一、防ARP泛洪攻击
当针对全局、VLAN、接口的ARP报文限速以及根据源MAC地址、源IP地址进行ARP报文限速中的多个限速功能同时配置时,设备对同时满足这些限速条件的ARP报文以其中最小的限速值进行限速。
当针对全局、VLAN、接口的ARP Miss消息限速以及根据源IP地址进行ARP Miss消息限速中的多个限速功能同时配置时,设备对同时满足这些限速条件的ARP Miss消息以其中最小的限速值进行限速。
防止ARP泛洪攻击包括ARP报文限速功能、ARP Miss消息限速功能、免费ARP报文主动丢弃功能、ARP表项严格
学习功能以及ARP表项限制功能。并不是所有情况下都需要配置全部的ARP安全功能,根据实际情况选择在网关上部署。
1、配置ARP报文限速功能
1.1、配置根据源MAC地址的ARP限速
可以在网关设备上配置设备根据源MAC地址进行ARP报文限速。设备会对上送CPU的ARP报文根据源MAC地址进行统计,如果在1秒内收到的同一个源MAC地址的ARP报文超过设定阈值(ARP报文限速值),设备则丢弃超出阈值部分的ARP报文。
具体配置:
1、针对所有源MAC地址的arp报文源限制速率,单位为pps,默认为0,即不限制
[Huawei]arp speed-limit source-mac maximum 100
2、针对指定源MAC地址的arp报文源限制速率
[Huawei]arp speed-limit source-mac 5489-98b9-6b46 maximum 20
1.2、配置基于源IP的arp报文限速
可以在网关设备上配置设备根据源IP地址进行ARP报文限速。设备会对上送CPU的ARP报文根据源IP地址进行统计,如果在1秒内收到的同一个源IP地址的ARP报文超过设定阈值(ARP报文限速值),设备则丢弃超出阈值部分的ARP报文。
当同一个源IP地址的ARP报文速率超过30pps时,如果是在网关请求同网段内很多个用户MAC地址的场景下,则需要增大设备的ARP报文源IP地址抑制速率值,否则超过30pps的ARP报文将被丢弃,会造成网关学习ARP很慢;
如果是在ARP扫描攻击的场景下,则需要减小设备的ARP报文源IP地址抑制速率值。
具体配置:
1、针对所有源IP的arp报文限制速率
[Huawei]arp speed-limit source-ip maximum 100(5700未能模拟)
2、针对具体源IP的arp报文限速
[Huawei]arp speed-limit source-ip 10.1.1.1 maximum 20
1.3、配置基于全局、vlan、接口的ARP报文限速
建议在网关设备上进行如下配置。
当接入设备上部署了MFF功能时,为了避免MFF模块处理过多的过路ARP报文(即ARP报文的目的IP地址不是该报文接收接口的IP地址)导致CPU负荷过重,则可以在接入设备上部署针对全局、VLAN和接口的ARP报文限速功能。
具体配置
1、打开arp报文限速功能
[Huawei]arp anti-attack rate-limit enable
[Huawei-vlan20]arp anti-attack rate-limit enable
[Huawei-Vlanif20] arp anti-attack rate-limit enable #未能模拟
[Huawei-GigabitEthernet0/0/12]arp anti-attack rate-limit enable#对于二层模式接口需要undo portswitch切换到三层
2、使能arp报文限速值(报文个数)和限速时间(默认为1S)
[Huawei]arp anti-attack rate-limit 100 3
[Huawei-vlan20]arp anti-attack rate-limit 100 3
[Huawei-Vlanif20] arp anti-attack rate-limit 100 3
3.使能arp报文限速值(报文个数)和限速时间(默认为1S)以及超过限速值时后续持续丢弃报文的时间(默
认1S,该功能仅在接口下配置才能使用)
[Huawei-GigabitEthernet0/0/12]arp anti-attack rate-limit 100 3 block timer 60
#该命令在非block模式下只对上送CPU的ARP报文进行限速,对芯片转发的报文不会产生影响;在block模式下,仅在接口下上送CPU的ARP报文超过限速值时会触发block,触发后设备会持续丢弃该接口下的所有ARP报文。
4、设置ARP报文限速告警功能
[Huawei]arp anti-attack rate-limit alarm enable
5、设置ARP报文限速告警阈值
[Huawei]arp anti-attack rate-limit alarm threshold ?
INTEGER<1-16384>Threshold value
1.4、配置针对Super VLAN的VLANIF接口的ARP报文限速
以下两种情况会触发Super VLAN的VLANIF接口进行ARP学习&#xff1a;
VLANIF接口接收到触发ARP Miss消息的IP报文
VLANIF接口上启用ARP代理功能之后&#xff0c;设备接收到目的IP符合代理条件且该IP对应的ARP条目不存在的ARP请求报文
Super VLAN的VLANIF接口进行ARP学习时会将ARP请求报文在每个Sub VLAN下复制&#xff0c;如果该Super VLAN下配置了大量Sub VLAN&#xff0c;那么设备将产生大量的ARP请求报文。
为了避免CPU因复制、发送大量ARP请求报文而负担过重&#xff0c;设备支持Super VLAN的VLANIF接口下的ARP报文限速功能&#xff0c;以对该场景下设备发送的ARP请求报文进行流量控制。
当设备CPU较为繁忙时&#xff0c;可适当调小ARP请求报文的广播发送限制速率&#xff1b;当设备CPU较为空闲时&#xff0c;且希望能够快速广播ARP请求报文&#xff0c;则可以适当调大该速率。请根据设备实际状况和实际网络环境进行调整。
建议在网关设备上进行如下配置。
具体配置
[Huawei]arp speed-limit flood-rate#缺省为1000pps
2、ARP Miss消息限速配置
1、根据源IP地址进行ARP Miss消息限速
如果同一个源IP地址频繁触发ARP Miss消息且触发的ARP Miss消息速率超过30pps属于正常的情况&#xff0c;则需要增大ARP Miss消息根据源IP地址进行限速的限速值。
否则超过30pps的ARP Miss消息会触发ARP Miss消息限速&#xff0c;设备默认在5秒内丢弃匹配该源IP地址的所有ARP Miss报文&#xff0c;造成该源IP地址无法触发ARP学习&#xff0c;使该源IP地址的Ping报文会出现丢包现象。
建议在网关设备上进行如下配置。
具体配置&#xff1a;
1、设置根据源IP地址限制arp miss速率
[Huawei]arp-miss speed-limit source-ip maximum ?
INTEGER<0-16384>The range of speed-limit value
2、设置根据具体源IP地址限制arp miss速率
[Huawei]arp-miss speed-limit source-ip 192.168.1.1 ?
maskThe source ip address mask
maximumInput the speed-limit value
#如果将限速值配置为0&#xff0c;则表示不根据源IP地址进行ARP Miss消息限速。缺省情况下&#xff0c;设备允许每秒最多处理同一个源IP地址触发的30个ARP Miss消息。
如果同一个源IP地址在1秒内触发的ARP Miss消息个数超过ARP Miss消息限速值&#xff0c;设备会丢弃超过限速值的ARP Miss消息&#xff0c;即丢弃触发这些ARP Miss消息的ARP Miss报文&#xff0c;并默认使用block方式在5秒内持续丢弃该源IP地址的后续所有ARP Miss报文。
2、针对全局、VLAN和接口的ARP Miss消息限速
具体配置&#xff1a;
1、打开arp miss消息限速功能(全局或vlan或接口)
[Huawei]arp-miss anti-attack rate-limit enable
2、配置ARP Miss消息的限速值和限速时间
[Huawei]arp-miss anti-attack rate-limit 200 20
3、设置ARP Miss消息的告警功能
[Huawei]arp-miss anti-attack rate-limit alarm enable
4、配置ARP Miss消息限速丢弃告警阈值
[Huawei]arp-miss anti-attack rate-limit alarm threshold
京公网安备 11010802041100号