配置ARP安全综合功能示例
组网图形
图1 配置ARP安全功能组网图
- ARP安全简介
- 配置注意事项
- 组网需求
- 配置思路
- 操作步骤
- 配置文件
ARP安全简介
ARP(Address Resolution
Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。
常见的ARP攻击如下:
-
用户主机直接接入网关,攻击者将伪造网关的ARP报文发送给用户主机,使用户主机误以为攻击者即为网关。用户主机的ARP表中会记录错误的网关地址映射关系,这样就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到用户主机发送的数据内容。
-
网络中有用户向设备发送大量目的IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。这种触发ARP Miss消息的IP报文(即ARP Miss报文)会被上送到CPU进行处理,设备会根据ARP Miss消息生成和下发大量临时ARP表项并向目的网络发送大量ARP请求报文,这样就增加了设备CPU的负担,同时严重消耗目的网络的带宽资源。
-
设备收到大量ARP攻击报文,并需要对所有ARP攻击报文全部进行处理,可能导致CPU负荷过重而无法处理其他业务。
针对以上攻击,ARP安全提供如下措施保证网络设备的安全性:
-
针对第一种攻击,可配置ARP防网关冲突,防止攻击者冒充网关窃听用户主机信息。
-
针对第二种攻击,可配置ARP Miss消息限速,减小CPU的负担,保护目的网络的带宽资源。
-
针对第三种攻击,可配置ARP报文限速,以保护CPU资源。
配置注意事项
- 本举例适用所有框式交换机的产品和版本。
- 本举例适用的盒式交换机产品:
- S3700-HI
- S5710-EI、S5720-EI、S5700-HI、S5710-HI、S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731-S、S5731S-S、S5731S-H、S5732-H、S5732-H-K
- S6700-EI、S6720-EI、S6720S-EI、S6720-HI、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S6735-S
- 本举例中产品的默认适用版本请参见“案例适用的产品和版本说明”中的表1。
如需了解交换机软件配套详细信息,请点击[Info-Finder](https://info.support.huawei.com/info-
finder/search-center/zh/enterprise/switch “Info-
Finder”),在选择产品系列或产品型号后,在“硬件中心”进行查询。
最低0.47元/天 解锁文章
扫一扫
1084
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
