所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

企业业务网站
选择语言
搜索
技术支持 文档中心
CloudEngine 12800, 12800E V200R005C10 配置指南-安全

本文档介绍了安全的配置,具体包括AAA配置、802.1x认证配置、ACL配置、TCAM ACL资源自定义配置、本机防攻击配置、微分段、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、MACsec配置、DHCP Snooping配置、IPSG配置、URPF配置、SSL配置、Keychain配置和FIPS配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置防止ARP中间人攻击示例

配置防止ARP中间人攻击示例

组网需求

图10-9所示,企业某部门用户通过SwitchA接入Internet。SwitchA下挂的用户,有些采用DHCP方式获取IP地址,有些采用静态配置的IP地址,且所有用户和DHCP Server均位于同一VLAN。如果存在攻击者发起ARP中间人攻击,会造成合法数据的泄漏,因此管理员希望SwitchA能够防止ARP中间人攻击。

CE12800E安装ED-E/EG-E/EGA-E系列单板后不支持此示例。

图10-9 配置防止ARP中间人攻击组网图

配置思路

采用如下思路在SwitchA上进行配置:
  1. 配置DHCP Snooping功能,以便生成动态用户的地址和端口的绑定关系表,并为静态用户配置静态绑定表,用于后续的ARP报文检查。
  2. 使能动态ARP检测功能,使SwitchA对收到的ARP报文对应的源IP、源MAC、VLAN以及接口信息进行绑定表匹配检查,过滤非法ARP报文,从而防止ARP中间人攻击。

操作步骤

  1. 创建VLAN,将接口加入到VLAN中

    # 创建VLAN10,并将接口10GE1/0/1、10GE1/0/2、10GE1/0/3、10GE2/0/1加入VLAN10中。

    <HUAWEI> system-view
[~HUAWEI] sysname SwitchA
[*HUAWEI] commit
[~SwitchA] vlan batch 10
[*SwitchA] interface 10ge 1/0/1
[*SwitchA-10GE1/0/1] port link-type access
[*SwitchA-10GE1/0/1] port default vlan 10
[*SwitchA-10GE1/0/1] quit
[*SwitchA] interface 10ge 1/0/2
[*SwitchA-10GE1/0/2] port link-type access
[*SwitchA-10GE1/0/2] port default vlan 10
[*SwitchA-10GE1/0/2] quit
[*SwitchA] interface 10ge 1/0/3
[*SwitchA-10GE1/0/3] port link-type access
[*SwitchA-10GE1/0/3] port default vlan 10
[*SwitchA-10GE1/0/3] quit
[*SwitchA] interface 10ge 2/0/1
[*SwitchA-10GE2/0/1] port link-type trunk
[*SwitchA-10GE2/0/1] port trunk allow-pass vlan 10
[*SwitchA-10GE2/0/1] quit

  2. 配置DHCP Snooping功能

    # 全局使能DHCP Snooping功能。

    [*SwitchA] dhcp enable
[*SwitchA] dhcp snooping enable

    # 在VLAN10内使能DHCP Snooping功能。

    [*SwitchA] vlan 10
[*SwitchA-vlan10] dhcp snooping enable
[*SwitchA-vlan10] quit

    # 配置接口10GE2/0/1为DHCP Snooping信任接口。

    [*SwitchA] interface 10ge 2/0/1
[*SwitchA-10GE2/0/1] dhcp snooping trusted
[*SwitchA-10GE2/0/1] quit

    # 配置静态绑定表。

    [*SwitchA] user-bind static ip-address 10.0.0.2 mac-address 0001-0001-0001 interface 10ge 1/0/3 vlan 10
[*SwitchA] commit

  3. 在VLAN10内使能动态ARP检测功能

    [*SwitchA] vlan 10
[*SwitchA-vlan10] arp anti-attack check user-bind enable
[*SwitchA-vlan10] commit

  4. 验证配置结果

    执行display current-configuration命令,查看DHCP Snooping功能、静态绑定表和动态ARP检测功能的配置情况。具体请参见配置文件。

配置文件

SwitchA的配置文件:

#
sysname SwitchA
#
vlan batch 10
#
dhcp enable                                                                     
#                                                                               
dhcp snooping enable                                                            
# 
user-bind static ip-address 10.0.0.2 mac-address 0001-0001-0001 interface 10GE1/0/3 vlan 10
#                                                                               
vlan 10                                                                          
 dhcp snooping enable                                              
 arp anti-attack check user-bind enable     
#                                                                               
interface 10GE1/0/1
 port default vlan 10
#   
interface 10GE1/0/2
 port default vlan 10
#
interface 10GE1/0/3
 port default vlan 10
#   
interface 10GE2/0/1
 port link-type trunk                                                           
 port trunk allow-pass vlan 10                                                   
 dhcp snooping trusted                                                            
#   
return
翻译
English
下载文档
更新时间:2021-09-17

文档编号:EDOC1100075484

浏览量:106374

下载量:461

平均得分:
本文档适用于这些产品

相关版本

相关文档

数字签名

数字签名验证工具
分享
上一页 下一页

版权所有 © 华为技术有限公司 1998-2023。 保留一切权利。粤A2-20044005号

您正离开华为站点,前往: