4.ARP网关保护功能

1.配置ARP网关保护功能

标签：

#网关保护 #非法网关 #网关冲突

1.1 ARP网关保护功能简介

在设备上不与网关相连的接口上配置此功能，可以防止伪造网关攻击。

在接口上配置此功能后，当接口收到ARP报文时，将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。如果相同，则认为此报文非法，将其丢弃；否则，认为此报文合法，继续进行后续处理。

1.2 配置ARP网关保护功能

配置ARP网关保护功能，需要注意：

· 每个接口最多支持配置8个被保护的网关IP地址。

· 不能在同一接口下同时配置命令arp filter source和arp filter binding。

· 本功能与ARP Detection功能配合使用时，先进行本功能检查，本功能检查通过后才会进行ARP Detection功能的处理。

表1-12 配置ARP网关保护功能

操作	命令	说明
进入系统视图	system-view	-
进入二层以太网接口/二层聚合接口视图	interface interface-type interface-number	-
开启ARP网关保护功能，配置被保护的网关IP地址	arp filter source ip-address	缺省情况下，ARP网关保护功能处于关闭状态

操作

命令

说明

进入系统视图

system-view

进入二层以太网接口/二层聚合接口视图

interface interface-type interface-number

开启ARP网关保护功能，配置被保护的网关IP地址

arp filter source ip-address

缺省情况下，ARP网关保护功能处于关闭状态

1.3 ARP网关保护功能配置举例

1. 组网需求

与AC相连的无线客户端Client 2进行了仿造网关Switch（IP地址为10.1.1.1）的ARP攻击，导致与AC相连的设备与网关Switch 通信时错误发往了错误的Client 2。

要求：通过配置防止这种仿造网关攻击。

2. 组网图

图1-5 配置ARP网关保护功能组网图

3. 配置步骤

# 在AC上配置ARP网关保护功能。

<AC> system-view
[AC] interface gigabitethernet 1/0/1
[AC-GigabitEthernet1/0/1] arp filter source 10.1.1.1
[AC-GigabitEthernet1/0/1] quit
[AC] interface gigabitethernet 1/0/2
[AC-GigabitEthernet1/0/2] arp filter source 10.1.1.1

完成上述配置后，对于Client 2发送的伪造的源IP地址为网关IP地址的ARP报文将会被丢弃，不会再被转发。

引用：

17-ARP攻击防御配置-新华三集团-H3C

上一页3 IRF堆叠下一页5.交换机作为SSH客户端登录出错

最后更新于1年前