网络工程师必须了解的ARP知识( 三 ) _ARP

文章插图

出口ARP检测功能配置方法如下：
[L2switch] dhcp enable //全局使能DHCP功能[L2switch] dhcp snooping enable //全局使能DHCP Snooping功能[L2switch] vlan 10 [L2switch-vlan10] dhcp snooping enable [L2switch-vlan10] dhcp snooping arp security enable //使能出口ARP检测功能2、保证ARP表项的正确性
2.1、防止仿冒网关攻击
提供下面几种方法防止仿冒网关的攻击

文章插图

配置方法如下：
配置网关定时发送免费ARP报文。
[Gateway] arp gratuitous-arp send enable //使能发送免费ARP报文，默认是发送时间间隔是30秒配置ARP防网关冲突检测。
[Gateway] arp anti-attack gateway-duplicate enable配置ARP网关保护功能。
[L2switch] interface gigabitethernet 0/0/1 [L2switch-GigabitEthernet0/0/1] arp filter source 10.1.1.1 //被保护的网关IP地址是10.1.1.12.2、防止仿冒合法用户攻击
ARP表项固化

fixed-mac：ARP报文中的MAC地址与ARP表中对应条目的MAC地址不符则丢弃。
fixed-all：ARP报文中的MAC地址、接口、VLAN信息和ARP表项中的信息任一不匹配则丢弃。
send-ack：设备对收到涉及MAC地址、VLAN、或接口信息修改的ARP报文时，先发送ARP请求报文，未收到回应则丢弃。

动态ARP检测功能
设备将根据DHCP Snooping绑定表对收到的ARP报文的IP地址、MAC地址、VLAN或接口信息与绑定表中记录的表项内容进行检查，不匹配则直接丢弃。
配置ARP表项固化，可以基于全局和接口分别进行配置。、
[Gateway] arp anti-attack entry-check fixed-mac enable //指定固化方式是fixed-mac配置动态ARP检测功能，可以基于接口和VLAN分别进行配置。
[Gateway] vlan 10 [Gateway-vlan10] arp anti-attack check user-bind enable3、保证合法用户的ARP表项可以正常生成
限制可以学习的ARP表项数量
当发现某个接口下存在攻击者，占用大量ARP表资源时，通过限制该接口可以学习的ARP表项数量，可以避免ARP表被耗尽。当接口上学习到的ARP表达到指定的限制值时，该接口不再学习新的ARP表项。
ARP表项严格学习
只有本设备主动发送的ARP请求报文的应答报文才能触发本设备进行ARP学习，其他设备主动向本设备发送的ARP报文不能触发本设备进行ARP学习。
配置方法如下：
限制ARP表项。
[HUAWEI] interface gigabitethernet 0/0/1 [HUAWEI-GigabitEthernet0/0/1] arp-limit vlan 10 maximum 20 //配置接口GE0/0/1最多可以学习到20个VLAN10内的动态ARP表项配置ARP表项严格学习。
[HUAWEI] arp learning strict //配置ARP表项严格学习查看ARP表