 1024. Source MAC Suppress Rate(pps) ------------------------------------------------------------------------------- 0001-0001-0001 10 Other -- ------------------------------------------------------------------------------- Total: 1, spec of rate-limit configuration for Source MAC is 1024.
Запустите команду display arp limit, чтобы проверить максимальное количество записей ARP, которые интерфейс может динамически изучать. Например, возьмите 10GE1/0/1.
[~Switch] display arp limit interface 10ge 1/0/1 Interface VLAN Limit Learnt --------------------------------------------------------------------------- 10GE1/0/1 10 20 0 --------------------------------------------------------------------------- Total:1
Запустите команду display arp miss anti-attack rate-limit, чтобы проверить конфигурацию ограничения скорости ARP Miss.
Выходы команды V100R001 и V100R002 различны. В этом разделе в качестве примера используется V100R002.
[~Switch] display arp miss anti-attack rate-limit Global ARP miss rate limit (pps) : -- VLAN ID Suppress Rate(pps) ------------------------------------------------------------------------------- All -- ------------------------------------------------------------------------------- Total: 0, spec of rate-limit configuration for VLAN is 1024. Source IP Suppress Rate(pps) ------------------------------------------------------------------------------- 10.10.10.2/32 40 Other 20 ------------------------------------------------------------------------------- Total: 1, spec of rate-limit configuration for Source IP is 1024.
Запустите команду display arp packet statistics для проверки статистики по ARP-пакетам.
Выходы команды V100R001 и V100R002 различны. В этом разделе в качестве примера используется V100R002.
[~Switch] display arp packet statistics ARP Packets Received Total: 200 Learnt Count: 1 Discard For Entry Limit: 0 Discard For Speed Limit: 0 Discard For Proxy Suppress: 0 Discard For Other: 0 ARP Packets Sent Total: 476 Request: 312 Reply: 164 Gratuitous ARP: 311 ARP-Miss Message Received Total: 12 Discard For Speed Limit: 0 Discard For Other: 0
На предыдущем выходе команды отображается количество пакетов ARP и пакетов ARP Miss, отбрасываемых коммутатором, что указывает на то, что функция безопасности ARP (ARP anti-flood) вступила в силу.
Файл конфигурации
# sysname Switch # vlan batch 10 20 30 # arp miss anti-attack rate-limit source-ip maximum 20 arp anti-attack rate-limit source-ip 9.9.9.2 maximum 10 arp miss anti-attack rate-limit source-ip 10.10.10.2 maximum 40 arp anti-attack rate-limit source-mac 0001-0001-0001 maximum 10 # interface Vlanif10 ip address 8.8.8.1 255.255.255.0 # interface Vlanif20 ip address 9.9.9.1 255.255.255.0 # interface Vlanif30 ip address 10.10.10.3 255.255.255.0 # interface 10GE1/0/1 port link-type trunk port trunk allow-pass vlan 10 arp limit vlan 10 20 # interface 10GE1/0/2 port link-type trunk port trunk allow-pass vlan 20 # interface 10GE1/0/3 port link-type trunk port trunk allow-pass vlan 30 # return