华为数通---配置ARP安全综合功能案例

简介

ARP(Address Resolution Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。 

组网需求

如下图所示,Switch作为网关通过接口GE0/0/3连接一台服务器,通过接口GE0/0/1、GE0/0/2连接VLAN10和VLAN20下的四个用户。网络中存在以下ARP威胁: 

  • 攻击者向Switch发送伪造的ARP报文、伪造的免费ARP报文进行ARP欺骗攻击,恶意修改Switch的ARP表项,造成其他用户无法正常接收数据报文。
  • 攻击者发出大量目的IP地址不可达的IP报文进行ARP泛洪攻击,造成Switch的CPU负荷过重。
  • 用户User1构造大量源IP地址变化MAC地址固定的ARP报文进行ARP泛洪攻击,造成Switch的ARP表资源被耗尽以及CPU进程繁忙,影响到正常业务的处理。
  • 用户User3构造大量源IP地址固定的ARP报文进行ARP泛洪攻击,造成Switch的CPU进程繁忙,影响到正常业务的处理。

管理员希望能够防止上述ARP攻击行为,为用户提供更安全的网络环境和更稳定的网络服务。 

 

配置思路 

采用如下思路在Switch上进行配置:

  1. 配置ARP表项严格学习功能以及ARP表项固化功能,实现防止伪造的ARP报文错误地更新Switch的ARP表项。
  2. 配置根据源IP地址进行ARP Miss消息限速,实现防止用户侧存在攻击者发出大量目的IP地址不可达的IP报文触发大量ARP Miss消息,形成ARP泛洪攻击。同时需要保证Switch可以正常处理服务器发出的大量此类报文,避免因丢弃服务器发出的大量此类报文而造成网络无法正常通信。
  3. 配置基于接口的ARP表项限制以及根据源MAC地址进行ARP限速,实现防止User1发送的大量源IP地址变化MAC地址固定的ARP报文形成的ARP泛洪攻击,避免Switch的ARP表资源被耗尽,并避免CPU进程繁忙。
  4. 配置根据源IP地址进行ARP限速,实现防止User3发送的大量源IP地址固定的ARP报文形成的ARP泛洪攻击,避免Switch的CPU进程繁忙。

操作步骤 

  • 创建VLAN,将接口加入到VLAN中,并配置VLANIF接口

# 创建VLAN10、VLAN20和VLAN30,并将接口GE0/0/1加入VLAN10中,接口GE0/0/2加入VLAN20中,接口GE0/0/3加入VLAN30中。

<Huawei>system-view 
[Huawei]sysname Switch
[Switch]vlan batch 10 20 30
[Switch]interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1]port link-type trunk 
[Switch-GigabitEthernet0/0/1]port trunk allow-pass vlan 10
[Switch-GigabitEthernet0/0/1]quit
[Switch]interface GigabitEthernet 0/0/2
[Switch-GigabitEthernet0/0/2]port link-type trunk 
[Switch-GigabitEthernet0/0/2]port trunk allow-pass vlan 20
[Switch-GigabitEthernet0/0/2]quit
[Switch]interface GigabitEthernet 0/0/3
[Switch-GigabitEthernet0/0/3]port link-type trunk 
[Switch-GigabitEthernet0/0/3]port trunk allow-pass vlan 30
[Switch-GigabitEthernet0/0/3]quit

# 创建接口VLANIF10、VLANIF20、VLANIF30,配置各VLANIF接口的IP地址。

[Switch]interface Vlanif 10
[Switch-Vlanif10]ip address 10.8.8.4 24
[Switch-Vlanif10]quit	
[Switch]interface Vlanif 20
[Switch-Vlanif20]ip address 10.9.9.4 24
[Switch-Vlanif20]quit
[Switch]interface Vlanif 30
[Switch-Vlanif30]ip address 10.10.10.3 24
[Switch-Vlanif30]quit
  • 配置ARP表项严格学习功能
[Switch]arp learning strict
  • 配置ARP表项固化功能

# 配置ARP表项固化模式为fixed-mac方式。

[Switch]arp anti-attack entry-check fixed-mac enable
  • 配置根据源IP地址进行ARP Miss消息限速

# 配置对Server(IP地址为10.10.10.2)的ARP Miss消息进行限速,允许Switch每秒最多处理该IP地址触发的40个ARP Miss消息;对于其他用户,允许Switch每秒最多处理同一个源IP地址触发的20个ARP Miss消息。

[Switch]arp-miss speed-limit source-ip maximum 20
[Switch]arp-miss speed-limit source-ip 10.10.10.2 maximum 20
  • 配置基于接口的ARP表项限制

# 配置接口GE0/0/1最多可以学习到20个动态ARP表项。

[Switch]interface GigabitEthernet 0/0/1
[Switch-GigabitEthernet0/0/1]arp-limit vlan 10 maximum 20
[Switch-GigabitEthernet0/0/1]quit
  • 配置根据源MAC地址进行ARP限速

# 配置对用户User1(MAC地址为1-1-1)进行ARP报文限速,每秒最多只允许10个该MAC地址的ARP报文通过。

[Switch]arp speed-limit source-mac 1-1-1 maximum 10
  • 配置根据源IP地址进行ARP限速

# 配置对用户User3(IP地址为10.9.9.2)进行ARP报文限速,每秒最多只允许10个该IP地址的ARP报文通过。

[Switch]arp speed-limit source-ip 10.9.9.2 maximum 10
  • 验证配置结果

# 执行命令display arp learning strict,可以看到全局已经配置ARP表项严格学习功能。

[Switch]display arp learning strict The global configuration:arp learning strict Interface                           LearningStrictState 
------------------------------------------------------------
------------------------------------------------------------Total:0Force-enable:0Force-disable:0

# 执行命令display arp-limit,查看接口可以学习到的动态ARP表项数目的最大值。

[Switch]display arp-limit interface GigabitEthernet 0/0/1Interface                      LimitNum   VlanID     LearnedNum(Mainboard) 
---------------------------------------------------------------------------GigabitEthernet0/0/1           20         10         0         
---------------------------------------------------------------------------Total:1

# 执行命令display arp anti-attack configuration all,查看当前ARP防攻击配置情况。

[Switch]display arp anti-attack configuration all
ARP anti-attack packet-check function: disable ARP gateway-duplicate anti-attack function: disabled ARP anti-attack log-trap-timer: 0 second(s) 
(The log and trap timer of speed-limit, default is 0 and means disabled.)ARP anti-attack entry-check mode: Vlanif      Mode    
-------------------------------------------------------------------------------All         fixed-mac
-------------------------------------------------------------------------------ARP rate-limit configuration:
-------------------------------------------------------------------------------
Global configuration:
Interface configuration:
Vlan configuration:
-------------------------------------------------------------------------------ARP miss rate-limit configuration:
-------------------------------------------------------------------------------
Global configuration:
Interface configuration:
Vlan configuration:
-------------------------------------------------------------------------------ARP speed-limit for source-MAC configuration:
MAC-address         suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
0001-0001-0001      10
Others              0
-------------------------------------------------------------------------------
The number of configured specified MAC address(es) is 1, spec is 512.ARP speed-limit for source-IP configuration:
IP-address          suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
10.9.9.2            10
Others              0
-------------------------------------------------------------------------------
The number of configured specified IP address(es) is 1, spec is 512.ARP miss speed-limit for source-IP configuration:
IP-address          suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
10.10.10.2/32       20
Others              20
-------------------------------------------------------------------------------
The number of configured specified IP address(es) is 1, spec is 512.

# 执行命令display arp packet statistics,查看ARP处理的报文统计数据。

[Switch]display arp packet statistics 
ARP Pkt Received:   sum      0 
ARP-Miss Msg Received:   sum      0 
ARP Learnt Count:   sum      0 
ARP Pkt Discard For Limit:   sum      0 
ARP Pkt Discard For SpeedLimit:   sum      0 
ARP Pkt Discard For Proxy Suppress:   sum      0 
ARP Pkt Discard For Other:   sum      0 
ARP-Miss Msg Discard For SpeedLimit:   sum      0 
ARP-Miss Msg Discard For Other:   sum      0

由显示信息可知,Switch上产生了ARP报文和ARP Miss消息丢弃计数,表明ARP安全功能已经生效。

配置文件 

#
sysname Switch
#
vlan batch 10 20 30
#
arp learning strict
#
arp-miss speed-limit source-ip 10.10.10.2 maximum 20
arp speed-limit source-ip 10.9.9.2 maximum 10
arp speed-limit source-mac 0001-0001-0001 maximum 10
arp anti-attack entry-check fixed-mac enable
#
arp-miss speed-limit source-ip maximum 20
#
interface Vlanif10ip address 10.8.8.4 255.255.255.0
#
interface Vlanif20ip address 10.9.9.4 255.255.255.0
#
interface Vlanif30ip address 10.10.10.3 255.255.255.0
#
interface GigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 10arp-limit vlan 10 maximum 20
#
interface GigabitEthernet0/0/2port link-type trunkport trunk allow-pass vlan 20
#
interface GigabitEthernet0/0/3port link-type trunkport trunk allow-pass vlan 30
#
return

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/203262.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

搭建个人网盘应用Nextcloud

搭建个人网盘应用Nextcloud

使用DNF管理软件包 1 使用winscp工具将openeuler-20.03-LTS-x86_64-dvd.iso上传至openeuler虚拟机的/root目录下&#xff0c;然后执行如下命令挂载ISO [rootopenEuler ~]# mount -o loop /root/openEuler-20.03-LTS-everything-x86_64-dvd.iso /mnt/2 添加软件源 [rootope…
阅读更多...
数据挖掘 分类模型选择

数据挖掘 分类模型选择

选择的模型有&#xff1a; 决策树、朴素贝叶斯、K近邻、感知机 调用的头文件有&#xff1a; import numpy as np import pandas as pd from matplotlib import pyplot as plt from sklearn.linear_model import Perceptron from sklearn.naive_bayes import GaussianNB from s…
阅读更多...
echerts 循环图 显示获取不到id

echerts 循环图 显示获取不到id

报错&#xff1a;Uncaught TypeError: Cannot read properties of null (reading getAttribute)&#xff0c; 我所出现的问题是 1&#xff0c;我在循环方法的时候 id没有从0开始&#xff0c;把id变成从0开始循环 2&#xff0c;设置myChart 全局属性 呈现效果 代码 html 动态绑…
阅读更多...
0X05

0X05

打开题目 点击完登录和注册都没有什么反应&#xff0c;所以先扫一下看看 在出现admin.php后就截止了&#xff0c;访问看看,进入后台。。 尝试一下弱口令 admin/12345 或者是demo/demo 设计中-自定义->右上角导出主题 找到一个导出的点&#xff0c;下载了一个1.zip压缩包…
阅读更多...
C#图像处理OpenCV开发指南(CVStar,07)——通用滤波(Filter2D)的实例代码

C#图像处理OpenCV开发指南(CVStar,07)——通用滤波(Filter2D)的实例代码

1 函数定义 void Filter2D (Mat src, Mat dst, int ddepth, InputArray kernel, Point anchor Point(-1,-1), double delta 0, int borderType BORDER_DEFAULT ) 1.1 原型 #include <opencv2/imgproc.hpp> Convolves an image wit…
阅读更多...
Cocos Creator加入图片没有被识别

Cocos Creator加入图片没有被识别

原因&#xff0c;需要更换类型&#xff0c;选择下图中的类型
阅读更多...
VR远程带看,助力线下门店线上化转型“自救”

VR远程带看,助力线下门店线上化转型“自救”

VR远程带看&#xff0c;因自身高效的沉浸式在线沟通功能&#xff0c;逐渐走进了大众的视野。身临其境的线上漫游体验以及实时同屏互联的新型交互模式&#xff0c;提升了商家同用户之间的沟通效率&#xff0c;进一步实现了远程线上一对一、一对多的同屏带看&#xff0c;用户足不…
阅读更多...
卡码网 46携带研究材料 LeetCode 416分割等和数组 1049最后一块石头的重量-ii | 代码随想录25期训练营day42、43

卡码网 46携带研究材料 LeetCode 416分割等和数组 1049最后一块石头的重量-ii | 代码随想录25期训练营day42、43

动态规划算法4 卡码网 46 携带研究材料 2023.12.6 题目链接常规二维dp数组方法代码随想录讲解[链接]一维滚动数组方法代码随想录讲解[链接] //二维dp数组做法 #include<bits/stdc.h> using namespace std;int main() {//m为材料种类数&#xff0c;n为行李箱最大空间数…
阅读更多...
如何使用 Zotero 导出所选条目的 PDF 文件

如何使用 Zotero 导出所选条目的 PDF 文件

如何使用 Zotero 导出所选条目的 PDF 文件 Zotero 是一款强大的参考文献管理工具&#xff0c;但它并不直接提供将整个文件夹导出为 PDF 的选项。不过&#xff0c;您可以使用以下步骤来导出您所选的 Zotero 条目中的 PDF 文件&#xff0c;无需额外的插件。 选择所需的 Zotero 条…
阅读更多...
智能优化算法应用:基于鹰栖息算法无线传感器网络(WSN)覆盖优化 - 附代码

智能优化算法应用:基于鹰栖息算法无线传感器网络(WSN)覆盖优化 - 附代码

智能优化算法应用&#xff1a;基于鹰栖息算法无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用&#xff1a;基于鹰栖息算法无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.鹰栖息算法4.实验参数设定5.算法结果6.参考文献7.…
阅读更多...
【华为数据之道学习笔记】3-1 基于数据特性的分类管理框架

【华为数据之道学习笔记】3-1 基于数据特性的分类管理框架

华为根据数据特性及治理方法的不同对数据进行了分类定义&#xff1a;内部数据和外部数据、结构化数据和非结构化数据、元数据。其中&#xff0c;结构化数据又进一步划分为基础数据、主数据、事务数据、报告数据、观测数据和规则数据。 对上述数据分类的定义及特征描述。 分类维…
阅读更多...
Spring Boot 项目的创建、配置文件、日志

Spring Boot 项目的创建、配置文件、日志

文章目录 Spring Boot 优点创建 Spring Boot 项目创建项目认识目录网页创建&#xff08;了解&#xff09; 约定大于配置Spring Boot 配置文件配置文件格式读取配置项properties 配置文件yml 配置文件基本语法进阶语法配置对象配置集合yml 设置不同环境的配置文件 Spring Boot 日…
阅读更多...
C语言之联合和枚举

C语言之联合和枚举

C语言之联合和枚举 文章目录 C语言之联合和枚举1. 联合体1.1 联合体的声明1.2 联合体的特点1.3 结构体和联合体对比1.4 联合体大小的计算1.5 联合体小练习 2. 枚举2.1 枚举类型的声明2.2 枚举类型的优点2.3 枚举类型的使用 1. 联合体 1.1 联合体的声明 像结构体⼀样&#xff…
阅读更多...
10-tornado项目部署

10-tornado项目部署

1. python3的安装和配置 1.1 安装系统依赖包 sudo dnf install wget yum-utils make gcc openssl-devel bzip2-devel libffi-devel zlib-devel -y1.2 下载Python wget https://www.python.org/ftp/python/3.9.5/Python-3.9.5.tgz1.3 解压 tar xzf Python-3.9.5.tgz 1.4 安装…
阅读更多...
HarmonyOS4.0从零开始的开发教程04 初识ArkTS开发语言(下)

HarmonyOS4.0从零开始的开发教程04 初识ArkTS开发语言(下)

HarmonyOS&#xff08;二&#xff09; 初识ArkTS开发语言&#xff08;下&#xff09;之TypeScript入门 声明式UI基本概念 应用界面是由一个个页面组成&#xff0c;ArkTS是由ArkUI框架提供&#xff0c;用于以声明式开发范式开发界面的语言。 声明式UI构建页面的过程&#xff…
阅读更多...
C练习题13

C练习题13

单项选择题(本大题共20小题,每小题2分,共40分。在每小题给出的四个备选项中,选出一个正确的答案,并将所选项前的字母填写在答题纸的相应位置上。) 1.结构化程序由三种基本结构组成、三种基本结构组成的算法是() A.可以完成任何复杂的任务 B. 只能完成部分复杂的任务 C. 只能完…
阅读更多...
绘图 Seaborn 10个示例

绘图 Seaborn 10个示例

绘图 Seaborn 是什么安装使用显示中文及负号散点图箱线图小提琴图堆叠柱状图分面绘图分类散点图热力图成对关系图线图直方图 是什么 Seaborn 是一个Python数据可视化库&#xff0c;它基于Matplotlib。Seaborn提供了高级的绘图接口&#xff0c;可以用来绘制各种统计图形&#xf…
阅读更多...
Baumer工业相机堡盟工业相机如何通过BGAPISDK将相机图像高速保存到电脑内存(C#)

Baumer工业相机堡盟工业相机如何通过BGAPISDK将相机图像高速保存到电脑内存(C#)

Baumer工业相机堡盟工业相机如何通过BGAPISDK将相机图像高速保存到电脑内存&#xff08;C#&#xff09; Baumer工业相机Baumer工业相机图像保存到电脑内存的技术背景代码分析注册SDK回调函数BufferEvent声明可以存储相机图像的内存序列和名称在图像回调函数中将图像保存在内存序…
阅读更多...
华为配置流量抑制示例

华为配置流量抑制示例

如拓扑图所示&#xff0c;SwitchA作为二层网络到三层路由器的衔接点&#xff0c;需要限制二层网络转发的广播、未知组播和未知单播报文&#xff0c;防止产生广播风暴&#xff0c;同时限制二三层网络转发的已知组播和已知单播报文&#xff0c;防止大流量冲击。 配置思路 用如下…
阅读更多...
利用STM32内置Bootloader实现USB DFU固件升级

利用STM32内置Bootloader实现USB DFU固件升级

本文将介绍如何利用STM32内置的Bootloader来实现USB DFU&#xff08;Device Firmware Upgrade&#xff09;固件升级功能。首先&#xff0c;我们会介绍USB DFU的原理和工作流程。然后&#xff0c;我们将详细讲解如何配置STM32芯片以支持USB DFU&#xff0c;并提供相应的代码示例…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023