Raisecom 交换机防止ARP欺骗攻击及防止多个DHCP服务器方法

局域网中ARP攻击和由于自带路由器而配置DHCP，引起局域网多个DHCP冲突，导致网络瘫痪是一个令网管头痛的问题。Raisecom 2150交换机有相应的配置方法，如下：

组网需求

为了防止 为了防止 ARPARPARP攻击，如 攻击，如 攻击，如 图 7-3所示，需要在 所示，需要在 所示，需要在 Switch A Switch ASwitch ASwitch A Switch A设备上配置动态 设备上配置动态 设备上配置动态 设备上配置动态 设备上配置动态 ARPARPARP检测功 检测功 能。要求如下： 能。要求如下： 能。要求如下：

 上联接口 上联接口 3允许所有 允许所有 允许所有 ARPARPARP报文通过。 报文通过。

 下联接口 下联接口 1允许指定 允许指定 允许指定 10.10.10.1 10.10.10.110.10.10.1 的 ARPARPARP报文通过。 报文通过。 报文通过。

 其他接口允许符合 其他接口允许符合 其他接口允许符合 其他接口允许符合 DHCP SnoopingDHCP SnoopingDHCP SnoopingDHCP SnoopingDHCP Snooping DHCP Snooping DHCP Snooping 学习到的 动态绑定关系学习到的 动态绑定关系学习到的 动态绑定关系学习到的 动态绑定关系学习到的 动态绑定关系学习到的 动态绑定关系ARPARPARP报文通过。 报文通过。 报文通过。

 下联接口 下联接口 2配置 ARPARPARP报文限速，率为 报文限速，率为 报文限速，率为 报文限速，率为 报文限速，率为 20pps20pps ，限速恢复时间为 ，限速恢复时间为 ，限速恢复时间为 ，限速恢复时间为 ，限速恢复时间为 15s 。

配置步骤

步骤 1 配置Port 3为信任接口。

Raisecom#config

Raisecom(config)#interface port 3

Raisecom(config-port)#ip arp-inspection trust

Raisecom(config-port)#exit

步骤 2 配置静态绑定关系。

Raisecom(config)#ip arp-inspection static-config

Raisecom(config)#ip arp-inspection binding 10.10.10.1 port 1

步骤 3 使能动态ARP检测动态DHCP Snooping绑定功能。

Raisecom(config)#ip dhcp snooping

Raisecom(config)#ip arp-inspection dhcp-snooping

步骤 4 配置接口ARP报文限速。

Raisecom(config)#interface port 2

Raisecom(config-port)#ip arp-rate-limit rate 20

Raisecom(config-port)#ip arp-rate-limit enable

Raisecom(config-port)#exit

步骤 5 配置ARP报文限速自动恢复功能。

Raisecom(config)#ip arp-rate-limit recover time 15

Raisecom(config)#ip arp-rate-limit recover enable

检查结果

通过 show showshow ip arp -inspectioninspection inspection inspectioninspectioninspection命令查看 命令查看 设备上接口信任配置和静态 设备上接口信任配置和静态 设备上接口信任配置和静态 设备上接口信任配置和静态 设备上接口信任配置和静态 设备上接口信任配置和静态 /动态绑定功能配置结 动态绑定功能配置结 动态绑定功能配置结 动态绑定功能配置结 动态绑定功能配置结 果。

Raisecom#show ip arp-inspection

Static Config ARP Inspection: Enable

DHCP Snooping ARP Inspection: Enable

DHCP Relay ARP Inspection: Disable

ARP Inspection Protect Vlan : 1-4094

Bind Rule Num : 1

Vlan Acl Num : 0

Remained Acl Num : 512

Port Trust

-------------

1 no

2 no

3 yes

4 no

…

通过 show showshow ip arp -inspectioninspection inspection inspectioninspectioninspection binding binding binding 命令 查看动态 查看动态 查看动态 ARPARPARP检测绑定表信息。 检测绑定表信息。 检测绑定表信息。 检测绑定表信息。

Raisecom#show ip arp-inspection binding

Ip Address Mac Address VLAN Port Type Inhw

---------------------------------------------------------------------

10.10.10.1 -- -- 1 static yes

Current Rules Num: 1

History Max Rules Num: 1

通过 show showshow ip arp -raterate rate-limitlimitlimitlimitlimit命令查看 命令查看 接口限速 接口限速 接口限速 配置 和限速恢复时间配置 和限速恢复时间配置 和限速恢复时间配置 和限速恢复时间配置 和限速恢复时间配置 结果 。

Raisecom#show ip arp-rate-limit

arp rate limit auto recover: enable

arp rate limit auto recover time: 15 second

Port Enable-Status Rate(Num/Sec) Overload

--------------------------------------------------

1 Disabled 100 No

2 Enabled 20 No

3 Disabled 100 No

4 Disabled 100 No