下面的文章主要介紹的是交換機(jī)防止同網(wǎng)段ARP欺騙攻擊的實(shí)際配置方案，本文主要是列舉華為交換機(jī)防止同網(wǎng)段ARP欺騙攻擊的正確配置方案，以下就是相關(guān)內(nèi)容的具體描述，希望會(huì)給你帶來(lái)一些幫助在此方面。

1阻止仿冒網(wǎng)關(guān)IP的arp攻擊

1.1 二層交換機(jī)實(shí)現(xiàn)防攻擊

1.1.1 配置組網(wǎng)

圖1二層交換機(jī)防ARP攻擊組網(wǎng)

S3552P是三層設(shè)備，其中IP：100.1.1.1是所有PC的網(wǎng)關(guān)，S3552P上的網(wǎng)關(guān)MAC地址為000f-e200-3999。PC-B上裝有同網(wǎng)段ARP欺騙攻擊軟件?，F(xiàn)在需要對(duì)S3026_A進(jìn)行一些特殊配置，目的是過(guò)濾掉仿冒網(wǎng)關(guān)IP的ARP報(bào)文。

1.1.2配置步驟

對(duì)于二層交換機(jī)如S3026C等支持用戶自定義ACL(number為5000到5999)的交換機(jī)，可以配置ACL來(lái)進(jìn)行ARP報(bào)文過(guò)濾。

全局配置ACL禁止所有源IP是網(wǎng)關(guān)的ARP報(bào)文

aclnum5000

rule0deny0806ffff2464010101ffffffff40

rule1permit0806ffff24000fe2003999ffffffffffff34

其中rule0把整個(gè)S3026C_A的端口冒充網(wǎng)關(guān)的ARP報(bào)文禁掉，其中斜體部分64010101是網(wǎng)關(guān)IP地址100.1.1.1的16進(jìn)制表示形式。Rule1允許通過(guò)網(wǎng)關(guān)發(fā)送的ARP報(bào)文，斜體部分為網(wǎng)關(guān)的mac地址000f-e200-3999。

注意：配置Rule時(shí)的配置順序，上述配置為先下發(fā)后生效的情況。

在S3026C-A系統(tǒng)視圖下發(fā)acl規(guī)則：

[S3026C-A]packet-filteruser-group5000

這樣只有S3026C_A上連網(wǎng)關(guān)設(shè)備才能夠發(fā)送網(wǎng)關(guān)的ARP報(bào)文，其它主機(jī)都不能發(fā)送假冒網(wǎng)關(guān)的arp響應(yīng)報(bào)文。

1.2三層交換機(jī)實(shí)現(xiàn)防攻擊

1.2.1配置組網(wǎng)

圖2 三層交換機(jī)防ARP攻擊組網(wǎng)

1.2.2 防攻擊配置舉例

對(duì)于三層設(shè)備，需要配置過(guò)濾源IP是網(wǎng)關(guān)的ARP報(bào)文的ACL規(guī)則，配置如下ACL規(guī)則：

acl number 5000

rule 0 deny 0806 ffff 24 64010105 ffffffff 40

rule0禁止S3526E的所有端口接收冒充網(wǎng)關(guān)的ARP報(bào)文，其中斜體部分64010105是網(wǎng)關(guān)IP地址100.1.1.5的16進(jìn)制表示形式。

2 仿冒他人IP的網(wǎng)段ARP欺騙攻擊攻擊

作為網(wǎng)關(guān)的設(shè)備有可能會(huì)出現(xiàn)ARP錯(cuò)誤表項(xiàng)，因此在網(wǎng)關(guān)設(shè)備上還需對(duì)仿冒他人IP的ARP攻擊報(bào)文進(jìn)行過(guò)濾。

如圖1所示，當(dāng)PC-B發(fā)送源IP地址為PC-D的arp reply攻擊報(bào)文，源mac是PC-B的mac (000d-88f8-09fa)，源ip是PC-D的ip(100.1.1.3)，目的ip和mac是網(wǎng)關(guān)(3552P)的，這樣3552上就會(huì)學(xué)習(xí)錯(cuò)誤的arp，如下所示：

--------------------- 錯(cuò)誤 arp 表項(xiàng) --------------------------------

IP Address MAC Address VLAN ID Port Name Aging Type

100.1.1.4 000d-88f8-09fa 1 Ethernet0/2 20 Dynamic

100.1.1.3 000f-3d81-45b4 1 Ethernet0/2 20 Dynamic

從網(wǎng)絡(luò)連接可以知道PC-D的arp表項(xiàng)應(yīng)該學(xué)習(xí)到端口E0/8上，而不應(yīng)該學(xué)習(xí)到E0/2端口上。但實(shí)際上交換機(jī)上學(xué)習(xí)到該ARP表項(xiàng)在E0/2。通過(guò)如下配置方法可以防止這類ARP的攻擊。

一、在S3552上配置靜態(tài)ARP，可以防止該現(xiàn)象：

arp static 100.1.1.3 000f-3d81-45b4 1 e0/8

二、同理在圖2 S3526C上也可以配置靜態(tài)ARP來(lái)防止設(shè)備學(xué)習(xí)到錯(cuò)誤的ARP表項(xiàng)。

三、對(duì)于二層設(shè)備(S3050C和S3026E系列)，除了可以配置靜態(tài)ARP外，還可以配置IP+MAC+port綁定，比如在S3026C端口E0/4上做如下操作：

am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4

則IP為100.1.1.4并且MAC為000d-88f8-09fa的ARP報(bào)文可以通過(guò)E0/4端口，仿冒其它設(shè)備的ARP報(bào)文則無(wú)法通過(guò)，從而不會(huì)出現(xiàn)錯(cuò)誤ARP表項(xiàng)。

上述配置案例中僅僅列舉了部分Quidway S系列以太網(wǎng)交換機(jī)的應(yīng)用。在實(shí)際的網(wǎng)絡(luò)應(yīng)用中，請(qǐng)根據(jù)配置手冊(cè)確認(rèn)該產(chǎn)品是否支持用戶自定義ACL和地址綁定。僅僅具有上述功能的交換機(jī)才能防止ARP欺騙。