华为S9300核心交换机ARP安全配置(一)

    ARP安全简介

     ARP 安全通过过滤不信任的ARP 报文以及对某些ARP 报文进行时间戳抑制来保证网络
设备的安全性和健壮性。
     网络中有很多针对ARP 表项的***,***者通过发送大量伪造的ARP 请求、应答报文
***网络设备,主要有ARP 缓冲区溢出***和ARP 拒绝服务***两种。
    1.ARP 缓冲区溢出***:***者向设备发送大量虚假的ARP 请求报文和免费ARP 报
文,造成设备上的ARP 缓存溢出,无法缓存正常的ARP 表项,从而阻碍正常的报
文转发。
    2.ARP 拒绝服务***:***者发送大量伪造的ARP 请求、应答报文或其它能够触发
ARP 处理的报文,造成设备的计算资源长期忙于ARP 处理,影响其它业务的处
理,从而阻碍正常的报文转发。
    此外,还有基于ARP 协议的扫描***:***者利用工具扫描本网段主机或者跨网段进
行扫描时,S9300 在发送回应报文前,会查找ARP 表项,如果目的IP 地址对应的MAC
地址不存在,会导致S9300 的ARP 模块向上层软件发送ARP Miss 消息,要求上层软件
发送ARP 请求报文以获得目的端的MAC 地址。大量的扫描报文会导致大量的ARP Miss
消息,导致系统的资源浪费在处理ARP Miss 消息上,影响设备对其它业务的处理,形
成扫描***。
 
 S9300 支持的 ARP 安全特性
 (一) ARP 地址欺骗
   ***者通过伪造其他用户发出的ARP 报文,篡改设备上的用户ARP 表项,造成其它合
法用户的网络中断。
   S9300 可以通过以下两种方法防御此类***。
    1. 固定MAC 地址:S9300 第一次学习到ARP 表项之后不再允许通过ARP 学习来修
改MAC 地址,直到此ARP 表项老化之后才允许更新,以保护合法用户的ARP 表
项不被修改。
   2.固定MAC 地址有两种方式:Fixed-mac 和Fixed-all。Fixed-mac 方式下,不允许修
改MAC 地址,但是允许修改VLAN 和接口信息;Fixed-all 方式下,MAC、VLAN
和接口信息都不允许修改。
  3.主动确认:S9300 收到一个涉及MAC 地址修改的ARP 报文时,不会立即修改ARP
表项,而是先对原ARP 表中与此MAC 地址对应的用户发一个单播确认,根据确认
结果再决定是否修改。
(二)ARP 网关冲突
   指***者仿冒网关地址,在局域网内部发送源IP 地址是网关地址的免费ARP 报文。主
机接收到该报文后,会修改自己原来的网关地址为***者的地址,最终导致局域网内部
所有主机无法访问网络。
S9300 收到到与网关地址冲突的ARP 报文时,如果存在下列情况之一:
1.ARP 报文的源IP 与报文入接口的IP 地址相同;
2. ARP 报文的源IP 是内部服务器的地址;
3. VRRP(Virtual Router Redundancy Protocol)虚MAC 方式时,ARP 报文的源IP 是
入接口的虚拟IP 地址,但ARP 报文源MAC 不是VRRP 虚MAC。则系统生成ARP 防***
表项,在后续一段时间(默认3 分钟)内对收到具有相同源MAC地址的报文直接丢弃,
这样可以防止与网关地址冲突的ARP 报文在VLAN 内广播。
 
(三)短期内大量 ARP 报文
某个源IP 地址发送大量ARP 报文,浪费设备的CPU 资源和给ARP 报文上送预留的有
限带宽。
S9300 具有针对源IP 地址的ARP 报文速率抑制的功能。在一段时间内,如果S9300 收
到某一源IP 地址的ARP 报文数目超过设定阈值,则不处理超出阈值部分的ARP 请求报
文。
(四)大量地址无法解析的 IP 报文
主机通过向设备发送大量目标IP 地址不能解析的IP 报文来***设备。
对此类***,S9300 提供对ARP Miss 消息基于源IP 地址的抑制。如果一个源IP 地址向
S9300 发送了目标IP 地址不能解析的IP 报文,就会触发ARP Miss 消息,S9300 对上报
的ARP Miss 消息进行统计。如果一个源IP 地址在一定时间内不断触发ARP Miss,而
且其触发速率超过了设定的阈值,则认为此IP 地址在进行***。S9300 将下发ACL 规
则,在后续的一段时间内(默认为50 秒)把这个地址发出的IP 报文丢弃。