华为交换机配置实例

1、超经典 HPUX AIX cisco 华为 毕业论文 教育 医学资料 HYPERLINK :/ docin /ccy7758 TELNET远程管理交换机配置组网需求：1PC通过telnet登陆交换机并对其进行管理；2分别应用帐号+密码方式、仅密码方式以及radius认证方式；3只允许网段的地址的PC TELNET访问。组网图：作为telnet登陆主机的PC与Switch A之间通过局域网互连也可以直连，PC可以ping通Switch A。配置步骤：H3C S3100-SI S5100系列交换机TELNET配置流程账号+密码方式登陆1配置TELNET登陆的ip地址system-view Swit

2、chAvlan 2 SwitchA-vlan2port Ethernet 1/0/1 SwitchA-vlan2quit SwitchAmanagement-vlan 2 SwitchAinterface vlan 2 SwitchA-Vlan-interface2ip address 24 2进入用户界面视图SwitchAuser-interface vty 0 43配置本地或远端用户名+口令认证方式SwitchA-ui-vty0-4authentication-mode scheme4配置登陆用户的级别为最高级别3(缺省为级别1)SwitchA-ui-vty0-4user privileg

3、e level 35添加TELNET管理的用户，用户类型为telnet，用户名为huawei，密码为 adminSwitchAlocal-user huaweiSwitchA-luser-huaweiservice-type telnet level 3SwitchA-luser-huaweipassword simple admin仅密码方式登陆1配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)2进入用户界面视图SwitchAuser-interface vty 0 43设置认证方式为密码验证方式SwitchA-ui-vty0-4authentication-mode pass

4、word4设置登陆验证的password为明文密码huaweiSwitchA-ui-vty0-4set authentication password simple huawei5配置登陆用户的级别为最高级别3(缺省为级别1)SwitchA-ui-vty0-4user privilege level 3TELNET RADIUS验证方式配置1配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)2进入用户界面视图SwitchAuser-interface vty 0 43配置远端用户名和口令认证SwitchA-ui-vty0-4authentication-mode scheme4配置

5、RADIUS认证方案，名为camsSwitchAradius scheme cams5配置RADIUS认证效劳器地址1 SwitchA-radius-camsprimary authentication 1 18126配置交换机与认证效劳器的验证口令为huaweiSwitchA-radius-camskey authentication huawei7送往RADIUS的报文不带域名SwitchA-radius-camsuser-name-format without-domain8创立进入一个域，名为huaweiSwitchAdomain huawei9在域huawei中引用名为cams的认证

6、方案SwitchA-isp-huaweiradius-scheme cams10将域huawei配置为缺省域SwitchAdomain default enable HuaweiTELNET访问控制配置1配置访问控制规那么只允许网段登录2配置只允许符合ACL2000的IP地址登录交换机SwitchAuser-interface vty 0 4SwitchA-ui-vty0-4acl 2000 inbound3补充说明：TELNET访问控制配置是在以上三种验证方式配置完成的根底上进行的配置；TELNET登陆主机与交换机不是直连的情况下需要配置默认路由。H3C S3600 S5600系列交换机TE

7、LNET配置流程账号+密码方式登陆1配置TELNET登陆的ip地址system-view SwitchAvlan 2 SwitchA-vlan2port Ethernet 1/0/1 SwitchA-vlan2quit SwitchAinterface vlan 2 SwitchA-Vlan-interface2ip address 24 2进入用户界面视图SwitchAuser-interface vty 0 43配置本地或远端用户名+口令认证方式SwitchA-ui-vty0-4authentication-mode scheme4配置登陆用户的级别为最高级别3(缺省为级别1)Switch

8、A-ui-vty0-4user privilege level 35添加TELNET管理的用户，用户类型为telnet，用户名为huawei，密码为 adminSwitchAlocal-user huaweiSwitchA-luser-huaweiservice-type telnet level 3SwitchA-luser-huaweipassword simple admin仅密码方式登陆1配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)2进入用户界面视图SwitchAuser-interface vty 0 43设置认证方式为密码验证方式SwitchA-ui-vty0-4

9、authentication-mode password4设置登陆验证的password为明文密码huaweiSwitchA-ui-vty0-4set authentication password simple huawei5配置登陆用户的级别为最高级别3(缺省为级别1)SwitchA-ui-vty0-4user privilege level 3TELNET RADIUS验证方式配置(以使用华为3Com公司开发的CAMS 作为RADIUS效劳器为例)1配置TELNET登陆的ip地址(与上面账号+密码登陆方式相同)2进入用户界面视图SwitchAuser-interface vty 0 43

10、配置远端用户名和口令认证SwitchA-ui-vty0-4authentication-mode scheme4配置RADIUS认证方案，名为camsSwitchAradius scheme cams5配置RADIUS认证效劳器地址1 SwitchA-radius-camsprimary authentication 1 18126配置交换机与认证效劳器的验证口令为huaweiSwitchA-radius-camskey authentication huawei7送往RADIUS的报文不带域名SwitchA-radius-camsuser-name-format without-domain

11、8创立进入一个域，名为huaweiSwitchAdomain huawei9在域huawei中引用名为cams的认证方案SwitchA-isp-huaweiradius-scheme cams10将域huawei配置为缺省域SwitchAdomain default enable HuaweiTELNET访问控制配置1配置访问控制规那么只允许网段登录2配置只允许符合ACL2000的IP地址登录交换机SwitchAuser-interface vty 0 4SwitchA-ui-vty0-4acl 2000 inbound3补充说明：TELNET登陆主机与交换机不是直连的情况下需要配置默认路由；

12、在交换机上增加super password(缺省情况下，从VTY用户界面登录后的级别为1级，无法对设备进行配置操作。必须要将用户的权限设置为最高级别3，才可以进入系统视图并进行配置操作。低级别用户登陆交换机后，需输入super password改变自己的级别)例如，配置级别3用户的super password为明文密码super3：SwitchAsuper password level 3 simple super33 H3C S5500-SI S3610 S5510系列交换机TELNET配置流程1补充说明：由于H3C S5500-SI S3610 S5510系列交换机采用全新的Comware

13、 V5平台，命令行稍有改动。在采用上述配置的根底上，只要在系统视图下增加命令：SwitchAtelnet server enable 即可。配置关键点：1三层交换机，可以有多个三层虚接口，它的管理VLAN可以是任意一个具有三层接口并配置了IP地址的VLAN，而二层交换机，只有一个二层虚接口，它的管理VLAN即是对应三层虚接口并配置了IP地址的VLAN；2交换机缺省的TELNET认证模式是密码认证，如果没有在交换机上配置口令，当TELNET登录交换机时，系统会出现password required, but none set.的提示；3TELNET登陆可以应用windows自带的dos、超级终端

14、，也可以应用别的telnet软件进行登陆。交换机基于端口VLAN应用配置组网需求：PC1和PC2分别连接到交换机的端口E1/0/1和E1/0/2，端口分别属于VLAN10和VLAN20。组网图：配置步骤：方法11创立进入VLAN10，将E1/0/1参加到VLAN10SwitchAvlan 10SwitchA-vlan10port Ethernet 1/0/12创立进入VLAN20，将E1/0/2参加到VLAN20SwitchAvlan 20SwitchA-vlan20port Ethernet 1/0/2方法21进入以太网端口E1/0/1的配置视图SwitchAinterface Ethern

15、et 1/0/12配置端口E1/0/1的PVID为10SwitchA-Ethernet1/0/1port access vlan 103进入以太网端口E1/0/1的配置视图SwitchAinterface Ethernet 0/24配置端口E1/0/2的PVID为20SwitchA-Ethernet1/0/2port access vlan 20配置关键点：无Web管理的配置组网需求：PC通过IE浏览器对Switch A进行管理。组网图：作为Web登陆主机的PC与Switch A之间通过局域网互连也可以直连，PC可以ping通Switch A。配置步骤：H3C S3100-SI-SI S510

16、0系列交换机Web配置流程1确认WEB管理文件已经在交换机flash中dir7 (*) -rw- 801220 Apr 02 2000 00:02:15 hw- 3.1.5-0042.web 2配置Web登陆的ip地址system-view SwitchAvlan 2 SwitchA-vlan2port Ethernet 1/0/1 SwitchA-vlan2quit SwitchAmanagement-vlan 2 SwitchAinterface vlan 2 SwitchA-Vlan-interface2ip address 24 3添加WEB管理的用户，用户类型为telnet，用户名为

17、huawei，密码为adminSwitchAlocal-user huaweiSwitchA-luser-huaweiservice-type telnet level 3SwitchA-luser-huaweipassword simple adminH3C S3600 S5600 系列交换机Web配置流程1确认WEB管理文件已经在交换机flash中dir7 (*) -rw- 801220 Apr 02 2000 00:02:15 hw- 3.1.5-0042.web 2配置Web登陆的ip地址system-view SwitchAvlan 2 SwitchA-vlan2port Ether

18、net 1/0/1 SwitchA-vlan2quit SwitchAinterface vlan 2 SwitchA-Vlan-interface2ip address 24 3添加WEB管理的用户，用户类型为telnet，用户名为huawei，密码为adminSwitchAlocal-user huaweiSwitchA-luser-huaweiservice-type telnet level 3SwitchA-luser-huaweipassword simple admin4补充说明：如果想通过WEB方式管理交换机，必须首先将一个用于支持WEB管理的文件可以从网站上下载相应的交换机软

19、件版本时得到，其扩展名为web或者zip载入交换机的flash中，该文件需要与交换机当前使用的软件版本相配套；Web登陆主机与交换机不是直连情况下需要配置默认路由；登陆的时候在IE浏览器中输入即可进入Web登陆页面。H3C S5500-SI S3610 S5510系列交换机Web配置流程1补充说明：配置跟上述配置完全一致，但是不需要在flash中有web管理的文件，因为该文件已经被集成在vrp软件版本中了，只要按照上述的配置作就可以了。配置关键点：1对于S3100-SI S5100系列二层交换机，配置管理VLAN时必须保证没有别的VLAN虚接口；2在将WEB管理文件载入交换机flash时，不要

20、将文件进行解压缩，只需将完整的文件载入交换机即可(向交换机flash载入WEB管理文件的方法，请参考本配置实例中交换机的系统管理配置章节)。VLAN接口动态获取IP地址配置组网需求：1SwitchA为二层交换机，管理VLAN为VLAN10，SwitchA的VLAN接口10动态获取IP地址；2SwitchA的以太网端口E1/0/1为Trunk端口，连接到SwitchB，同时SwitchB提供DHCP Server功能。组网图：配置步骤：SwitchA配置1将E0/1端口设为trunk,并允许所有的vlan通过SwitchA-Ethernet1/0/1port link-type trunkSwi

21、tchA-Ethernet1/0/1port trunk permit vlan all2创立进入VLAN10SwitchAvlan 103创立进入VLAN接口10SwitchAinterface Vlan-interface 104为VLAN接口10配置IP地址SwitchA-Vlan-interface10ip address dhcp-allocSwitch B配置请参考DHCP Server配置局部配置关键点：1二层交换机只允许设置一个VLAN虚接口，在创立VLAN10的虚接口前需要保证没有别的VLAN虚接口；2虽然交换机的VLAN接口动态获取了IP地址，但是不能获得网关地址，因此还需

22、要在交换机上手工添加静态默认路由。流限速的配置组网需求：在交换机的Ethernet1/0/1口的入方向设置流量限速，限定速率为1Mbps1024Kbps。组网图：配置步骤：H3C 5100 3500 3600 5600 系列交换机典型访问控制列表配置1配置acl，定义符合速率限制的数据流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any2对端口E1/0/1的入方向报文进行流量限速，限制到1MbpsSwitchA- Ethernet1/0/1traffic-limit inbound link

23、-group 4000 1 exceed drop配置关键点： 无自定义ACL的配置组网需求：配置自定义ACL，通过匹配报文对应的协议号、MAC地址及IP地址等字段，过滤攻击主机发出的冒充网关的ARP报文。组网图：配置步骤：H3C 3600的配置1定义5000 aclSwitch acl number 50002把整个端口arp协议报文中源ip地址为的ARP报文禁掉16和32分别是协议字段和源IP字段的偏移量Switch-acl-user-5000rule 0 deny 0806 ffff 16 c0a80001 ffffffff 323允许arp协议报文源mac地址偏移量为26是000f-e

24、226-233c网关的arp报文通过Switch-acl-user-5000rule 1 permit 0806 ffff 16 000fe226233c ffffffffffff 26Switch-acl-user-5000quit4端口下下发创立的ACLSwitchinterface Ethernet 1/0/1 Switch-Ethernet1/0/1packet-filter inbound user-group 5000 H3C 5600的配置1定义5000 aclSwitch acl number 50002把整个端口arp协议报文源ip地址为的ARP报文禁掉 Switch-acl

25、-user-5000rule 0 deny 0806 ffff 20 c0a80001 ffffffff 363允许arp协议报文中源mac地址是000f-e226-233c的arp报文通过Switch-acl-user-5000rule 1 permit 0806 ffff 20 000fe226233c ffffffffffff 32Switch-acl-user-5000quit4端口下下发创立的ACLSwitchinterface Ethernet 1/0/1 Switch-Ethernet1/0/1packet-filter inbound user-group 5000H3C 36

26、10 5510的配置1定义5000 aclSwitch acl number 50002定义匹配的ACL规那么，匹配arp报文Switch-acl-user-5000 rule deny l2 0806 ffff 123配置扩展流模板bbbSwitch flow-template bbb extend l2 12 24在端口E1/0/1上应用流模板bbbSwitch interface Ethernet 1/0/1Switch-Ethernet1/0/1 flow-template bbbSwitch-Ethernet1/0/1 quit配置关键点：1如果开启了QinQ功能后，不建议应用用户自

27、定义acl；2H3C 3100-SI 5100 5500-SI不支持5000-5999的acl，H3C 3610及5510因为与流模板冲突，无法下发以上防ARP的ACL，需要配置自定义流模板。交换机Trunk端口配置组网需求：1SwitchA与SwitchB用trunk互连，相同VLAN的PC之间可以互访，不同VLAN的PC之间禁止互访；2PC1与PC2之间在不同VLAN，通过设置上层三层交换机SwitchB的VLAN接口10的IP地址为，VLAN接口20的IP地址为可以实现VLAN间的互访。组网图：1VLAN内互访，VLAN间禁访2通过三层交换机实现VLAN间互访配置步骤：实现VLAN内互访

28、VLAN间禁访配置过程SwitchA相关配置：1创立进入VLAN10，将E0/1参加到VLAN10SwitchAvlan 10SwitchA-vlan10port Ethernet 0/12创立进入VLAN20，将E0/2参加到VLAN20SwitchAvlan 20SwitchA-vlan20port Ethernet 0/23将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过SwitchAinterface GigabitEthernet 1/1SwitchA-GigabitEthernet1/1port link-type trunkSwitchA-GigabitE

29、thernet1/1port trunk permit vlan 10 20SwitchB相关配置：1创立进入VLAN10，将E0/10参加到VLAN10SwitchBvlan 10SwitchB-vlan10port Ethernet 0/102创立进入VLAN20，将E0/20参加到VLAN20SwitchBvlan 20SwitchB-vlan20port Ethernet 0/203将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过SwitchBinterface GigabitEthernet 1/1SwitchB-GigabitEthernet1/1port

30、link-type trunkSwitchB-GigabitEthernet1/1port trunk permit vlan 10 20通过三层交换机实现VLAN间互访的配置SwitchA相关配置：1创立进入VLAN10，将E0/1参加到VLAN10SwitchAvlan 10SwitchA-vlan10port Ethernet 0/12创立进入VLAN20，将E0/2参加到VLAN20SwitchAvlan 20SwitchA-vlan20port Ethernet 0/23将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过SwitchAinterface Giga

31、bitEthernet 1/1SwitchA-GigabitEthernet1/1port link-type trunkSwitchA-GigabitEthernet1/1port trunk permit vlan 10 20SwitchB相关配置：1创立VLAN10SwitchBvlan 102设置VLAN10的虚接口地址SwitchBinterface vlan 103创立VLAN20SwitchBvlan 204设置VLAN20的虚接口地址SwitchBinterface vlan 205将端口G1/1配置为Trunk端口，并允许VLAN10和VLAN20通过SwitchAinter

32、face GigabitEthernet 1/1SwitchA-GigabitEthernet1/1port link-type trunkSwitchA-GigabitEthernet1/1port trunk permit vlan 10 20配置关键点：无交换机端口链路类型介绍交换机端口链路类型介绍交换机以太网端口共有三种链路类型：Access、Trunk和Hybrid。1Access类型的端口只能属于1个VLAN，一般用于连接计算机的端口；2Trunk类型的端口可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；3Hybrid类型的端口可以属于多个VL

33、AN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于连接用户的计算机。其中，Hybrid端口和Trunk端口的相同之处在于两种链路类型的端口都可以允许多个VLAN的报文发送时打标签；不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签，而Trunk端口只允许缺省VLAN的报文发送时不打标签。三种类型的端口可以共存在一台以太网交换机上，但Trunk端口和Hybrid端口之间不能直接切换，只能先设为Access端口，再设置为其他类型端口。例如：Trunk端口不能直接被设置为Hybrid端口，只能先设为Access端口，再设置为Hybrid端口。各类型端口使用考

34、前须知配置Trunk端口或Hybrid端口，并利用Trunk端口或Hybrid端口发送多个VLAN报文时一定要注意：本端端口和对端端口的缺省VLAN ID(端口的PVID)要保持一致。当在交换机上使用isolate-user-vlan来进行二层端口隔离时，参与此配置的端口的链路类型会自动变成Hybrid类型。Hybrid端口的应用比拟灵活，主要为满足一些特殊应用需求。此类需求多为在无法下发访问控制规那么的交换机上，利用Hybrid端口收发报文时的处理机制，来完成对同一网段的PC机之间的二层访问控制。各类型端口在接收和发送报文时的处理1端口接收报文时的处理： 端口接收到的报文类型报文帧结构中携带

35、VLAN标记报文帧结构中不携带VLAN标记Access端口丢弃该报文为该报文打上VLAN标记为本端口的PVIDTrunk端口判断本端口是否允许携带该VLAN标记的报文通过。如果允许那么报文携带原有VLAN标记进行转发，否那么丢弃该报文同上Hybrid端口同上同上2端口发送报文时的处理： Access端口剥掉报文所携带的VLAN标记，进行转发Trunk端口首先判断报文所携带的VLAN标记是否和端口的PVID相等。如果相等，那么剥掉报文所携带的VLAN标记，进行转发；否那么报文将携带原有的VLAN标记进行转发Hybrid端口首先判断报文所携带的VLAN标记在本端口需要做怎样的处理。如果是untag

36、ged方式转发，那么处理方式同Access端口；如果是tagged方式转发，那么处理方式同Trunk端口交换机DHCP Sever的配置组网需求：1在交换机上配置DHCP Server，使下面的用户动态获取相应网段的IP地址；2DHCP Server的IP地址是，PC机接在E1/0/2口上。组网图：配置步骤：1创立进入VLAN2Switchvlan 22将E1/0/1端口参加VLAN2Switch-vlan2port Ethernet1/0/23进入VLAN接口2Switch-vlan2int vlan 24为VLAN2配置IP地址5全局使能DHCP功能Switchdhcp enable6创立

37、DHCP地址池并进入DHCP地址池视图Switchdhcp server ip-pool h3c7配置动态分配的IP地址范围8配置网关地址9禁止将PC机的网关地址分配给用户10指定vlan2虚接口工作在全局地址池模式Switchdhcp select global interface vlan-interface 2配置关键点：1需保证虚接口地址在地址池中，这样VLAN下接的PC机方能自动获得网段的IP地址；2对于DHCP Server设备，可以使用全局地址池和接口地址池进行地址分配，这两种配置方法的适用情况是：如果DHCP Client和DHCP Server在同一网段，这两种配置方法都适用

38、，如果DHCP Client 与DHCP Server不在同一网段，那么只能用基于全局地址池的DHCP Server配置。当虚接口工作在全局地址池模式时使用以下命令：Switchdhcp select global all3Vlan接口默认情况下以全局地址池方式进行地址分配，因此当vlan接口配置了全局地址池方式进行地址分配后，查看交换机当前配置时，在相应的vlan接口下无法看到有关DHCP的配置；4此系列交换机的具体型号包括：Quidway S3500、Quidway S3900-EI、Quidway S5600、H3C S3600-EI、H3C S5600系列交换机。交换机DHCP Rel

39、ay的配置组网需求：在交换机上配置DHCP Relay，使下面的用户动态获取相应网段的IP地址。组网图：配置步骤：1全局使能DHCP功能H3Cdhcp enable2指定DHCP Server组1所采用的DHCP Server的IP地址3配置DHCP Relay到DHCP Server的接口地址H3Cvlan 2H3C-vlan2port e1/0/2H3Cint vlan 24配置DHCP Relay到PC的接口地址H3Cvlan 3H3C-vlan3port e1/0/3H3Cint vlan 35指定VLAN接口归属到DHCP Server组1H3C-Vlan-interface3dhc

40、p-server 1配置关键点：1必须保证路由可达；2保证动态获得的IP地址在地址池中；3此系列交换机的具体型号包括：Quidway S3500、Quidway S3900、Quidway S5600、H3C S3600和H3C S5600系列交换机。防ARP攻击配置举例关键词：ARP、DHCP Snooping摘 要：本文主要介绍如何利用以太网交换机DHCP监控模式下的防ARP攻击功能，防止校园网中常见的“仿冒网关、“欺骗网关、“欺骗终端用户、ARP泛洪等攻击形式。同时，详细描述了组网中各个设备的配置步骤和配置考前须知，指导用户进行实际配置。缩略语：ARPAddress Resolution

41、 Protocol，地址解析协议MITMMan-In-The-Middle，中间人攻击ARP攻击防御功能介绍近来，许多校园网络都出现了ARP攻击现象。严重者甚至造成大面积网络不能正常访问外网，学校深受其害。H3C公司根据ARP攻击的特点，提出了“全面防御，模块定制的ARP攻击防御理念，并给出了两种解决方案。DHCP监控模式下的ARP攻击防御解决方案这种方式适合动态分配IP地址的网络场景，需要接入交换机支持DHCP Snooping功能。通过全网部署，可以有效的防御 “仿冒网关、“欺骗网关、“欺骗终端用户、“ARP中间人攻击、“ARP泛洪攻击等校园网中常见的ARP攻击方式；且不需要终端用户安装额

42、外的客户端软件，简化了网络配置。认证方式下的ARP攻击防御解决方案这种方式适合网络中动态分配IP地址和静态分配IP地址共存的网络场景，且只能防御“仿冒网关的ARP攻击方式。它不需要在接入交换机上进行特殊的防攻击配置，只需要客户端通过认证协议登录网络，认证效劳器如CAMS效劳器会识别客户端，并下发网关的IP/MAC对应关系给客户端，来防御“仿冒网关攻击。ARP攻击简介按照ARP协议的设计，一个主机即使收到的ARP应答并非自身请求得到的，也会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗创造了条件。校园网中，常见的ARP攻击

43、有如下几中形式。仿冒网关攻击者伪造ARP报文，发送源IP地址为网关IP地址，源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机，使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来，主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。“仿冒网关攻击示意图欺骗网关攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给网关；使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。

44、“欺骗网关攻击示意图欺骗终端用户攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的IP地址，源MAC地址为伪造的MAC地址的ARP报文给同网段内另一台合法主机；使后者更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来，网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访。“欺骗终端用户攻击示意图“中间人攻击ARP “中间人攻击，又称为ARP双向欺骗。如 REF _Ref156550173 r h 图1-4所示，Host A和Host C通过Switch进行通信。此时，如果有恶意攻击者Host B想探听Host A和Host

45、C之间的通信，它可以分别给这两台主机发送伪造的ARP应答报文，使Host A和Host C用MAC_B更新自身ARP映射表中与对方IP地址相应的表项。此后，Host A 和Host C之间看似“直接的通信，实际上都是通过黑客所在的主机间接进行的，即Host B担当了“中间人的角色，可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人Man-In-The-Middle攻击。ARP“中间人攻击示意图ARP报文泛洪攻击恶意用户利用工具构造大量ARP报文发往交换机的某一端口，导致CPU负担过重，造成其他功能无法正常运行甚至设备瘫痪。ARP攻击防御H3C公司根据ARP攻击的特点，给出了DHCP监控模式

46、下的ARP攻击防御解决方案和认证模式下的ARP攻击防御解决方案。前者通过接入交换机上开启DHCP Snooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能，可以防御常见的ARP攻击；后者不需要在接入交换机上进行防攻击配置，而需要通过CAMS效劳器下发网关的IP/MAC对应关系给客户端，防御“仿冒网关攻击。详见 REF _Ref183919519 r h 表1-1。常见网络攻击和防范对照表攻击方式防御方法动态获取IP地址的用户进行“仿冒网关、“欺骗网关、“欺骗终端用户、“ARP中间人攻击配置DHCP Snooping、ARP入侵检测功能手工配置IP地址的用户进行“仿冒网

47、关、“欺骗网关、“欺骗终端用户、“ARP中间人攻击配置IP静态绑定表项、ARP入侵检测功能ARP泛洪攻击配置ARP报文限速功能动态和手工配置IP地址的用户进行“仿冒网关攻击配置认证模式的ARP攻击防御解决方案(CAMS下发网关配置功能)DHCP Snooping功能DHCP Snooping是运行在二层接入设备上的一种DHCP平安特性。通过监听DHCP报文，记录DHCP客户端IP地址与MAC地址的对应关系； 通过设置DHCP Snooping信任端口，保证客户端从合法的效劳器获取IP地址。信任端口正常转发接收到的DHCP报文，从而保证了DHCP客户端能够从DHCP效劳器获取IP地址。不信任端口

48、接收到DHCP效劳器响应的DHCP-ACK和DHCP-OFFER报文后，丢弃该报文，从而防止了DHCP客户端获得错误的IP地址。 说明：目前H3C低端以太网交换机上开启DHCP Snooping功能后，所有端口默认被配置为DHCP Snooping非信任端口。为了使DHCP客户端能从合法的DHCP效劳器获取IP地址，必须将与合法DHCP效劳器相连的端口设置为信任端口，设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。IP静态绑定功能DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息，如果用户手工配置了固定IP地址，其IP地址、MAC地址等信息将不会

49、被DHCP Snooping表记录。因此，交换机支持手工配置IP静态绑定表的表项，实现用户的IP地址、MAC地址及接入交换机连接该用户的端口之间的绑定关系。这样，该固定用户的报文就不会被ARP入侵检测功能过滤。ARP入侵检测功能H3C低端以太网交换机支持将收到的ARP请求与回应报文重定向到CPU，结合DHCP Snooping平安特性来判断ARP报文的合法性并进行处理，具体如下。当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项匹配，且ARP报文的入端口及其所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项一

50、致，那么为合法ARP报文，进行转发处理。当ARP报文中的源IP地址及源MAC地址的绑定关系与DHCP Snooping表项或者手工配置的IP静态绑定表项不匹配，或ARP报文的入端口，入端口所属VLAN与DHCP Snooping表项或者手工配置的IP静态绑定表项不一致，那么为非法ARP报文，直接丢弃。 说明：DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息。如果固定IP地址的用户需要访问网络，必须在交换机上手工配置IP静态绑定表的表项，即：用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。实际组网中，为了解决上行端口接收的ARP请求和应答报文能够通过A

51、RP入侵检测问题，交换机支持通过配置ARP信任端口，灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测，对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。ARP报文限速功能H3C低端以太网交换机支持端口ARP报文限速功能，使受到攻击的端口暂时关闭，来防止此类攻击对CPU的冲击。开启某个端口的ARP报文限速功能后，交换机对每秒内该端口接收的ARP报文数量进行统计，如果每秒收到的ARP报文数量超过设定值，那么认为该端口处于超速状态即受到ARP报文攻击。此时，交换机将关闭该端口，使其不再接收任何报文，从而防止大量ARP报文攻击设备。同时

52、，设备支持配置端口状态自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。CAMS下发网关配置功能CAMSComprehensive Access Management Server，综合访问管理效劳器作为网络中的业务管理核心，可以与以太网交换机等网络产品共同组网，完成用户的认证、授权、计费和权限管理。如 REF _Ref187741199 r h 图1-5所示。CAMS组网示意图认证模式的ARP攻击防御解决方案，不需要在接入交换机上进行特殊的防攻击配置，只需要客户端通过认证登录网络，并在CAMS上进行用户网关的设置，CAMS会通过接入

53、交换机，下发网关的IP/MAC对应关系给客户端，来防御“仿冒网关攻击。ARP攻击防御配置指南ARP攻击防御配置任务操作命令说明-进入系统视图system-view-配置DHCP Snooping功能记录DHCP客户端的IP/MAC对应关系进入以太网端口视图interface interface-type interface-number-设置指定端口为DHCP Snooping信任端口dhcp-snooping trust必选缺省情况下，交换机的端口均为不信任端口退出至系统视图quit-开启交换机DHCP Snooping功能dhcp-snooping必选缺省情况下，以太网交换机的DHCP S

54、nooping功能处于禁止状态配置指定端口的IP静态绑定表项进入以太网端口视图interface interface-type interface-number-配置IP静态绑定表项ip source static binding ip-address ip-address mac-address mac-address 可选缺省情况下，没有配置IP静态绑定表项退出至系统视图quit-配置ARP入侵检测功能，防御常见的ARP攻击进入以太网端口视图interface interface-type interface-number-配置ARP信任端口arp detection trust可选缺省情

55、况下，端口为ARP非信任端口退出至系统视图quit-进入VLAN视图vlan vlan-id-开启ARP入侵检测功能arp detection enable 必选缺省情况下，指定VLAN内所有端口的ARP入侵检测功能处于关闭状态退出至系统视图quit-配置ARP限速功能开启ARP报文限速功能arp rate-limit enable必选缺省情况下，端口的ARP报文限速功能处于关闭状态配置允许通过端口的ARP报文的最大速率arp rate-limit rate可选缺省情况下，端口能通过的ARP报文的最大速率为15pps退出至系统视图quit-开启因ARP报文超速而被关闭的端口的状态自动恢复功能a

56、rp protective-down recover enable可选缺省情况下，交换机的端口状态自动恢复功能处于关闭状态配置因ARP报文超速而被关闭的端口的端口状态自动恢复时间arp protective-down recover interval interval可选缺省情况下，开启端口状态自动恢复功能后，交换机的端口状态自动恢复时间为300秒 说明：有关各款交换机支持的ARP攻击防御功能的详细介绍和配置命令，请参见各产品的操作、命令手册。支持ARP攻击防御功能的产品列表支持ARP攻击防御功能的产品列表功能产品型号DHCP SnoopingARP入侵检测IP静态绑定ARP报文限速S5600

57、(Release1602)S5100-EI(Release2200)S5100-SI(Release2200)S3600-EI(Release1602)S3600-SI(Release1602)S3100-EI(Release2104)S3100-52P(Release1602)E352/E328(Release1602)E152(Release1602)E126A(Release2104) 说明：有关各款交换机支持的防ARP攻击功能的详细介绍，请参见各产品的操作手册。ARP攻击防御配置举例DHCP监控模式下的ARP攻击防御配置举例组网需求某校园网内大局部用户通过接入设备连接网关和DHCP效劳

58、器，动态获取IP地址。管理员通过在接入交换机上全面部署ARP攻击防御相关特性，形成保护屏障，过滤掉攻击报文。详细网络应用需求分析如下。校园网用户分布在两个区域Host area1和Host area2，分别属于VLAN10和VLAN20，通过接入交换机Switch A和Switch B连接到网关Gateway，最终连接外网和DHCP。Host area1所在子网内拥有一台TFTP效劳器，其IP地址为，MAC地址为000d-85c7-4e00。为防止仿冒网关、欺骗网关等ARP攻击形式，开启Switch A上VLAN10内、Switch B上VLAN20内ARP入侵检测功能，设置Switch A和

59、Switch B的端口Ethernet1/0/1为ARP信任端口。为防止ARP泛洪攻击，在Switch A和Switch B所有直接连接客户端的端口上开启ARP报文限速功能。同时，开启因ARP报文超速而被关闭的端口的状态自动恢复功能，并设置恢复时间间隔100秒。组网图DHCP监控模式下的ARP攻击防御组网示意图配置思路在接入交换机Switch A和Switch B上开启DHCP snooping功能，并配置与DHCP效劳器相连的端口为DHCP snooping信任端口。在接入交换机Switch A上为固定IP地址的TFTP效劳器配置对应的IP静态绑定表项。在接入交换机Switch A和Swit

60、ch B对应VLAN上开启ARP入侵检测功能，并配置其上行口为ARP信任端口。在接入交换机Switch A和Switch B直接连接客户端的端口上配置ARP报文限速功能，同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。配置步骤使用的版本本举例中使用的接入交换机Switch A和Switch B为E126A系列以太网交换机。配置客户端动态获取IP地址。配置客户端自动获取IP地址示意图配置Switch A# 创立VLAN10，并将端口Ethernet1/0/1到Ethernet1/0/4参加VLAN10中。 system-viewSwitchA vlan 10SwitchA-vlan