华为配置ARP安全综合功能实验

最新推荐文章于 2024-06-04 11:50:59 发布
最新推荐文章于 2024-06-04 11:50:59 发布
阅读量1.6k 收藏 40
点赞数 48
文章标签: 安全 华为 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Karka_/article/details/138560707
版权

配置ARP安全综合功能示例

组网图形

图1 配置ARP安全功能组网图

  • ARP安全简介
  • 配置注意事项
  • 组网需求
  • 配置思路
  • 操作步骤
  • 配置文件
ARP安全简介

ARP(Address Resolution
Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。

常见的ARP攻击如下:

  1. 用户主机直接接入网关,攻击者将伪造网关的ARP报文发送给用户主机,使用户主机误以为攻击者即为网关。用户主机的ARP表中会记录错误的网关地址映射关系,这样就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到用户主机发送的数据内容。

  2. 网络中有用户向设备发送大量目的IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。这种触发ARP Miss消息的IP报文(即ARP Miss报文)会被上送到CPU进行处理,设备会根据ARP Miss消息生成和下发大量临时ARP表项并向目的网络发送大量ARP请求报文,这样就增加了设备CPU的负担,同时严重消耗目的网络的带宽资源。

  3. 设备收到大量ARP攻击报文,并需要对所有ARP攻击报文全部进行处理,可能导致CPU负荷过重而无法处理其他业务。

针对以上攻击,ARP安全提供如下措施保证网络设备的安全性:

  • 针对第一种攻击,可配置ARP防网关冲突,防止攻击者冒充网关窃听用户主机信息。

  • 针对第二种攻击,可配置ARP Miss消息限速,减小CPU的负担,保护目的网络的带宽资源。

  • 针对第三种攻击,可配置ARP报文限速,以保护CPU资源。

配置注意事项
  • 本举例适用所有框式交换机的产品和版本。
  • 本举例适用的盒式交换机产品:
    • S3700-HI
    • S5710-EI、S5720-EI、S5700-HI、S5710-HI、S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731-S、S5731S-S、S5731S-H、S5732-H、S5732-H-K
    • S6700-EI、S6720-EI、S6720S-EI、S6720-HI、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S6735-S
  • 本举例中产品的默认适用版本请参见“案例适用的产品和版本说明”中的表1

如需了解交换机软件配套详细信息,请点击[Info-Finder](https://info.support.huawei.com/info-
finder/search-center/zh/enterprise/switch “Info-
Finder”),在选择产品系列或产品型号后,在“硬件中心”进行查询。

S5731-L和S5731S-L属于远端模块,不支持Web管理、YANG和命令行,仅支持通过中心交换机对其下发配置,相关操作请参见《S300, S500,
S2700, S5700, S6700 V200R022C00 配置指南-设备管理》中的“智能极简园区网络配置(小行星方案)”。

组网需求

如[图1](http://localhost:7890/pages/AZL1111K/03/AZL1111K/03/resources/dc/dc_cfgcase_arp_sec_1001.html#ZH-
CN_TASK_0177091779__fig_dc_cfg_ARP_SEC_003701
“图1”)所示,Switch作为网关通过接口GE1/0/3连接一台服务器,通过接口GE1/0/1、GE1/0/2连接VLAN10和VLAN20下的四个用户。网络中可能存在以下ARP威胁:

  • 攻击者向Switch发送伪造的网关的ARP报文,使用户误以为攻击者即为网关。这样用户就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到用户发送的数据内容。
  • 攻击者发出大量目的IP地址不可达的IP报文进行ARP泛洪攻击,造成Switch的CPU负荷过重。
  • 用户User1构造大量源IP地址变化MAC地址固定的ARP报文进行ARP泛洪攻击,造成Switch的CPU进程繁忙,影响到正常业务的处理。
  • 用户User3构造大量源IP地址固定的ARP报文进行ARP泛洪攻击,造成Switch的CPU进程繁忙,影响到正常业务的处理。

管理员希望能够防止上述ARP攻击行为,为用户提供更安全的网络环境和更稳定的网络服务。

配置思路

采用如下思路在Switch上进行配置:

  1. 配置ARP防网关冲突,防止攻击者冒充网关窃听用户主机信息。
  2. 配置根据源IP地址进行ARP Miss消息限速,实现防止用户侧存在攻击者发出大量目的IP地址不可达的IP报文触发大量ARP Miss消息,形成ARP泛洪攻击。同时需要保证Switch可以正常处理服务器发出的大量此类报文,避免因丢弃服务器发出的大量此类报文而造成网络无法正常通信。
  3. 配置根据源MAC地址进行ARP限速,实现防止User1发送的大量源IP地址变化MAC地址固定的ARP报文形成的ARP泛洪攻击,避免Switch的CPU进程繁忙。
  4. 配置根据源IP地址进行ARP限速,实现防止User3发送的大量源IP地址固定的ARP报文形成的ARP泛洪攻击,避免Switch的CPU进程繁忙。
操作步骤
  1. 创建VLAN,将接口加入到VLAN中,并配置VLANIF接口

创建VLAN10、VLAN20和VLAN30,并将接口GE1/0/1加入VLAN10中,接口GE1/0/2加入VLAN20中,接口GE1/0/3加入VLAN30中。

    <HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20 30
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port link-type trunk
[Switch-GigabitEthernet1/0/3] port trunk allow-pass vlan 30
[Switch-GigabitEthernet1/0/3] quit
# 创建接口VLANIF10、VLANIF20、VLANIF30,配置各VLANIF接口的IP地址。

[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.8.8.4 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.9.9.4 24
[Switch-Vlanif20] quit
[Switch] interface vlanif 30
[Switch-Vlanif30] ip address 10.10.10.3 24
[Switch-Vlanif30] quit

  1. 配置ARP防网关冲突

    [Switch] arp anti-attack gateway-duplicate enable //配置ARP防网关冲突

  2. 配置根据源IP地址进行ARP Miss消息限速

配置对Server(IP地址为10.10.10.2)的ARP Miss消息进行限速,允许Switch每秒最多处理该IP地址触发的40个ARP

Miss消息;对于其他用户,允许Switch每秒最多处理同一个源IP地址触发的20个ARP Miss消息。

    [Switch] arp-miss speed-limit source-ip maximum 20  //配置根据源IP地址进行ARP Miss消息限速
[Switch] arp-miss speed-limit source-ip 10.10.10.2 maximum 40  //配置根据源IP地址进行ARP Miss消息限速

  1. 配置根据源MAC地址进行ARP限速

    配置对用户User1(MAC地址为0001-0001-0001)进行ARP报文限速,每秒最多只允许10个该MAC地址的ARP报文通过。

[Switch] arp speed-limit source-mac 0001-0001-0001 maximum 10  //配置根据源MAC地址进行ARP限速
  1. 配置根据源IP地址进行ARP限速

配置对用户User3(IP地址为10.9.9.2)进行ARP报文限速,每秒最多只允许10个该IP地址的ARP报文通过。

    [Switch] **arp speed-limit source-ip 10.9.9.2 maximum 10**  //配置根据源IP地址进行ARP限速

  1. 验证配置结果

    执行命令display arp anti-attack configuration all,查看当前ARP防攻击配置情况。

[Switch] display arp anti-attack configuration all
......
ARP anti-attack entry-check mode:
Vlanif      Mode
-------------------------------------------------------------------------------
All         disabled
-------------------------------------------------------------------------------

ARP rate-limit configuration:
-------------------------------------------------------------------------------
Global configuration:
Interface configuration:
Vlan configuration:
-------------------------------------------------------------------------------

ARP miss rate-limit configuration:
-------------------------------------------------------------------------------
Global configuration:
Interface configuration:
Vlan configuration:
-------------------------------------------------------------------------------

ARP speed-limit for source-MAC configuration:
MAC-address         suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
0001-0001-0001      10
Others              0
-------------------------------------------------------------------------------
The number of configured specified MAC address(es) is 1, spec is 1024.

ARP speed-limit for source-IP configuration:
IP-address          suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
10.9.9.2            10
Others              30
-------------------------------------------------------------------------------
The number of configured specified IP address(es) is 1, spec is 1024.

ARP miss speed-limit for source-IP configuration:
IP-address          suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
10.10.10.2/32       40
Others              20
-------------------------------------------------------------------------------
The number of configured specified IP address(es) is 1, spec is 1024. 
# 执行命令display arp packet statistics,查看ARP处理的报文统计数据。

[Switch] display arp packet statistics
ARP Pkt Received:   sum  8678904
ARP-Miss Msg Received:   sum      183
ARP Learnt Count:   sum     37
ARP Pkt Discard For Limit:   sum      146
ARP Pkt Discard For SpeedLimit:   sum      40529
ARP Pkt Discard For Proxy Suppress:   sum      0
ARP Pkt Discard For Other:   sum  8367601
ARP-Miss Msg Discard For SpeedLimit:   sum      20
ARP-Miss Msg Discard For Other:   sum      104     
由显示信息可知,Switch上产生了ARP报文和ARP Miss消息丢弃计数,表明ARP安全功能已经生效。
配置文件
# Switch的配置文件

#
sysname Switch
#
vlan batch 10 20 30
#
arp-miss speed-limit source-ip 10.10.10.2 maximum 40
arp speed-limit source-ip 10.9.9.2 maximum 10
arp speed-limit source-mac 0001-0001-0001 maximum 10
arp anti-attack gateway-duplicate enable
#
arp-miss speed-limit source-ip maximum 20
#
interface Vlanif10
 ip address 10.8.8.4 255.255.255.0
#
interface Vlanif20
 ip address 10.9.9.4 255.255.255.0
#
interface Vlanif30
 ip address 10.10.10.3 255.255.255.0
#
interface GigabitEthernet1/0/1
 port link-type trunk
 port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/2
 port link-type trunk
 port trunk allow-pass vlan 20
#
interface GigabitEthernet1/0/3
 port link-type trunk
 port trunk allow-pass vlan 30
#
return

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

程序员桔子
关注
  • 48
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为 HCIP 实验 - DHCP 特性与配置 _ DHCP配置
君逍遥o
07-12 576
你是公司的网络管理员,由于公司网络主机数量较多,使用静态地址分配难以管理,因此需要架设DHCP服务器。 R1路由器做DHCP服务器,R4为DHCP客户端,R2作为交换机S1下各设备的网关,由于DHCP Discover是广播报文不能穿越路由器,因此部署DHCP Relay将请求报文从R2发送到R1。S2不做任何配置,仅透明转发。 为了提升网络安全性,防止其他DHCP服务器让客户端获取到错误的地址,在S1交换机上部署DHCP Snooping,要求R4可以获取到DHCP服务器1(R1)的地址,不应该获取到D
华为网络设备综合配置实验
02-01 4530
一、三层交换机S1与S2: 1、LACP配置 1)创建Eth-Trunk1 interface Eth-Trunk 1 quit 2)将指定端口加入Eth-Trunk 1 interface GigabitEthernet 0/0/4 eth-trunk 1 quit interface GigabitEthernet 0/0/5 eth-trunk 1 quit 3)查看配置结果 displ...
华为ensp——小型局域网实验配置
热门推荐
肆伍玖的博客
01-22 1万+
任务要求: 自行规划网络地址,网段采用10.x.y.0/24,其中x为你的班级和学号,y可以自己设置 规划VLAN,同一个接入交换机上的为一个vlan,不同的交换机vlan不同 SW1、SW2、SW3和AR2为一个区域,配置单臂路由保证通信 SW5、SW6、SW7和SW4为一个区域,SW4当作三层交换保证区域内VLAN可以互通 SW4和SW5之间做链路聚合,采用静态配置。 内网运行OSPF协议,AR1生成一条默认路由指向Internet,并下发到OSPF中 Internet上配.
华为eNSP-基础实验配置及过程】
叫我小虎就行了的博客
09-20 7168
华为eNSP-基础实验配置及过程】
华为综合实验配置
qq_2138259124的博客
09-30 591
实验拓扑: 实验要求: 1.配置vlan和链路聚合 2.配置ospf和rip 3.配置路由重分发 4.配置nat 实验步骤: 实现vlan间互访。 SW1: [sw1]vlan batch 10 20 30 40 //配置vlan [sw1]int Eth-Trunk 1 //进入链路聚合1 [sw1-Eth-Trunk1]port link-type trunk //开启trunk [sw1-Eth-Trunk1]port trunk allow-pass vlan all //允许所有vlan [sw
华为ensp之hcna配置命令合集
qq_64343252的博客
05-17 642
acl 5 permit/deny source 1.1.1.0 0.0.0.255 //配置允许/拒绝该网段的流量通过。port hybrid tagged/untagged vlan 10 //配置hybrid标记vlan。port link-type access/trunk/hybrid //配置接口类型。stp root primary/secondary //自动修改优先级,指定主/备根桥。authentication-mode password/aaa //配置认证模式。
网络工程师华为专项配置
Hello_super的博客
04-13 7231
华为配置,eNSP,DHCP,ACL,WLAN,IPSEC,RIP,OSFP,ETH-TRUNK
华为路由交换设备配置综合实验实验六合一)
Zzzzzz的博客
11-12 6569
华为路由交换设备配置综合实验: 单臂路由、三层交换、动静路由、VRRP路由、DHCP中继、捆绑Etrunk链路(实验六合一) 实验拓扑图: 目的:实现全网各个PC之间的互联互通 全部实验脚本如下,以下脚本直接复制即可使用 一、实现右部DHCP中继的实现 R2 # sysname R2 # dhcp enable # aaa authentication-scheme default auth...
华为_安全】防火墙IPsec双机实验
m0_59598029的博客
03-23 956
学习华为防火墙IPsec双机实验记录拓扑防火墙登录账号都为admin密码为Huawei@123。
《中国电信华为交换机安全配置要求及操作指南》.pdf
02-19
根据国内外运营商网络及结合中国电信的实际情况,可将路由交换设备的安全域逻辑 划分为管理平面、控制平面、转发平面等三大平面,每个平面的具体安全策略不同,华为交换机的详细安全配置要求及操作指南
华为防火墙安全区域及安全策略实验配置
11-11
华为防火墙安全区域及安全策略基础实验配置,包含配置
华为交换机安全配置
12-11
华为交换机安全配置包括华为交换机安全ACL,端口安全配置命令等
华为 ME60 V800R010C10SPC500 配置指南 - ARP安全配置
04-04
从防ARP欺骗攻击和防ARP泛洪攻击两个维度,介绍如何通过配置ARP安全保障网络 通信和网络设备的安全性和健壮性。
华为防火墙安全策略管理与配置的原则
09-16
安全策略管理与配置的原则
登录安全分析报告:小米官网注册
Explinks的博客
05-29 1266
图形验证及交互验证方式的安全性到底如何?请看具体分析。
nginx 安全配置
fangxiang2008的博客
05-28 1053
nginx 安全配置
Dynamics 365:安全的客户参与应用程序
全网:架构师研究会
05-29 895
客户参与应用程序使用Microsoft Dataverse提供了一个丰富的安全模型,可以适应许多业务场景。本节为您提供了应考虑的安全措施的特定于产品的指导。Dataverse安全模型有以下目标:只允许用户访问他们工作所需的信息。按角色对用户进行分组,并根据这些角色限制访问权限。支持数据共享,以便用户和团队可以访问他们不拥有的记录以进行特定的协作。阻止用户访问他们不拥有或共享的记录。了解有关Mic...
车联网安全入门——CAN总线逆向(ICSim)
最新发布
weixin_66578482的博客
06-04 554
🚀🚀ICSim是一个用于模拟车辆仪表集群的工具,专门为 SocketCAN 设计。SocketCAN 是 Linux 内核中的一个模块,用于支持控制器局域网(CAN)接口。!!cansniffer,SavvyCAN
华为交换机配置telnet登录功能
01-17
华为交换机可以通过以下步骤配置telnet登录功能: 1. 进入交换机的用户视图: ```shell <交换机名称> //例如:[sw2-ui-vty0-4] ``` 2. 进入vty用户视图: ```shell [sw2-ui-vty0-4]user-interface vty 0 4 ``` 3....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值