华为S27/S5700交换机配置配置防止ARP中间人攻击

请自行准备好华为交换机和电脑并且让你的电脑和交换机连接上

组网需求：如图1所示，Switch的Eth0/0/1和Eth0/0/2接口连接了两个用户。假设Eth0/0/2接口连接的用户是一个攻击者。为了防止ARP中间人攻击，要求在Switch上配置ARP报文检查功能，只有接收到的ARP报文信息和绑定表中的内容一致才会被转发，否则报文将被丢弃。同时使能丢弃报文告警功能。

配置思路

采用如下的思路配置防止ARP中间人攻击：使能ARP报文检查功能。配置对ARP报文匹配检查。配置静态绑定表。使能丢弃报文告警功能。数据准备

配置ARP报文检查功能

# 在连接Client的Eth0/0/1接口使能ARP报文检查功能。[Quidway] interface ethernet 0/0/1[Quidway-Ethernet0/0/1] arp anti-attack check user-bind enable[Quidway-Ethernet0/0/1] arp anti-attack check user-bind check-item ip-address mac-address vlan[Quidway-Ethernet0/0/1] quit

# 在连接Attacker的Eth0/0/2接口使能ARP报文检查功能。[Quidway] interface ethernet 0/0/2[Quidway-Ethernet0/0/2] arp anti-attack check user-bind enable[Quidway-Ethernet0/0/2] arp anti-attack check user-bind check-item ip-address mac-address vlan[Quidway-Ethernet0/0/2] quit

配置报文丢弃告警功能

# 在连接Client的Eth0/0/1接口配置ARP报文不匹配绑定表而丢弃的告警阈值。[Quidway] interface ethernet 0/0/1[Quidway-Ethernet0/0/1] arp anti-attack check user-bind alarm enable[Quidway-Ethernet0/0/1] arp anti-attack check user-bind alarm threshold 80[Quidway-Ethernet0/0/1] quit

# 在连接Attacker的Eth0/0/2接口配置ARP报文不匹配绑定表而丢弃的告警阈值。[Quidway] interface ethernet 0/0/2[Quidway-Ethernet0/0/2] arp anti-attack check user-bind alarm enable[Quidway-Ethernet0/0/2] arp anti-attack check user-bind alarm threshold 80[Quidway-Ethernet0/0/2] quit

配置静态绑定表项

# 配置Client为静态绑定表项。[Quidway] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001 interface Ethernet 0/0/1 vlan 10

验证配置结果

执行display arp anti-attack configuration check user-bind interface命令可以查看接口下ARP报文检查配置信息。

display arp anti-attack configuration check user-bind interface ethernet 0/0/1 arp anti-attack check user-bind enable arp anti-attack check user-bind alarm enable arp anti-attack check user-bind alarm threshold 80 arp anti-attack check user-bind check-item ip-address mac-address vlanARP packet drop count = 0 display arp anti-attack configuration check user-bind interface ethernet 0/0/2 arp anti-attack check user-bind enable arp anti-attack check user-bind alarm enable arp anti-attack check user-bind alarm threshold 80 arp anti-attack check user-bind check-item ip-address mac-address vlan ARP packet drop count = 2442

由显示信息可知，Eth0/0/1接口下没有丢弃ARP报文，Eth0/0/2接口下产生了ARP报文丢弃计数。针对Attacker的防攻击功能已经生效。

如果您觉得本经验有帮助，请点击正下方的或右上角的“大拇指”或“分享”或“关注TA”给我支持和鼓励~~为了方便下次寻找，您可以点击“收藏”收藏本经验如有其他问题请联系我本人