您当前所在位置:首页 >> 业内资讯业内资讯

华为最新ARP防护介绍


ARP 报文限速功能简介:

 

为了防止“中间人攻击”,设备通过开启ARP 入侵检测功能,将ARP 报文上送到CPU 处理,判断ARP 报文的合法性后进行转发或丢弃。但是,这样引入了新的问题:如果攻击者恶意构造大量ARP 报文发往交换机的某一端口,会导致CPU 负担过重,从而造成其他功能无法正常运行甚至设备瘫痪。S3900 系列以太网交换机支持端口ARP 报文限速功能,使受到攻击的端口暂时关闭,来避免此类攻击对CPU的冲击


开启某个端口的ARP 报文限速功能后,交换机对每秒内该端口接收的ARP 报文数量进行统计,如果每秒收到的ARP 报文数量超过设定值,则认为该端口处于超速状态(即受到ARP 报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,从而避免大量ARP 报文攻击设备。


同时,设备支持配置端口状态自动恢复功能,对于配置了ARP 限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。

 

配置实例:

配置ARP监测速率

interface Ethernet1/0/8
 port access vlan 148
 arp rate-limit enable
(打开ARP监测功能)
 arp rate-limit 50
(设置ARP监测速率为每秒钟50ARP包)

 

配置自动关闭端口功能:

在全局模式下:

 arp protective-down recover enable(开启交换机端口自动恢复功能)
 arp protective-down recover interval 15
(设置自动恢复时间为15秒)

 

测试结果:

%Apr  2 00:27:30:089 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
 Ethernet1/0/8 is UP

%Apr  2 00:27:52:170 2000 LINPINGJIEDAO_3952_ DHCP-SNP/5/arp_overspeed:- 1 -
 PacketLimit: ARP packet rate(52pps) exceeded on interface Ethernet1/0/8. The port will be down!

ARP包超过设定速率,此端口将关闭)

%Apr  2 00:27:52:348 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
 Ethernet1/0/8 is DOWN
%Apr  2 00:42:51:858 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
 Ethernet1/0/8 is UP
15秒后,端口自动打开)

 

查看交换机端口状态:

<3952>dis brief interface (注意第8口的状态为PTC
Interface:        
Eth  - Ethernet  GE   - GigabitEthernet TENGE - tenGigabitEthernet        
Loop - LoopBack  Vlan - Vlan-interface  Cas   - Cascade        
Speed/Duplex:        
A - auto-negotiation

Interface   Link     Speed  Duplex Type   PVID Description                 
--------------------------------------------------------------------------------
Aux1/0/0    UP       --     --     --     --   
Eth1/0/1    UP       A100M  Afull  trunk  1    uplink-TANGXIZHEN_3952
Eth1/0/2    ADM DOWN A      A      trunk  1    
Eth1/0/3    ADM DOWN A      A      trunk  1    
Eth1/0/4    ADM DOWN A      A      trunk  1    
Eth1/0/5    DOWN     A      A      access 902  
Eth1/0/6    UP       A100M  Afull  access 902  GuangJiSheQu
Eth1/0/7    DOWN     A      A      access 902  
Eth1/0/8  PTC DOWN A      A      access 902  
(注意第8口的状态为PTC

 

注意事项:

1、这个功能需要3900系列1602以上版本才能支持,其他型号的交换机暂时没有研究;

2arp包的速率限制要根据具体环境而设置,需要测试后才能铺开实施;

3、如果要手动打开被关闭的端口,可以使用undo shutdown打开;

版权所有 北京智诚恒基科技有限公司 京ICP备10009113号 地址:北京市海淀区中关村东路89号恒兴大厦19H 邮编:100089
电话:400-998-3868 / 010-51293130(中继线) 82612716/18/19
节假日联系电话:18610296566 / 18618191386 / 18618191369