组网需求
如图1所示,SwitchA通过接口GE0/0/4连接DHCP Server,通过接口GE0/0/1、GE0/0/2连接DHCP客户端UserA和UserB,通过接口GE0/0/3连接静态配置IP地址的用户UserC。SwitchA的接口GE0/0/1、GE0/0/2、GE0/0/3、GE0/0/4都属于VLAN10。管理员希望能够防止ARP中间人攻击,避免合法用户的数据被中间人窃取,同时希望能够了解当前ARP中间人攻击的频率和范围。
配置思路
采用如下思路在SwitchA上进行配置:
- 使能动态ARP检测功能,使SwitchA对收到的ARP报文对应的源IP、源MAC、VLAN以及接口信息进行DHCP Snooping绑定表匹配检查,实现防止ARP中间人攻击。
- 使能动态ARP检测丢弃报文告警功能,使SwitchA开始统计丢弃的不匹配DHCP Snooping绑定表的ARP报文数量,并在丢弃数量超过告警阈值时能以告警的方式提醒管理员,这样可以使管理员根据告警信息以及报文丢弃计数来了解当前ARP中间人攻击的频率和范围。
- 配置DHCP Snooping功能,并配置静态绑定表,使动态ARP检测功能生效。
操作步骤
创建VLAN,将接口加入到VLAN中
# 创建VLAN10,并将接口GE0/0/1、GE0/0/2、GE0/0/3、GE0/0/4加入VLAN10中。
[zhongwanzhi]interface GigabitEthernet 0/0/1
[zhongwanzhi-GigabitEthernet0/0/1]port link-type access
[zhongwanzhi-GigabitEthernet0/0/1]port default vlan 10
[zhongwanzhi-GigabitEthernet0/0/1]quit
[zhongwanzhi]interface GigabitEthernet 0/0/2
[zhongwanzhi-GigabitEthernet0/0/2]port link-type access
[zhongwanzhi-GigabitEthernet0/0/2]port default vlan 10
[zhongwanzhi-GigabitEthernet0/0/2]quit
[zhongwanzhi]interface GigabitEthernet 0/0/3
[zhongwanzhi-GigabitEthernet0/0/3]port link-type access
[zhongwanzhi-GigabitEthernet0/0/3]port default vlan 10
[zhongwanzhi-GigabitEthernet0/0/3]quit
[zhongwanzhi]interface GigabitEthernet 0/0/4
[zhongwanzhi-GigabitEthernet0/0/4]port link-type trunk
[zhongwanzhi-GigabitEthernet0/0/4]port trunk allow-pass vlan 10
[zhongwanzhi-GigabitEthernet0/0/4]quit
使能动态ARP检测功能和动态ARP检测丢弃报文告警功能
# 在接口GE0/0/1、GE0/0/2、GE0/0/3下使能动态ARP检测功能和动态ARP检测丢弃报文告警功能。以GE0/0/1为例,GE0/0/2、GE0/0/3的配置与GE0/0/1接口类似,不再赘述。
[zhongwanzhi]interface GigabitEthernet 0/0/1
[zhongwanzhi-GigabitEthernet0/0/1]arp anti-attack check user-bind enable
[zhongwanzhi-GigabitEthernet0/0/1]arp anti-attack check user-bind alarm enable
[zhongwanzhi-GigabitEthernet0/0/1]quit
配置DHCP Snooping功能
# 全局使能DHCP Snooping功能。
[zhongwanzhi]dhcp enable
[zhongwanzhi]dhcp snooping enable
# 配置接口GE0/0/4为DHCP Snooping信任接口。
[zhongwanzhi]interface GigabitEthernet 0/0/4
[zhongwanzhi-GigabitEthernet0/0/4]dhcp snooping trusted
[zhongwanzhi-GigabitEthernet0/0/4]quit
# 配置静态绑定表
[zhongwanzhi]user-bind static ip-address 10.0.10.1 mac-address 0001-0001-0001 in
terface GigabitEthernet 0/0/3 vlan 10
验证配置结果
# 执行命令display arp anti-attack statistics check user-bind interface,查看各接口下动态ARP检测的ARP报文丢弃计数,以GE0/0/1为例。
[zhongwanzhi]display arp anti-attack statistics check user-bind interface Gigabi
tEthernet 0/0/1
Dropped ARP packet number is 0
Dropped ARP packet number since the latest warning is 0
[zhongwanzhi]