华为最新ARP防护
Posted lancekk
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了华为最新ARP防护相关的知识,希望对你有一定的参考价值。
ARP 报文限速功能简介:
为了防止“中间人攻击”,设备通过开启ARP 入侵检测功能,将ARP 报文上送到
CPU 处理,判断ARP 报文的合法性后进行转发或丢弃。但是,这样引入了新的问
题:如果攻击者恶意构造大量ARP 报文发往交换机的某一端口,会导致CPU 负担过重,从而造成其他功能无法正常运行甚至设备瘫痪。S3900 系列以太网交换机支
持端口ARP 报文限速功能,使受到攻击的端口暂时关闭,来避免此类攻击对CPU
的冲击。
开启某个端口的ARP 报文限速功能后,交换机对每秒内该端口接收的ARP 报文数
量进行统计,如果每秒收到的ARP 报文数量超过设定值,则认为该端口处于超速状
态(即受到ARP 报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,
从而避免大量ARP 报文攻击设备。
同时,设备支持配置端口状态自动恢复功能,对于配置了ARP 限速功能的端口,在
其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
配置实例:
配置ARP监测速率
interface Ethernet1/0/8
port access vlan 148
arp rate-limit enable(打开ARP监测功能)
arp rate-limit 50 (设置ARP监测速率为每秒钟50个ARP包)
配置自动关闭端口功能:
在全局模式下:
arp protective-down recover enable(开启交换机端口自动恢复功能)
arp protective-down recover interval 15(设置自动恢复时间为15秒)测试结果:
%Apr 2 00:27:30:089 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is UP
%Apr 2 00:27:52:170 2000 LINPINGJIEDAO_3952_ DHCP-SNP/5/arp_overspeed:- 1 -
PacketLimit: ARP packet rate(52pps) exceeded on interface Ethernet1/0/8. The port will be down!
(ARP包超过设定速率,此端口将关闭)
%Apr 2 00:27:52:348 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is DOWN
%Apr 2 00:42:51:858 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is UP(15秒后,端口自动打开)
查看交换机端口状态:
<3952>dis brief interface (注意第8口的状态为PTC)
Interface:
Eth - Ethernet GE - GigabitEthernet TENGE - tenGigabitEthernet
Loop - LoopBack Vlan - Vlan-interface Cas - Cascade
Speed/Duplex:
A - auto-negotiation
Interface Link Speed Duplex Type PVID Description
--------------------------------------------------------------------------------
Aux1/0/0 UP -- -- -- --
Eth1/0/1 UP A100M Afull trunk 1 uplink-TANGXIZHEN_3952
Eth1/0/2 ADM DOWN A A trunk 1
Eth1/0/3 ADM DOWN A A trunk 1
Eth1/0/4 ADM DOWN A A trunk 1
Eth1/0/5 DOWN A A access 902
Eth1/0/6 UP A100M Afull access 902 GuangJiSheQu
Eth1/0/7 DOWN A A access 902
Eth1/0/8 PTC DOWN A A access 902 (注意第8口的状态为PTC)
注意事项:
1、这个功能需要3900系列1602以上版本才能支持,其他型号的交换机暂时没有研究;
2、arp包的速率限制要根据具体环境而设置,需要测试后才能铺开实施;
3、如果要手动打开被关闭的端口,可以使用undo shutdown打开;
以上是关于华为最新ARP防护的主要内容,如果未能解决你的问题,请参考以下文章