华为交换机ARP安全

session 1 ARP安全

一、配置基于源MAC地址的arp报文限速，防止设备收到不断变化的源ip地址的arp攻击时被耗尽cpu资源

[Huawei]arp speed-limit source-mac maximum 100                                   限制所有MAC地址报文100个/s

[Huawei]arp speed-limit source-mac 0001-0002-0003 maximum 10           限制单个MAC地址报文10个/s

二、配置基于源ip地址的arp报文限速

[Huawei]arp speed-limit source-ip maximum 100                                   限制所有ip地址报文100个/s

[Huawei]arp speed-limit source-ip 0001-0002-0003 maximum 10           限制单个ip地址报文10个/s

三、基于端口、vlan或全局的arp限速

1、基于接口的arp限速

[Huawei]arp anti-attack rate-limit enable                                           全局下开启arp限速功能

[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit enable          接口下开启arp限速功能

[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit 200 10 block timer 60     限速10s内允许通过最大200个arp报文，超过丢弃，持续60s（默认是1s）

[Huawei-GigabitEthernet0/0/1]quit

2、基于vlan的arp限速

[Huawei]arp anti-attack rate-limit enable

[Huawei-Vlanif2]arp anti-attack  rate-limit enable

[Huawei-Vlanif2]arp anti-attack rate-limit 200 10 

[Huawei-Vlanif2]quit

3、基于全局的arp限速

[Huawei]arp anti-attack rate-limit enable

[Huawei]arp anti-attack rate-limit 200 10 

4、防止arp中间人攻击，与dhcp snooping联动动态检测，利用dhcp生成的绑定表项检查收到的arp报文是否和dhcp的绑定表项一直

[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind enable               开启dhcp snooping的arp检测

[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind alarm enable     开启dhcp snooping的arp检测告警功能

[Huawei-GigabitEthernet0/0/1]quit

dhcp snooping的配置也很简单，配置好dhcp服务器、地址池后开启dhcp的snooping功能（思科中默认开启）

[Huawei]dhcp snooping enable               全局启用

[Huawei]vlan 2

[Huawei-vlan2]dhcp snooping enable      在vlan中启用snooping功能

[Huawei-vlan2]quit

最后记得在交换机级联的接口上配置snooping信任，允许接口收发dhcp offer报文

[Huawei-GigabitEthernet0/0/1]dhcp snooping trusted   配置端口为dhcp snooping的信任端口，允许接口收发dhcp offer报文

补充，静态绑定dhcp snooping列表命令：

[Huawei]user-bind static ip-address 1.1.1.1 mac-address 0001-0002-0003 interface g0/0/1 vlan 2 

查看命令：

[Huawei]display arp anti-attack configuration check user-bind interface GigabitEthernet 0/0/1
 arp anti-attack check user-bind enable
 arp anti-attack check user-bind alarm enable

[Huawei]display arp anti-attack statistics check user-bind interface GigabitEthernet 0/0/1 

 Dropped ARP packet number is 0
 Dropped ARP packet number since the latest warning is 0