返回
配置ARP安全综合功能示例

配置ARP安全综合功能示例

ID:41892497

大小:70.00 KB

页数:9页

时间:2019-09-04

配置ARP安全综合功能示例_第1页
配置ARP安全综合功能示例_第2页
配置ARP安全综合功能示例_第3页
配置ARP安全综合功能示例_第4页
配置ARP安全综合功能示例_第5页
资源描述:

《配置ARP安全综合功能示例》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、配置ARP安全综合功能示例组网需求如图1所示,Switch作为网关通过接口Eth0/0/3连接一台服务器,通过接口Eth0/0/l、EthO/O/2连接VLAN10和VLAN20下的四个用户。网络中存在以下ARP威胁:•攻击者向Switch发送伪造的ARP报文、伪造的免费ARP报文进行ARP欺骗攻击,恶意修改Switch的ARP表项,造成英他用户无法正常接收数据报文。•攻击者发出大量冃的IP地址不可达的IP报文进行ARP泛洪攻击,造成Switch的CPU负荷过重。•用户Use门构造大量源IP地址变化MAC

2、地址固定的ARP报文进行ARP泛洪攻击,造成Switch的ARP表资源被耗尽,影响到正常业务的处理。•用户User3构造大量源IP地址固定的ARP报文进行ARP泛洪攻击,造成Switch的CPU进程繁忙,影响到正常业务的处理。管理员希望能够防止上述ARP攻击行为,为用户提供更安全的网络环境和更稳定的网络服务。图1配置ARP安全功能组网图配置思路采用如下思路在Switch上进行配置:1.配置ARP表项严格学习功能以及ARP表项固化功能,实现防止伪造的ARP报文错误地更新Switch的ARP表项。2.配置根据

3、源IP地址进行ARPMiss消息限速,实现防止用户侧存在攻击者发岀大量目的IP地址不可达的IP报文触发大量ARPMiss消息,形成ARP泛洪攻击。同时需耍保证Switch可以正常处理服务器发出的大量此类报文,避免因丢弃服务器发出的大量此类报文而造成网络无法正常通信。1.配置基于接口的ARP表项限制,实现防止Userl发送的大量源IP地址变化MAC地址固定的ARP报文形成的ARP泛洪攻击,避免Switch的ARP表资源被耗尽。2.配置根据源IP地址进行ARP限速,实现防止User3发送的大量源IP地址固定的

4、ARP报文形成的ARP泛洪攻击,避免Switch的CPU进程繁忙。操作步骤1.创建VLAN,将接口加入到VLAN中,并配置VLANIF接口#创建VLAN10>VLAN20和VLAN30,并将接口Eth0/0/1加入VLAN10中,接口EthO/O/2加入VLAN20中,接口Eth0/0/3加入VLAN30中。<Quidway>system-view[Quidway]vianbatch102030[Quidway]interfaceethernet0/0/1[Quidway-EthernetO/

5、O/1]portlink-typetrunk[Quidway-EthernetO/O/1]porttrunkallow-passvlan10[Quidway-EthernetO/O/1]quit[Quidway]interfaceethernet0/0/2[Quidway-Ethernet0/0/2]portlink-typetrunk[Quidway-Ethernet0/0/2]porttrunkallow-passvlan20[Quidway-Ethernet0/0/2]quit[Quidway]in

6、terfaceethernet0/0/3[Quidway-Ethernet0/0/3]portlink-typetrunk[Quidway-EthernetO/O/3]porttrunkallow-passvlan30[Quidway-Ethernet0/0/3]quit#创建接口VLANIF10、VLANIF20、VLANIF30,配置各VLANIF接口的IP地址。[Quidway]interfacevlanif10[Quidway-VlaniflO]ipaddress8.8.8.424[Quidway

7、-VlaniflO]quit[Quidway]interfacevlardf20[Quidway-Vlanif20]ipaddress9.9.9.424[Quidway-Vlanif20]quit[Quidway]interfacevlanif30[Quidway-Vlanif30]ipaddress10.10.10.324[Quidway-Vlanif30]quit1.配置ARP表项严格学习功能[Quidway]arplearningstrict2.配置ARP表项固化功能IARP表项固化模式为fixed

8、-mac方式。[Quidway]arpanti-attackentry-checkfixed-macenable3.配置根据源IP地址进行ARPMiss消息限速#配置对Server(IP地址为10.10.10.2)的ARPMiss消息进行限速,允许Switch每秒最多处理该IP地址触发的40个ARPMiss消息;对于其他用户,允许Switch每秒最多处理同一个源IP地址触发的20个ARPMiss消息。[Quidway]arp-

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。