报文arp攻击

i目录1ARP攻击防御配置命令·1-11.
1ARP报文限速配置命令1-11.
1.
1arprate-limit1-11.
2ARP主动确认配置命令1-11.
2.
1arpanti-attackactive-ackenable·1-11.
3ARPDetection配置命令1-21.
3.
1arpdetection1-21.
3.
2arpdetectionenable·1-31.
3.
3arpdetectiontrust·1-41.
3.
4arpdetectionvalidate1-41.
3.
5arprestricted-forwardingenable·1-51.
3.
6displayarpdetection1-51.
3.
7displayarpdetectionstatistics1-61.
3.
8resetarpdetectionstatistics·1-71.
4ARP网关保护配置命令1-81.
4.
1arpfiltersource1-81.
5ARP过滤保护配置命令1-91.
5.
1arpfilterbinding·1-91-11ARP攻击防御配置命令1.
1ARP报文限速配置命令1.
1.
1arprate-limit【命令】arprate-limit{disable|rateppsdrop}undoarprate-limit【视图】二层以太网端口视图/二层聚合接口视图【缺省级别】2:系统级【参数】disable:不进行限速.
ratepps:ARP限速速率,单位为包每秒(pps).
取值范围为5~100.
drop:丢弃超出限速部分的报文.
【描述】arprate-limit命令用来配置ARP报文限速功能,可以配置端口ARP报文限速速率,配置对超速ARP报文的处理,或者配置取消ARP报文限速.
undoarprate-limit命令用来恢复缺省情况.
缺省情况下,ARP报文限速功能处于关闭状态.
【举例】#配置二层以太网端口GigabitEthernet1/0/1端口ARP报文限速为50pps,超过限速部分的报文丢弃.
system-view[Sysname]interfaceGigabitEthernet1/0/1[Sysname-GigabitEthernet1/0/1]arprate-limitrate50drop1.
2ARP主动确认配置命令1.
2.
1arpanti-attackactive-ackenable【命令】arpanti-attackactive-ackenableundoarpanti-attackactive-ackenable【视图】系统视图1-2【缺省级别】2:系统级【参数】无【描述】arpanti-attackactive-ackenable命令用来使能ARP主动确认功能.
undoarpanti-attackactive-ackenable命令用来恢复缺省情况.
缺省情况下,ARP主动确认功能处于关闭状态.
ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备.

【举例】#使能ARP主动确认功能.
system-view[Sysname]arpanti-attackactive-ackenable1.
3ARPDetection配置命令1.
3.
1arpdetection【命令】arpdetectionid-number{permit|deny}ip{any|ip-address[ip-address-mask]}mac{any|mac-address[mac-address-mask]}[vlanvlan-id]undoarpdetectionid-number【视图】系统视图【缺省级别】2:系统级【参数】id-number:指定规则的编号,取值范围为0~511,数值越小优先级越高.
deny:表示拒绝转发指定范围内的ARP报文.
permit:表示允许转发指定范围内的ARP报文.
ip{any|ip-address[ip-address-mask]}:指定规则的源IP地址范围.
any表示任意源IP地址.
ip-address表示报文的源IP地址.
ip-address-mask表示源IP地址掩码,采用点分十进制格式表示长度,不配置掩码时ip-address表示主机地址.
mac{any|mac-address[mac-address-mask]}:指定规则的源MAC地址范围.
any表示任意源MAC地址.
mac-address表示源MAC地址,格式为H-H-H.
1-3mac-address-mask表示源MAC地址的掩码,格式为H-H-H.
vlanvlan-id:指定规则应用的VLAN.
其中vlan-id表示规则应用的VLANID,取值范围为1~4094.
【描述】arpdetection命令用来配置用户合法性检查的规则.
undoarpdetection命令用来恢复缺省情况.
缺省情况下,没有配置用户合法性检查的规则.
配置了用户合法性检查的规则,并使能了用户合法性检查功能后,设备对收到的ARP报文首先进行基于配置规则的检查,如果在配置的规则中找到与报文匹配的规则,则按照规则对ARP报文进行处理.
如果在配置的规则中没有找到与报文匹配的规则,继续进行基于IPSourceGuard静态绑定表项的检查、基于DHCPSnooping安全表项的检查、基于802.
1X安全表项的检查.
相关配置可参考命令arpdetectionenable.
【举例】#配置用户合法性检查的规则,并使能用户合法性检查功能.
system-view[Sysname]arpdetection0permitip3.
1.
1.
1255.
255.
0.
0mac0001-0203-0607ffff-ffff-0000[Sysname]vlan1[Sysname-Vlan1]arpdetectionenable1.
3.
2arpdetectionenable【命令】arpdetectionenableundoarpdetectionenable【视图】VLAN视图【缺省级别】2:系统级【参数】无【描述】arpdetectionenable命令用来使能ARPDetection功能,即对ARP报文进行用户合法性检查.
undoarpdetectionenable命令用来恢复缺省情况.
缺省情况下,ARPDetection功能处于关闭状态.
【举例】#使能ARPDetection功能.
system-view[Sysname]vlan1[Sysname-Vlan1]arpdetectionenable1-41.
3.
3arpdetectiontrust【命令】arpdetectiontrustundoarpdetectiontrust【视图】二层以太网端口视图/二层聚合接口视图【缺省级别】2:系统级【参数】无【描述】arpdetectiontrust命令用来配置端口为ARP信任端口.
undoarpdetectiontrust命令用来恢复缺省情况.
缺省情况下,端口为ARP非信任端口.
【举例】#配置二层以太网端口GigabitEthernet1/0/1为ARP信任端口.
system-view[Sysname]interfaceGigabitEthernet1/0/1[Sysname-GigabitEthernet1/0/1]arpdetectiontrust1.
3.
4arpdetectionvalidate【命令】arpdetectionvalidate{dst-mac|ip|src-mac}*undoarpdetectionvalidate[dst-mac|ip|src-mac]*【视图】系统视图【缺省级别】2:系统级【参数】dst-mac:检查ARP应答报文中的目的MAC地址,是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致.
全0、全1、不一致的报文都是无效的,无效的报文需要被丢弃.