Vi`blog · 唯音

DHCP监控模式下的ARP攻击防御配置举例

组网需求

某校园网内大部分用户通过接入设备连接网关和DHCP服务器，动态获取IP地址。管理员通过在接入交换机上全面部署ARP攻击防御相关特性，形成保护屏障，过滤掉攻击报文。详细网络应用需求分析如下。

l              校园网用户分布在两个区域Host area1和Host area2，分别属于VLAN10和VLAN20，通过接入交换机Switch A和Switch B连接到网关Gateway，最终连接外网和DHCP。

l              Host area1所在子网内拥有一台TFTP服务器，其IP地址为192.168.0.10/24，MAC地址为000d-85c7-4e00。

l              为防止仿冒网关、欺骗网关等ARP攻击形式，开启Switch A上VLAN10内、Switch B上VLAN20内ARP入侵检测功能，设置Switch A和Switch B的端口Ethernet1/0/1为ARP信任端口。

l              为防止ARP泛洪攻击，在Switch A和Switch B所有直接连接客户端的端口上开启ARP报文限速功能。同时，开启因ARP报文超速而被关闭的端口的状态自动恢复功能，并设置恢复时间间隔100秒。

组网图

   

图1-1 DHCP监控模式下的ARP攻击防御组网示意图

配置思路

l              在接入交换机Switch A和Switch B上开启DHCP snooping功能，并配置与DHCP服务器相连的端口为DHCP snooping信任端口。

l              在接入交换机Switch A上为固定IP地址的TFTP服务器配置对应的IP静态绑定表项。

l              在接入交换机Switch A和Switch B对应VLAN上开启ARP入侵检测功能，并配置其上行口为ARP信任端口。

l              在接入交换机Switch A和Switch B直接连接客户端的端口上配置ARP报文限速功能，同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。

配置步骤

2. 使用的版本

本举例中使用的接入交换机Switch A和Switch B为E126A系列以太网交换机。

3. 配置客户端动态获取IP地址。

 

图1-2 配置客户端自动获取IP地址示意图

4. 配置Switch A

# 创建VLAN10，并将端口Ethernet1/0/1到Ethernet1/0/4加入VLAN10中。

<SwitchA> system-view

[SwitchA] vlan 10

[SwitchA-vlan10] port Ethernet 1/0/1 to Ethernet 1/0/4

[SwitchA-vlan10] quit

# 配置Switch A的上行口为DHCP snooping信任端口。

[SwitchA] interface ethernet1/0/1

[SwitchA-Ethernet1/0/1] dhcp-snooping trust

[SwitchA-Ethernet1/0/1] quit

# 开启DHCP snooping。

[SwitchA] dhcp-snooping

# 在Switch A的端口Ethernet1/0/4上配置IP静态绑定表项。

[SwitchA] interface Ethernet1/0/4

[SwitchA-Ethernet1/0/4] ip source static binding ip-address 192.168.0.10 mac-address 000d-85c7-4e00

[SwitchA-Ethernet1/0/4] quit

# 配置Switch A的上行口为ARP信任端口。

[SwitchA] interface ethernet1/0/1

[SwitchA-Ethernet1/0/1] arp detection trust

[SwitchA-Ethernet1/0/1] quit

# 开启VLAN 10内所有端口的ARP入侵检测功能。

[SwitchA] vlan 10

[SwitchA-vlan10] arp detection enable

[SwitchA-vlan10] quit

# 开启Switch A的端口Ethernet1/0/2、Ethernet1/0/3上的ARP报文限速功能。

[SwitchA] interface Ethernet1/0/2

[SwitchA-Ethernet1/0/2] arp rate-limit enable

[SwitchA-Ethernet1/0/2] arp rate-limit 20

[SwitchA-Ethernet1/0/2] quit

[SwitchA] interface Ethernet1/0/3

[SwitchA-Ethernet1/0/3] arp rate-limit enable

[SwitchA-Ethernet1/0/3] arp rate-limit 20

[SwitchA-Ethernet1/0/3] quit

# 配置端口状态自动恢复功能，恢复时间间隔为100秒。

[SwitchA] arp protective-down recover enable

[SwitchA] arp protective-down recover interval 100

# 配置网关的缺省路由。

[SwitchA] ip route-static 0.0.0.0 0 192.168.0.1

5. 配置Switch B

# 创建VLAN20，并将相应端口加入VLAN20中。

<SwitchB> system-view

[SwitchB] vlan 20

[SwitchB-vlan20] port Ethernet 1/0/1 to Ethernet 1/0/4

[SwitchB-vlan20] quit

# 配置Switch B的上行口为DHCP snooping信任端口。

[SwitchB] interface ethernet1/0/1

[SwitchB-Ethernet1/0/1] dhcp-snooping trust

[SwitchB-Ethernet1/0/1] quit

# 开启DHCP snooping。

[SwitchB] dhcp-snooping

# 配置Switch B的上行口为ARP信任端口。

[SwitchB] interface ethernet1/0/1

[SwitchB-Ethernet1/0/1] arp detection trust

[SwitchB-Ethernet1/0/1] quit

# 开启VLAN 20内所有端口的ARP入侵检测功能。

[SwitchB] vlan 20

[SwitchB-vlan20] arp detection enable

[SwitchB-vlan20] quit

# 开启Switch A的端口Ethernet1/0/2、Ethernet1/0/3、Ethernet1/0/4上的ARP报文限速功能。

[SwitchB] interface Ethernet1/0/2

[SwitchB-Ethernet1/0/2] arp rate-limit enable

[SwitchB-Ethernet1/0/2] arp rate-limit 20

[SwitchB-Ethernet1/0/2] quit

[SwitchB] interface Ethernet1/0/3

[SwitchB-Ethernet1/0/3] arp rate-limit enable

[SwitchB-Ethernet1/0/3] arp rate-limit 20

[SwitchB-Ethernet1/0/3] quit

[SwitchB] interface Ethernet1/0/4

[SwitchB-Ethernet1/0/4] arp rate-limit enable

[SwitchB-Ethernet1/0/4] arp rate-limit 20

[SwitchB-Ethernet1/0/4] quit

# 配置端口状态自动恢复功能，恢复时间间隔为100秒。

[SwitchB] arp protective-down recover enable

[SwitchB] arp protective-down recover interval 100

# 配置网关的缺省路由。

[SwitchB] ip route-static 0.0.0.0 0 192.168.1.1

6. 配置Gateway

<Gateway> system-view

# 创建VLAN 10和VLAN 20，并添加相应端口。

[Gateway] vlan 10

[Gateway–vlan10] port Ethernet 1/0/1

[Gateway–vlan10] quit

[Gateway] vlan 20

[Gateway–vlan20] port Ethernet 1/0/2

[Gateway–vlan20] quit

# 配置Vlan-interface10的IP地址为192.168.0.1/24。

[Gateway] interface vlan 10

[Gateway-Vlan-interface10] ip address 192.168.0.1 24

[Gateway-Vlan-interface10] quit

# 配置Vlan-interface20的IP地址为192.168.1.1/24。

[Gateway] interface vlan 20

[Gateway-Vlan-interface20] ip address 192.168.1.1 24

[Gateway-Vlan-interface20] quit

7. 配置DHCP服务器

由于作为DHCP服务器的设备不同，所需进行的配置也不同，故此处从略。具体配置请参考DHCP服务器操作手册。

1.1.2  注意事项

l              配置ARP入侵检测功能之前，需要先在交换机上开启DHCP Snooping功能，并设置DHCP Snooping信任端口，否则所有ARP报文将都不能通过ARP入侵检测。

l              目前，H3C低端以太网交换机上开启DHCP Snooping功能后，所有端口默认被配置为DHCP Snooping非信任端口。为了使DHCP客户端能从合法的DHCP服务器获取IP地址，必须将与合法DHCP服务器相连的端口设置为信任端口，设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。

l              DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息。如果固定IP地址的用户需要访问网络，必须在交换机上手工配置IP静态绑定表的表项，即：用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。

l              目前，H3C系列以太网交换机在端口上配置的IP静态绑定表项，其所属VLAN为端口的缺省VLAN ID。因此，如果ARP报文的VLAN TAG与端口的缺省VLAN ID值不同，报文将无法通过根据IP静态绑定表项进行的ARP入侵检测。

l              H3C系列以太网交换机上手工配置的IP静态绑定表项的优先级高于DHCP Snooping动态表项。具体表现在：如果手工配置的IP静态绑定表项中的IP地址与已存在的DHCP Snooping动态表项的IP地址相同，则覆盖DHCP Snooping动态表项的内容；如果先配置了IP静态绑定表项，再开启交换机的DHCP Snooping功能，则DHCP客户端不能通过该交换机获取到IP静态绑定表项中已经存在的IP地址。

l              实际组网中，为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题，交换机支持通过配置ARP信任端口，灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测，对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。

l              建议用户不要在汇聚组中的端口上配置ARP入侵检测、ARP报文限速功能。