评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置动态ARP检测
背景信息
为了防御中间人攻击,避免合法用户的数据被中间人窃取,可以在接入设备上使能动态ARP检测DAI功能。设备会将ARP报文对应的源IP、源MAC、接口和绑定表中的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。
设备使能DHCP Snooping功能后,当DHCP用户上线时,设备会自动生成DHCP Snooping绑定表;对于静态配置IP地址的用户,设备不会生成DHCP Snooping绑定表,所以需要手动添加静态绑定表。DHCP Snooping的配置,请参见DHCP Snooping配置。静态绑定表的配置,请参见配置绑定表。
当在VLAN下同时使能DAI和VLAN内协议报文透传功能时,VLAN内协议报文透传功能不生效。
CE12800E安装ED-E/EG-E/EGA-E系列单板后不支持此功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令vlan vlan-id或者bridge-domain bd-id,进入VLAN视图或者BD视图。
- 执行命令arp anti-attack check user-bind enable,使能动态ARP检测功能(即对ARP报文进行绑定表匹配检查功能)。
缺省情况下,未使能动态ARP检测功能。
- (可选)配置对ARP报文进行绑定表匹配检查的检查项。
- 在VLAN视图下执行命令arp anti-attack check user-bind check-item { ip-address | mac-address | interface }*
缺省情况下,对ARP报文的IP地址、MAC地址和接口信息都进行检查。
- 在BD视图下执行命令arp anti-attack check user-bind check-item { ip-address | mac-address | vxlan-tunnel }*
缺省情况下,对ARP报文的IP地址、MAC地址和VXLAN隧道信息都进行检查。
如果希望仅匹配绑定表某一项或某两项内容的特殊ARP报文也能够通过,则可以配置对ARP报文进行绑定表匹配检查时只检查某一项或某两项内容。
指定ARP报文绑定表匹配检查项对配置了静态绑定表的用户不起作用,即设备仍然按照静态绑定表的内容对ARP报文进行绑定表匹配检查。
- 在VLAN视图下执行命令arp anti-attack check user-bind check-item { ip-address | mac-address | interface }*
- 执行命令commit,提交配置。
