三层转发及ARP、ND操作 第4章 ARP GUARD配置
第4章 ARP GUARD配置
4.1 ARP GUARD 的介绍
ARP协议的设计存在严重的安全漏洞,任何网络设备都可以发送ARP报文通告IP地址和MAC地址的映射关系。这就为ARP欺骗提供了可乘之机,攻击者发送ARP REQUEST报文或者ARP REPLY报文通告错误的IP地址和MAC地址映射关系,导致网络通讯故障。ARP欺骗的危害主要表项为两种形式:1、PC4发送ARP报文通告PC2的IP地址映射为自己的MAC地址,将导致本应该发送给PC2的IP报文全部发送到了PC4,这样PC4就可以监听、截获PC2的报文;2、PC4发送ARP报文通告PC2的IP地址映射为非法的MAC地址,将导致PC2无法接收到本应该发送给自己的报文。特别是如果攻击者假冒网关进行ARP欺骗,将导致整个网络瘫痪。
PC1 HUB PC2 A B C D Switch
PC3 PC4
PC5
PC6
图 4-1 ARP GUARD原理图
我们利用交换机的过滤表项保护重要网络设备的ARP表项不能被其它设备假冒。基本
原理就是利用交换机的过滤表项,检测从端口输入的所有ARP报文,如果ARP报文的源IP地址是受到保护的IP地址,就直接丢弃报文,不再转发。
ARP GUARD功能常用于保护网关不被攻击,如果要保护网络内的所有接入PC不受ARP欺骗攻击,需要在端口配置大量受保护的ARP GUARD地址,这将占用大量芯片FFP表项资源,可能会因此影响到其它应用功能,并不适合。此时推荐采用FREE RESOURCE相关接入方案,详细请参考相关文档。
4.2 ARP GUARD配置任务序列
1. 配置受到保护的IP地址 命令 端口配置模式 解释 4-1
三层转发及ARP、ND操作 第4章 ARP GUARD配置 arp-guard ip 配置/删除ARP GUARD地址。 no arp-guard ip
4-2
三层转发及ARP、ND操作 第5章 Arp local proxy配置
第5章 Arp local proxy配置
5.1 Arp local proxy功能简介
某种实际的应用环境中,为了防止ARP的欺骗,要求汇聚层的交换机实现local arp proxy功能,限制ARP报文在同一vlan内的转发,从而引导数据流量通过交换机进行L3转发。
图 5-1 Arp local proxy功能示意图
例如上图,PC1要向PC2发送一个IP报文,整个的流程大致如下(省略了一些非ARP
的细节):
1. 由于PC1没有PC2的ARP,因此PC发送ARP REQUEST并广播出去。
2. 交换机硬件收到ARP报文,依据新的ARP处理规则,芯片不会硬件转发该报文,
只是把ARP REQUEST送CPU。
3. 在启动local arp proxy的情况下,交换机向PC1发送arp reply报文(填充自己的
mac地址)。
4. PC1收到该arp reply之后,创建ARP,发送ip报文,封装的以太网头的目的MAC
为交换机的MAC。
5. 当交换机收到该ip报文之后,交换机查询路由表(创建路由缓存),并下发硬件表
项。
6. 当交换机有PC2的ARP的情况下,直接封装以太网头部并发送报文(目的MAC
为PC2)。
7. 如果交换机没有PC2的ARP,那么会请求PC2的ARP,然后发送ip报文。
该功能通常需要和其他的安全功能配合使用,例如在汇聚交换机上配置local arp proxy,而在下连的二层交换机上配置端口隔离功能,这样将会引导所有的ip流量通过汇聚交换机上进行三层转发,而由于端口隔离,ARP报文不会在vlan内转发,其他PC也不会收到。
5-1
三层转发及ARP、ND操作 第5章 Arp local proxy配置
5.2 Arp local proxy功能配置任务序列
1. 启动/关闭arp local proxy功能
1. 启动/关闭arp local proxy功能 命令 VLAN接口配置模式 ip local proxy-arp no ip local proxy-arp 解释 启动或者关闭arp local proxy功能。 5.3 Arp local proxy功能典型案例
如下图所示,S1为支持arp local proxy的中高端三层交换机,S2为支持端口隔离的二层接入交换机。
为了安全的考虑,在S2上启动端口隔离功能,这样S2的所有下连端口彼此隔离,所有的ARP报文都能通过S1转发。如果再在S1上启动arp local proxy,则在S1上的所有端口隔离ARP,同时代理ARP,从而引导IP流量经过S1进行3层转发,而不是原来的2层转发。
图 5-2 Arp local proxy功能典型案例示意图
我们可以对S1进行如下配置: Switch(config)#interface vlan 1
Switch(Config-if-Vlan1)#ip address192.168.1.1 255.255.255.0
5-2
三层转发及ARP、ND操作 第5章 Arp local proxy配置
Switch(Config-if-Vlan1)#ip local proxy-arp Switch(Config-if-Vlan1)#exit
5.4 Arp local proxy功能排错帮助
arp local proxy功能默认是关闭的,可以使用显示命令(show running-config)看目前的配置情况。在确认配置正确的情况下,打开ARP的debug,可以看到是不是成功代理ARP,并发送代理ARP报文。
在操作过程中,如果有操作错误,系统将会给出具体的错误提示信息。
5-3
百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,70教育网,提供经典综合文库神州数码DCRS-5960_三层转发及ARP、ND操作.word(7)在线全文阅读。
相关推荐:
