ARP攻擊防御典型配置桉例

頁防ＡRP攻擊配置舉例關(guān)鍵詞：ARP、DＨCPSnoopiｎg摘要:本文主要介紹如何利用以太網(wǎng)交換機(jī)DHCP監(jiān)控模式下的防ＡRＰ攻擊功能，防止校內(nèi)網(wǎng)中常見的“仿冒網(wǎng)關(guān)"、“哄騙網(wǎng)關(guān)”、“哄騙終端用戶”、AＲP泛洪等攻擊形式。同時(shí)，簡(jiǎn)略描述了組網(wǎng)中各個(gè)設(shè)備的配置步驟和配置注意事項(xiàng)，指導(dǎo)用戶進(jìn)行實(shí)際配置。縮略語：ARP（AｄdｒessＲesｏｌｕtionPrｏｔoｃol,地址解析協(xié)議)?MITM（Maｎ－Ｉｎ-Ｔhe-Ｍｉｄｄｌｅ，中間人攻擊)H3C低端以太網(wǎng)交換機(jī)典型配置案例ARP攻擊防御REF_Ref187808234\r\h第1章REF_Ref187808235\hARP攻擊防御功能介紹9ARP攻擊防御功能介紹近來，很多校內(nèi)網(wǎng)絡(luò)都消滅了ＡＲP攻擊現(xiàn)象。嚴(yán)重者甚至造成大面積網(wǎng)絡(luò)不能正常訪問外網(wǎng)，學(xué)校深受其害。H３C公司依據(jù)AＲP攻擊的特點(diǎn),提出了“全面防御,模塊定制”的ARP攻擊防御理念,并給出了兩種解決方案。DHＣP監(jiān)控模式下的ARP攻擊防御解決方案這種方式適合動(dòng)態(tài)支配IP地址的網(wǎng)絡(luò)場(chǎng)景,需要接入交換機(jī)支持DＨCPSｎｏｏpｉng功能.通過全網(wǎng)部署，可以有效的防御“仿冒網(wǎng)關(guān)”、“哄騙網(wǎng)關(guān)”、“哄騙終端用戶”、“ＡRP中間人攻擊”、“ARP泛洪攻擊”等校內(nèi)網(wǎng)中常見的ARP攻擊方式;且不需要終端用戶安裝額外的客戶端軟件，簡(jiǎn)化了網(wǎng)絡(luò)配置。認(rèn)證方式下的ＡＲＰ攻擊防御解決方案這種方式適合網(wǎng)絡(luò)中動(dòng)態(tài)支配IＰ地址和靜態(tài)支配ＩP地址共存的網(wǎng)絡(luò)場(chǎng)景,且只能防御“仿冒網(wǎng)關(guān)”的ARＰ攻擊方式。它不需要在接入交換機(jī)上進(jìn)行特殊的防攻擊配置，只需要客戶端通過認(rèn)證協(xié)議(802。1x)登錄網(wǎng)絡(luò)，認(rèn)證服務(wù)器(如ＣAＭS服務(wù)器)會(huì)識(shí)別客戶端，并下發(fā)網(wǎng)關(guān)的ＩP/MAＣ對(duì)應(yīng)關(guān)系給客戶端，來防御“仿冒網(wǎng)關(guān)”攻擊。ARP攻擊簡(jiǎn)介依據(jù)ＡＲP協(xié)議的設(shè)計(jì)，一個(gè)主機(jī)即使收到的ARP應(yīng)答并非自身懇求得到的,也會(huì)將其IＰ地址和ＭAC地址的對(duì)應(yīng)關(guān)系添加到自身的ARP映射表中。這樣可以削減網(wǎng)絡(luò)上過多的ARP數(shù)據(jù)通信，但也為“ＡRP哄騙”制造了條件。校內(nèi)網(wǎng)中,常見的AＲP攻擊有如下幾中形式.仿冒網(wǎng)關(guān)攻擊者偽造ＡRP報(bào)文,發(fā)送源ＩＰ地址為網(wǎng)關(guān)IＰ地址，源ＭAＣ地址為偽造的MAC地址的ＡＲP報(bào)文給被攻擊的主機(jī),使這些主機(jī)更新自身ARP表中網(wǎng)關(guān)IP地址與MAＣ地址的對(duì)應(yīng)關(guān)系.這樣一來,主機(jī)訪問網(wǎng)關(guān)的流量，被重定向到一個(gè)錯(cuò)誤的ＭAC地址，導(dǎo)致該用戶無法正常訪問外網(wǎng)。“仿冒網(wǎng)關(guān)”攻擊示意圖哄騙網(wǎng)關(guān)攻擊者偽造ARP報(bào)文，發(fā)送源IP地址為同網(wǎng)段內(nèi)某一合法用戶的ＩP地址,源MAC地址為偽造的MAＣ地址的ARP報(bào)文給網(wǎng)關(guān);使網(wǎng)關(guān)更新自身AＲP表中原合法用戶的IP地址與MＡC地址的對(duì)應(yīng)關(guān)系。這樣一來，網(wǎng)關(guān)發(fā)給該用戶的全部數(shù)據(jù)全部重定向到一個(gè)錯(cuò)誤的ＭＡC地址，導(dǎo)致該用戶無法正常訪問外網(wǎng)。“哄騙網(wǎng)關(guān)"攻擊示意圖哄騙終端用戶攻擊者偽造ARP報(bào)文，發(fā)送源IＰ地址為同網(wǎng)段內(nèi)某一合法用戶的IP地址,源MＡＣ地址為偽造的ＭＡＣ地址的ARＰ報(bào)文給同網(wǎng)段內(nèi)另一臺(tái)合法主機(jī)；使后者更新自身AＲＰ表中原合法用戶的IP地址與ＭＡＣ地址的對(duì)應(yīng)關(guān)系。這樣一來，網(wǎng)段內(nèi)的其他主機(jī)發(fā)給該用戶的全部數(shù)據(jù)都被重定向到錯(cuò)誤的ＭAC地址，同網(wǎng)段內(nèi)的用戶無法正?；ピL?！昂弪_終端用戶”攻擊示意圖“中間人"攻擊ＡRP“中間人”攻擊，又稱為ARP雙向哄騙.如REF＿Reｆ15655０１７3＼r\h圖1-4所示,ＨｏsｔＡ和ＨosｔC通過Swｉtcｈ進(jìn)行通信.此時(shí)，如果有惡意攻擊者（ＨostＢ）想探聽ＨostＡ和HosｔC之間的通信,它可以分別給這兩臺(tái)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，使HｏstA和HostＣ用MＡC_B更新自身ARP映射表中與對(duì)方IＰ地址相應(yīng)的表項(xiàng).此后,HｏsｔA和HoｓtC之間看似“直接”的通信，實(shí)際上都是通過黑客所在的主機(jī)間接進(jìn)行的，即ＨostＢ?lián)?dāng)了“中間人”的角色,可以對(duì)信息進(jìn)行了竊取和篡改。這種攻擊方式就稱作“中間人(Mａn—In-Ｔhe-Miｄdle）攻擊”.AＲP“中間人”攻擊示意圖ARP報(bào)文泛洪攻擊惡意用戶利用工具構(gòu)造大量ARＰ報(bào)文發(fā)往交換機(jī)的某一端口，導(dǎo)致CＰU負(fù)擔(dān)過重,造成其他功能無法正常運(yùn)行甚至設(shè)備癱瘓。ARP攻擊防御Ｈ3C公司依據(jù)ＡRP攻擊的特點(diǎn)，給出了DＨCP監(jiān)控模式下的ARP攻擊防御解決方案和認(rèn)證模式下的AＲＰ攻擊防御解決方案.前者通過接入交換機(jī)上開啟ＤHＣＰＳｎoｏping功能、配置ＩP靜態(tài)綁定表項(xiàng)、ＡRＰ入侵檢測(cè)功能和ARP報(bào)文限速功能，可以防御常見的ＡRＰ攻擊;后者不需要在接入交換機(jī)上進(jìn)行防攻擊配置，而需要通過CAMS服務(wù)器下發(fā)網(wǎng)關(guān)的ＩＰ/MAＣ對(duì)應(yīng)關(guān)系給客戶端,防御“仿冒網(wǎng)關(guān)"攻擊.詳見REF＿Rｅf１83919519\r＼h表1—1。常見網(wǎng)絡(luò)攻擊和防范對(duì)比表攻擊方式防御方法動(dòng)態(tài)獵取IＰ地址的用戶進(jìn)行“仿冒網(wǎng)關(guān)”、“哄騙網(wǎng)關(guān)”、“哄騙終端用戶”、“ARP中間人攻擊"配置DHCＰＳnooｐing、ＡＲＰ入侵檢測(cè)功能手工配置ＩP地址的用戶進(jìn)行“仿冒網(wǎng)關(guān)”、“哄騙網(wǎng)關(guān)”、“哄騙終端用戶”、“ARP中間人攻擊”配置IＰ靜態(tài)綁定表項(xiàng)、AＲP入侵檢測(cè)功能ＡＲP泛洪攻擊配置ARP報(bào)文限速功能動(dòng)態(tài)和手工配置IＰ地址的用戶進(jìn)行“仿冒網(wǎng)關(guān)”攻擊配置認(rèn)證模式的AＲＰ攻擊防御解決方案（CAＭＳ下發(fā)網(wǎng)關(guān)配置功能）ＤHCPＳnooping功能ＤＨCPSnoｏｐing是運(yùn)行在二層接入設(shè)備上的一種DHCP平安特性。通過監(jiān)聽DHCP報(bào)文,記錄DHCP客戶端IＰ地址與MAC地址的對(duì)應(yīng)關(guān)系；通過設(shè)置DHＣＰSnｏｏping信任端口，保證客戶端從合法的服務(wù)器獵取ＩP地址。信任端口正常轉(zhuǎn)發(fā)接收到的ＤHＣP報(bào)文,從而保證了DHＣP客戶端能夠從DHCP服務(wù)器獵取IＰ地址。不信任端口接收到ＤHCＰ服務(wù)器響應(yīng)的ＤHＣＰ-ACＫ和DHＣP-OFFER報(bào)文后,丟棄該報(bào)文，從而防止了DHCP客戶端獲得錯(cuò)誤的ＩＰ地址.說明：目前H3Ｃ低端以太網(wǎng)交換機(jī)上開啟DHCPSnoopｉｎg功能后，全部端口默認(rèn)被配置為ＤHCＰSnooｐing非信任端口。為了使DＨCＰ客戶端能從合法的DHCP服務(wù)器獵取IP地址，必須將與合法ＤHCＰ服務(wù)器相連的端口設(shè)置為信任端口,設(shè)置的信任端口和與DＨCP客戶端相連的端口必須在同一個(gè)ＶＬＡN內(nèi)。IＰ靜態(tài)綁定功能DHＣPSｎooping表只記錄了通過DＨＣＰ方式動(dòng)態(tài)獵?。桑械刂返目蛻舳诵畔?如果用戶手工配置了固定ＩＰ地址，其IP地址、MAC地址等信息將不會(huì)被ＤHＣPSｎｏｏｐing表記錄。因此,交換機(jī)支持手工配置ＩP靜態(tài)綁定表的表項(xiàng)，實(shí)現(xiàn)用戶的ＩP地址、ＭＡC地址及接入交換機(jī)連接該用戶的端口之間的綁定關(guān)系。這樣,該固定用戶的報(bào)文就不會(huì)被ARP入侵檢測(cè)功能過濾。AＲP入侵檢測(cè)功能H3C低端以太網(wǎng)交換機(jī)支持將收到的ARP(懇求與回應(yīng))報(bào)文重定向到CPＵ，結(jié)合ＤHＣＰSnｏoping平安特性來推斷ＡＲP報(bào)文的合法性并進(jìn)行處理，簡(jiǎn)略如下。當(dāng)ＡRP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DＨCＰSｎoopｉng表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)匹配,且ＡＲP報(bào)文的入端口及其所屬ＶLＡＮ與DＨCPＳnooｐing表項(xiàng)或者手工配置的IＰ靜態(tài)綁定表項(xiàng)全都，則為合法ARP報(bào)文，進(jìn)行轉(zhuǎn)發(fā)處理。當(dāng)AＲP報(bào)文中的源ＩＰ地址及源ＭＡＣ地址的綁定關(guān)系與ＤＨCPSｎoopｉnｇ表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不匹配,或ＡRP報(bào)文的入端口，入端口所屬VＬAN與DHCＰSnｏopinｇ表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不全都，則為非法ARＰ報(bào)文，直接丟棄。說明：DHＣＰSnooｐiｎｇ表只記錄了通過DHＣＰ方式動(dòng)態(tài)獵?。蒔地址的客戶端信息。如果固定ＩＰ地址的用戶需要訪問網(wǎng)絡(luò),必須在交換機(jī)上手工配置IP靜態(tài)綁定表的表項(xiàng),即：用戶的ＩP地址、MAC地址及連接該用戶的端口之間的綁定關(guān)系.實(shí)際組網(wǎng)中，為了解決上行端口接收的ＡRP懇求和應(yīng)答報(bào)文能夠通過ＡＲP入侵檢測(cè)問題，交換機(jī)支持通過配置ＡRP信任端口，靈敏掌握ARP報(bào)文檢測(cè)功能。對(duì)于來自信任端口的全部ARＰ報(bào)文不進(jìn)行檢測(cè)，對(duì)其它端口的ARP報(bào)文通過查看DHCPSｎooping表或手工配置的IP靜態(tài)綁定表進(jìn)行檢測(cè)。AＲＰ報(bào)文限速功能H3C低端以太網(wǎng)交換機(jī)支持端口ARP報(bào)文限速功能，使受到攻擊的端口臨時(shí)關(guān)閉，來避開此類攻擊對(duì)ＣPU的沖擊。開啟某個(gè)端口的ＡＲＰ報(bào)文限速功能后,交換機(jī)對(duì)每秒內(nèi)該端口接收的ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)，如果每秒收到的ARP報(bào)文數(shù)量超過設(shè)定值,則認(rèn)為該端口處于超速狀態(tài)(即受到ＡRP報(bào)文攻擊)。此時(shí)，交換機(jī)將關(guān)閉該端口，使其不再接收任何報(bào)文,從而避開大量ＡＲＰ報(bào)文攻擊設(shè)備。同時(shí)，設(shè)備支持配置端口狀態(tài)自動(dòng)恢復(fù)功能,對(duì)于配置了AＲP限速功能的端口,在其因超速而被交換機(jī)關(guān)閉后,經(jīng)過一段時(shí)間可以自動(dòng)恢復(fù)為開啟狀態(tài).ＣAMＳ下發(fā)網(wǎng)關(guān)配置功能ＣＡＭS（CoｍｐrehｅｎsiveAccｅsｓMａnagemeｎtServeｒ，綜合訪問管理服務(wù)器)作為網(wǎng)絡(luò)中的業(yè)務(wù)管理核心，可以與以太網(wǎng)交換機(jī)等網(wǎng)絡(luò)產(chǎn)品共同組網(wǎng),完成用戶的認(rèn)證、授權(quán)、計(jì)費(fèi)和權(quán)限管理。如REＦ＿Ref1８77４119９\r\ｈ圖1-５所示.CAMS組網(wǎng)示意圖認(rèn)證模式的AＲP攻擊防御解決方案，不需要在接入交換機(jī)上進(jìn)行特殊的防攻擊配置,只需要客戶端通過８０2.1x認(rèn)證登錄網(wǎng)絡(luò),并在CAMS上進(jìn)行用戶網(wǎng)關(guān)的設(shè)置，ＣＡMS會(huì)通過接入交換機(jī)，下發(fā)網(wǎng)關(guān)的IP/MAＣ對(duì)應(yīng)關(guān)系給客戶端，來防御“仿冒網(wǎng)關(guān)"攻擊。ARＰ攻擊防御配置指南AＲP攻擊防御配置任務(wù)操作命令說明－進(jìn)入系統(tǒng)視圖sysｔem－vｉeｗ-配置DHCPSnoｏping功能記錄DHＣP客戶端的ＩＰ/ＭＡC對(duì)應(yīng)關(guān)系進(jìn)入以太網(wǎng)端口視圖ｉnterfaｃｅinterfａce-tｙｐeinｔｅrfacｅ-ｎｕmber—設(shè)置指定端口為DHCＰＳｎoopiｎｇ信任端口ｄhｃｐ-snoopingｔruｓｔ必選缺省情況下，交換機(jī)的端口均為不信任端口退出至系統(tǒng)視圖quiｔ—開啟交換機(jī)DHＣPＳnｏoｐｉｎg功能dhｃｐ—snooｐing必選缺省情況下,以太網(wǎng)交換機(jī)的DHCPSnooｐing功能處于禁止?fàn)顟B(tài)配置指定端口的IP靜態(tài)綁定表項(xiàng)進(jìn)入以太網(wǎng)端口視圖iｎｔeｒfaｃｅrface-typｅiｎｔeｒｆaｃｅ—numbｅr-配置IＰ靜態(tài)綁定表項(xiàng)iｐsoｕrｃestatｉｃbｉnｄｉｎgip-aｄｄrｅsｓｉp－address[mac—adｄｒessmac-aｄｄress］可選缺省情況下，沒有配置IＰ靜態(tài)綁定表項(xiàng)退出至系統(tǒng)視圖qｕｉｔ—配置ＡＲP入侵檢測(cè)功能，防御常見的AＲP攻擊進(jìn)入以太網(wǎng)端口視圖iｎｔeｒfａcｅiｎterface－tyｐｅinｔerface-nuｍbｅr—配置ARP信任端口arｐdetecｔioｎtｒusｔ可選缺省情況下,端口為ARP非信任端口退出至系統(tǒng)視圖qｕiｔ-進(jìn)入VLＡN視圖vlanｖｌaｎ-ｉd-開啟ARP入侵檢測(cè)功能arｐdｅtectiｏneｎaｂlｅ必選缺省情況下,指定VLAN內(nèi)全部端口的ARP入侵檢測(cè)功能處于關(guān)閉狀態(tài)退出至系統(tǒng)視圖qｕｉt－配置AＲP限速功能開啟ARＰ報(bào)文限速功能arprａｔe—ｌimiｔenａbｌe必選缺省情況下，端口的ARP報(bào)文限速功能處于關(guān)閉狀態(tài)配置允許通過端口的ARP報(bào)文的最大速率arpratｅ－ｌiｍitrａt(yī)ｅ可選缺省情況下，端口能通過的ARP報(bào)文的最大速率為15pps退出至系統(tǒng)視圖qｕit—開啟因ＡＲＰ報(bào)文超速而被關(guān)閉的端口的狀態(tài)自動(dòng)恢復(fù)功能arｐprｏｔectivｅ—dｏwnrｅcｏｖeｒenable可選缺省情況下，交換機(jī)的端口狀態(tài)自動(dòng)恢復(fù)功能處于關(guān)閉狀態(tài)配置因ARＰ報(bào)文超速而被關(guān)閉的端口的端口狀態(tài)自動(dòng)恢復(fù)時(shí)間aｒｐproｔecｔivｅ－dowｎreｃovｅrinｔeｒｖaliｎterval可選缺省情況下,開啟端口狀態(tài)自動(dòng)恢復(fù)功能后，交換機(jī)的端口狀態(tài)自動(dòng)恢復(fù)時(shí)間為300秒說明：有關(guān)各款交換機(jī)支持的ARP攻擊防御功能的簡(jiǎn)略介紹和配置命令,請(qǐng)參見各產(chǎn)品的操作、命令手冊(cè).支持AＲP攻擊防御功能的產(chǎn)品列表支持ARＰ攻擊防御功能的產(chǎn)品列表功能產(chǎn)品型號(hào)DHCPSnooｐiｎgARＰ入侵檢測(cè)ＩＰ靜態(tài)綁定ARP報(bào)文限速Ｓ5600（Ｒelｅase１602)S5100-EＩ（Rｅleaｓe２2００）Ｓ５10０—SＩ（Release22０0)S360０—EＩ(Reｌｅａｓｅ1602）Ｓ36０0—ＳＩ(Release1６０2）S3100－ＥＩ(Rｅleａｓｅ2104)S3１０0-52Ｐ(Rｅleaｓe160２）E3５2/E3２8(Releａｓe1６02）E１5２（Reｌeaｓe1６0２)E1２6Ａ(Rｅｌｅａse２104）說明：有關(guān)各款交換機(jī)支持的防ＡRP攻擊功能的簡(jiǎn)略介紹，請(qǐng)參見各產(chǎn)品的操作手冊(cè)。H3C低端以太網(wǎng)交換機(jī)典型配置案例ARP攻擊防御REF_Ref187808244\r\h第2章REF_Ref187808246\hARP攻擊防御配置舉例19ARP攻擊防御配置舉例DHCP監(jiān)控模式下的ＡRP攻擊防御配置舉例組網(wǎng)需求某校內(nèi)網(wǎng)內(nèi)大部分用戶通過接入設(shè)備連接網(wǎng)關(guān)和ＤHCP服務(wù)器,動(dòng)態(tài)獵取IＰ地址。管理員通過在接入交換機(jī)上全面部署AＲP攻擊防御相關(guān)特性，形成保護(hù)屏障，過濾掉攻擊報(bào)文。簡(jiǎn)略網(wǎng)絡(luò)應(yīng)用需求分析如下.校內(nèi)網(wǎng)用戶分布在兩個(gè)區(qū)域Ｈｏstarea1和Hｏsｔａｒea２，分別屬于ＶLAＮ１０和VLAN20，通過接入交換機(jī)ＳwitｃhA和SwitcｈB連接到網(wǎng)關(guān)Gａｔeway,最終連接外網(wǎng)和DHCP。Hoｓtａrｅａ1所在子網(wǎng)內(nèi)擁有一臺(tái)TFTP服務(wù)器，其ＩＰ地址為192。１68。０．1０/2４，ＭＡC地址為0００ｄ—85c７-４e00。為防止仿冒網(wǎng)關(guān)、哄騙網(wǎng)關(guān)等ＡＲＰ攻擊形式，開啟SｗiｔchA上ＶLＡN1０內(nèi)、SwiｔchB上VLＡＮ20內(nèi)AＲP入侵檢測(cè)功能，設(shè)置ＳｗitchA和ＳｗitchB的端口Etｈeｒｎet1/0/1為ARＰ信任端口。為防止ARP泛洪攻擊,在ＳｗitchA和SｗｉtchＢ全部直接連接客戶端的端口上開啟AＲP報(bào)文限速功能。同時(shí),開啟因ARP報(bào)文超速而被關(guān)閉的端口的狀態(tài)自動(dòng)恢復(fù)功能，并設(shè)置恢復(fù)時(shí)間間隔100秒。組網(wǎng)圖DHCP監(jiān)控模式下的ＡRＰ攻擊防御組網(wǎng)示意圖配置思路在接入交換機(jī)SwｉｔchA和SwiｔcｈＢ上開啟DHCPsnoｏpinｇ功能，并配置與DHCP服務(wù)器相連的端口為DＨCＰsnoｏpｉｎｇ信任端口。在接入交換機(jī)ＳwitｃhＡ上為固定IP地址的TＦTP服務(wù)器配置對(duì)應(yīng)的IP靜態(tài)綁定表項(xiàng)。在接入交換機(jī)ＳｗｉｔchA和SwｉtｃhＢ對(duì)應(yīng)VLAN上開啟ＡＲP入侵檢測(cè)功能,并配置其上行口為ARP信任端口.在接入交換機(jī)SwｉtcｈA和SｗitchＢ直接連接客戶端的端口上配置ARＰ報(bào)文限速功能，同時(shí)全局開啟因ARＰ報(bào)文超速而被關(guān)閉的端口的狀態(tài)自動(dòng)恢復(fù)功能.配置步驟使用的版本本舉例中使用的接入交換機(jī)ＳｗitchA和SwｉｔｃｈＢ為Ｅ126Ａ系列以太網(wǎng)交換機(jī)。配置客戶端動(dòng)態(tài)獵取ＩP地址。配置客戶端自動(dòng)獵取IP地址示意圖配置SwitcｈA＃創(chuàng)建VLＡN1０，并將端口Ethｅrnｅt1/0／1到Ｅthernｅｔ1／０／4加入VLＡＮ10中.<SwｉtcｈA>system－ｖｉｅw［SwitｃhA]ｖlan１0[SwitｃhA-vlan10]portEｔhernｅt1/0/1toEｔｈｅrnet1／0/４［ＳwｉtｃhＡ—vlan１0］qｕiｔ＃配置SwitchA的上行口為ＤＨＣPｓｎｏopｉｎg信任端口。［SｗiｔcｈA］iｎｔerfaｃeethernｅｔ1/0/1[ＳwｉtchA—Ｅｔｈeｒnet1/０/1］dhcp—sｎｏopingtrust［ＳwiｔchA－Ethｅｒｎet１/0/１］quit#開啟DHＣＰsnooping。[SwｉtcｈA］dhcp-snoopｉng＃在ＳwｉtchＡ的端口Eｔｈｅｒnｅt１／０/4上配置IP靜態(tài)綁定表項(xiàng)。[SwiｔｃhA］ｉｎterｆａceEthernet１/0/4［SｗitchA－Eｔhｅrnet1/0／4］iｐsoｕrｃｅstatｉcbｉｎdingip—aｄｄress192．16８。0。1０mac－address00０ｄ—85c7－4ｅ０0[SｗitcｈＡ—Ｅtheｒneｔ１/0/4］quit＃配置ＳｗitchＡ的上行口為AＲP信任端口.［SwitchA]intｅｒｆaceetｈｅｒnet1/0／１[SｗitcｈA－Ｅthｅrｎｅt1/0/1］arpｄetｅｃｔioｎtｒuｓｔ［SwitchA—Etｈeｒnet１／０／1］ｑuit＃開啟VLAN１０內(nèi)全部端口的ARP入侵檢測(cè)功能.［ＳｗｉtchA］vｌaｎ１0［ＳwitｃｈA-ｖlan1０]aｒpdetecｔｉonenable［SwｉtchA－vlａn10]qｕｉt＃開啟SｗitｃhA的端口Eｔherｎｅｔ1／０/２、Ｅthｅｒnet1／0/3上的ＡRP報(bào)文限速功能。［SwitchA]intｅｒfaceEtherｎet1/0/2［ＳwitchA-Ethernet1/０/2］ａｒｐrａt(yī)e－limitｅnaｂｌe［SwitｃhA-Eｔheｒneｔ1/0/2］ａｒpｒaｔｅ—limit20［SwitｃhA-Eｔｈerneｔ１／0/２］qｕiｔ［ＳwitｃｈＡ]inｔerｆacｅEｔheｒnet1/0／３［SwiｔcｈA-Ethernｅt１/0／3］ａrprate-liｍitenabｌe[SｗiｔｃhＡ-Eｔｈernet1/0/３］ａｒprａｔe－lｉmit２０[ＳwitchＡ—Eｔｈeｒnet１／０/3]quit#配置端口狀態(tài)自動(dòng)恢復(fù)功能,恢復(fù)時(shí)間間隔為1００秒。［SｗｉｔｃhA]arｐprｏｔective－dｏｗnｒeｃovereｎable[ＳｗiｔｃhＡ]ａrｐproｔｅctivｅ-dｏwnｒecｏｖeｒｉnｔerval1０0#配置網(wǎng)關(guān)的缺省路由.［SwiｔｃhＡ]ｉｐｒoute-stａｔic０.０.0.00192。16８。０。1配置ＳwitｃｈB#創(chuàng)建VＬAN２０,并將相應(yīng)端口加入VLAN20中。＜SwitｃhＢ＞ｓｙstｅm—view［SwｉｔchB］vlan2０[SｗｉｔｃhB-vｌａn２0］porｔEtherneｔ1/0/1toＥthernｅt1/0／4［SｗｉｔcｈＢ-vlan20]quit#配置ＳｗｉtｃhＢ的上行口為DHCＰsnooｐing信任端口。[SwｉtｃｈＢ]interfaceｅtｈｅrｎet1／０/１［ＳwitｃhB—Ｅthernｅｔ1/0/１]dhcｐ—snooｐinｇtｒust［SｗitｃｈB－Ｅｔhｅrneｔ１／0/1］qｕit＃開啟DHＣPsnooping.[ＳｗｉｔchB］ｄhｃp—ｓnoｏping＃配置SｗitchB的上行口為ARP信任端口。[SwitchB］ｉnterfａｃeｅtherneｔ1/0/1［SｗｉtchＢ—Ethernｅt１／0／1]arpｄｅteｃtionｔrusｔ［ＳwｉtｃhB—Ｅｔheｒnet1／0／１］quit＃開啟ＶLAN20內(nèi)全部端口的ＡRＰ入侵檢測(cè)功能。［ＳwitchB］vｌａn20[SwitchB—vｌaｎ２０］aｒpdetectｉoｎenaｂｌe[ＳwitｃhB—ｖlaｎ20]quit#開啟SｗitｃhA的端口Ethｅｒnet１/0／2、Ｅｔhernet１／0/3、Eｔheｒｎet１／０/4上的ARP報(bào)文限速功能.［SwｉｔchＢ]inｔerfａｃeEthernet１/0/2[SwitchB－Etherｎeｔ1/０/２]arｐｒate-limitｅnable［ＳｗitchB—Etｈｅrnｅｔ１／0/2]arpｒaｔe-lｉmiｔ20[ＳｗitcｈB-Etｈernet１／０/2]quｉt［ＳwitｃhＢ]inｔerfaｃeＥｔherneｔ1/0/３［SｗitcｈB—Ethｅrnｅt1/０/3］aｒpｒａｔe-ｌimiｔｅｎabｌe［SwitcｈB－Ｅtｈernet1/0/3]ａｒｐrate—limit20[ＳwｉtchB-Etｈｅrnet１／0/３］quｉt［ＳwｉtcｈB]iｎteｒfaceEtｈｅrnet1/０／4［SｗitcｈＢ-Etherｎｅt1/０/4］ａｒpｒaｔe—limitenabｌe[SwitｃhB－Ｅtheｒnet１/0/4］aｒｐｒate—lｉｍｉt2０［SｗｉtｃhB-Ethｅrｎet1/0/4]ｑuit＃配置端口狀態(tài)自動(dòng)恢復(fù)功能，恢復(fù)時(shí)間間隔為100秒。[SwitchB]arppｒoteｃtiｖｅ—ｄowｎrｅcoverｅｎaｂle［ＳｗiｔcｈB］arｐprｏｔeｃtive-dowｎｒeｃoverｉnｔervａｌ1０0＃配置網(wǎng)關(guān)的缺省路由.[SｗitchB］ｉproute—stａt(yī)iｃ０。0.0．０019２．1６８．１．１配置Ｇaｔｅway＜Ｇaｔeｗａｙ>syｓｔem—ｖiｅｗ＃創(chuàng)建VLAN10和VLAN２0，并添加相應(yīng)端口。［Gatｅwaｙ］vｌａn１０［Gａｔｅｗａy–vｌａn10］ｐortＥthｅｒｎet1/0／１[Ｇａｔｅway–vlａn10]ｑuit［Gateｗay]vlan20[Gateway–vｌａｎ２0］ｐortEtheｒneｔ1/０／2[Gateway–vｌan20]quｉt＃配置Ｖｌａn-iｎterfaｃe１0的IＰ地址為１９２．16８．0.１/24。[Ｇａｔeway]iｎteｒfaｃｅvｌａｎ10［Ｇateｗay-Vlan-interｆace１０］ipaddrｅss192．168。0。１24［Ｇaｔｅwaｙ-Vlaｎ－iｎteｒfａcｅ１0］quit#配置Vlan-interfacｅ20的ＩP地址為１9２.16８。1．1/24。[Ｇａt(yī)eway]ｉnterfacevｌan20［Ｇatewaｙ－Vｌan—iｎｔｅｒｆacｅ２０]ｉpaddreｓs192.１68。1.124［Gａt(yī)eway—Ｖｌaｎ－iｎtｅｒｆace20]quit配置DHCP服務(wù)器由于作為DHCP服務(wù)器的設(shè)備不同，所需進(jìn)行的配置也不同，故此處從略.簡(jiǎn)略配置請(qǐng)參考DHCP服務(wù)器操作手冊(cè)。注意事項(xiàng)配置AＲP入侵檢測(cè)功能之前,需要先在交換機(jī)上開啟ＤHＣPSnｏopｉｎg功能，并設(shè)置DＨＣPＳnoｏｐinｇ信任端口，否則全部ＡRＰ報(bào)文將都不能通過ＡRP入侵檢測(cè)。目前,Ｈ３C低端以太網(wǎng)交換機(jī)上開啟DHCPＳnooping功能后,全部端口默認(rèn)被配置為DHCPSnｏopinｇ非信任端口。為了使DHＣP客戶端能從合法的ＤHCP服務(wù)器獵取IＰ地址,必須將與合法DHＣP服務(wù)器相連的端口設(shè)置為信任端口，設(shè)置的信任端口和與ＤHＣP客戶端相連的端口必須在同一個(gè)VLAN內(nèi).DHCPＳｎoopｉｎg表只記錄了通過ＤHCＰ方式動(dòng)態(tài)獵取IP地址的客戶端信息.如果固定ＩP地址的用戶需要訪問網(wǎng)絡(luò),必須在交換機(jī)上手工配置IP靜態(tài)綁定表的表項(xiàng)，即：用戶的ＩP地址、MAＣ地址及連接該用戶的端口之間的綁定關(guān)系.目前,Ｈ3C系列以太網(wǎng)交換機(jī)在端口上配置的IP靜態(tài)綁定表項(xiàng)，其所屬VLAN為端口的缺省VLＡＮＩＤ。因此，如果ARP報(bào)文的VLAＮＴＡG與端口的缺省VLＡNID值不同,報(bào)文將無法通過依據(jù)IP靜態(tài)綁定表項(xiàng)進(jìn)行的ARＰ入侵檢測(cè).H3C系列以太網(wǎng)交換機(jī)上手工配置的IP靜態(tài)綁定表項(xiàng)的優(yōu)先級(jí)高于DHCPＳnｏopiｎｇ動(dòng)態(tài)表項(xiàng)。簡(jiǎn)略表現(xiàn)在：如果手工配置的IＰ靜態(tài)綁定表項(xiàng)中的IP地址與已存在的DＨCPSnoｏｐiｎｇ動(dòng)態(tài)表項(xiàng)的ＩＰ地址相同,則掩蓋DHCPＳnoｏpｉng動(dòng)態(tài)表項(xiàng)的內(nèi)容；如果先配置了ＩP靜態(tài)綁定表項(xiàng)，再開啟交換機(jī)的ＤHCPＳｎooｐiｎｇ功能，則ＤHCＰ客戶端不能通過該交換機(jī)獵取到IP靜態(tài)綁定表項(xiàng)中已經(jīng)存在的IP地址。實(shí)際組網(wǎng)中,為了解決上行端口接收的ARＰ懇求和應(yīng)答報(bào)文能夠通過ARP入侵檢測(cè)問題，交換機(jī)支持通過配置ARP信任端口，靈敏掌握ARＰ報(bào)文檢測(cè)功能。對(duì)于來自信任端口的全部ARP報(bào)文不進(jìn)行檢測(cè)，對(duì)其它端口的ＡRP報(bào)文通過查看DＨＣPＳnｏｏpｉng表或手工配置的ＩP靜態(tài)綁定表進(jìn)行檢測(cè)。建議用戶不要在匯聚組中的端口上配置ARP入侵檢測(cè)、AＲＰ報(bào)文限速功能。認(rèn)證模式下的ARP攻擊防御配置舉例組網(wǎng)需求某校內(nèi)網(wǎng)內(nèi)大部分用戶通過接入設(shè)備連接網(wǎng)關(guān)和外網(wǎng)的服務(wù)器.管理員盼望通過客戶端和服務(wù)器間的認(rèn)證機(jī)制,在客戶端綁定網(wǎng)關(guān)的IP／ＭAC對(duì)應(yīng)關(guān)系，過濾掉仿冒網(wǎng)關(guān)的ＡRP攻擊報(bào)文。簡(jiǎn)略網(wǎng)絡(luò)應(yīng)用需求分析如下:接入用戶可以通過DHＣＰ自動(dòng)獵取IP地址,也可以手工配置靜態(tài)IP地址。但需要安裝８02。1ｘ客戶端,即：通過８0２。1x認(rèn)證才能訪問網(wǎng)絡(luò)。服務(wù)器接受H3Ｃ公司的ＣAMS認(rèn)證/授權(quán)、計(jì)費(fèi)服務(wù)器;CＡMS通過將網(wǎng)關(guān)的IＰ－MＡC對(duì)應(yīng)關(guān)系下發(fā)到認(rèn)證客戶端，防止用戶端的網(wǎng)關(guān)仿冒等ＡRP攻擊.接入交換機(jī)需要開啟8０２.1x和AAA相關(guān)配置.組網(wǎng)圖認(rèn)證模式下的ARP攻擊防御組網(wǎng)示意圖配置思路用戶安裝80２.1x客戶端,即需要通過8０2.1ｘ認(rèn)證才能訪問網(wǎng)絡(luò)。接入交換機(jī)SｗitchＡ和SwitchＢ上開啟802．1x和AAA相關(guān)配置.通過CAMS服務(wù)器將網(wǎng)關(guān)的IP—MAＣ對(duì)應(yīng)關(guān)系下發(fā)到認(rèn)證客戶端,防止用戶端的網(wǎng)關(guān)仿冒等AＲP攻擊。配置步驟配置SwitcｈA＃創(chuàng)建ＶLＡＮ10,并添加相應(yīng)端口。<SwitchA>ｓysｔｅm-ｖiｅｗ［SwｉtcｈA］vｌaｎ10［SwitcｈＡ—vlan10]ｐortEthｅｒnｅｔ1/０/1toEｔherneｔ１/0／3［SwitcｈA—vｌａｎ10]qｕit#設(shè)置RＡＤＩＵS方案cams，設(shè)置主服務(wù)器。[SwitchA]rａdｉuｓｓｃheｍecａms［ＳwitcｈA-rａdiｕｓ-cams］ｐrimaｒｙautｈenｔｉcａt(yī)ioｎ1０．10。１．1[SwiｔcｈA－raｄｉus－cａｍs]ａｃcｏuntiｎgoｐtioｎａl＃設(shè)置系統(tǒng)與認(rèn)證Raｄius服務(wù)器交互報(bào)文時(shí)加密密碼為experｔ。［SwitchA－ｒaｄius—ｃamｓ］keyａuthｅｎｔｉcatiｏneｘpeｒt#設(shè)置用戶名為帶域名格式.[SwitcｈＡ-raｄiuｓ-cａｍs]uｓeｒ-ｎａme—ｆｏrｍatｗitｈ-ｄomain＃服務(wù)類型為eｘｔｅnded。[SｗitchA—ｒａdｉus—ｃams]sｅrvｅｒ—ｔypｅｅxｔendｅd［SwitchＡ—ｒadiｕｓ—cａｍs］qｕiｔ＃定義IＳP域aｂc,并配置認(rèn)證接受RADIＵS方案caｍs。［SwiｔｃhA]domaiｎabc[SwitｃhA-ｉsp—ａbｃ]radius—scｈemｅｃａmｓ［ＳwｉtchA—iｓp-aｂｃ］ｑuiｔ＃將ISP域ａｂｃ設(shè)置為缺省ISP域。［ＳwitcｈA］ｄomaindeｆａultenabｌeabｃ#交換機(jī)全局開啟８０2．1x功能。［SwｉtchＡ]dｏｔ１ｘ＃在端口Etheｒnet1/0／２下開啟８02.1x功能。［ＳｗｉtｃhA]interfａcｅEtｈｅrnet1/0/２［ＳwｉtｃhA-Ethernet1/0/２］dot１x［ＳwitｃhA-Etheｒneｔ1/０/２]quit＃在端口Ｅthernｅt１／0／3下開啟802。１x功能。［SwｉｔｃhA］inｔerfaceEｔｈernet１/0/3［ＳwitchA—Ｅtｈernet1/0/3]ｄot1x［ＳｗitchA—Ｅtｈernet1/0／３］quｉt＃配置網(wǎng)關(guān)的缺省路由［SｗｉtchA］ipｒoute-statｉc０。0．０.00１９2。1６8.0.1配置ＳwｉtchB＃創(chuàng)建VLAN２０，并添加相應(yīng)端口。<SwｉtchB〉systeｍ-ｖiｅw［ＳwitcｈB］ｖｌaｎ2０［SwitchB－vlan２０］ｐortＥtheｒnet1/0/１tｏEtｈｅrnet1/0/4[SｗitｃhB－ｖｌａn２0］ｑuiｔ#設(shè)置ＲADＩＵS方案caｍｓ，設(shè)置主服務(wù)器。[SｗｉｔcｈB]rａdiuｓschｅmecaｍｓ［ＳwitｃhB—raｄiuｓ—caｍs]ｐｒimaryaｕｔｈeｎtiｃａt(yī)iｏn10.１0。1。1[SwitchB-radｉus—caｍs］ａｃcｏｕnｔｉngopｔioｎaｌ＃設(shè)置系統(tǒng)與認(rèn)證Rａｄiｕs服務(wù)器交互報(bào)文時(shí)加密密碼為eｘpeｒｔ.［SwitcｈＢ—ｒadiｕs-cams］keyａｕtｈｅnｔicａt(yī)ｉｏnｅxperｔ＃設(shè)置用戶名為帶域名格式。[SwitchB－radｉｕｓ—camｓ］useｒ—nａmｅ—foｒmaｔｗith－ｄｏmaｉｎ＃服務(wù)類型為exｔendｅｄ。［SwiｔchＢ—radiuｓ-ｃaｍs］sｅｒveｒ-ｔｙpeｅｘｔeｎｄeｄ[SwｉｔcｈＢ－ｒadiuｓ—cams］qｕit#定義IＳＰ域abc，并配置認(rèn)證接受RADIUS方案cａｍs。[ＳwiｔchB］domainaｂｃ［SwitchＢ－isp－abc]radius－scheｍeｃams[SwｉtcｈB-isｐ-ａbc］qｕit#將ＩSP域abｃ設(shè)置為缺省ISP域。［ＳｗｉtchＢ]ｄoｍaiｎdｅｆaｕlteｎａbleａｂc＃交換機(jī)全局開啟８0２．１x功能。[ＳｗiｔchB］dot1x#在端口Eｔｈernet1/０／2、Ethｅrｎeｔ1/0/３、Ethernet1/0／4開啟8０2．1x功能。[SｗｉtｃhB]inteｒfａceEtherneｔ1/0/２[SｗiｔchB-Ｅtｈｅrnｅｔ1/０/2］dot1x［SｗiｔｃｈB—Eｔheｒnet１／０/２］quｉｔ［SｗｉtchB]iｎteｒｆaceＥｔhｅrnｅt1/０／３[SwｉｔchB—Etｈｅrｎeｔ1/０/3］ｄｏｔ１ｘ［SwｉtcｈB-Etｈｅrneｔ1/0/3］qｕｉt［SｗiｔchB］interfacｅEtｈerｎet1／0/4[SwiｔcｈB－Ｅthernet1/０／4]doｔ1x[ＳｗｉｔchB—Ethｅrnet1／０／4]qｕit#配置網(wǎng)關(guān)的缺省路由。［SwｉｔcｈB］iｐroutｅ－static0．0。0．00192.168．11配置Gａt(yī)ewaｙ〈Gａt(yī)ｅway＞systｅm－vｉｅw＃創(chuàng)建VLAＮ10和ＶLAＮ20,并添加端口［Ｇaｔeｗay］ｖlａｎ10[Ｇａt(yī)ewａy–vlａn１0］ｐoｒtＥｔherneｔ１/０/1[Gaｔewａy–vlan10］quit［Ｇatｅway］ｖlan２0[Gateway–vｌａｎ