华为交换机防止同一网段的arp欺骗攻击。配置案例1防止假冒网关IP的ARP攻击。1层2交换机实现防攻击1.1.1配置组网。图1二层交换机防ARP攻击组网S3552P是三层设备,其中IP:100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为00F-E200-3999。PC-B配备了ARP攻击软件。目前需要对S3026_A进行专门配置,过滤掉假冒网关IP的ARP报文。1.1.2交换机的配置步骤对于支持用户自定义ACL(数量为5000到5999)的第2层交换机中的S3026C等交换机,可以配置ACL来过滤ARP消息。全局ACL禁止所有源IP为网关的ARP消息。ACL num 5000规则0 deny 0806 ffff 24 64010101 ffffff 40规则1 permit 0806 ffff 24 000 Fe 2003999 ffffff ffff 34,其中规则0取整s . 326 c _ a端口冒充网关的ARP报文被禁止,斜体部分64010101是网关IP地址100.1.1.1的十六进制表示。规则1允许通过网关发送ARP消息,斜体部分是网关000f-e200-3999的mac地址。注意:配置规则时的配置顺序。以上配置是先分发后生效。发布acl规则:【s3026c-a】在S3026C-A的系统视图中对用户组5000进行包过滤,这样只有连接到S3026C_A的网关设备才能发送网关的arp报文,其他主机无法发送假网关的ARP响应报文。1.2三层交换机实现防攻击1.2.1配置组网图2三层交换机防ARP攻击组网(不知道怎么加图,附件中文档有图)1.2.2三层设备防攻击配置示例,需要配置过滤源IP为网关的ARP报文的ACL规则。配置了以下ACL规则:ACL编号5000规则0 deny 0806 fff 24 64010105 fffff 40规则0禁止S3526E的所有端口接收冒充网关的ARP消息,其中斜体部分64010105是网关IP地址100.1.1.5的十六进制表示。2假冒他人IP的arp攻击网关设备可能存在ARP错误条目,因此需要在网关设备上过滤假冒他人IP的ARP攻击消息。如图1所示,当PC-B发送源ip地址为PC-D的arp回复攻击报文时,源mac为PC-B的mac (000d-88f8-09fa),源ip为PC-D的ip(100.1.1.3),目的ip和mac为网关(3552P),所以会在3552上。如下图:IP地址MAC地址VLAN id端口名称老化。以太网0/2 20动态100.1.1.3 000 f-3d 81-45b 41以太网0/2 20动态从网络连接中,我们可以知道PC-D的arp条目应该在端口E0/8上学习,而不是在E0/2上学习。但事实上,交换机上获知的ARP条目在E0/2中。这种ARP攻击可以通过以下配置方法来防止。1.在S3552上配置静态ARP可以防止这种现象:ARP静态100.1.1.3 000 f-3d 81-45b 41e 0/8。2.类似地,在图2中的s3526c上配置静态ARP也可以防止设备学习错误的ARP条目。第三,对于第二层设备(S3050C和S3026E系列),除了静态ARP外,还可以配置IP MAC端口绑定。以S3026C的端口E0/4为例,做如下操作:a muser-bind IP-addr 100.1.1.4 MAC-addr 000d-88f8-09fa int E0/4,那么IP为100.1.1.4、MAC为000d-88 F8-09fa的ARP报文可以通过端口E0/4,而伪造其他设备的ARP报文则不能通过,这样就不会出现错误的ARP条目。在上述配置情况下,仅列出了Quidway S系列以太网交换机的部分应用。在实际网络应用中,请根据配置手册确认产品是否支持用户自定义的ACL和地址绑定。只有具备以上功能的交换机才能防止ARP欺骗。