配置arp断网攻击

H3C低端以太网交换机典型配置案例ARP攻击防御目录i目录第1章ARP攻击防御功能介绍.
1-11.
1ARP攻击简介1-11.
2ARP攻击防御1-41.
2.
1DHCPSnooping功能.
1-41.
2.
2IP静态绑定功能1-51.
2.
3ARP入侵检测功能1-51.
2.
4ARP报文限速功能1-61.
2.
5CAMS下发网关配置功能.
1-61.
3ARP攻击防御配置指南.
1-71.
4支持ARP攻击防御功能的产品列表.
1-8第2章ARP攻击防御配置举例.
2-12.
1DHCP监控模式下的ARP攻击防御配置举例.
2-12.
1.
1组网需求.
2-12.
1.
2组网图.
2-22.
1.
3配置思路.
2-22.
1.
4配置步骤.
2-22.
1.
5注意事项.
2-62.
2认证模式下的ARP攻击防御配置举例.
2-72.
2.
1组网需求.
2-72.
2.
2组网图.
2-72.
2.
3配置思路.
2-82.
2.
4配置步骤.
2-82.
2.
5注意事项.
2-19H3C低端以太网交换机典型配置案例ARP攻击防御摘要iiARP攻击防御配置举例关键词:ARP、DHCPSnooping摘要:本文主要介绍如何利用以太网交换机DHCP监控模式或认证方式下的ARP攻击防御功能,防止校园网中常见的"仿冒网关"、"欺骗网关"、"欺骗终端用户"、ARP泛洪等攻击形式.
同时,详细描述了组网中各个设备的配置步骤和配置注意事项,指导用户进行实际配置.
缩略语:ARP(AddressResolutionProtocol,地址解析协议)MITM(Man-In-The-Middle,中间人攻击)H3C低端以太网交换机典型配置案例ARP攻击防御第1章ARP攻击防御功能介绍1-1第1章ARP攻击防御功能介绍近来,许多校园网络都出现了ARP攻击现象.
严重者甚至造成大面积网络不能正常访问外网,学校深受其害.
H3C公司根据ARP攻击的特点,提出了"全面防御,模块定制"的ARP攻击防御理念,并给出了两种解决方案.
(1)DHCP监控模式下的ARP攻击防御解决方案这种方式适合动态分配IP地址的网络场景,需要接入交换机支持DHCPSnooping功能.
通过全网部署,可以有效的防御"仿冒网关"、"欺骗网关"、"欺骗终端用户"、"ARP中间人攻击"、"ARP泛洪攻击"等校园网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件,简化了网络配置.
(2)认证方式下的ARP攻击防御解决方案这种方式适合网络中动态分配IP地址和静态分配IP地址共存的网络场景,且只能防御"仿冒网关"的ARP攻击方式.
它不需要在接入交换机上进行特殊的防攻击配置,只需要客户端通过认证协议(802.
1x)登录网络,认证服务器(如CAMS服务器)会识别客户端,并下发网关的IP/MAC对应关系给客户端,来防御"仿冒网关"攻击.
1.
1ARP攻击简介按照ARP协议的设计,一个主机即使收到的ARP应答并非自身请求得到的,也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中.
这样可以减少网络上过多的ARP数据通信,但也为"ARP欺骗"创造了条件.
校园网中,常见的ARP攻击有如下几种形式.
(1)仿冒网关攻击者伪造ARP报文,发送源IP地址为网关IP地址,源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系.
这样一来,主机访问网关的流量,被重定向到一个错误的MAC地址,导致该用户无法正常访问外网.
H3C低端以太网交换机典型配置案例ARP攻击防御第1章ARP攻击防御功能介绍1-2图1-1"仿冒网关"攻击示意图(2)欺骗网关攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系.
这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网.
GatewaySwitchHostAHostAMAC图1-2"欺骗网关"攻击示意图(3)欺骗终端用户攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机;使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系.
这样一来,网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址,同网段内的用户无法正常互访.
H3C低端以太网交换机典型配置案例ARP攻击防御第1章ARP攻击防御功能介绍1-3图1-3"欺骗终端用户"攻击示意图(4)"中间人"攻击ARP"中间人"攻击,又称为ARP双向欺骗.
如图1-4所示,HostA和HostC通过Switch进行通信.
此时,如果有恶意攻击者(HostB)想探听HostA和HostC之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文,使HostA和HostC用MAC_B更新自身ARP映射表中与对方IP地址相应的表项.
此后,HostA和HostC之间看似"直接"的通信,实际上都是通过黑客所在的主机间接进行的,即HostB担当了"中间人"的角色,可以对信息进行了窃取和篡改.
这种攻击方式就称作"中间人(Man-In-The-Middle)攻击".
GatewaySwitchHostAHostCHostB()ARPARP图1-4ARP"中间人"攻击示意图(5)ARP报文泛洪攻击H3C低端以太网交换机典型配置案例ARP攻击防御第1章ARP攻击防御功能介绍1-4恶意用户利用工具构造大量ARP报文发往交换机的某一端口,导致CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪.
1.
2ARP攻击防御H3C公司根据ARP攻击的特点,给出了DHCP监控模式下的ARP攻击防御解决方案和认证模式下的ARP攻击防御解决方案.
前者通过接入交换机上开启DHCPSnooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能,可以防御常见的ARP攻击;后者不需要在接入交换机上进行防攻击配置,而需要通过CAMS服务器下发网关的IP/MAC对应关系给客户端,防御"仿冒网关"攻击.
详见表1-1.
表1-1常见网络攻击和防范对照表攻击方式防御方法动态获取IP地址的用户进行"仿冒网关"、"欺骗网关"、"欺骗终端用户"、"ARP中间人攻击"配置DHCPSnooping、ARP入侵检测功能手工配置IP地址的用户进行"仿冒网关"、"欺骗网关"、"欺骗终端用户"、"ARP中间人攻击"配置IP静态绑定表项、ARP入侵检测功能ARP泛洪攻击配置ARP报文限速功能动态和手工配置IP地址的用户进行"仿冒网关"攻击配置认证模式的ARP攻击防御解决方案(CAMS下发网关配置功能)1.
2.
1DHCPSnooping功能DHCPSnooping是运行在二层接入设备上的一种DHCP安全特性.
(1)通过监听DHCP报文,记录DHCP客户端IP地址与MAC地址的对应关系;(2)通过设置DHCPSnooping信任端口,保证客户端从合法的服务器获取IP地址.
z信任端口正常转发接收到的DHCP报文,从而保证了DHCP客户端能够从DHCP服务器获取IP地址.
z不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文,从而防止了DHCP客户端获得错误的IP地址.
H3C低端以太网交换机典型配置案例ARP攻击防御第1章ARP攻击防御功能介绍1-5说明:目前H3C低端以太网交换机上开启DHCPSnooping功能后,所有端口默认被配置为DHCPSnooping非信任端口.
为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内.
1.
2.
2IP静态绑定功能DHCPSnooping表只记录了通过DHCP方式动态获取IP地址的客户端信息,如果用户手工配置了固定IP地址,其IP地址、MAC地址等信息将不会被DHCPSnooping表记录.
因此,交换机支持手工配置IP静态绑定表的表项,实现用户的IP地址、MAC地址及接入交换机连接该用户的端口之间的绑定关系.
这样,该固定用户的报文就不会被ARP入侵检测功能过滤.
1.
2.
3ARP入侵检测功能H3C低端以太网交换机支持将收到的ARP(请求与回应)报文重定向到CPU,结合DHCPSnooping安全特性来判断ARP报文的合法性并进行处理,具体如下.
z当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCPSnooping表项或者手工配置的IP静态绑定表项匹配,且ARP报文的入端口及其所属VLAN与DHCPSnooping表项或者手工配置的IP静态绑定表项一致,则为合法ARP报文,进行转发处理.
z当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCPSnooping表项或者手工配置的IP静态绑定表项不匹配,或ARP报文的入端口,入端口所属VLAN与DHCPSnooping表项或者手工配置的IP静态绑定表项不一致,则为非法ARP报文,直接丢弃.
说明:zDHCPSnooping表只记录了通过DHCP方式动态获取IP地址的客户端信息.
如果固定IP地址的用户需要访问网络,必须在交换机上手工配置IP静态绑定表的表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系.
z实际组网中,为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能.
对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查看DHCPSnooping表或手工配置的IP静态绑定表进行检测.
H3C低端以太网交换机典型配置案例ARP攻击防御第1章ARP攻击防御功能介绍1-61.
2.
4ARP报文限速功能H3C低端以太网交换机支持端口ARP报文限速功能,使受到攻击的端口暂时关闭,来避免此类攻击对CPU的冲击.
开启某个端口的ARP报文限速功能后,交换机对每秒内该端口接收的ARP报文数量进行统计,如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状态(即受到ARP报文攻击).
此时,交换机将关闭该端口,使其不再接收任何报文,从而避免大量ARP报文攻击设备.
同时,设备支持配置端口状态自动恢复功能,对于配置了ARP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态.
1.
2.
5CAMS下发网关配置功能CAMS(ComprehensiveAccessManagementServer,综合访问管理服务器)作为网络中的业务管理核心,可以与以太网交换机等网络产品共同组网,完成用户的认证、授权、计费和权限管理.
如图1-5所示.
IPnetworkCAMSSwitchASwtichBGatewayHostAHostCHostBHostD图1-5CAMS组网示意图认证模式的ARP攻击防御解决方案,不需要在接入交换机上进行特殊的防攻击配置,只需要客户端通过802.
1x认证登录网络,并在CAMS上进行用户网关的设置,CAMS会通过接入交换机,下发网关的IP/MAC对应关系给客户端,来防御"仿冒网关"攻击.
H3C低端以太网交换机典型配置案例ARP攻击防御第1章ARP攻击防御功能介绍1-71.
3ARP攻击防御配置指南表1-2ARP攻击防御配置任务操作命令说明-进入系统视图system-view-进入以太网端口视图interfaceinterface-typeinterface-number-设置指定端口为DHCPSnooping信任端口dhcp-snoopingtrust必选缺省情况下,交换机的端口均为不信任端口退出至系统视图quit-配置DHCPSnooping功能记录DHCP客户端的IP/MAC对应关系开启交换机DHCPSnooping功能dhcp-snooping必选缺省情况下,以太网交换机的DHCPSnooping功能处于禁止状态进入以太网端口视图interfaceinterface-typeinterface-number-配置IP静态绑定表项ipsourcestaticbindingip-addressip-address[mac-addressmac-address]可选缺省情况下,没有配置IP静态绑定表项配置指定端口的IP静态绑定表项退出至系统视图quit-进入以太网端口视图interfaceinterface-typeinterface-number-配置ARP信任端口arpdetectiontrust可选缺省情况下,端口为ARP非信任端口退出至系统视图quit-进入VLAN视图vlanvlan-id-开启ARP入侵检测功能arpdetectionenable必选缺省情况下,指定VLAN内所有端口的ARP入侵检测功能处于关闭状态配置ARP入侵检测功能,防御常见的ARP攻击退出至系统视图quit-H3C低端以太网交换机典型配置案例ARP攻击防御第1章ARP攻击防御功能介绍1-8任务操作命令说明进入以太网端口视图interfaceinterface-typeinterface-number-开启ARP报文限速功能arprate-limitenable必选缺省情况下,端口的ARP报文限速功能处于关闭状态配置允许通过端口的ARP报文的最大速率arprate-limitrate可选缺省情况下,端口能通过的ARP报文的最大速率为15pps退出至系统视图quit-开启因ARP报文超速而被关闭的端口的状态自动恢复功能arpprotective-downrecoverenable可选缺省情况下,交换机的端口状态自动恢复功能处于关闭状态配置ARP限速功能配置因ARP报文超速而被关闭的端口的端口状态自动恢复时间arpprotective-downrecoverintervalinterval可选缺省情况下,开启端口状态自动恢复功能后,交换机的端口状态自动恢复时间为300秒说明:有关各款交换机支持的ARP攻击防御功能的详细介绍和配置命令,请参见各产品的操作、命令手册.
1.
4支持ARP攻击防御功能的产品列表表1-3支持ARP攻击防御功能的产品列表功能产品型号DHCPSnoopingARP入侵检测IP静态绑定ARP报文限速S5600(Release1602)zzzzS5100-EI(Release2200)zzzzS5100-SI(Release2200)zzzzS3600-EI(Release1602)zzzzS3600-SI(Release1602)zzzzS3100-EI(Release2104)zzzzS3100-52P(Release1602)zzzzH3C低端以太网交换机典型配置案例ARP攻击防御第1章ARP攻击防御功能介绍1-9功能产品型号DHCPSnoopingARP入侵检测IP静态绑定ARP报文限速E352/E328(Release1602)zzzzE152(Release1602)zzzzE126A(Release2104)zzzz说明:有关各款交换机支持的ARP攻击防御功能的详细介绍,请参见各产品的操作手册.
H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-1第2章ARP攻击防御配置举例2.
1DHCP监控模式下的ARP攻击防御配置举例2.
1.
1组网需求某校园网内大部分用户通过接入设备连接网关和DHCP服务器,动态获取IP地址.
管理员通过在接入交换机上全面部署ARP攻击防御相关特性,形成保护屏障,过滤掉攻击报文.
详细网络应用需求分析如下.
z校园网用户分布在两个区域Hostarea1和Hostarea2,分别属于VLAN10和VLAN20,通过接入交换机SwitchA和SwitchB连接到网关Gateway,最终连接外网和DHCP服务器.
zHostarea1所在子网内拥有一台TFTP服务器,其IP地址为192.
168.
0.
10/24,MAC地址为000d-85c7-4e00.
z为防止仿冒网关、欺骗网关等ARP攻击形式,开启SwitchA上VLAN10内、SwitchB上VLAN20内ARP入侵检测功能,设置SwitchA和SwitchB的端口Ethernet1/0/1为ARP信任端口.
z为防止ARP泛洪攻击,在SwitchA和SwitchB所有直接连接客户端的端口上开启ARP报文限速功能.
同时,开启因ARP报文超速而被关闭的端口的状态自动恢复功能,并设置恢复时间间隔100秒.
H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-22.
1.
2组网图IPnetworkSwitchASwtichBGatewayDHCPserverEth1/0/1Eth1/0/3TFTPserverIP:192.
168.
0.
10/24Eth1/0/3Eth1/0/1Vlan-int10192.
168.
0.
1/24Eth1/0/1HostAHostCVlan-int20192.
168.
1.
1/24Eth1/0/2Eth1/0/4Eth1/0/2HostBEth1/0/3Eth1/0/4Eth1/0/2HostEHostDVLAN10Hostarea1VLAN20Hostarea2图2-1DHCP监控模式下的ARP攻击防御组网示意图2.
1.
3配置思路z在接入交换机SwitchA和SwitchB上开启DHCPsnooping功能,并配置与DHCP服务器相连的端口为DHCPsnooping信任端口.
z在接入交换机SwitchA上为固定IP地址的TFTP服务器配置对应的IP静态绑定表项.
z在接入交换机SwitchA和SwitchB对应VLAN上开启ARP入侵检测功能,并配置其上行口为ARP信任端口.
z在接入交换机SwitchA和SwitchB直接连接客户端的端口上配置ARP报文限速功能,同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能.
2.
1.
4配置步骤1.
使用的版本本举例中使用的接入交换机SwitchA和SwitchB为E126A系列以太网交换机Release2104.
H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-32.
配置客户端动态获取IP地址.
图2-2配置客户端自动获取IP地址示意图3.
配置SwitchA#创建VLAN10,并将端口Ethernet1/0/1到Ethernet1/0/4加入VLAN10中.
system-view[SwitchA]vlan10[SwitchA-vlan10]portEthernet1/0/1toEthernet1/0/4[SwitchA-vlan10]quit#配置SwitchA的上行口为DHCPsnooping信任端口.
[SwitchA]interfaceethernet1/0/1[SwitchA-Ethernet1/0/1]dhcp-snoopingtrust[SwitchA-Ethernet1/0/1]quit#开启DHCPsnooping.
[SwitchA]dhcp-snooping#在SwitchA的端口Ethernet1/0/4上配置IP静态绑定表项.
[SwitchA]interfaceEthernet1/0/4[SwitchA-Ethernet1/0/4]ipsourcestaticbindingip-address192.
168.
0.
10H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-4mac-address000d-85c7-4e00[SwitchA-Ethernet1/0/4]quit#配置SwitchA的上行口为ARP信任端口.
[SwitchA]interfaceethernet1/0/1[SwitchA-Ethernet1/0/1]arpdetectiontrust[SwitchA-Ethernet1/0/1]quit#开启VLAN10内所有端口的ARP入侵检测功能.
[SwitchA]vlan10[SwitchA-vlan10]arpdetectionenable[SwitchA-vlan10]quit#开启SwitchA的端口Ethernet1/0/2、Ethernet1/0/3上的ARP报文限速功能.
[SwitchA]interfaceEthernet1/0/2[SwitchA-Ethernet1/0/2]arprate-limitenable[SwitchA-Ethernet1/0/2]arprate-limit20[SwitchA-Ethernet1/0/2]quit[SwitchA]interfaceEthernet1/0/3[SwitchA-Ethernet1/0/3]arprate-limitenable[SwitchA-Ethernet1/0/3]arprate-limit20[SwitchA-Ethernet1/0/3]quit#配置端口状态自动恢复功能,恢复时间间隔为100秒.
[SwitchA]arpprotective-downrecoverenable[SwitchA]arpprotective-downrecoverinterval100#配置网关的缺省路由.
[SwitchA]iproute-static0.
0.
0.
00192.
168.
0.
14.
配置SwitchB#创建VLAN20,并将相应端口加入VLAN20中.
system-view[SwitchB]vlan20[SwitchB-vlan20]portEthernet1/0/1toEthernet1/0/4[SwitchB-vlan20]quit#配置SwitchB的上行口为DHCPsnooping信任端口.
[SwitchB]interfaceethernet1/0/1[SwitchB-Ethernet1/0/1]dhcp-snoopingtrust[SwitchB-Ethernet1/0/1]quit#开启DHCPsnooping.
[SwitchB]dhcp-snoopingH3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-5#配置SwitchB的上行口为ARP信任端口.
[SwitchB]interfaceethernet1/0/1[SwitchB-Ethernet1/0/1]arpdetectiontrust[SwitchB-Ethernet1/0/1]quit#开启VLAN20内所有端口的ARP入侵检测功能.
[SwitchB]vlan20[SwitchB-vlan20]arpdetectionenable[SwitchB-vlan20]quit#开启SwitchB的端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4上的ARP报文限速功能.
[SwitchB]interfaceEthernet1/0/2[SwitchB-Ethernet1/0/2]arprate-limitenable[SwitchB-Ethernet1/0/2]arprate-limit20[SwitchB-Ethernet1/0/2]quit[SwitchB]interfaceEthernet1/0/3[SwitchB-Ethernet1/0/3]arprate-limitenable[SwitchB-Ethernet1/0/3]arprate-limit20[SwitchB-Ethernet1/0/3]quit[SwitchB]interfaceEthernet1/0/4[SwitchB-Ethernet1/0/4]arprate-limitenable[SwitchB-Ethernet1/0/4]arprate-limit20[SwitchB-Ethernet1/0/4]quit#配置端口状态自动恢复功能,恢复时间间隔为100秒.
[SwitchB]arpprotective-downrecoverenable[SwitchB]arpprotective-downrecoverinterval100#配置网关的缺省路由.
[SwitchB]iproute-static0.
0.
0.
00192.
168.
1.
15.
配置Gatewaysystem-view#创建VLAN10和VLAN20,并添加相应端口.
[Gateway]vlan10[Gateway–vlan10]portEthernet1/0/1[Gateway–vlan10]quit[Gateway]vlan20[Gateway–vlan20]portEthernet1/0/2[Gateway–vlan20]quit#配置Vlan-interface10的IP地址为192.
168.
0.
1/24.
H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-6[Gateway]interfacevlan10[Gateway-Vlan-interface10]ipaddress192.
168.
0.
124[Gateway-Vlan-interface10]quit#配置Vlan-interface20的IP地址为192.
168.
1.
1/24.
[Gateway]interfacevlan20[Gateway-Vlan-interface20]ipaddress192.
168.
1.
124[Gateway-Vlan-interface20]quit6.
配置DHCP服务器由于作为DHCP服务器的设备不同,所需进行的配置也不同,故此处从略.
具体配置请参考DHCP服务器的配置手册.
2.
1.
5注意事项z配置ARP入侵检测功能之前,需要先在交换机上开启DHCPSnooping功能,并设置DHCPSnooping信任端口,否则所有ARP报文将都不能通过ARP入侵检测.
z目前,H3C低端以太网交换机上开启DHCPSnooping功能后,所有端口默认被配置为DHCPSnooping非信任端口.
为了使DHCP客户端能从合法的DHCP服务器获取IP地址,必须将与合法DHCP服务器相连的端口设置为信任端口,设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内.
zDHCPSnooping表只记录了通过DHCP方式动态获取IP地址的客户端信息.
如果固定IP地址的用户需要访问网络,必须在交换机上手工配置IP静态绑定表的表项,即:用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系.
z目前,H3C系列以太网交换机在端口上配置的IP静态绑定表项,其所属VLAN为端口的缺省VLANID.
因此,如果ARP报文的VLANTAG与端口的缺省VLANID值不同,报文将无法通过根据IP静态绑定表项进行的ARP入侵检测.
zH3C系列以太网交换机上手工配置的IP静态绑定表项的优先级高于DHCPSnooping动态表项.
具体表现在:如果手工配置的IP静态绑定表项中的IP地址与已存在的DHCPSnooping动态表项的IP地址相同,则覆盖DHCPSnooping动态表项的内容;如果先配置了IP静态绑定表项,再开启交换机的DHCPSnooping功能,则DHCP客户端不能通过该交换机获取到IP静态绑定表项中已经存在的IP地址.
H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-7z实际组网中,为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题,交换机支持通过配置ARP信任端口,灵活控制ARP报文检测功能.
对于来自信任端口的所有ARP报文不进行检测,对其它端口的ARP报文通过查看DHCPSnooping表或手工配置的IP静态绑定表进行检测.
z建议用户不要在汇聚组中的端口上配置ARP入侵检测、ARP报文限速功能.
2.
2认证模式下的ARP攻击防御配置举例2.
2.
1组网需求某校园网内大部分用户通过接入设备连接网关和外网的服务器.
管理员希望通过客户端和服务器间的认证机制,在客户端绑定网关的IP/MAC对应关系,过滤掉仿冒网关的ARP攻击报文.
详细网络应用需求分析如下:z接入用户可以通过DHCP自动获取IP地址,也可以手工配置静态IP地址.
但需要安装802.
1x客户端,即:通过802.
1x认证才能访问网络.
z服务器采用H3C公司的CAMS认证/授权、计费服务器;CAMS通过将网关的IP-MAC对应关系下发到认证客户端,防止用户端的网关仿冒等ARP攻击.
z接入交换机需要开启802.
1x和AAA相关配置.
2.
2.
2组网图图2-3认证模式下的ARP攻击防御组网示意图H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-82.
2.
3配置思路z用户安装802.
1x客户端,即需要通过802.
1x认证才能访问网络.
z接入交换机SwitchA和SwitchB上开启802.
1x和AAA相关配置.
z通过CAMS服务器将网关的IP-MAC对应关系下发到认证客户端,防止用户端的网关仿冒等ARP攻击.
2.
2.
4配置步骤1.
配置SwitchA#创建VLAN10,并添加相应端口.
system-view[SwitchA]vlan10[SwitchA-vlan10]portEthernet1/0/1toEthernet1/0/3[SwitchA-vlan10]quit#设置RADIUS方案cams,设置主服务器.
[SwitchA]radiusschemecams[SwitchA-radius-cams]primaryauthentication10.
10.
1.
1[SwitchA-radius-cams]accountingoptional#设置系统与认证Radius服务器交互报文时加密密码为expert.
[SwitchA-radius-cams]keyauthenticationexpert#设置用户名为不带域名格式.
[SwitchA-radius-cams]user-name-formatwithout-domain#服务类型为extended.
[SwitchA-radius-cams]server-typeextended[SwitchA-radius-cams]quit#定义ISP域host,并配置认证采用RADIUS方案cams.
[SwitchA]domainhost[SwitchA-isp-host]radius-schemecams[SwitchA-isp-host]quit#将ISP域host设置为缺省ISP域.
[SwitchA]domaindefaultenablehost#交换机全局开启802.
1x功能.
[SwitchA]dot1x#在端口Ethernet1/0/2下开启802.
1x功能.
[SwitchA]interfaceEthernet1/0/2H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-9[SwitchA-Ethernet1/0/2]dot1x[SwitchA-Ethernet1/0/2]quit#在端口Ethernet1/0/3下开启802.
1x功能.
[SwitchA]interfaceEthernet1/0/3[SwitchA-Ethernet1/0/3]dot1x[SwitchA-Ethernet1/0/3]quit#配置网关的缺省路由[SwitchA]iproute-static0.
0.
0.
00192.
168.
0.
12.
配置SwitchB#创建VLAN20,并添加相应端口.
system-view[SwitchB]vlan20[SwitchB-vlan20]portEthernet1/0/1toEthernet1/0/4[SwitchB-vlan20]quit#设置RADIUS方案cams,设置主服务器.
[SwitchB]radiusschemecams[SwitchB-radius-cams]primaryauthentication10.
10.
1.
1[SwitchB-radius-cams]accountingoptional#设置系统与认证Radius服务器交互报文时加密密码为expert.
[SwitchB-radius-cams]keyauthenticationexpert#设置用户名为不带域名格式.
[SwitchB-radius-cams]user-name-formatwithout-domain#服务类型为extended.
[SwitchB-radius-cams]server-typeextended[SwitchB-radius-cams]quit#定义ISP域host,并配置认证采用RADIUS方案cams.
[SwitchB]domainhost[SwitchB-isp-host]radius-schemecams[SwitchB-isp-host]quit#将ISP域host设置为缺省ISP域.
[SwitchB]domaindefaultenablehost#交换机全局开启802.
1x功能.
[SwitchB]dot1x#在端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4开启802.
1x功能.
[SwitchB]interfaceEthernet1/0/2H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-10[SwitchB-Ethernet1/0/2]dot1x[SwitchB-Ethernet1/0/2]quit[SwitchB]interfaceEthernet1/0/3[SwitchB-Ethernet1/0/3]dot1x[SwitchB-Ethernet1/0/3]quit[SwitchB]interfaceEthernet1/0/4[SwitchB-Ethernet1/0/4]dot1x[SwitchB-Ethernet1/0/4]quit#配置网关的缺省路由.
[SwitchB]iproute-static0.
0.
0.
00192.
168.
1.
13.
配置Gatewaysystem-view#创建VLAN10和VLAN20,并添加端口[Gateway]vlan10[Gateway–vlan10]portEthernet1/0/1[Gateway–vlan10]quit[Gateway]vlan20[Gateway–vlan20]portEthernet1/0/2[Gateway–vlan20]quit#配置Vlan-interface10的IP地址为192.
168.
0.
1/24.
[Gateway]interfacevlan10[Gateway-Vlan-interface10]ipaddress192.
168.
0.
124[Gateway-Vlan-interface10]quit#配置Vlan-interface20的IP地址为192.
168.
1.
1/24.
[Gateway]interfacevlan20[Gateway-Vlan-interface20]ipaddress192.
168.
1.
124[Gateway-Vlan-interface20]quit4.
配置RADIUSServer(以CAMS2.
10-R0210为例)(1)在登录页面输入正确的用户名、密码登录CAMS服务器(2)创建服务类型登录CAMS服务器配置平台,点击左侧的"服务管理"下的"服务配置",进入"服务配置"界面,如图所示.
H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-11图2-4服务配置页面点击"服务配置"界面上方的"增加"按钮:z"基本信息"中设置服务名为"Host".
z"认证客户端配置"选择"仅限CAMS配套客户端";"IP地址获取方式"选择"不限".
图2-5增加服务页面点击确定,成功添加服务类型.
(3)添加帐户用户(以组网图中用户"Host"帐号的创建为例)登录CAMS服务器配置平台,点击左侧的"用户管理"的"帐号用户",进入"帐户管理"界面.
H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-12图2-6用户帐户界面点击"增加"按钮后:z设置用户为"Host",密码为"Host",用户姓名为"Host".
z在"服务信息"一栏,选择服务名称"Host".
图2-7用户开户页面点击确定完成用户添加.
(4)接入设备配置H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-13登录CAMS服务器配置平台,点击左侧的"系统管理"的"系统配置",进入"系统配置"界面.
图2-8系统配置页面选择修改"接入设备配置"界面.
点击页面下方的"增加"按钮,增加配置项.
配置接入用户的IP地址,共享密钥等信息,如下图所示.
图2-9增加配置项页面点击确定后,可以看到如下提示:图2-10操作成功提示此时需要返回"系统配置"页面,点击"立即生效".
H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-14图2-11系统配置页面的立即生效按钮(5)用户网关配置登录CAMS服务器配置平台,点击左侧的"系统管理"的"系统配置",进入"系统配置"界面.
图2-12系统配置页面选择修改"用户网关配置",可以增加或修改网关的地址等信息.
继续点击页面下方的"增加"按钮,增加配置项.
(以图2-3中,网关Vlan-interface1接口为例)图2-13用户网关配置列表页面点击"确定",返回"系统配置"页面,点击"立即生效".
完成用户网关配置.
H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-155.
配置客户端接入用户PC上需要安装H3C公司iNode客户端产品.
具体配置如下.
(1)启动客户端图2-14客户端页面(2)选择"802.
1x协议"点击下一步:H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-16图2-15新建802.
1x连接选择"普通连接",点击"下一步".
图2-16选择普通连接H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-17(3)设置用户名和密码点击下一步:图2-17设置用户名和密码(4)设置连接属性点击下一步:H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-18图2-18设置连接属性(5)完成连接的创建图2-19连接创建成功H3C低端以太网交换机典型配置案例ARP攻击防御第2章ARP攻击防御配置举例2-19(6)启动连接图2-20启动连接2.
2.
5注意事项z如果接入用户的网段过多,可能导致无法将全部网关的IP-MAC对应关系下发到认证客户端.
CAMS服务器上"用户网关配置"的最大数目,和接入交换机最多支持的网关ARP信息的下发数目,请参考相应的产品规格.
z接入交换机上RADIUS策略,需要配置为server-typeextended.