Raisecom 交换机防止ARP欺骗攻击及防止多个DHCP服务器方法
局域网中ARP攻击和由于自带路由器而配置DHCP,引起局域网多个DHCP冲突,导致网络瘫痪是一个令网管头痛的问题。Raisecom 2150交换机有相应的配置方法,如下:
组网需求
为了防止 为了防止 ARPARPARP攻击,如 攻击,如 攻击,如 图 7-3所示,需要在 所示,需要在 所示,需要在 Switch A Switch ASwitch ASwitch A Switch A设备上配置动态 设备上配置动态 设备上配置动态 设备上配置动态 设备上配置动态 ARPARPARP检测功 检测功 能。要求如下: 能。要求如下: 能。要求如下:
上联接口 上联接口 3允许所有 允许所有 允许所有 ARPARPARP报文通过。 报文通过。
下联接口 下联接口 1允许指定 允许指定 允许指定 10.10.10.1 10.10.10.110.10.10.1 的 ARPARPARP报文通过。 报文通过。 报文通过。
其他接口允许符合 其他接口允许符合 其他接口允许符合 其他接口允许符合 DHCP SnoopingDHCP SnoopingDHCP SnoopingDHCP SnoopingDHCP Snooping DHCP Snooping DHCP Snooping 学习到的 动态绑定关系学习到的 动态绑定关系学习到的 动态绑定关系学习到的 动态绑定关系学习到的 动态绑定关系学习到的 动态绑定关系ARPARPARP报文通过。 报文通过。 报文通过。
下联接口 下联接口 2配置 ARPARPARP报文限速,率为 报文限速,率为 报文限速,率为 报文限速,率为 报文限速,率为 20pps20pps ,限速恢复时间为 ,限速恢复时间为 ,限速恢复时间为 ,限速恢复时间为 ,限速恢复时间为 15s 。
配置步骤
步骤 1 配置Port 3为信任接口。
Raisecom#config
Raisecom(config)#interface port 3
Raisecom(config-port)#ip arp-inspection trust
Raisecom(config-port)#exit
步骤 2 配置静态绑定关系。
Raisecom(config)#ip arp-inspection static-config
Raisecom(config)#ip arp-inspection binding 10.10.10.1 port 1
步骤 3 使能动态ARP检测动态DHCP Snooping绑定功能。
Raisecom(config)#ip dhcp snooping
Raisecom(config)#ip arp-inspection dhcp-snooping
步骤 4 配置接口ARP报文限速。
Raisecom(config)#interface port 2
Raisecom(config-port)#ip arp-rate-limit rate 20
Raisecom(config-port)#ip arp-rate-limit enable
Raisecom(config-port)#exit
步骤 5 配置ARP报文限速自动恢复功能。
Raisecom(config)#ip arp-rate-limit recover time 15
Raisecom(config)#ip arp-rate-limit recover enable
检查结果
通过 show showshow ip arp -inspectioninspection inspection inspectioninspectioninspection命令查看 命令查看 设备上接口信任配置和静态 设备上接口信任配置和静态 设备上接口信任配置和静态 设备上接口信任配置和静态 设备上接口信任配置和静态 设备上接口信任配置和静态 /动态绑定功能配置结 动态绑定功能配置结 动态绑定功能配置结 动态绑定功能配置结 动态绑定功能配置结 果。
Raisecom#show ip arp-inspection
Static Config ARP Inspection: Enable
DHCP Snooping ARP Inspection: Enable
DHCP Relay ARP Inspection: Disable
ARP Inspection Protect Vlan : 1-4094
Bind Rule Num : 1
Vlan Acl Num : 0
Remained Acl Num : 512
Port Trust
-------------
1 no
2 no
3 yes
4 no
…
通过 show showshow ip arp -inspectioninspection inspection inspectioninspectioninspection binding binding binding 命令 查看动态 查看动态 查看动态 ARPARPARP检测绑定表信息。 检测绑定表信息。 检测绑定表信息。 检测绑定表信息。
Raisecom#show ip arp-inspection binding
Ip Address Mac Address VLAN Port Type Inhw
---------------------------------------------------------------------
10.10.10.1 -- -- 1 static yes
Current Rules Num: 1
History Max Rules Num: 1
通过 show showshow ip arp -raterate rate-limitlimitlimitlimitlimit命令查看 命令查看 接口限速 接口限速 接口限速 配置 和限速恢复时间配置 和限速恢复时间配置 和限速恢复时间配置 和限速恢复时间配置 和限速恢复时间配置 结果 。
Raisecom#show ip arp-rate-limit
arp rate limit auto recover: enable
arp rate limit auto recover time: 15 second
Port Enable-Status Rate(Num/Sec) Overload
--------------------------------------------------
1 Disabled 100 No
2 Enabled 20 No
3 Disabled 100 No
4 Disabled 100 No