2024年3月22日发(作者:)

1.5.2 ARP入侵检测与ARP报文限速配置举例

1. 组网需求

如图1-4所示,Switch A(S3100-EI)的端口Ethernet1/0/1连接DHCP服务器,

端口Ethernet1/0/2和Ethernet1/0/3分别连接DHCP Client A和DHCP Client

B,且三个端口都属于VLAN 1。

开启交换机的DHCP Snooping功能,并设置端口Ethernet1/0/1为DHCP

Snooping信任端口。

为防止ARP中间人攻击,配置VLAN 1的ARP入侵检测功能,设置Switch

的端口Ethernet1/0/1为ARP信任端口;

开启端口Ethernet1/0/2和Ethernet1/0/3上的ARP报文限速功能,防止

来自Client A和Client B的ARP报文流量攻击。

开启Switch A上的端口状态自动恢复功能,设置恢复时间间隔为200秒。

2. 典型组网图

图1-4 配置ARP入侵检测与端口ARP报文限速组网图

3. 配置步骤

# 开启交换机DHCP Snooping功能。

system-view

[SwitchA] dhcp-snooping

# 设置端口Ethernet1/0/1为DHCP Snooping信任端口,ARP信任端口。

[SwitchA] interface Ethernet1/0/1

[SwitchA-Ethernet1/0/1] dhcp-snooping trust

[SwitchA-Ethernet1/0/1] arp detection trust

[SwitchA-Ethernet1/0/1] quit

# 开启VLAN 1内所有端口的ARP入侵检测功能。

[SwitchA] vlan 1

[SwitchA-vlan1] arp detection enable

[SwitchA-vlan1] quit

# 开启端口Ethernet1/0/2上的ARP报文限速功能,设置ARP报文通过的最大速

率为20pps。

[SwitchA] interface Ethernet1/0/2

[SwitchA-Ethernet1/0/2] arp rate-limit enable

[SwitchA-Ethernet1/0/2] arp rate-limit 20

[SwitchA-Ethernet1/0/2] quit

# 开启端口Ethernet1/0/3上ARP报文限速功能,设置ARP报文通过的最大速率

为50pps。

[SwitchA] interface Ethernet1/0/3

[SwitchA-Ethernet1/0/3] arp rate-limit enable

[SwitchA-Ethernet1/0/3] arp rate-limit 50

[SwitchA-Ethernet1/0/3] quit

# 配置端口状态自动恢复功能,恢复时间间隔为200秒。

[SwitchA] arp protective-down recover enable

[SwitchA] arp protective-down recover interval 200