1、请自行准备好华为交换机和电脑并且让你的电脑和交换机连接上
2、组网需求:如图1所示,Switch的Eth0/0/1和Eth0/0/2接口连接了两个用户。假设Eth0/0/2接口连接的用户是一个攻击者。为了防止ARP中间人攻击,要求在Switch上配置ARP报文检查功能,只有接收到的ARP报文信息和绑定表中的内容一致才会被转发,否则报文将被丢弃。同时使能丢弃报文告警功能。
3、配置思路
4、采用如下的思路配置防止ARP中间人攻击:使能ARP报文检查功能。配置对ARP报文匹配检查。配置静态绑定表。使能丢弃报文告警功能。数据准备
5、配置ARP报文检查功能
6、# 在连接Client的Eth0/0/1接口使能ARP报文检查功能。[Quidway] interface ethernet 0/0/1[Quidway-Ethernet0/0/1] arp anti-attack check user-bind enable[Quidway-Ethernet0/0/1] arp anti-attack check user-bind check-item ip-address mac-address vlan[Quidway-Ethernet0/0/1] quit
7、# 在连接Attacker的Eth0/0/2接口使能ARP报文检查功能。职邗珩垃[Quidway] interface ethernet 0/0/2[Quidway-Ethernet0/0/2柯计瓤绘] arp anti-attack check user-bind enable[Quidway-Ethernet0/0/2] arp anti-attack check user-bind check-item ip-address mac-address vlan[Quidway-Ethernet0/0/2] quit
8、配置报文丢弃告警功能
9、# 在连接Client的Eth0/0/1接口配置ARP报文不匹配绑定表而丢弃的告警阈值。[Quidway] interface ethernet 0/0/1[Quidway-Ethernet0/0/1] arp anti-attack check user-bind alarm enable[Quidway-Ethernet0/0/1] arp anti-attack check user-bind alarm threshold 80[Quidway-Ethernet0/0/1] quit
10、# 在连接Attacker的Eth0/0/2接口配置ARP报文不匹配绑定釉涑杵抑表而丢弃的告警阈值。[Quidway] interface ethernet 0/0/2[Quidway-Ethernet0/0/2] arp anti-attack check user-bind alarm enable[Quidway-Ethernet0/0/2] arp anti-attack check user-bind alarm threshold 80[Quidway-Ethernet0/0/2] quit
11、配置静态绑定表项
12、# 配置Client为静态绑定表项。[Quidway] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface Ethernet 0/0/1 vlan 10
13、验证配置结果
14、执行display arp anti-attack configuration check user-bind interface命令可以查看接口下ARP报文检查配置信息。
15、<Quidway> display arp anti-attack configuration check user-bind interface ethernet 0/0/1arp anti-attack check user-bind enablearp anti-attack check user-bind alarm enablearp anti-attack check user-bind alarm threshold 80arp anti-attack check user-bind check-item ip-address mac-address vlanARP packet drop count = 0<Quidway> display arp anti-attack configuration check user-bind interface ethernet 0/0/2arp anti-attack check user-bind enablearp anti-attack check user-bind alarm enablearp anti-attack check user-bind alarm threshold 80arp anti-attack check user-bind check-item ip-address mac-address vlanARP packet drop count = 2442
16、由显示信息可知,Eth0/0/1接口下没有丢弃ARP报文,Eth0/0/2接口下产生了ARP报文丢弃计数。针对Attacker的防攻击功能已经生效。
17、如果您觉得本经验有帮助,请点击正下方的或右上角的“大拇指”或“分享”或“关注TA”给我支持和鼓励~~为了方便下次寻找,您可以点击“收藏”收藏本经验如有其他问题请联系我本人