華為最新ARP防護
ARP 報文限速功能簡介:
為了防止“中間人攻擊”,裝置通過開啟ARP 入侵檢測功能,將ARP 報文上送到
CPU 處理,判斷ARP 報文的合法性後進行轉發或丟棄。但是,這樣引入了新的問
題:如果攻擊者惡意構造大量ARP 報文發往交換機的某一埠,會導致CPU 負擔過重,從而造成其他功能無法正常執行甚至裝置癱瘓。S3900 系列乙太網交換機支
持埠ARP 報文限速功能,使受到攻擊的埠暫時關閉,來避免此類攻擊對CPU
的衝擊。
開啟某個埠的ARP 報文限速功能後,交換機對每秒內該埠接收的ARP 報文數
量進行統計,如果每秒收到的ARP 報文數量超過設定值,則認為該埠處於超速狀
態(即受到ARP 報文攻擊)。此時,交換機將關閉該埠,使其不再接收任何報文,
從而避免大量ARP 報文攻擊裝置。
同時,裝置支援配置埠狀態自動恢復功能,對於配置了ARP 限速功能的埠,在
其因超速而被交換機關閉後,經過一段時間可以自動恢復為開啟狀態。
配置例項:
配置ARP監測速率
interface Ethernet1/0/8
port access vlan 148
arp rate-limit enable(開啟ARP監測功能)
arp rate-limit 50 (設定ARP監測速率為每秒鐘50個ARP包)
配置自動關閉埠功能:
在全域性模式下:
arp protective-down recover enable(開啟交換機埠自動恢復功能)
arp protective-down recover interval 15(設定自動恢復時間為15秒)測試結果:
%Apr 2 00:27:30:089 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is UP
%Apr 2 00:27:52:170 2000 LINPINGJIEDAO_3952_ DHCP-SNP/5/arp_overspeed:- 1 -
PacketLimit: ARP packet rate(52pps) exceeded on interface Ethernet1/0/8. The port will be down!
(ARP包超過設定速率,此埠將關閉)
%Apr 2 00:27:52:348 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is DOWN
%Apr 2 00:42:51:858 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is UP(15秒後,埠自動開啟)
檢視交換機埠狀態:
<3952>dis brief interface (注意第8口的狀態為PTC)
Interface:
Eth - Ethernet GE - GigabitEthernet TENGE - tenGigabitEthernet
Loop - LoopBack Vlan - Vlan-interface Cas - Cascade
Speed/Duplex:
A - auto-negotiation
Interface Link Speed Duplex Type PVID Description
--------------------------------------------------------------------------------
Aux1/0/0 UP -- -- -- --
Eth1/0/1 UP A100M Afull trunk 1 uplink-TANGXIZHEN_3952
Eth1/0/2 ADM DOWN A A trunk 1
Eth1/0/3 ADM DOWN A A trunk 1
Eth1/0/4 ADM DOWN A A trunk 1
Eth1/0/5 DOWN A A access 902
Eth1/0/6 UP A100M Afull access 902 GuangJiSheQu
Eth1/0/7 DOWN A A access 902
Eth1/0/8 PTC DOWN A A access 902 (注意第8口的狀態為PTC)
注意事項:
1、這個功能需要3900系列1602以上版本才能支援,其他型號的交換機暫時沒有研究;
2、arp包的速率限制要根據具體環境而設定,需要測試後才能鋪開實施;
3、如果要手動開啟被關閉的埠,可以使用undo shutdown開啟;