华为S9300核心交换机ARP安全配置(-)
华为S9300核心交换机ARP安全配置(一)ARP安全简介
ARP 安全通过过滤不信任的ARP 报文以及对某些ARP 报文进行时间戳抑制来保证网络设备的安全性和健壮性。 网络中有很多针对ARP 表项的***,***者通过发送大量伪造的ARP 请求、应答报文***网络设备,主要有ARP 缓冲区溢出***和ARP 拒绝服务***两种。 1.ARP 缓冲区溢出***:***者向设备发送大量虚假的ARP 请求报文和免费ARP 报文,造成设备上的ARP 缓存溢出,无法缓存正常的ARP 表项,从而阻碍正常的报文转发。 2.ARP 拒绝服务***:***者发送大量伪造的ARP 请求、应答报文或其它能够触发ARP 处理的报文,造成设备的计算资源长期忙于ARP 处理,影响其它业务的处理,从而阻碍正常的报文转发。 此外,还有基于ARP 协议的扫描***:***者利用工具扫描本网段主机或者跨网段进行扫描时,S9300 在发送回应报文前,会查找ARP 表项,如果目的IP 地址对应的MAC地址不存在,会导致S9300 的ARP 模块向上层软件发送ARP Miss 消息,要求上层软件发送ARP 请求报文以获得目的端的MAC 地址。大量的扫描报文会导致大量的ARP Miss消息,导致系统的资源浪费在处理ARP Miss 消息上,影响设备对其它业务的处理,形成扫描***。 S9300 支持的ARP 安全特性 (一)ARP 地址欺骗 ***者通过伪造其他用户发出的ARP 报文,篡改设备上的用户ARP 表项,造成其它合法用户的网络中断。 S9300 可以通过以下两种方法防御此类***。 1. 固定MAC 地址:S9300 第一次学习到ARP 表项之后不再允许通过ARP 学习来修改MAC 地址,直到此ARP 表项老化之后才允许更新,以保护合法用户的ARP 表项不被修改。 2.固定MAC 地址有两种方式:Fixed-mac 和Fixed-all。Fixed-mac 方式下,不允许修改MAC 地址,但是允许修改VLAN 和接口信息;Fixed-all 方式下,MAC、VLAN和接口信息都不允许修改。3.主动确认:S9300 收到一个涉及MAC 地址修改的ARP 报文时,不会立即修改ARP表项,而是先对原ARP 表中与此MAC 地址对应的用户发一个单播确认,根据确认结果再决定是否修改。(二)ARP 网关冲突 指***者仿冒网关地址,在局域网内部发送源IP 地址是网关地址的免费ARP 报文。主机接收到该报文后,会修改自己原来的网关地址为***者的地址,最终导致局域网内部所有主机无法访问网络。S9300 收到到与网关地址冲突的ARP 报文时,如果存在下列情况之一:1.ARP 报文的源IP 与报文入接口的IP 地址相同;2. ARP 报文的源IP 是内部服务器的地址;3. VRRP(Virtual Router Redundancy Protocol)虚MAC 方式时,ARP 报文的源IP 是入接口的虚拟IP 地址,但ARP 报文源MAC 不是VRRP 虚MAC。则系统生成ARP 防***表项,在后续一段时间(默认3 分钟)内对收到具有相同源MAC地址的报文直接丢弃,这样可以防止与网关地址冲突的ARP 报文在VLAN 内广播。 (三)短期内大量ARP 报文某个源IP 地址发送大量ARP 报文,浪费设备的CPU 资源和给ARP 报文上送预留的有限带宽。S9300 具有针对源IP 地址的ARP 报文速率抑制的功能。在一段时间内,如果S9300 收到某一源IP 地址的ARP 报文数目超过设定阈值,则不处理超出阈值部分的ARP 请求报文。(四)大量地址无法解析的IP 报文主机通过向设备发送大量目标IP 地址不能解析的IP 报文来***设备。对此类***,S9300 提供对ARP Miss 消息基于源IP 地址的抑制。如果一个源IP 地址向S9300 发送了目标IP 地址不能解析的IP 报文,就会触发ARP Miss 消息,S9300 对上报的ARP Miss 消息进行统计。如果一个源IP 地址在一定时间内不断触发ARP Miss,而且其触发速率超过了设定的阈值,则认为此IP 地址在进行***。S9300 将下发ACL 规则,在后续的一段时间内(默认为50 秒)把这个地址发出的IP 报文丢弃。
页:
[1]