ARP攻击防御典型配置桉例

页防ＡRP攻击配置举例关键词：ARP、DＨCPSnoopiｎg摘要:本文主要介绍如何利用以太网交换机DHCP监控模式下的防ＡRＰ攻击功能，防止校内网中常见的“仿冒网关"、“哄骗网关”、“哄骗终端用户”、AＲP泛洪等攻击形式。同时，简略描述了组网中各个设备的配置步骤和配置注意事项，指导用户进行实际配置。缩略语：ARP（AｄdｒessＲesｏｌｕtionPrｏｔoｃol,地址解析协议)ﻩMITM（Maｎ－Ｉｎ-Ｔhe-Ｍｉｄｄｌｅ，中间人攻击)H3C低端以太网交换机典型配置案例ARP攻击防御REF_Ref187808234\r\h第1章REF_Ref187808235\hARP攻击防御功能介绍9ARP攻击防御功能介绍近来，很多校内网络都消灭了ＡＲP攻击现象。严重者甚至造成大面积网络不能正常访问外网，学校深受其害。H３C公司依据AＲP攻击的特点,提出了“全面防御,模块定制”的ARP攻击防御理念,并给出了两种解决方案。DHＣP监控模式下的ARP攻击防御解决方案这种方式适合动态支配IP地址的网络场景,需要接入交换机支持DＨCPSｎｏｏpｉng功能.通过全网部署，可以有效的防御“仿冒网关”、“哄骗网关”、“哄骗终端用户”、“ＡRP中间人攻击”、“ARP泛洪攻击”等校内网中常见的ARP攻击方式;且不需要终端用户安装额外的客户端软件，简化了网络配置。认证方式下的ＡＲＰ攻击防御解决方案这种方式适合网络中动态支配IＰ地址和静态支配ＩP地址共存的网络场景,且只能防御“仿冒网关”的ARＰ攻击方式。它不需要在接入交换机上进行特殊的防攻击配置，只需要客户端通过认证协议(802。1x)登录网络，认证服务器(如ＣAＭS服务器)会识别客户端，并下发网关的ＩP/MAＣ对应关系给客户端，来防御“仿冒网关”攻击。ARP攻击简介依据ＡＲP协议的设计，一个主机即使收到的ARP应答并非自身恳求得到的,也会将其IＰ地址和ＭAC地址的对应关系添加到自身的ARP映射表中。这样可以削减网络上过多的ARP数据通信，但也为“ＡRP哄骗”制造了条件。校内网中,常见的AＲP攻击有如下几中形式.仿冒网关攻击者伪造ＡRP报文,发送源ＩＰ地址为网关IＰ地址，源ＭAＣ地址为伪造的MAC地址的ＡＲP报文给被攻击的主机,使这些主机更新自身ARP表中网关IP地址与MAＣ地址的对应关系.这样一来,主机访问网关的流量，被重定向到一个错误的ＭAC地址，导致该用户无法正常访问外网。“仿冒网关”攻击示意图哄骗网关攻击者伪造ARP报文，发送源IP地址为同网段内某一合法用户的ＩP地址,源MAC地址为伪造的MAＣ地址的ARP报文给网关;使网关更新自身AＲP表中原合法用户的IP地址与MＡC地址的对应关系。这样一来，网关发给该用户的全部数据全部重定向到一个错误的ＭＡC地址，导致该用户无法正常访问外网。“哄骗网关"攻击示意图哄骗终端用户攻击者伪造ARP报文，发送源IＰ地址为同网段内某一合法用户的IP地址,源MＡＣ地址为伪造的ＭＡＣ地址的ARＰ报文给同网段内另一台合法主机；使后者更新自身AＲＰ表中原合法用户的IP地址与ＭＡＣ地址的对应关系。这样一来，网段内的其他主机发给该用户的全部数据都被重定向到错误的ＭAC地址，同网段内的用户无法正常互访。“哄骗终端用户”攻击示意图“中间人"攻击ＡRP“中间人”攻击，又称为ARP双向哄骗.如REF＿Reｆ15655０１７3＼r\h图1-4所示,ＨｏsｔＡ和ＨosｔC通过Swｉtcｈ进行通信.此时，如果有恶意攻击者（ＨostＢ）想探听ＨostＡ和HosｔC之间的通信,它可以分别给这两台主机发送伪造的ARP应答报文，使HｏstA和HostＣ用MＡC_B更新自身ARP映射表中与对方IＰ地址相应的表项.此后,HｏsｔA和HoｓtC之间看似“直接”的通信，实际上都是通过黑客所在的主机间接进行的，即ＨostＢ担当了“中间人”的角色,可以对信息进行了窃取和篡改。这种攻击方式就称作“中间人(Mａn—In-Ｔhe-Miｄdle）攻击”.AＲP“中间人”攻击示意图ARP报文泛洪攻击恶意用户利用工具构造大量ARＰ报文发往交换机的某一端口，导致CＰU负担过重,造成其他功能无法正常运行甚至设备瘫痪。ARP攻击防御Ｈ3C公司依据ＡRP攻击的特点，给出了DＨCP监控模式下的ARP攻击防御解决方案和认证模式下的AＲＰ攻击防御解决方案.前者通过接入交换机上开启ＤHＣＰＳｎoｏping功能、配置ＩP静态绑定表项、ＡRＰ入侵检测功能和ARP报文限速功能，可以防御常见的ＡRＰ攻击;后者不需要在接入交换机上进行防攻击配置，而需要通过CAMS服务器下发网关的ＩＰ/MAＣ对应关系给客户端,防御“仿冒网关"攻击.详见REF＿Rｅf１83919519\r＼h表1—1。常见网络攻击和防范对比表攻击方式防御方法动态猎取IＰ地址的用户进行“仿冒网关”、“哄骗网关”、“哄骗终端用户”、“ARP中间人攻击"配置DHCＰＳnooｐing、ＡＲＰ入侵检测功能手工配置ＩP地址的用户进行“仿冒网关”、“哄骗网关”、“哄骗终端用户”、“ARP中间人攻击”配置IＰ静态绑定表项、AＲP入侵检测功能ＡＲP泛洪攻击配置ARP报文限速功能动态和手工配置IＰ地址的用户进行“仿冒网关”攻击配置认证模式的AＲＰ攻击防御解决方案（CAＭＳ下发网关配置功能）ＤHCPＳnooping功能ＤＨCPSnoｏｐing是运行在二层接入设备上的一种DHCP平安特性。通过监听DHCP报文,记录DHCP客户端IＰ地址与MAC地址的对应关系；通过设置DHＣＰSnｏｏping信任端口，保证客户端从合法的服务器猎取ＩP地址。信任端口正常转发接收到的ＤHＣP报文,从而保证了DHＣP客户端能够从DHCP服务器猎取IＰ地址。不信任端口接收到ＤHCＰ服务器响应的ＤHＣＰ-ACＫ和DHＣP-OFFER报文后,丢弃该报文，从而防止了DHCP客户端获得错误的ＩＰ地址.说明：目前H3Ｃ低端以太网交换机上开启DHCPSnoopｉｎg功能后，全部端口默认被配置为ＤHCＰSnooｐing非信任端口。为了使DＨCＰ客户端能从合法的DHCP服务器猎取IP地址，必须将与合法ＤHCＰ服务器相连的端口设置为信任端口,设置的信任端口和与DＨCP客户端相连的端口必须在同一个ＶＬＡN内。IＰ静态绑定功能DHＣPSｎooping表只记录了通过DＨＣＰ方式动态猎取ＩＰ地址的客户端信息,如果用户手工配置了固定ＩＰ地址，其IP地址、MAC地址等信息将不会被ＤHＣPSｎｏｏｐing表记录。因此,交换机支持手工配置ＩP静态绑定表的表项，实现用户的ＩP地址、ＭＡC地址及接入交换机连接该用户的端口之间的绑定关系。这样,该固定用户的报文就不会被ARP入侵检测功能过滤。AＲP入侵检测功能H3C低端以太网交换机支持将收到的ARP(恳求与回应)报文重定向到CPＵ，结合ＤHＣＰSnｏoping平安特性来推断ＡＲP报文的合法性并进行处理，简略如下。当ＡRP报文中的源IP地址及源MAC地址的绑定关系与DＨCＰSｎoopｉng表项或者手工配置的IP静态绑定表项匹配,且ＡＲP报文的入端口及其所属ＶLＡＮ与DＨCPＳnooｐing表项或者手工配置的IＰ静态绑定表项全都，则为合法ARP报文，进行转发处理。当AＲP报文中的源ＩＰ地址及源ＭＡＣ地址的绑定关系与ＤＨCPSｎoopｉnｇ表项或者手工配置的IP静态绑定表项不匹配,或ＡRP报文的入端口，入端口所属VＬAN与DHCＰSnｏopinｇ表项或者手工配置的IP静态绑定表项不全都，则为非法ARＰ报文，直接丢弃。说明：DHＣＰSnooｐiｎｇ表只记录了通过DHＣＰ方式动态猎取ＩP地址的客户端信息。如果固定ＩＰ地址的用户需要访问网络,必须在交换机上手工配置IP静态绑定表的表项,即：用户的ＩP地址、MAC地址及连接该用户的端口之间的绑定关系.实际组网中，为了解决上行端口接收的ＡRP恳求和应答报文能够通过ＡＲP入侵检测问题，交换机支持通过配置ＡRP信任端口，灵敏掌握ARP报文检测功能。对于来自信任端口的全部ARＰ报文不进行检测，对其它端口的ARP报文通过查看DHCPSｎooping表或手工配置的IP静态绑定表进行检测。AＲＰ报文限速功能H3C低端以太网交换机支持端口ARP报文限速功能，使受到攻击的端口临时关闭，来避开此类攻击对ＣPU的冲击。开启某个端口的ＡＲＰ报文限速功能后,交换机对每秒内该端口接收的ARP报文数量进行统计，如果每秒收到的ARP报文数量超过设定值,则认为该端口处于超速状态(即受到ＡRP报文攻击)。此时，交换机将关闭该端口，使其不再接收任何报文,从而避开大量ＡＲＰ报文攻击设备。同时，设备支持配置端口状态自动恢复功能,对于配置了AＲP限速功能的端口,在其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态.ＣAMＳ下发网关配置功能ＣＡＭS（CoｍｐrehｅｎsiveAccｅsｓMａnagemeｎtServeｒ，综合访问管理服务器)作为网络中的业务管理核心，可以与以太网交换机等网络产品共同组网,完成用户的认证、授权、计费和权限管理。如REＦ＿Ref1８77４119９\r\ｈ图1-５所示.CAMS组网示意图认证模式的AＲP攻击防御解决方案，不需要在接入交换机上进行特殊的防攻击配置,只需要客户端通过８０2.1x认证登录网络,并在CAMS上进行用户网关的设置，ＣＡMS会通过接入交换机，下发网关的IP/MAＣ对应关系给客户端，来防御“仿冒网关"攻击。ARＰ攻击防御配置指南AＲP攻击防御配置任务操作命令说明－进入系统视图sysｔem－vｉeｗ-配置DHCPSnoｏping功能记录DHＣP客户端的ＩＰ/ＭＡC对应关系进入以太网端口视图ｉnterfaｃｅinterfａce-tｙｐeinｔｅrfacｅ-ｎｕmber—设置指定端口为DHCＰＳｎoopiｎｇ信任端口ｄhｃｐ-snoopingｔruｓｔ必选缺省情况下，交换机的端口均为不信任端口退出至系统视图quiｔ—开启交换机DHＣPＳnｏoｐｉｎg功能dhｃｐ—snooｐing必选缺省情况下,以太网交换机的DHCPSnooｐing功能处于禁止状态配置指定端口的IP静态绑定表项进入以太网端口视图iｎｔeｒfaｃｅrface-typｅiｎｔeｒｆaｃｅ—numbｅr-配置IＰ静态绑定表项iｐsoｕrｃestatｉｃbｉnｄｉｎgip-aｄｄrｅsｓｉp－address[mac—adｄｒessmac-aｄｄress］可选缺省情况下，没有配置IＰ静态绑定表项退出至系统视图qｕｉｔ—配置ＡＲP入侵检测功能，防御常见的AＲP攻击进入以太网端口视图iｎｔeｒfａcｅiｎterface－tyｐｅinｔerface-nuｍbｅr—配置ARP信任端口arｐdetecｔioｎtｒusｔ可选缺省情况下,端口为ARP非信任端口退出至系统视图qｕiｔ-进入VLＡN视图vlanｖｌaｎ-ｉd-开启ARP入侵检测功能arｐdｅtectiｏneｎaｂlｅ必选缺省情况下,指定VLAN内全部端口的ARP入侵检测功能处于关闭状态退出至系统视图qｕｉt－配置AＲP限速功能开启ARＰ报文限速功能arprａｔe—ｌimiｔenａbｌe必选缺省情况下，端口的ARP报文限速功能处于关闭状态配置允许通过端口的ARP报文的最大速率arpratｅ－ｌiｍitrａtｅ可选缺省情况下，端口能通过的ARP报文的最大速率为15pps退出至系统视图qｕit—开启因ＡＲＰ报文超速而被关闭的端口的状态自动恢复功能arｐprｏｔectivｅ—dｏwnrｅcｏｖeｒenable可选缺省情况下，交换机的端口状态自动恢复功能处于关闭状态配置因ARＰ报文超速而被关闭的端口的端口状态自动恢复时间aｒｐproｔecｔivｅ－dowｎreｃovｅrinｔeｒｖaliｎterval可选缺省情况下,开启端口状态自动恢复功能后，交换机的端口状态自动恢复时间为300秒说明：有关各款交换机支持的ARP攻击防御功能的简略介绍和配置命令,请参见各产品的操作、命令手册.支持AＲP攻击防御功能的产品列表支持ARＰ攻击防御功能的产品列表功能产品型号DHCPSnooｐiｎgARＰ入侵检测ＩＰ静态绑定ARP报文限速Ｓ5600（Ｒelｅase１602)S5100-EＩ（Rｅleaｓe２2００）Ｓ５10０—SＩ（Release22０0)S360０—EＩ(Reｌｅａｓｅ1602）Ｓ36０0—ＳＩ(Release1６０2）S3100－ＥＩ(Rｅleａｓｅ2104)S3１０0-52Ｐ(Rｅleaｓe160２）E3５2/E3２8(Releａｓe1６02）E１5２（Reｌeaｓe1６0２)E1２6Ａ(Rｅｌｅａse２104）说明：有关各款交换机支持的防ＡRP攻击功能的简略介绍，请参见各产品的操作手册。H3C低端以太网交换机典型配置案例ARP攻击防御REF_Ref187808244\r\h第2章REF_Ref187808246\hARP攻击防御配置举例19ARP攻击防御配置举例DHCP监控模式下的ＡRP攻击防御配置举例组网需求某校内网内大部分用户通过接入设备连接网关和ＤHCP服务器,动态猎取IＰ地址。管理员通过在接入交换机上全面部署AＲP攻击防御相关特性，形成保护屏障，过滤掉攻击报文。简略网络应用需求分析如下.校内网用户分布在两个区域Ｈｏstarea1和Hｏsｔａｒea２，分别属于ＶLAＮ１０和VLAN20，通过接入交换机ＳwitｃhA和SwitcｈB连接到网关Gａｔeway,最终连接外网和DHCP。Hoｓtａrｅａ1所在子网内拥有一台TFTP服务器，其ＩＰ地址为192。１68。０．1０/2４，ＭＡC地址为0００ｄ—85c７-４e00。为防止仿冒网关、哄骗网关等ＡＲＰ攻击形式，开启SｗiｔchA上ＶLＡN1０内、SwiｔchB上VLＡＮ20内AＲP入侵检测功能，设置ＳｗitchA和ＳｗitchB的端口Etｈeｒｎet1/0/1为ARＰ信任端口。为防止ARP泛洪攻击,在ＳｗitchA和SｗｉtchＢ全部直接连接客户端的端口上开启AＲP报文限速功能。同时,开启因ARP报文超速而被关闭的端口的状态自动恢复功能，并设置恢复时间间隔100秒。组网图DHCP监控模式下的ＡRＰ攻击防御组网示意图配置思路在接入交换机SwｉｔchA和SwiｔcｈＢ上开启DHCPsnoｏpinｇ功能，并配置与DHCP服务器相连的端口为DＨCＰsnoｏpｉｎｇ信任端口。在接入交换机ＳwitｃhＡ上为固定IP地址的TＦTP服务器配置对应的IP静态绑定表项。在接入交换机ＳｗｉｔchA和SwｉtｃhＢ对应VLAN上开启ＡＲP入侵检测功能,并配置其上行口为ARP信任端口.在接入交换机SwｉtcｈA和SｗitchＢ直接连接客户端的端口上配置ARＰ报文限速功能，同时全局开启因ARＰ报文超速而被关闭的端口的状态自动恢复功能.配置步骤使用的版本本举例中使用的接入交换机ＳｗitchA和SwｉｔｃｈＢ为Ｅ126Ａ系列以太网交换机。配置客户端动态猎取ＩP地址。配置客户端自动猎取IP地址示意图配置SwitcｈA＃创建VLＡN1０，并将端口Ethｅrnｅt1/0／1到Ｅthernｅｔ1／０／4加入VLＡＮ10中.<SwｉtcｈA>system－ｖｉｅw［SwitｃhA]ｖlan１0[SwitｃhA-vlan10]portEｔhernｅt1/0/1toEｔｈｅrnet1／0/４［ＳwｉtｃhＡ—vlan１0］qｕiｔ＃配置SwitchA的上行口为ＤＨＣPｓｎｏopｉｎg信任端口。［SｗiｔcｈA］iｎｔerfaｃeethernｅｔ1/0/1[ＳwｉtchA—Ｅｔｈeｒnet1/０/1］dhcp—sｎｏopingtrust［ＳwiｔchA－Ethｅｒｎet１/0/１］quit#开启DHＣＰsnooping。[SwｉtcｈA］dhcp-snoopｉng＃在ＳwｉtchＡ的端口Eｔｈｅｒnｅt１／０/4上配置IP静态绑定表项。[SwiｔｃhA］ｉｎterｆａceEthernet１/0/4［SｗitchA－Eｔhｅrnet1/0／4］iｐsoｕrｃｅstatｉcbｉｎdingip—aｄｄress192．16８。0。1０mac－address00０ｄ—85c7－4ｅ０0[SｗitcｈＡ—Ｅtheｒneｔ１/0/4］quit＃配置ＳｗitchＡ的上行口为AＲP信任端口.［SwitchA]intｅｒｆaceetｈｅｒnet1/0／１[SｗitcｈA－Ｅthｅrｎｅt1/0/1］arpｄetｅｃｔioｎtｒuｓｔ［SwitchA—Etｈeｒnet１／０／1］ｑuit＃开启VLAN１０内全部端口的ARP入侵检测功能.［ＳｗｉtchA］vｌaｎ１0［ＳwitｃｈA-ｖlan1０]aｒpdetecｔｉonenable［SwｉtchA－vlａn10]qｕｉt＃开启SｗitｃhA的端口Eｔherｎｅｔ1／０/２、Ｅthｅｒnet1／0/3上的ＡRP报文限速功能。［SwitchA]intｅｒfaceEtherｎet1/0/2［ＳwitchA-Ethernet1/０/2］ａｒｐrａte－limitｅnaｂｌe［SwitｃhA-Eｔheｒneｔ1/0/2］ａｒpｒaｔｅ—limit20［SwitｃhA-Eｔｈerneｔ１／0/２］qｕiｔ［ＳwitｃｈＡ]inｔerｆacｅEｔheｒnet1/0／３［SwiｔcｈA-Ethernｅt１/0／3］ａrprate-liｍitenabｌe[SｗiｔｃhＡ-Eｔｈernet1/0/３］ａｒprａｔe－lｉmit２０[ＳwitchＡ—Eｔｈeｒnet１／０/3]quit#配置端口状态自动恢复功能,恢复时间间隔为1００秒。［SｗｉｔｃhA]arｐprｏｔective－dｏｗnｒeｃovereｎable[ＳｗiｔｃhＡ]ａrｐproｔｅctivｅ-dｏwnｒecｏｖeｒｉnｔerval1０0#配置网关的缺省路由.［SwiｔｃhＡ]ｉｐｒoute-stａｔic０.０.0.00192。16８。０。1配置ＳwitｃｈB#创建VＬAN２０,并将相应端口加入VLAN20中。＜SwitｃhＢ＞ｓｙstｅm—view［SwｉｔchB］vlan2０[SｗｉｔｃhB-vｌａn２0］porｔEtherneｔ1/0/1toＥthernｅt1/0／4［SｗｉｔcｈＢ-vlan20]quit#配置ＳｗｉtｃhＢ的上行口为DHCＰsnooｐing信任端口。[SwｉtｃｈＢ]interfaceｅtｈｅrｎet1／０/１［ＳwitｃhB—Ｅthernｅｔ1/0/１]dhcｐ—snooｐinｇtｒust［SｗitｃｈB－Ｅｔhｅrneｔ１／0/1］qｕit＃开启DHＣPsnooping.[ＳｗｉｔchB］ｄhｃp—ｓnoｏping＃配置SｗitchB的上行口为ARP信任端口。[SwitchB］ｉnterfａｃeｅtherneｔ1/0/1［SｗｉtchＢ—Ethernｅt１／0／1]arpｄｅteｃtionｔrusｔ［ＳwｉtｃhB—Ｅｔheｒnet1／0／１］quit＃开启ＶLAN20内全部端口的ＡRＰ入侵检测功能。［ＳwitchB］vｌａn20[SwitchB—vｌaｎ２０］aｒpdetectｉoｎenaｂｌe[ＳwitｃhB—ｖlaｎ20]quit#开启SｗitｃhA的端口Ethｅｒnet１/0／2、Ｅｔhernet１／0/3、Eｔheｒｎet１／０/4上的ARP报文限速功能.［SwｉｔchＢ]inｔerfａｃeEthernet１/0/2[SwitchB－Etherｎeｔ1/０/２]arｐｒate-limitｅnable［ＳｗitchB—Etｈｅrnｅｔ１／0/2]arpｒaｔe-lｉmiｔ20[ＳｗitcｈB-Etｈernet１／０/2]quｉt［ＳwitｃhＢ]inｔerfaｃeＥｔherneｔ1/0/３［SｗitcｈB—Ethｅrnｅt1/０/3］aｒpｒａｔe-ｌimiｔｅｎabｌe［SwitcｈB－Ｅtｈernet1/0/3]ａｒｐrate—limit20[ＳwｉtchB-Etｈｅrnet１／0/３］quｉt［ＳwｉtcｈB]iｎteｒfaceEtｈｅrnet1/０／4［SｗitcｈＢ-Etherｎｅt1/０/4］ａｒpｒaｔe—limitenabｌe[SwitｃhB－Ｅtheｒnet１/0/4］aｒｐｒate—lｉｍｉt2０［SｗｉtｃhB-Ethｅrｎet1/0/4]ｑuit＃配置端口状态自动恢复功能，恢复时间间隔为100秒。[SwitchB]arppｒoteｃtiｖｅ—ｄowｎrｅcoverｅｎaｂle［ＳｗiｔcｈB］arｐprｏｔeｃtive-dowｎｒeｃoverｉnｔervａｌ1０0＃配置网关的缺省路由.[SｗitchB］ｉproute—stａtiｃ０。0.0．０019２．1６８．１．１配置Ｇaｔｅway＜Ｇaｔeｗａｙ>syｓｔem—ｖiｅｗ＃创建VLAN10和VLAN２0，并添加相应端口。［Gatｅwaｙ］vｌａn１０［Gａｔｅｗａy–vｌａn10］ｐortＥthｅｒｎet1/0／１[Ｇａｔｅway–vlａn10]ｑuit［Gateｗay]vlan20[Gateway–vｌａｎ２0］ｐortEtheｒneｔ1/０／2[Gateway–vｌan20]quｉt＃配置Ｖｌａn-iｎterfaｃe１0的IＰ地址为１９２．16８．0.１/24。[Ｇａｔeway]iｎteｒfaｃｅvｌａｎ10［Ｇateｗay-Vlan-interｆace１０］ipaddrｅss192．168。0。１24［Ｇaｔｅwaｙ-Vlaｎ－iｎteｒfａcｅ１0］quit#配置Vlan-interfacｅ20的ＩP地址为１9２.16８。1．1/24。[Ｇａteway]ｉnterfacevｌan20［Ｇatewaｙ－Vｌan—iｎｔｅｒｆacｅ２０]ｉpaddreｓs192.１68。1.124［Gａteway—Ｖｌaｎ－iｎtｅｒｆace20]quit配置DHCP服务器由于作为DHCP服务器的设备不同，所需进行的配置也不同，故此处从略.简略配置请参考DHCP服务器操作手册。注意事项配置AＲP入侵检测功能之前,需要先在交换机上开启ＤHＣPSnｏopｉｎg功能，并设置DＨＣPＳnoｏｐinｇ信任端口，否则全部ＡRＰ报文将都不能通过ＡRP入侵检测。目前,Ｈ３C低端以太网交换机上开启DHCPＳnooping功能后,全部端口默认被配置为DHCPSnｏopinｇ非信任端口。为了使DHＣP客户端能从合法的ＤHCP服务器猎取IＰ地址,必须将与合法DHＣP服务器相连的端口设置为信任端口，设置的信任端口和与ＤHＣP客户端相连的端口必须在同一个VLAN内.DHCPＳｎoopｉｎg表只记录了通过ＤHCＰ方式动态猎取IP地址的客户端信息.如果固定ＩP地址的用户需要访问网络,必须在交换机上手工配置IP静态绑定表的表项，即：用户的ＩP地址、MAＣ地址及连接该用户的端口之间的绑定关系.目前,Ｈ3C系列以太网交换机在端口上配置的IP静态绑定表项，其所属VLAN为端口的缺省VLＡＮＩＤ。因此，如果ARP报文的VLAＮＴＡG与端口的缺省VLＡNID值不同,报文将无法通过依据IP静态绑定表项进行的ARＰ入侵检测.H3C系列以太网交换机上手工配置的IP静态绑定表项的优先级高于DHCPＳnｏopiｎｇ动态表项。简略表现在：如果手工配置的IＰ静态绑定表项中的IP地址与已存在的DＨCPSnoｏｐiｎｇ动态表项的ＩＰ地址相同,则掩盖DHCPＳnoｏpｉng动态表项的内容；如果先配置了ＩP静态绑定表项，再开启交换机的ＤHCPＳｎooｐiｎｇ功能，则ＤHCＰ客户端不能通过该交换机猎取到IP静态绑定表项中已经存在的IP地址。实际组网中,为了解决上行端口接收的ARＰ恳求和应答报文能够通过ARP入侵检测问题，交换机支持通过配置ARP信任端口，灵敏掌握ARＰ报文检测功能。对于来自信任端口的全部ARP报文不进行检测，对其它端口的ＡRP报文通过查看DＨＣPＳnｏｏpｉng表或手工配置的ＩP静态绑定表进行检测。建议用户不要在汇聚组中的端口上配置ARP入侵检测、AＲＰ报文限速功能。认证模式下的ARP攻击防御配置举例组网需求某校内网内大部分用户通过接入设备连接网关和外网的服务器.管理员盼望通过客户端和服务器间的认证机制,在客户端绑定网关的IP／ＭAC对应关系，过滤掉仿冒网关的ＡRP攻击报文。简略网络应用需求分析如下:接入用户可以通过DHＣＰ自动猎取IP地址,也可以手工配置静态IP地址。但需要安装８02。1ｘ客户端,即：通过８0２。1x认证才能访问网络。服务器接受H3Ｃ公司的ＣAMS认证/授权、计费服务器;CＡMS通过将网关的IＰ－MＡC对应关系下发到认证客户端，防止用户端的网关仿冒等ＡRP攻击.接入交换机需要开启8０２.1x和AAA相关配置.组网图认证模式下的ARP攻击防御组网示意图配置思路用户安装80２.1x客户端,即需要通过8０2.1ｘ认证才能访问网络。接入交换机SｗitchＡ和SwitchＢ上开启802．1x和AAA相关配置.通过CAMS服务器将网关的IP—MAＣ对应关系下发到认证客户端,防止用户端的网关仿冒等AＲP攻击。配置步骤配置SwitcｈA＃创建ＶLＡＮ10,并添加相应端口。<SwitchA>ｓysｔｅm-ｖiｅｗ［SwｉtcｈA］vｌaｎ10［SwitcｈＡ—vlan10]ｐortEthｅｒnｅｔ1/０/1toEｔherneｔ１/0／3［SwitcｈA—vｌａｎ10]qｕit#设置RＡＤＩＵS方案cams，设置主服务器。[SwitchA]rａdｉuｓｓｃheｍecａms［ＳwitcｈA-rａdiｕｓ-cams］ｐrimaｒｙautｈenｔｉcａtioｎ1０．10。１．1[SwiｔcｈA－raｄｉus－cａｍs]ａｃcｏuntiｎgoｐtioｎａl＃设置系统与认证Raｄius服务器交互报文时加密密码为experｔ。［SwitchA－ｒaｄius—ｃamｓ］keyａuthｅｎｔｉcatiｏneｘpeｒt#设置用户名为带域名格式.[SwitcｈＡ-raｄiuｓ-cａｍs]uｓeｒ-ｎａme—ｆｏrｍatｗitｈ-ｄomain＃服务类型为eｘｔｅnded。[SｗitchA—ｒａdｉus—ｃams]sｅrvｅｒ—ｔypｅｅxｔendｅd［SwitchＡ—ｒadiｕｓ—cａｍs］qｕiｔ＃定义IＳP域aｂc,并配置认证接受RADIＵS方案caｍs。［SwiｔｃhA]domaiｎabc[SwitｃhA-ｉsp—ａbｃ]radius—scｈemｅｃａmｓ［ＳwｉtchA—iｓp-aｂｃ］ｑuiｔ＃将ISP域ａｂｃ设置为缺省ISP域。［ＳwitcｈA］ｄomaindeｆａultenabｌeabｃ#交换机全局开启８０2．1x功能。［SwｉtchＡ]dｏｔ１ｘ＃在端口Etheｒnet1/0／２下开启８02.1x功能。［ＳｗｉtｃhA]interfａcｅEtｈｅrnet1/0/２［ＳwｉtｃhA-Ethernet1/0/２］dot１x［ＳwitｃhA-Etheｒneｔ1/０/２]quit＃在端口Ｅthernｅt１／0／3下开启802。１x功能。［SwｉｔｃhA］inｔerfaceEｔｈernet１/0/3［ＳwitchA—Ｅtｈernet1/0/3]ｄot1x［ＳｗitchA—Ｅtｈernet1/0／３］quｉt＃配置网关的缺省路由［SｗｉtchA］ipｒoute-statｉc０。0．０.00１９2。1６8.0.1配置ＳwｉtchB＃创建VLAN２０，并添加相应端口。<SwｉtchB〉systeｍ-ｖiｅw［ＳwitcｈB］ｖｌaｎ2０［SwitchB－vlan２０］ｐortＥtheｒnet1/0/１tｏEtｈｅrnet1/0/4[SｗitｃhB－ｖｌａn２0］ｑuiｔ#设置ＲADＩＵS方案caｍｓ，设置主服务器。[SｗｉｔcｈB]rａdiuｓschｅmecaｍｓ［ＳwitｃhB—raｄiuｓ—caｍs]ｐｒimaryaｕｔｈeｎtiｃａtiｏn10.１0。1。1[SwitchB-radｉus—caｍs］ａｃcｏｕnｔｉngopｔioｎaｌ＃设置系统与认证Rａｄiｕs服务器交互报文时加密密码为eｘpeｒｔ.［SwitcｈＢ—ｒadiｕs-cams］keyａｕtｈｅnｔicａtｉｏnｅxperｔ＃设置用户名为带域名格式。[SwitchB－radｉｕｓ—camｓ］useｒ—nａmｅ—foｒmaｔｗith－ｄｏmaｉｎ＃服务类型为exｔendｅｄ。［SwiｔchＢ—radiuｓ-ｃaｍs］sｅｒveｒ-ｔｙpeｅｘｔeｎｄeｄ[SwｉｔcｈＢ－ｒadiuｓ—cams］qｕit#定义IＳＰ域abc，并配置认证接受RADIUS方案cａｍs。[ＳwiｔchB］domainaｂｃ［SwitchＢ－isp－abc]radius－scheｍeｃams[SwｉtcｈB-isｐ-ａbc］qｕit#将ＩSP域abｃ设置为缺省ISP域。［ＳｗｉtchＢ]ｄoｍaiｎdｅｆaｕlteｎａbleａｂc＃交换机全局开启８0２．１x功能。[ＳｗiｔchB］dot1x#在端口Eｔｈernet1/０／2、Ethｅrｎeｔ1/0/３、Ethernet1/0／4开启8０2．1x功能。[SｗｉtｃhB]inteｒfａceEtherneｔ1/0/２[SｗiｔchB-Ｅtｈｅrnｅｔ1/０/2］dot1x［SｗiｔｃｈB—Eｔheｒnet１／０/２］quｉｔ［SｗｉtchB]iｎteｒｆaceＥｔhｅrnｅt1/０／３[SwｉｔchB—Etｈｅrｎeｔ1/０/3］ｄｏｔ１ｘ［SwｉtcｈB-Etｈｅrneｔ1/0/3］qｕｉt［SｗiｔchB］interfacｅEtｈerｎet1／0/4[SwiｔcｈB－Ｅthernet1/０／4]doｔ1x[ＳｗｉｔchB—Ethｅrnet1／０／4]qｕit#配置网关的缺省路由。［SwｉｔcｈB］iｐroutｅ－static0．0。0．00192.168．11配置Gａtewaｙ〈Gａtｅway＞systｅm－vｉｅw＃创建VLAＮ10和ＶLAＮ20,并添加端口［Ｇaｔeｗay］ｖlａｎ10[Ｇａtewａy–vlａn１0］ｐoｒtＥｔherneｔ１/０/1[Gaｔewａy–vlan10］quit［Ｇatｅway］ｖlan２0[Gateway–vｌａｎ