ARP-3.ARP安全配置举例

配置ARP安全综合功能示例

1.组网需求

  Switch作为网关通过接口GE1/0/3连接一台服务器，通过接口GE1/0/1、GE1/0/2连接VLAN10和VLAN20下的四个用户。网络中存在以下ARP威胁：

• 攻击者向Switch发送伪造的ARP报文、伪造的免费ARP报文进行ARP欺骗攻击，恶意修改Switch的ARP表项，造成其他用户无法正常接收数据报文。
• 攻击者发出大量目的IP地址不可达的IP报文进行ARP泛洪攻击，造成Switch的CPU负荷过重。
• 用户User1构造大量源IP地址变化MAC地址固定的ARP报文进行ARP泛洪攻击，造成Switch的ARP表资源被耗尽以及CPU进程繁忙，影响到正常业务的处理。
• 用户User3构造大量源IP地址固定的ARP报文进行ARP泛洪攻击，造成Switch的CPU进程繁忙，影响到正常业务的处理。

  管理员希望能够防止上述ARP攻击行为，为用户提供更安全的网络环境和更稳定的网络服务。

2.配置思路

  采用如下思路在Switch上进行配置：

1. 配置ARP表项严格学习功能以及ARP表项固化功能，实现防止伪造的ARP报文错误地更新Switch的ARP表项。
2. 配置免费ARP报文主动丢弃功能，实现防止伪造的免费ARP报文错误地更新设备ARP表项。
3. 配置根据源IP地址进行ARP Miss消息限速，实现防止用户侧存在攻击者发出大量目的IP地址不可达的IP报文触发大量ARP Miss消息，形成ARP泛洪攻击。同时需要保证Switch可以正常处理服务器发出的大量此类报文，避免因丢弃服务器发出的大量此类报文而造成网络无法正常通信。
4. 配置基于接口的ARP表项限制以及根据源MAC地址进行ARP限速，实现防止User1发送的大量源IP地址变化MAC地址固定的ARP报文形成的ARP泛洪攻击，避免Switch的ARP表资源被耗尽，并避免CPU进程繁忙。
5. 配置根据源IP地址进行ARP限速，实现防止User3发送的大量源IP地址固定的ARP报文形成的ARP泛洪攻击，避免Switch的CPU进程繁忙。

3.配置步骤

  1）[Switch] arp learning strict：配置ARP表项严格学习功能

  2）[Switch] arp anti-attack entry-check fixed-mac enable：配置ARP表项固化功能，固化模式为fixed-mac方式

  3）[Switch] arp anti-attack gratuitous-arp drop：配置免费ARP报文主动丢弃功能

  4）配置根据源IP地址进行ARP Miss消息限速

  [Switch] arp-miss speed-limit source-ip maximum 20：对于其他用户，允许Switch每秒最多处理同一个源IP地址触发的20个ARP Miss消息。

  [Switch] arp-miss speed-limit source-ip 10.10.10.2 maximum 40：配置对Server（IP地址为10.10.10.2）的ARP Miss消息进行限速，允许Switch每秒最多处理该IP地址触发的40个ARP Miss消息；

  5）[Switch-GigabitEthernet1/0/1] arp-limit vlan 10 maximum 20：配置基于接口的ARP表项限制，最多可以学习到20个动态ARP表项。

  6）[Switch] arp speed-limit source-mac 1-1-1 maximum 10：配置根据源MAC地址进行ARP限速，对用户User1（MAC地址为1-1-1）进行ARP报文限速，每秒最多只允许10个该MAC地址的ARP报文通过。

  7）[Switch] arp speed-limit source-ip 10.9.9.2 maximum 10：配置根据源IP地址进行ARP限速，配置对用户User3（IP地址为10.9.9.2）进行ARP报文限速，每秒最多只允许10个该IP地址的ARP报文通过。

4.查看验证

  display arp learning strict：查看全局ARP表项严格学习功能。

  display arp-limit：查看接口可以学习到的动态ARP表项数目的最大值。

  display arp anti-attack configuration all：查看当前ARP防攻击配置情况。

  display arp packet statistics：查看ARP处理的报文统计数据。

配置防止ARP中间人攻击示例

1.组网需求

  SwitchA通过接口GE2/0/1连接DHCP Server，通过接口GE1/0/1、GE1/0/2连接DHCP客户端UserA和UserB，通过接口GE1/0/3连接静态配置IP地址的用户UserC。SwitchA的接口GE1/0/1、GE1/0/2、GE1/0/3、GE2/0/1都属于VLAN10。

  管理员希望能够防止ARP中间人攻击，避免合法用户的数据被中间人窃取，同时希望能够了解当前ARP中间人攻击的频率和范围。

2.配置思路

  采用如下思路在SwitchA上进行配置：

1. 使能动态ARP检测功能，使SwitchA对收到的ARP报文对应的源IP、源MAC、VLAN以及接口信息进行DHCP Snooping绑定表匹配检查，实现防止ARP中间人攻击。
2. 使能动态ARP检测丢弃报文告警功能，使SwitchA开始统计丢弃的不匹配DHCP Snooping绑定表的ARP报文数量，并在丢弃数量超过告警阈值时能以告警的方式提醒管理员，这样可以使管理员根据告警信息以及报文丢弃计数来了解当前ARP中间人攻击的频率和范围。
3. 配置DHCP Snooping功能，并配置静态绑定表，使动态ARP检测功能生效。

3.操作步骤

  1）[SwitchA-GigabitEthernet1/0/1] arp anti-attack check user-bind enable
  [SwitchA-GigabitEthernet1/0/1] arp anti-attack check user-bind alarm enable：端口下使能动态ARP检测功能和动态ARP检测丢弃报文告警功能

  2）配置DHCP Snooping功能

# 全局使能DHCP Snooping功能。
[SwitchA] dhcp enable
[SwitchA] dhcp snooping enable

# 在VLAN10内使能DHCP Snooping功能。
[SwitchA] vlan 10
[SwitchA-vlan10] dhcp snooping enable

# 配置接口GE2/0/1为DHCP Snooping信任接口。
[SwitchA] interface gigabitethernet 2/0/1
[SwitchA-GigabitEthernet2/0/1] dhcp snooping trusted

# 配置静态绑定表。
[SwitchA] user-bind static ip-address 10.0.0.2 mac-address 0001-0001-0001 interface gigabitethernet 1/0/3 vlan 10

4.查看验证

  display arp anti-attack configuration check user-bind interface：查看各接口下动态ARP检测的配置信息

  display arp anti-attack statistics check user-bind interface：查看各接口下动态ARP检测的ARP报文丢弃计数