在局域网环境中,ARP(地址解析协议)攻击是最常见的网络安全威胁之一。攻击者通过发送伪造ARP报文,恶意篡改网络设备或主机的ARP表项,导致报文转发异常、网络中断甚至数据泄露。本文将针对HUAWEI和H3C两大主流品牌交换机,提供一套完整的防ARP攻击配置方案,涵盖攻击检测、报文过滤、表项防护等核心功能,帮助网络管理员快速构建安全的局域网环境。
一、ARP攻击核心危害与防御逻辑
常见ARP攻击分为两类:一是ARP欺骗攻击(仿冒网关或主机发送伪造ARP报文,篡改ARP表项);二是ARP泛洪攻击(发送大量ARP报文占用设备CPU资源,导致设备瘫痪)。
核心防御逻辑:通过表项固化防止ARP表被篡改、通过报文校验过滤非法ARP报文、通过速率限制抵御泛洪攻击、通过网关保护防范仿冒网关攻击,形成全链路防护体系。
二、HUAWEI交换机防ARP攻击配置
本文以HUAWEI S系列交换机(V200版本)为例,配置步骤涵盖全局防护、接口防护、表项加固三大模块,所有配置均在命令行界面(CLI)完成。
2.1 前置准备:进入系统视图
登录交换机后,先进入特权模式,再进入系统视图(配置的基础视图):
|
bash
<HUAWEI> system-view # 进入系统视图
[HUAWEI] sysname Switch-ARP-Defense # 可选:修改交换机名称,便于管理 |
2.2 核心配置1:ARP表项加固(防欺骗核心)
通过ARP表项固化和严格学习功能,防止伪造ARP报文篡改表项。支持全局或VLANIF接口级配置,按需选择。
2.2.1 配置ARP表项固化(固定MAC模式)
固化模式为固定MAC时,交换机仅学习指定MAC地址的ARP表项,拒绝其他非法表项更新:
|
bash
[Switch-ARP-Defense] arp anti-attack entry-check fixed-mac enable # 全局开启固定MAC模式固化
# 若需针对特定VLAN配置,进入对应VLANIF接口配置(优先级高于全局)
[Switch-ARP-Defense] interface Vlanif 10 # 进入VLAN 10的三层接口
[Switch-ARP-Defense-Vlanif10] arp anti-attack entry-check fixed-mac enable
[Switch-ARP-Defense-Vlanif10] quit |
2.2.2 配置ARP表项严格学习
开启后,交换机仅从合法接口学习ARP表项,避免跨接口伪造报文攻击:
|
bash
[Switch-ARP-Defense] arp learning strict # 全局开启严格学习
# 针对特定接口强制开启(适用于核心业务接口)
[Switch-ARP-Defense] interface GigabitEthernet 1/0/1 # 进入接入用户的接口
[Switch-ARP-Defense-GigabitEthernet1/0/1] arp learning strict force-enable
[Switch-ARP-Defense-GigabitEthernet1/0/1] quit |
2.3 核心配置2:非法ARP报文过滤
通过校验ARP报文的MAC地址一致性、丢弃伪造免费ARP报文,过滤非法攻击报文。
2.3.1 ARP报文MAC地址一致性检查
检查以太网帧首部源MAC与ARP报文内源MAC是否一致,不一致则判定为攻击报文并丢弃:
|
bash
[Switch-ARP-Defense] interface GigabitEthernet 1/0/1 # 进入用户接入接口
[Switch-ARP-Defense-GigabitEthernet1/0/1] arp validate source-mac destination-mac # 开启一致性检查
[Switch-ARP-Defense-GigabitEthernet1/0/1] quit
# 全局开启发送端MAC校验(补充防护)
[Switch-ARP-Defense] arp anti-attack packet-check sender-mac |
2.3.2 丢弃伪造免费ARP报文
免费ARP报文常被用于ARP欺骗,全局或接口级开启丢弃功能:
|
bash
[Switch-ARP-Defense] arp anti-attack gratuitous-arp drop # 全局丢弃免费ARP报文
# 若网关接口需保留合法免费ARP(如VRRP场景),可在VLANIF接口关闭
[Switch-ARP-Defense] interface Vlanif 100 # 进入网关接口
[Switch-ARP-Defense-Vlanif100] undo arp anti-attack gratuitous-arp drop
[Switch-ARP-Defense-Vlanif100] quit |
2.4 核心配置3:防网关冲突与泛洪攻击
2.4.1 防网关冲突攻击
防范攻击者仿冒网关IP发送ARP报文,导致网关地址冲突:
|
bash
[Switch-ARP-Defense] arp anti-attack gateway-duplicate enable # 全局开启防网关冲突 |
2.4.2 ARP速率限制(防泛洪)
通过端口级或用户级速率限制,避免大量ARP报文占用CPU资源:
|
bash
# 1. 端口级速率限制:GE1/0/1接口每秒最多允许50个ARP报文,超阈值则60秒内丢弃
[Switch-ARP-Defense] interface GigabitEthernet 1/0/1
[Switch-ARP-Defense-GigabitEthernet1/0/1] arp anti-attack rate-limit enable
[Switch-ARP-Defense-GigabitEthernet1/0/1] arp anti-attack rate-limit packet 50 block-timer 60
[Switch-ARP-Defense-GigabitEthernet1/0/1] quit
# 2. 全局用户级速率限制:基于源IP每秒最多50个ARP报文
[Switch-ARP-Defense] arp speed-limit source-ip maximum 50 |
2.5 配置验证与维护
配置完成后,通过以下命令验证配置效果:
|
bash
# 查看ARP防攻击全局配置
[Switch-ARP-Defense] display arp anti-attack configuration all
# 查看ARP严格学习状态
[Switch-ARP-Defense] display arp learning strict
# 查看ARP报文统计(含丢弃计数)
[Switch-ARP-Defense] display arp packet statistics |
三、H3C交换机防ARP攻击配置
以H3C S系列交换机为例,配置逻辑与华为类似,重点涵盖泛洪防御、仿冒防御、网关保护三大模块,适配H3C主流固件版本。
3.1 前置准备:进入系统视图
|
bash
<H3C> system-view # 进入系统视图
[H3C] sysname H3C-Switch-ARP-Defense # 可选:修改设备名称 |
3.2 核心配置1:防ARP泛洪攻击
通过ARP源抑制、黑洞路由、源MAC攻击检测,抵御泛洪攻击对CPU的冲击。
3.2.1 配置ARP源抑制功能
针对固定源IP的泛洪攻击,5秒内超阈值则暂时丢弃该IP的报文:
|
bash
[H3C-Switch-ARP-Defense] arp source-suppression enable # 开启源抑制
[H3C-Switch-ARP-Defense] arp source-suppression limit 20 # 阈值设为20(5秒内),默认10 |
3.2.2 配置ARP黑洞路由(适配任意源攻击)
针对目标IP不可解析的攻击报文,自动生成黑洞路由并丢弃后续报文:
|
bash
[H3C-Switch-ARP-Defense] arp blackhole-route enable # 开启黑洞路由功能
[H3C-Switch-ARP-Defense] arp blackhole-route aging-time 300 # 黑洞路由老化时间300秒(默认)
[H3C-Switch-ARP-Defense] arp probe count 3 interval 2 # 主动探测3次,间隔2秒 |
3.2.3 源MAC固定的ARP攻击检测
检测同一源MAC的ARP报文速率,超阈值则过滤或监控:
|
bash
# 开启过滤模式(超阈值则丢弃报文),监控模式仅日志不丢弃
[H3C-Switch-ARP-Defense] arp source-mac filter
[H3C-Switch-ARP-Defense] arp source-mac threshold 30 # 阈值30(5秒内),默认30
[H3C-Switch-ARP-Defense] arp source-mac aging-time 300 # 攻击表项老化时间300秒
# 配置保护MAC(如网关、服务器,避免误过滤)
[H3C-Switch-ARP-Defense] arp source-mac exclude-mac 00e0-fc12-3456 |
3.3 核心配置2:防仿冒攻击(欺骗防御)
3.3.1 ARP报文源MAC一致性检查
校验以太网帧首部与ARP报文内的源MAC,不一致则丢弃:
|
bash
[H3C-Switch-ARP-Defense] interface GigabitEthernet 1/0/1 # 用户接入接口
[H3C-Switch-ARP-Defense-GigabitEthernet1/0/1] arp check source-mac # 开启一致性检查
[H3C-Switch-ARP-Defense-GigabitEthernet1/0/1] quit |
3.3.2 配置ARP主动确认功能
防止仿冒用户欺骗网关,通过主动探测确认ARP表项合法性,支持非严格/严格模式:
|
bash
# 全局开启非严格模式(适用于普通办公网络)
[H3C-Switch-ARP-Defense] arp active-ack enable
# 核心业务区可开启严格模式(仅信任主动探测通过的表项)
[H3C-Switch-ARP-Defense] arp active-ack strict
[H3C-Switch-ARP-Defense] arp active-ack interval 30 # 探测周期30秒 |
3.3.3 配置ARP网关保护功能
在用户接入接口过滤仿冒网关的ARP报文,仅允许合法网关IP的报文通过:
|
bash
[H3C-Switch-ARP-Defense] interface GigabitEthernet 1/0/1 # 用户接入接口
[H3C-Switch-ARP-Defense-GigabitEthernet1/0/1] arp gateway-protection ip 192.168.1.1 # 配置被保护网关IP
[H3C-Switch-ARP-Defense-GigabitEthernet1/0/1] quit |
3.4 核心配置3:ARP表项固化(小型网络适用)
通过自动扫描+表项固化,将动态ARP表项转为静态,防止被篡改(适合网吧、小型办公网):
|
bash
# 开启ARP自动扫描(扫描局域网邻居生成动态表项)
[H3C-Switch-ARP-Defense] arp auto-scan enable
[H3C-Switch-ARP-Defense] arp auto-scan interval 300 # 扫描间隔300秒
# 固化当前动态ARP表项为静态
[H3C-Switch-ARP-Defense] arp fixup |
3.5 配置验证与维护
|
bash
# 查看ARP源抑制配置
[H3C-Switch-ARP-Defense] display arp source-suppression
# 查看源MAC攻击检测表项
[H3C-Switch-ARP-Defense] display arp source-mac
# 查看ARP主动确认状态
[H3C-Switch-ARP-Defense] display arp active-ack |
四、通用配置注意事项
- 配置前需备份现有配置,避免误操作导致网络中断;建议在非业务高峰期实施。
- 核心设备(如网关交换机)优先开启全局防护,接入层交换机重点配置接口级过滤和速率限制。
- 对于服务器、网关等重要设备,需配置“保护MAC/IP”,避免防护功能误过滤合法报文。
- 配置后需持续监控ARP报文统计,若出现大量丢弃计数,需排查是否存在攻击或配置误判。
- 建议与DHCP Snooping配合使用(仅信任DHCP服务器报文),通过绑定IP-MAC-端口三元组,进一步提升防护效果。
五、总结
HUAWEI和H3C交换机的防ARP攻击配置均围绕“表项防护+报文过滤+速率限制”三大核心,只是命令格式略有差异。实际配置时需结合网络规模(小型网可简化为表项固化,大型网需分层防护)、业务场景(核心区开启严格模式,接入区侧重基础过滤)灵活调整。通过本文配置方案,可有效抵御绝大多数ARP攻击,保障局域网通信稳定安全。
34
0
已为社区贡献2条内容
所有评论(0)