低端交换机安全技术原理以及配置

1、低端交换机安全技术原理以及配置第1页，共64页，2022年，5月20日，22点42分，星期日第一节 802.1X认证基本原理及配置第二节 MAC地址认证基本原理及配置第三节 端口隔离技术及配置第四节 端口绑定技术及配置第五节 ARP防攻击相关技术及配置目录第2页，共64页，2022年，5月20日，22点42分，星期日802.1x协议起源 802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的全称是基于端口的访问控制协议，主要目的是为了解决无线局域网用户的接入认证问题，它通过控制端口访问节点来提供无线局域网用户接入认证和安全性，随着局域网宽带接入的不断普及，局域网

2、接入用户需要进行认证的要求越发迫切，802.1x现在已经开始被应用于一般的有线LAN的接入。第3页，共64页，2022年，5月20日，22点42分，星期日802.1x协议简介802.1x协议首先是一个认证协议，是一种对用户进行认证的方法和策略802.1x协议是IEEE为了解决基于端口的接入控制而定义的一个标准802.1x的认证的最终目的就是确定一个端口是否可用，对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1x的认证报文EAPOL (Extensible Authentication Protocol over

3、LAN)通过。第4页，共64页，2022年，5月20日，22点42分，星期日802.1x协议简介802.1x认证系统组成SupplicantEAPOLAuthenticatorAuthentication ServerEAP Over Radius OR Standard Radius第5页，共64页，2022年，5月20日，22点42分，星期日802.1x体系结构Supplicant SystemAuthenticator SystemAuthentication Server SystemPAE：认证机制中负责处理算法和协议的实体。EAP：Extensible Authentication

4、 Protocol第6页，共64页，2022年，5月20日，22点42分，星期日802.1x体系结构受控端口设备端为客户端提供接入局域网的端口，这个端口被划分为两个虚端口：受控端口和非受控端口非受控端口:始终处于双向连通状态，主要用来传递EAPOL协议帧，保证客户端始终能够发出或接受认证。受控端口:在授权状态下处于连通状态，用于传递业务报文；在非授权状态下处于断开状态，禁止传递任何报文。第7页，共64页，2022年，5月20日，22点42分，星期日802.1x体系结构端口受控方向192.168.1.1192.168.1.2E3/0/1E3/0/2单向双向Internet我司产品在实现时，对端口

5、在非授权状态下，实行入方向单向受控，即禁止从客户端接收帧，但允许向客户端发送帧。因此常常会发现，端口由授权状态转变成非授权状态后，用户主机的IPTV客户端仍然可以持续播放视频几分钟，就是这个原因。但由于收不到用户主机发来的组播组成员报告，随着组播组的老化被删除，最终IPTV被中断 双向受控单向受控双向受控对受控端口的输入流和输出流都进行控制，在端口未授权前两个方向的流量都不能通过受控端口第8页，共64页，2022年，5月20日，22点42分，星期日802.1x的工作方式客户端和设备端通过EAPOL帧来交互消息设备端和认证服务器端可以通过EAP中继方式或EAP终结方式交互信息设备端和认证服务器端

6、可以分布在两个不同的实体上也可以集中在同一个实体上客户端PAE设备端PAE认证服务器EAPOLRADIUS协议承载的EAP/PAP/CHAP交换第9页，共64页，2022年，5月20日，22点42分，星期日802.1x端口受控方式基于MAC的认证方式启用802.1X认证的端口下只要有一个用户通过了认证则该端口打开，其余下挂在这个端口下的用户也可以通过这个端口传输数据基于端口的认证方式两种端口受控方式：基于端口的认证：只要该物理端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，当第一个用户下线后，其他用户也会被拒绝使用网络。基于MAC地址认证：该物理端口下的所有接入用户都需要单

7、独认证。当某个用户下线时，也只有该用户无法使用网络。通过认证的用户可以使用网络资源，没有通过的用户则不能，即使他们都接入了同一个端口第10页，共64页，2022年，5月20日，22点42分，星期日802.1x报文发送方式AssignmentValuePAE group address01-80-C2-00-00-03组播方式客户端程序可以选择采用组播报文发送，此时客户端发送的所有EAPoL报文封装组播地址，有些情况下客户端程序也可以选择单播报文发送，此时客户端初次发送EAPoL-Start报文封装组播地址，回应设备端的response报文封装设备的端口地址采用单播发送，对于设备端发送的报文，若

8、设备端知道客户端的地址，则封装客户端的地址采用单播发送，否则封装组播地址 ，采用组播发送广播方式客户端也可以选择广播方式发送报文，这时客户端初次发送EAPoL-Start报文封装广播地址，其余报文可以采用单播发送第11页，共64页，2022年，5月20日，22点42分，星期日802.1x报文封装EAPOL的报文格式PAE Ethernet typeProtocol versionTypeLengthPacket Body2 3 4 6 N0PAE Ethernet Type占2字节，固定为0 x888EProtocol Version占1字节，固定为1Type占1字节，EAP-Packet（0

9、0EAPOL-Start（01）EAPOL-Logoff（02）EAPOL-Key（03）EAPOL-Encapsulated-ASF-Alert（04)Length占2字节，指定packet body字段的长度Packet Body当Packet Type字段为EAPoL-Start或EAPoL-Logoff时，此字段为空第12页，共64页，2022年，5月20日，22点42分，星期日802.1x报文封装EAPOL报文示例第13页，共64页，2022年，5月20日，22点42分，星期日802.1x报文封装EAP的报文格式Code域为一个字节，表示了EAP数据包的类型，EAP的Code的值指定

10、意义如下 Code1Request Code2Response Code3Success Code4FailureIndentifier域为一个字节，辅助进行request和response的匹配。每一个request都应该有一个response相对应，这样的一个Indentifier域就建立了一个对应关系Length域为两个字节，表明了EAP数据包的长度，包括Code、Identifier、Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充（padding）在接收时将被忽略掉。Data域为0个或者多个字节，Data域的格式由Code的值来决定。当Code为3或

11、4时，data域为0个字节。CodeIdentifierLengthData0 1 2 4 N第14页，共64页，2022年，5月20日，22点42分，星期日802.1x报文封装Request/Respone报文Data域Type：占1个字节，该字段值指定Request或Response的 类型。在 EAP的Request或Response中必须出现且仅出现一个Type 1 Identity 2 Notification 3 Nak (Response only) 4 MD5-Challenge 5 One-Time Password (OTP) (RFC 1938) 6 Generic To

12、ken CardType data：内容随不同类型的Request和Response而不同。TypeType Data0 1 N第15页，共64页，2022年，5月20日，22点42分，星期日802.1x报文封装EAP报文示例第16页，共64页，2022年，5月20日，22点42分，星期日802.1x认证过程两种EAP认证方式EAP中继方式EAP终结方式用来对用户口令信息进行加密处理的随机加密字由Radius服务器生成，交换机只是负责将EAP报文透传Radius服务器，EAP中继方式要求Radius服务器支持EAP属性：EAP-Message（值为79）和Message-Authenticat

13、or（值为80）,整个认证处理都由Radius服务器来完成。 EAP中继方式有四种认证方法：EAP-MD5、EAP-TLS（Transport Layer Security，传输层安全）、EAP-TTLS（Tunneled Transport Layer Security，隧道传输层安全）和PEAP（Protected Extensible Authentication Protocol，受保护的扩展认证协议）。用来对用户口令信息进行加密处理的随机加密字由交换机生成，之后交换机会通过标准Radius报文把用户名、随机加密字和客户端加密后的口令信息一起送给Radius服务器，进行相关的认证处理。

14、第17页，共64页，2022年，5月20日，22点42分，星期日802.1x认证过程EAP中继方式客户端交换机RADIUS服务器EAPOLEAPOREAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5 ChallengeEAP-SuccessEAP-Response/MD5 ChallengeRADIUS Access-Request(EAP-Response/Identity)RADIUS Access-Challenge(EAP-Request/MD5 Challenge)RADIUS Access-Acce

15、pt(EAP-Success)RADIUS Access-Request(EAP-Response/MD5 Challenge)端口被授权握手定时器超时握手请求报文EAP-Request/Identity握手应答报文EAP-Response/IdentityEAPOL-Logoff.端口非授权第18页，共64页，2022年，5月20日，22点42分，星期日802.1x认证过程EAP终结方式客户端交换机RADIUS服务器EAPOLRADIUSEAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5 ChallengeE

16、AP-SuccessEAP-Response/MD5 ChallengeRADIUS Access-Request(CHAP-Response/MD5 Challenge)RADIUS Access-Accept(CHAP-Success)端口被授权握手定时器超时握手请求报文EAP-Request/Identity握手应答报文EAP-Response/IdentityEAPOL-Logoff.端口非授权第19页，共64页，2022年，5月20日，22点42分，星期日802.1X典型配置案例第20页，共64页，2022年，5月20日，22点42分，星期日802.1X典型配置案例# 开启全局802

17、.1x 特性。 system-viewSystem View: return to User View with Ctrl+Z.Sysname dot1x# 开启指定端口Ethernet 1/0/1 的802.1x 特性。Sysname dot1x interface Ethernet 1/0/1# 设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC 地址的）。Sysname dot1x port-method macbased interface Ethernet 1/0/1# 创建RADIUS 方案radius1 并进入其视图。Sysname radius s

18、cheme radius1第21页，共64页，2022年，5月20日，22点42分，星期日802.1X典型配置案例# 设置主认证/计费RADIUS 服务器的IP 地址。# 设置备份认证/计费RADIUS 服务器的IP 地址。# 设置系统与认证RADIUS 服务器交互报文时的加密密码。Sysname -radius-radius1 key authentication name# 设置系统与计费RADIUS 服务器交互报文时的加密密码。Sysname-radius-radius1 key accounting money# 设置系统向RADIUS 服务器重发报文的时间间隔与次数。Sysname-

19、radius-radius1 timer 5Sysname-radius-radius1 retry 5第22页，共64页，2022年，5月20日，22点42分，星期日802.1X典型配置案例# 设置系统向RADIUS 服务器发送实时计费报文的时间间隔。Sysname-radius-radius1 timer realtime-accounting 15# 指示系统从用户名中去除用户域名后再将之传给RADIUS 服务器。Sysname-radius-radius1 user-name-format without-domainSysname-radius-radius1 quit# 创建域 并

20、进入其视图。Sysname domain # 指定radius1 为该域用户的RADIUS 方案，若RADIUS 服务器无效，则使用本地认证方案。Sysname-isp- scheme radius-scheme radius1 local# 设置该域最多可容纳30 个用户。Sysname-isp- access-limit enable 30第23页，共64页，2022年，5月20日，22点42分，星期日802.1X典型配置案例# 启动闲置切断功能并设置相关参数。Sysname-isp- idle-cut enable 20 2000Sysname-isp- quit# 配置域 为缺省用户域

21、。Sysname domain default enable # 添加本地接入用户。Sysname local-user localuserSysname-luser-localuser service-type lan-accessSysname-luser-localuser password simple localpass第24页，共64页，2022年，5月20日，22点42分，星期日第一节 802.1X认证基本原理及配置第二节 MAC地址认证基本原理及配置第三节 端口隔离技术及配置第四节 端口绑定技术及配置第五节 ARP防攻击相关技术及配置目录第25页，共64页，2022年，5月20

22、日，22点42分，星期日MAC地址认证概述第26页，共64页，2022年，5月20日，22点42分，星期日两种认证方式的的工作流程第27页，共64页，2022年，5月20日，22点42分，星期日MAC地址认证的配置命令第28页，共64页，2022年，5月20日，22点42分，星期日MAC认证的典型配置案例# 开启指定端口Ethernet 1/0/2 的MAC 地址认证特性。 system-viewSysname mac-authentication interface Ethernet 1/0/2# 配置采用MAC 地址用户名进行认证，并指定使用带有分隔符的小写形式的MAC 地址作为验证的用户

23、名和密码。Sysname mac-authentication authmode usernameasmacaddress usernameformat with-hyphenlowercase第29页，共64页，2022年，5月20日，22点42分，星期日MAC认证的典型配置案例# 添加本地接入用户。配置本地用户的用户名和密码：Sysname local-user 00-0d-88-f6-44-c1Sysname-luser-00-0d-88-f6-44-c1 password simple 00-0d-88-f6-44-c1设置本地用户服务类型为lan-access：Sysname-lus

24、er-00-0d-88-f6-44-c1 service-type lan-accessSysname-luser-00-0d-88-f6-44-c1 quit# 创建MAC 地址认证用户所使用的域。Sysname domain New Domain added.# 配置域 采用本地认证方式。Sysname-isp- scheme localSysname-isp- quit第30页，共64页，2022年，5月20日，22点42分，星期日MAC认证的典型配置案例# 配置MAC 地址认证用户所使用的域名为。Sysname mac-authentication domain # 开启全局MAC 地

25、址认证特性（接入控制相关特性一般将全局配置开启放在最后，否则相关参数未配置完成，会造成合法用户无法访问网络）。Sysname mac-authentication第31页，共64页，2022年，5月20日，22点42分，星期日第一节 802.1X认证基本原理及配置第二节 MAC地址认证基本原理及配置第三节 端口隔离技术及配置第四节 端口绑定技术及配置第五节 ARP防攻击相关技术及配置目录第32页，共64页，2022年，5月20日，22点42分，星期日端口隔离简介第33页，共64页，2022年，5月20日，22点42分，星期日端口隔离基本配置第34页，共64页，2022年，5月20日，22点42

26、分，星期日端口隔离配置举例第35页，共64页，2022年，5月20日，22点42分，星期日第一节 802.1X认证基本原理及配置第二节 MAC地址认证基本原理及配置第三节 端口隔离技术及配置第四节 端口绑定技术及配置第五节 ARP防攻击相关技术及配置目录第36页，共64页，2022年，5月20日，22点42分，星期日端口绑定技术简介第37页，共64页，2022年，5月20日，22点42分，星期日端口绑定基本配置第38页，共64页，2022年，5月20日，22点42分，星期日端口绑定典型配置举例第39页，共64页，2022年，5月20日，22点42分，星期日第一节 802.1X认证基本原理及配置

27、第二节 MAC地址认证基本原理及配置第三节 端口隔离技术及配置第四节 端口绑定技术及配置第五节 ARP防攻击相关技术及配置目录第40页，共64页，2022年，5月20日，22点42分，星期日ARP攻击原理介绍 ARPAddress Resolution Protocol地址解释协议帧类型0 x0806ARP欺骗都是通过填写错误的源MAC-IP对应关系来实现的通过伪造虚假源IP-MAC对应的ARP报文，导致网关或主机无法找到正确的通信对象利用ARP协议本身的缺陷来实现可以利用帧类型来识别ARP报文第41页，共64页，2022年，5月20日，22点42分，星期日ARP攻击来源分析一、病毒和木马瑞星

28、2007上半年电脑病毒排名1、帕虫（Worm.Pabug；金山：AV终结者；江民：U盘寄生虫）2、威金蠕虫（Worm.Viking）3、熊猫烧香（Worm.Nimaya；又称尼姆亚）4、网络游戏木马（）5、QQ通行证（）6、ARP病毒（具有ARP攻击行为的多个病毒）二、黑客攻击软件 网络执法官等据瑞星统计：上半年全国约有3500多万台电脑曾经被病毒感染 第42页，共64页，2022年，5月20日，22点42分，星期日常见ARP攻击类型 仿冒网关 ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端用户不能正常访问网关 仿冒终端用户/服务器 欺骗网关发送错误的终端用户的IPMAC

29、的对应关系给网关，导致网关无法和合法终端用户正常通信 欺骗终端用户发送错误的终端用户/服务器的IPMAC的对应关系给受害的终端用户，导致两个终端用户之间无法正常通信 其他ARP FLOODING 攻击第43页，共64页，2022年，5月20日，22点42分，星期日攻击实验环境介绍正常用户A网关攻击者B接入交换机正常用户C网络执法官我是攻击者我是受害者典型局域网，利用网络执法官来实现常见ARP攻击第44页，共64页，2022年，5月20日，22点42分，星期日ARP欺骗攻击1仿冒网关攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。主机访问网关的流量，被重定向到一个错误的MAC地址，导致该

30、用户无法正常访问外网。正常用户A网关G网关MAC更新了网关ARP表项已更新攻击者BIP Address GMAC G1.1.1.11-1-1IP AddressMACType1.1.1.1(网关)1-1-1DynamicIP AddressMACType1.1.1.1（网关）2-2-2DynamicARP表项更新为这种攻击为最为常见的攻击类型访问外网数据发向错误的网关第45页，共64页，2022年，5月20日，22点42分，星期日攻击现象一、网络执法官向受害主机发送网关的欺骗ARP报文二、受害主机网关信息被欺骗，网络无法正常访问间隔时间非常短第46页，共64页，2022年，5月20日，22点4

31、2分，星期日ARP欺骗攻击2欺骗网关攻击者伪造虚假的ARP报文，欺骗网关相同网段内的某一合法用户的MAC地址已经更新网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网正常用户A网关G用户A的MAC更新了用户A的ARP表项已更新发送伪造ARP信息攻击者BIP AddressMACType1.1.1.53-3-3DynamicIP AddressMACType1.1.1.52-2-2DynamicARP表项更新为IP Address AMAC A1.1.1.53-3-3外网来的数据流被转发到错误的终端第47页，共64页，2022年，5月20日，22点42分，星期日

32、一、受害主机上正确绑定网关信息二、网络还是无法正常访问攻击现象第48页，共64页，2022年，5月20日，22点42分，星期日ARP欺骗攻击3欺骗终端用户攻击者以伪造虚假的ARP报文，欺骗相同网段内的其他主机，某一合法用户的MAC地址已经更新网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访正常用户A网关G用户C的MAC更新了知道了发送伪造ARP信息攻击者BIP Address GMAC G1.1.1.11-1-1IP AddressMACType1.1.1.19-9-9DynamicIP AddressMACType1.1.1.12-2-2Dynam

33、ic用户C的MAC is 2-2-2ARP表项更新为目的MAC源MAC2-2-23-3-3IP Address AMAC A1.1.1.53-3-3数据流被中断IP Address BMAC B1.1.1.205-5-5IP Address CMAC C1.1.1.89-9-9正常用户C第49页，共64页，2022年，5月20日，22点42分，星期日ARP泛洪攻击攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网正常用户A网关G用户A、A1、A2、A3的MAC更新了已更新发送大量伪造ARP信息攻击者BIP A

34、ddress GMAC G1.1.0.11-1-1IP AddressMACType1.1.0.22-2-2Dynamic1.1.0.32-2-3Dynamic1.1.0.42-2-4Dynamic1.1.0.52-2-5Dynamic1.1.0.62-2-6Dynamic.Dynamic1.1.0.2 MAC is 2-2-2ARP表项被占满IP Address AMAC A1.1.1.1033-3-3ARP表项无法学习IP Address BMAC B1.1.1.205-5-51.1.0.3 MAC is 2-2-31.1.0.4 MAC is 2-2-41.1.1.103 MAC is

35、3-3-3第50页，共64页，2022年，5月20日，22点42分，星期日ARP攻击防御的三个控制点网关G用户接入设备 网关防御 合法ARP绑定，防御网关被欺骗 VLAN内的ARP学习数量限制，防御ARP泛洪攻击1 接入设备防御 将合法网关IP/MAC进行绑定，防御仿冒网关攻击 合法用户IP/MAC绑定，过滤掉仿冒报文 ARP限速 绑定用户的静态MAC2 客户端防御 合法ARP绑定，防御网关被欺骗3根据前述ARP攻击原理得出解决ARP攻击的三个控制点如下：第51页，共64页，2022年，5月20日，22点42分，星期日防御思路1认证模式网关接入交换机利用认证途径来获取合法用户的IP-MAC关系

36、，在接入交换机和网关上进行绑定。利用认证客户端在终端上绑定网关ARP表项。 CAMS 认证服务器利用802.1x或者Portal认证机制将合法用户的IP-MAC关系上传到认证服务器认证服务器将获取到的IP-MAC对应关系下发到网关认证设备将获取到的IP-MAC对应关系就地绑定认证客户端控制点123X认证通过后，CAMS将网关的IP-MAC对应关系下发给客户端进行静态绑定关键点第52页，共64页，2022年，5月20日，22点42分，星期日认证模式之接入绑定利用认证途径来获取合法用户的IP-MAC关系，在接入交换机（认证设备）进行绑定。 不匹配绑定关系的ARP报文统统丢弃，并上报给管理员网关接入

37、交换机 CAMS 认证服务器认证设备将获取到的IP-MAC对应关系就地绑定认证客户端控制点2X想发送欺骗报文，丢弃攻击者第53页，共64页，2022年，5月20日，22点42分，星期日防御思路2 DHCP 监控模式网关接入交换机监控DHCP交互报文获取合法用户的IP-MAC-port关系在接入交换机上绑定下挂终端的IP-MAC对应关系，并对接收到的ARP报文进行检查，过滤掉所有非法报文。全网部署后，有效防止所有ARP常见攻击类型DHCP服务器接入交换机解析客户端和DHCP服务器之间的交互报文，获得合法用户的IP-MAC-port对应关系接入交换机将获取到的合法用户的IP-MAC-port绑定在

38、入接口上控制点1X想发送欺骗报文？丢弃关键点攻击者第54页，共64页，2022年，5月20日，22点42分，星期日认证绑定 Vs. DHCP SNOOPING 对网络设备的依赖小，对接入交换机和网关的绑定可以根据网络状况分别使用。 适应静态IP地址的环境使用，适合目前多数学校现状。认证绑定模式DHCP SNOOPING模式优点局限性需要安装客户端需要采用H3C认证方式可以保证网络无非法ARP报文传播，从根本防御ARP攻击 纯网络层面实现，不需要用户安装客户端。对用户应用没有影响要求用户采用DHCP动态获取IP的方式以过滤非法报文为防御措施，要求同网段全网部署 对接入交换机的型号、版本有很强的依

39、赖优点局限性第55页，共64页，2022年，5月20日，22点42分，星期日DHCP Snooping模式的部署网关接入设备接入设备监控DHCP报文信息，绑定用户MAC-IP-PORT关系1保护屏障DHCP响应DHCP请求配置命令：全局模式：dhcpsnooping（全局开关）VLAN模式：ARP detection enable：（使能ARP detection enable检测，限制ARP报文数量）上行接口：ARP detection trust（ 将上行口配置为信任接口不检查ARP）DHCP第56页，共64页，2022年，5月20日，22点42分，星期日认证模式的部署网关接入设备接入设备

40、认证客户端绑定网关的IP-MAC对应关系3iNode客户端 iNode客户端 iNode客户端 iNode客户端 CAMS服务器 IP Address GMAC G1.2.2.100-e0-fc-00-00-04 静态ARP绑定：第57页，共64页，2022年，5月20日，22点42分，星期日H3C“全面防御，模块定制”ARP防御总结H3C低端交换机针对ARP防御方案：1. 防止泛洪攻击配置ARP 源抑制功能配置 ARP 黑洞路由功能配置 ARP 报文限速功能2. 防止仿冒用户、仿冒网关攻击配置源 MAC 地址固定的ARP 攻击检测功能配置 ARP 报文源MAC 地址一致性检查功能配置 ARP

41、 主动确认功配置 ARP Detection 功能配置ARP 自动扫描、固化功能配置 ARP 网关保护功能配置 ARP 过滤保护功能第58页，共64页，2022年，5月20日，22点42分，星期日H3C ARP防御方案配置ARP防止IP报文攻击功能如果网络中有主机通过向设备发送大量目标 IP 地址不能解析的IP 报文来攻击设备，可通过以下两种方案来防止ARP攻击。如果发送攻击报文的源是固定的，可以采用ARP 源抑制功能；如果发送攻击报文的源不固定，可以采用ARP 黑洞路由功能。1. 配置ARP源抑制功能使能ARP 源抑制功能arp source-suppression enable配置 ARP

42、 源抑制的阈值arp source-suppression limit limit-value（缺省情况下，ARP 源抑制的阈值为10）2. 配置ARP黑洞路由功能使能 ARP 黑洞路由功能arp resolving-route enable（ARP 黑洞路由功能处于开启状态）第59页，共64页，2022年，5月20日，22点42分，星期日H3C ARP防御方案配置ARP Detection功能ARP Detection 功能主要应用于接入设备上，对于合法用户的ARP 报文进行正常转发，否则直接丢弃，从而防止仿冒用户、仿冒网关的攻击。ARP Detection 包含三个功能：用户合法性检查、A

43、RP 报文有效性检查、ARP 报文强制转发。1. 用户合法性检查对于 ARP 信任端口，不进行用户合法性检查；对于ARP 非信任端口，需要进行用户合法性检查，以防止仿冒用户的攻击。用户合法性检查是根据 ARP 报文中源IP 地址和源MAC 地址检查用户是否是所属VLAN 所在端口上的合法用户，包括基于IP Source Guard 静态绑定表项的检查、基于DHCP Snooping 安全表项的检查、基于802.1X 安全表项的检查和OUI MAC 地址的检查。(1) 首先进行基于IP Source Guard 静态绑定表项检查。如果找到了对应源IP 地址和源MAC 地址的静态绑定表项，认为该ARP 报文合法，进行转发。如果找到了对应源IP 地址的静态绑定表项但源MAC 地址不符，认为该ARP