华为交换机防止仿冒网关ARP攻击配置实例_第1页
华为交换机防止仿冒网关ARP攻击配置实例_第2页
华为交换机防止仿冒网关ARP攻击配置实例_第3页
华为交换机防止仿冒网关ARP攻击配置实例_第4页
华为交换机防止仿冒网关ARP攻击配置实例_第5页
已阅读5页,还剩7页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、华为交换机防止仿冒网关ARP攻击配置实例作者:未知 文章来源:转贴 点击数:1059 更新时间:2007-7-3 16:27:00 二层交换机实现仿冒网关的ARP防攻击: 一、组网需求:1. 二层交换机阻止网络用户仿冒网关IP的ARP攻击二、组网图:图1二层交换机防ARP攻击组网S3552P是三层设备,其中IP:100.1.1.1是所有PC的网关,S3552P上的网关MAC地址为000f-e200-3999。PC-B上装有ARP攻击软件。现在需要对S3026C_A进行一些特殊配置,目的是过滤掉仿冒网关IP的ARP报文。三、配置步骤对于二层交换机如S3026C等支持用户自定义ACL(number

2、为5000到5999)的交换机,可以配置ACL来进行ARP报文过滤。全局配置ACL禁止所有源IP是网关的ARP报文acl num 5000rule 0 deny 0806 ffff 24 64010101 ffffffff 40rule 1 permit 0806 ffff 24 000fe2003999 ffffffffffff 34其中rule0把整个S3026C_A的端口冒充网关的ARP报文禁掉,其中斜体部分64010101是网关IP地址100.1.1.1的16进制表示形式。Rule1允许通过网关发送的ARP报文,斜体部分为网关的mac地址000f-e200-3999。注意:配置Rule

3、时的配置顺序,上述配置为先下发后生效的情况。在S3026C-A系统视图下发acl规则:S3026C-A packet-filter user-group 5000这样只有S3026C_A上连网关设备才能够发送网关的ARP报文,其它主机都不能发送假冒网关的arp响应报文。三层交换机实现仿冒网关的ARP防攻击一、组网需求:1. 三层交换机实现防止同网段的用户仿冒网关IP的ARP攻击二、组网图图2 三层交换机防ARP攻击组网三、配置步骤1. 对于三层设备,需要配置过滤源IP是网关的ARP报文的ACL规则,配置如下ACL规则:acl number 5000rule 0 deny 0806 ffff 2

4、4 64010105 ffffffff 40rule0禁止S3526E的所有端口接收冒充网关的ARP报文,其中斜体部分64010105是网关IP地址100.1.1.5的16进制表示形式。2. 下发ACL到全局S3526E packet-filter user-group 5000仿冒他人IP的ARP防攻击一、组网需求:作为网关的设备有可能会出现错误ARP的表项,因此在网关设备上还需对用户仿冒他人IP的ARP攻击报文进行过滤。二、组网图:参见图1和图2三、配置步骤:1. 如图1所示,当PC-B发送源IP地址为PC-D的arp reply攻击报文,源mac是PC-B的mac (000d-88f8-

5、09fa),源ip是PC-D的ip(100.1.1.3),目的ip和mac是网关(3552P)的,这样3552上就会学习到错误的arp,如下所示:-错误arp表项- IPAddressMACAddressVLANIDPortNameAgingType 100.1.1.4000d-88f8-09fa1Ethernet0/220Dynamic 100.1.1.3000f-3d81-45b41Ethernet0/220Dynamic从网络连接可以知道PC-D的arp表项应该学习到端口E0/8上,而不应该学习到E0/2端口上。但实际上交换机上学习到该ARP表项在E0/2。上述现象可以在S3552上配置

6、静态ARP实现防攻击:arpstatic100.1.1.3000f-3d81-45b41e0/82. 在图2 S3526C上也可以配置静态ARP来防止设备学习到错误的ARP表项。3. 对于二层设备(S3050C和S3026E系列),除了可以配置静态ARP外,还可以配置IP+MAC+port绑定,比如在S3026C端口E0/4上做如下操作:am user-bind ip-addr 100.1.1.4 mac-addr 000d-88f8-09fa int e0/4则IP为100.1.1.4并且MAC为000d-88f8-09fa的ARP报文可以通过E0/4端口,仿冒其它设备的ARP报文则无法通过

7、,从而不会出现错误ARP表项。四、配置关键点:此处仅仅列举了部分Quidway S系列以太网交换机的应用。在实际的网络应用中,请根据配置手册确认该产品是否支持用户自定义ACL和地址绑定。仅仅具有上述功能的交换机才能防止ARP欺骗。实际配置时注意偏移量的值,如不清楚请咨询华为售后工程师。6503交换机配置实例:acl number 5000rule 0 deny 0806 ffff 24 0a4e0401 ffffffff 40rule 1 permit 0806 ffff 24 000fe218ded7 ffffffffffff 34interface GigabitEthernet1/0/9

8、description Connect-to-Vlan4_S3928TP_1_G1/1/1duplex fullspeed 1000port link-type trunkport trunk permit vlan allqospacket-filter inbound user-group 5000 rule 0 system-index 1packet-filter inbound user-group 5000 rule 1 system-index 23900系列交换机配置实例:acl number 5000rule 0 deny 0806 ffff 16 0a4e0401 ffff

9、ffff 32 rule 1 permit 0806 ffff 16 000fe218ded7 ffffffffffff 32rule2 deny 0806 ffff 16 00142a6cf8f4 ffffffffffff 32rule 3 deny 0806 ffff 16 0a4e04ba ffffffffffff 3286中交换机配置:display current-configuration #local-server nas-ip 127.0.0.1 key huawei#domain default enable system#queue-scheduler wrr 1 2 3

10、4 5 9 13 15#radius scheme system#domain system#local-user pandapassword simple pingafanservice-type telnetlevel 3#acl number 5000rule 0 deny 0806 ffff 24 0a4e0401 ffffffff 40rule 1 permit 0806 ffff 24 000fe218ded7 ffffffffffff 34#vlan 1#vlan 10#vlan 40#interface Vlan-interface1ip address 10.78.1.42

11、255.255.255.0#interface Vlan-interface40#interface Aux1/0/0#interface Ethernet1/0/1port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/2port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound u

12、ser-group 5000 rule 1#interface Ethernet1/0/3port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/4port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethern

13、et1/0/5port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/6port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/7port access vlan 40packet-filte

14、r inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/8port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/9port access vlan 40packet-filter inbound user-group 5000 rule 0packet

15、-filter inbound user-group 5000 rule 1#interface Ethernet1/0/10port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/11port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule

16、 1#interface Ethernet1/0/12port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/13port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/14port acce

17、ss vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/15port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/16port access vlan 40packet-filter inbound user

18、-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/17port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/18port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbo

19、und user-group 5000 rule 1#interface Ethernet1/0/19port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/20port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface

20、 Ethernet1/0/21port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/22port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/23port access vlan 40packet-filter inbound user-group 5000 rule 0packet-filter inbound user-group 5000 rule 1#interface Ethernet1/0/24port access vlan 40packet-filter inbound user-group 5000 ru

人人文库> 全部分类> 教育资料 > 课设设计

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论