华为S9300核心交换机ARP安全配置（-）

760176104

　　华为S9300核心交换机ARP安全配置（一）
　　ARP安全简介
ARP 安全通过过滤不信任的ARP 报文以及对某些ARP 报文进行时间戳抑制来保证网络设备的安全性和健壮性。     网络中有很多针对ARP 表项的***，***者通过发送大量伪造的ARP 请求、应答报文***网络设备，主要有ARP 缓冲区溢出***和ARP 拒绝服务***两种。    1.ARP 缓冲区溢出***：***者向设备发送大量虚假的ARP 请求报文和免费ARP 报文，造成设备上的ARP 缓存溢出，无法缓存正常的ARP 表项，从而阻碍正常的报文转发。    2.ARP 拒绝服务***：***者发送大量伪造的ARP 请求、应答报文或其它能够触发ARP 处理的报文，造成设备的计算资源长期忙于ARP 处理，影响其它业务的处理，从而阻碍正常的报文转发。    此外，还有基于ARP 协议的扫描***：***者利用工具扫描本网段主机或者跨网段进行扫描时，S9300 在发送回应报文前，会查找ARP 表项，如果目的IP 地址对应的MAC地址不存在，会导致S9300 的ARP 模块向上层软件发送ARP Miss 消息，要求上层软件发送ARP 请求报文以获得目的端的MAC 地址。大量的扫描报文会导致大量的ARP Miss消息，导致系统的资源浪费在处理ARP Miss 消息上，影响设备对其它业务的处理，形成扫描***。 S9300 支持的ARP 安全特性 （一）ARP 地址欺骗   ***者通过伪造其他用户发出的ARP 报文，篡改设备上的用户ARP 表项，造成其它合法用户的网络中断。   S9300 可以通过以下两种方法防御此类***。    1. 固定MAC 地址：S9300 第一次学习到ARP 表项之后不再允许通过ARP 学习来修改MAC 地址，直到此ARP 表项老化之后才允许更新，以保护合法用户的ARP 表项不被修改。   2.固定MAC 地址有两种方式：Fixed-mac 和Fixed-all。Fixed-mac 方式下，不允许修改MAC 地址，但是允许修改VLAN 和接口信息；Fixed-all 方式下，MAC、VLAN和接口信息都不允许修改。  3.主动确认：S9300 收到一个涉及MAC 地址修改的ARP 报文时，不会立即修改ARP表项，而是先对原ARP 表中与此MAC 地址对应的用户发一个单播确认，根据确认结果再决定是否修改。（二）ARP 网关冲突   指***者仿冒网关地址，在局域网内部发送源IP 地址是网关地址的免费ARP 报文。主机接收到该报文后，会修改自己原来的网关地址为***者的地址，最终导致局域网内部所有主机无法访问网络。S9300 收到到与网关地址冲突的ARP 报文时，如果存在下列情况之一：1.ARP 报文的源IP 与报文入接口的IP 地址相同；2. ARP 报文的源IP 是内部服务器的地址；3. VRRP（Virtual Router Redundancy Protocol）虚MAC 方式时，ARP 报文的源IP 是入接口的虚拟IP 地址，但ARP 报文源MAC 不是VRRP 虚MAC。则系统生成ARP 防***表项，在后续一段时间（默认3 分钟）内对收到具有相同源MAC地址的报文直接丢弃，这样可以防止与网关地址冲突的ARP 报文在VLAN 内广播。 （三）短期内大量ARP 报文某个源IP 地址发送大量ARP 报文，浪费设备的CPU 资源和给ARP 报文上送预留的有限带宽。S9300 具有针对源IP 地址的ARP 报文速率抑制的功能。在一段时间内，如果S9300 收到某一源IP 地址的ARP 报文数目超过设定阈值，则不处理超出阈值部分的ARP 请求报文。（四）大量地址无法解析的IP 报文主机通过向设备发送大量目标IP 地址不能解析的IP 报文来***设备。对此类***，S9300 提供对ARP Miss 消息基于源IP 地址的抑制。如果一个源IP 地址向S9300 发送了目标IP 地址不能解析的IP 报文，就会触发ARP Miss 消息，S9300 对上报的ARP Miss 消息进行统计。如果一个源IP 地址在一定时间内不断触发ARP Miss，而且其触发速率超过了设定的阈值，则认为此IP 地址在进行***。S9300 将下发ACL 规则，在后续的一段时间内（默认为50 秒）把这个地址发出的IP 报文丢弃。