华为最新ARP防护介绍！

ARP 报文限速功能简介：
为了防止“中间人攻击”，设备通过开启ARP 入侵检测功能，将ARP 报文上送到
CPU 处理，判断ARP 报文的合法性后进行转发或丢弃。但是，这样引入了新的问
题：如果攻击者恶意构造大量ARP 报文发往交换机的某一端口，会导致CPU 负担过重，从而造成其他功能无法正常运行甚至设备瘫痪。S3900 系列以太网交换机支
持端口ARP 报文限速功能，使受到攻击的端口暂时关闭，来避免此类攻击对CPU
的冲击。
开启某个端口的ARP 报文限速功能后，交换机对每秒内该端口接收的ARP 报文数
量进行统计，如果每秒收到的ARP 报文数量超过设定值，则认为该端口处于超速状
态（即受到ARP 报文攻击）。此时，交换机将关闭该端口，使其不再接收任何报文，
从而避免大量ARP 报文攻击设备。
同时，设备支持配置端口状态自动恢复功能，对于配置了ARP 限速功能的端口，在
其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。

配置实例：

配置ARP监测速率

interface Ethernet1/0/8
 port access vlan 148
 arp rate-limit enable（打开ARP监测功能）
 arp rate-limit 50 （设置ARP监测速率为每秒钟50个ARP包）

 

配置自动关闭端口功能：

在全局模式下：

 arp protective-down recover enable（开启交换机端口自动恢复功能）
 arp protective-down recover interval 15（设置自动恢复时间为15秒）

测试结果：

%Apr  2 00:27:30:089 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
 Ethernet1/0/8 is UP

%Apr  2 00:27:52:170 2000 LINPINGJIEDAO_3952_ DHCP-SNP/5/arp_overspeed:- 1 -
 PacketLimit: ARP packet rate(52pps) exceeded on interface Ethernet1/0/8. The port will be down!

（ARP包超过设定速率，此端口将关闭）

%Apr  2 00:27:52:348 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
 Ethernet1/0/8 is DOWN
%Apr  2 00:42:51:858 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
 Ethernet1/0/8 is UP （15秒后，端口自动打开）

查看交换机端口状态：

<3952>dis brief interface （注意第8口的状态为PTC）
Interface:       
Eth  - Ethernet  GE   - GigabitEthernet TENGE - tenGigabitEthernet       
Loop - LoopBack  Vlan - Vlan-interface  Cas   - Cascade       
Speed/Duplex:       
A - auto-negotiation

Interface   Link     Speed  Duplex Type   PVID Description                
--------------------------------------------------------------------------------
Aux1/0/0    UP       --     --     --     --  
Eth1/0/1    UP       A100M  Afull  trunk  1    uplink-TANGXIZHEN_3952
Eth1/0/2    ADM DOWN A      A      trunk  1   
Eth1/0/3    ADM DOWN A      A      trunk  1   
Eth1/0/4    ADM DOWN A      A      trunk  1   
Eth1/0/5    DOWN     A      A      access 902 
Eth1/0/6    UP       A100M  Afull  access 902  GuangJiSheQu
Eth1/0/7    DOWN     A      A      access 902 
Eth1/0/8  PTC DOWN A      A      access 902  （注意第8口的状态为PTC）

注意事项：

1、这个功能需要3900系列1602以上版本才能支持，其他型号的交换机暂时没有研究；

2、arp包的速率限制要根据具体环境而设置，需要测试后才能铺开实施；

3、如果要手动打开被关闭的端口，可以使用undo shutdown打开；

 

 

 

本文出自 “赳三” 博客，谢绝转载！