ARP安全配置

一、ARP安全简介

定义

ARP（Address Resolution Protocol）安全是针对ARP攻击的一种安全特性，它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击，还可以防范网段扫描攻击等基于ARP协议的攻击。

目的

ARP协议有简单、易用的优点，但是也因为其没有任何安全机制，容易被攻击者利用。在网络中，常见的ARP攻击方式主要包括：

• ARP泛洪攻击，也叫拒绝服务攻击DoS（Denial of Service），主要存在这样两种场景：

  • 设备处理ARP报文和维护ARP表项都需要消耗系统资源，同时为了满足ARP表项查询效率的要求，一般设备都会对ARP表项规模有规格限制。攻击者就利用这一点，通过伪造大量源IP地址变化的ARP报文，使得设备ARP表资源被无效的ARP条目耗尽，合法用户的ARP报文不能继续生成ARP条目，导致正常通信中断。

  • 攻击者利用工具扫描本网段主机或者进行跨网段扫描时，会向设备发送大量目标IP地址不能解析的IP报文，导致设备触发大量ARP Miss消息，生成并下发大量临时ARP表项，并广播大量ARP请求报文以对目标IP地址进行解析，从而造成CPU（Central Processing Unit）负荷过重。

• ARP欺骗攻击，是指攻击者通过发送伪造的ARP报文，恶意修改设备或网络内其他用户主机的ARP表项，造成用户或网络的报文通信异常。

ARP攻击行为存在以下危害：

• 会造成网络连接不稳定，引发用户通信中断。
• 利用ARP欺骗截取用户报文，进而非法获取游戏、网银、文件服务等系统的帐号和口令，造成被攻击者重大利益损失。

为了避免上述ARP攻击行为造成的各种危害，可以部署ARP安全特性。

受益

• 可以有效降低用户为保证网络正常运行和网络信息安全而产生的维护成本。
• 可以为用户提供更安全的网络环境和更稳定的网络服务。 

二、ARP优化应答

如图1所示，如果多台设备组建的堆叠系统作为接入网关时，会收到大量请求本系统接口MAC地址的ARP请求报文。如果全部将这些ARP报文上送主交换机处理，将会导致主交换机CPU使用率过高，影响CPU对正常业务的处理。

为了避免上述危害，可以使能ARP优化应答功能，提高设备防御ARP泛洪攻击的能力。使能该功能后，堆叠系统会进行如下判断：

• 对于目的IP是本系统接口IP地址的ARP请求报文，该接口所在的交换机直接回复ARP应答报文。
• 对于目的IP不是本系统接口IP地址的ARP请求报文，如果主交换机上配置了VLAN内Proxy ARP功能，接口所在的交换机会判断ARP请求报文是否满足代理条件，如果满足，则该接口所在的交换机直接回复ARP应答报文；如果不满足，堆叠系统会丢弃该报文。

盒式交换机在非堆叠环境下，可以配置ARP优化应答功能，但是没有优化效果。

缺省情况下，ARP优化应答功能处于使能状态。因此在收到ARP请求报文后，堆叠系统首先查看是否有该ARP请求报文中源IP对应的ARP表项。

• 如果对应的ARP表项存在，堆叠系统对该ARP请求报文进行优化应答。
• 如果对应的ARP表项不存在，堆叠系统不对ARP请求报文的应答进行优化。 

三、实验配置 

        实验拓扑如下

 1、 创建VLAN10、VLAN20和VLAN30，并将接口GE0/0/2加入VLAN10中，接口GE0/0/3加入VLAN20中，接口GE0/0/1加入VLAN30中。

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 30
#

interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
 arp-limit vlan 10 maximum 20
#
return
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 20
#

 2、 创建接口VLANIF10、VLANIF20、VLANIF30，配置各VLANIF接口的IP地址。

[S1]interface Vlanif 10
[S1-Vlanif10]ip address 192.168.10.254 24	
[S1]interface Vlanif 20
[S1-Vlanif20]ip address 192.168.20.254 24
[S1]interface Vlanif 30		
[S1-Vlanif30]ip address 192.168.30.254 24

3、配置arp安全功能

配置ARP表项严格学习功能 
[S1]arp learning strict

配置ARP表项固化功能 

配置ARP表项固化模式为fixed-mac方式。
[S1]arp anti-attack entry-check fixed-mac enable


配置根据源IP地址进行ARP Miss消息限速 
# 配置对Server的ARP Miss消息进行限速，允许Switch每秒最多处理该IP地址触发的40个ARP Miss消息；对于其他用户，允许Switch每秒最多处理同一个源IP地址触发的20个ARP Miss消息。
[S1]arp-miss speed-limit source-ip maximum 20
[S1]arp-miss speed-limit source-ip 192.168.30.1 maximum 40

配置基于接口的ARP表项限制 

配置接口GE0/0/2最多可以学习到20个动态ARP表项。
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] arp-limit vlan 10 maximum 20


配置根据源IP地址进行ARP限速 

#配置对用户pc3进行ARP报文限速，每秒最多只允许10个该IP地址的ARP报文通过。
[S1]arp speed-limit source-ip 192.168.20.1 maximum 10

4、 验证结果

       执行命令display arp learning strict，可以看到全局已经配置ARP表项严格学习功能

 执行命令display arp-limit，查看接口可以学习到的动态ARP表项数目的最大值

 执行命令display arp anti-attack configuration all，查看当前ARP防攻击配置情况