华为交换机ARP安全配置教程

华为交换机ARP安全配置教程

一、配置防ARP泛洪攻击

当针对全局、VLAN、接口的ARP报文限速以及根据源MAC地址、源IP地址进行ARP报文限速中的多个限速功能同时配置时，设备对同时满足这些限速条件的ARP报文以其中最小的限速值进行限速。

当针对全局、VLAN、接口的ARP Miss消息限速以及根据源IP地址进行ARP Miss消息限速中的多个限速功能同时配置时，设备对同时满足这些限速条件的ARP Miss消息以其中最小的限速值进行限速。

防止ARP泛洪攻击包括ARP报文限速功能、ARP Miss消息限速功能、免费ARP报文主动丢弃功能、ARP表项严格

学习功能以及ARP表项限制功能。并不是所有情况下都需要配置全部的ARP安全功能，根据实际情况选择在网关上部署。

1、配置ARP报文限速功能

1.1、配置根据源MAC地址的ARP限速

可以在网关设备上配置设备根据源MAC地址进行ARP报文限速。设备会对上送CPU的ARP报文根据源MAC地址进行统计，如果在1秒内收到的同一个源MAC地址的ARP报文超过设定阈值（ARP报文限速值），设备则丢弃超出阈值部分的ARP报文。

具体配置：

1、针对所有源MAC地址的arp报文源限制速率，单位为pps ，默认为0，即不限制

[Huawei]arp speed-limit source-mac maximum 100

2、针对指定源MAC地址的arp报文源限制速率

[Huawei]arp speed-limit source-mac 5489-98b9-6b46 maximum 20

1.2、配置基于源IP的arp报文限速

可以在网关设备上配置设备根据源IP地址进行ARP报文限速。设备会对上送CPU的ARP报文根据源IP地址进行统计，如果在1秒内收到的同一个源IP地址的ARP报文超过设定阈值（ARP报文限速值），设备则丢弃超出阈值部分的ARP报文。

当同一个源IP地址的ARP报文速率超过30pps时，如果是在网关请求同网段内很多个用户MAC地址的场景下，则需要增大设备的ARP报文源IP地址抑制速率值，否则超过30pps的ARP报文将被丢弃，会造成网关学习ARP很慢；

如果是在ARP扫描攻击的场景下，则需要减小设备的ARP报文源IP地址抑制速率值。

具体配置：

1、针对所有源IP的arp报文限制速率

[Huawei]arp speed-limit source-ip maximum 100 （5700未能模拟）

2、针对具体源IP的arp报文限速

[Huawei]arp speed-limit source-ip 10.1.1.1 maximum 20

1.3、配置基于全局、vlan、接口的ARP报文限速

建议在网关设备上进行如下配置。

当接入设备上部署了MFF功能时，为了避免MFF模块处理过多的过路ARP报文（即ARP报文的目的IP地址不是该报文接收接口的IP地址）导致CPU负荷过重，则可以在接入设备上部署针对全局、VLAN和接口的ARP报文限速功能。

具体配置

1、打开arp报文限速功能

[Huawei]arp anti-attack rate-limit enable

[Huawei-vlan20]arp anti-attack rate-limit enable

[Huawei-Vlanif20] arp anti-attack rate-limit enable  # 未能模拟

[Huawei-GigabitEthernet0/0/12]arp anti-attack rate-limit enable  #对于二层模式接口需要undo portswitch切换到三层

2、使能arp报文限速值（报文个数）和限速时间（默认为1S）

[Huawei]arp anti-attack rate-limit 100 3

[Huawei-vlan20]arp anti-attack rate-limit 100 3

[Huawei-Vlanif20] arp anti-attack rate-limit  100 3

3. 使能arp报文限速值（报文个数）和限速时间（默认为1S）以及超过限速值时后续持续丢弃报文的时间（默

认1S，该功能仅在接口下配置才能使用）

[Huawei-GigabitEthernet0/0/12]arp anti-attack rate-limit 100 3 block timer 60

# 该命令在非block模式下只对上送CPU的ARP报文进行限速，对芯片转发的报文不会产生影响；在block模式下，仅在接口下上送CPU的ARP报文超过限速值时会触发block，触发后设备会持续丢弃该接口下的所有ARP报文。

4、设置ARP报文限速告警功能

[Huawei]arp anti-attack rate-limit alarm enable

5、设置ARP报文限速告警阈值

[Huawei]arp anti-attack rate-limit alarm threshold ?

INTEGERThreshold value

1.4、配置针对Super VLAN的VLANIF接口的ARP报文限速

以下两种情况会触发Super VLAN的VLANIF接口进行ARP学习：

VLANIF接口接收到触发ARP Miss消息的IP报文

VLANIF接口上启用ARP代理功能之后，设备接收到目的IP符合代理条件且该IP对应的ARP条目不存在的ARP请求报文

Super VLAN的VLANIF接口进行ARP学习时会将ARP请求报文在每个Sub VLAN下复制，如果该Super VLAN下配置了大量Sub VLAN，那么设备将产生大量的ARP请求报文。

为了避免CPU因复制、发送大量ARP请求报文而负担过重，设备支持Super VLAN的VLANIF接口下的ARP报文限速功能，以对该场景下设备发送的ARP请求报文进行流量控制。

当设备CPU较为繁忙时，可适当调小ARP请求报文的广播发送限制速率；当设备CPU较为空闲时，且希望能够快速广播ARP请求报文，则可以适当调大该速率。请根据设备实际状况和实际网络环境进行调整。

建议在网关设备上进行如下配置。

具体配置

[Huawei]arp speed-limit flood-rate  #缺省为1000pps

2、ARP Miss消息限速配置

1、根据源IP地址进行ARP Miss消息限速

如果同一个源IP地址频繁触发ARP Miss消息且触发的ARP Miss消息速率超过30pps属于正常的情况，则需要增大ARP Miss消息根据源IP地址进行限速的限速值。

否则超过30pps的ARP Miss消息会触发ARP Miss消息限速，设备默认在5秒内丢弃匹配该源IP地址的所有ARP Miss报文，造成该源IP地址无法触发ARP学习，使该源IP地址的Ping报文会出现丢包现象。

建议在网关设备上进行如下配置。

具体配置：

1、设置根据源IP地址限制arp miss速率

[Huawei]arp-miss speed-limit source-ip maximum ?

INTEGERThe range of speed-limit value

2、设置根据具体源IP地址限制arp miss速率

[Huawei]arp-miss speed-limit source-ip 192.168.1.1 ?

mask     The source ip address mask

maximum  Input the speed-limit value

#如果将限速值配置为0，则表示不根据源IP地址进行ARP Miss消息限速。缺省情况下，设备允许每秒最多处理同一个源IP地址触发的30个ARP Miss消息。

如果同一个源IP地址在1秒内触发的ARP Miss消息个数超过ARP Miss消息限速值，设备会丢弃超过限速值的ARP Miss消息，即丢弃触发这些ARP Miss消息的ARP Miss报文，并默认使用block方式在5秒内持续丢弃该源IP地址的后续所有ARP Miss报文。

2、针对全局、VLAN和接口的ARP Miss消息限速

具体配置：

1、打开arp miss消息限速功能（全局或vlan或接口）

[Huawei]arp-miss anti-attack rate-limit enable

2、配置ARP Miss消息的限速值和限速时间

[Huawei]arp-miss anti-attack rate-limit 200 20

3、设置ARP Miss消息的告警功能

[Huawei]arp-miss anti-attack rate-limit alarm enable

4、配置ARP Miss消息限速丢弃告警阈值

[Huawei]arp-miss anti-attack rate-limit alarm threshold

3、配置临时ARP表项的老化时间

当IP报文触发ARP Miss消息时，设备会根据ARP Miss消息生成临时ARP表项，并且向目的网段发送ARP请求报文。

在临时ARP表项老化时间范围内：

设备收到ARP应答报文前，匹配临时ARP表项的IP报文将被丢弃并且不会触发ARP Miss消息。设备收到ARP应答报文后，则生成正确的ARP表项来替换临时ARP表项。

当老化时间超时后，设备会清除临时ARP表项。此时如果设备转发IP报文匹配不到对应的ARP表项，则会重新触发ARP Miss消息并生成临时ARP表项，如此循环重复。

故可以通过配置临时ARP表项的老化时间来控制ARP Miss消息的触发频率。当判断设备受到攻击时，可以调大该时间，减小设备ARP Miss消息的触发频率，从而减小攻击对设备的影响。

具体配置：

[Huawei-Vlanif10]arp-fake expire-time ?

INTEGERExpire time of fake ARP entries(in seconds)

#对于以太网接口，执行命令undo portswitch，配置接口切换到三层模式才能配置

4、配置免费ARP报文主动丢弃

在确认攻击来自免费ARP报文之后，可以在网关设备上使能免费ARP报文主动丢弃功能，使网关设备直接丢弃免费ARP报文。

丢弃免费ARP报文功能可以在全局和VLANIF接口下使能。一般在用户侧的VLANIF接口下配置免费ARP报文主动丢弃功能。

具体配置：

[Huawei-Vlanif10]arp anti-attack gratuitous-drop  #模拟器未成功

5、配置ARP优化应答

使能该功能后，对于目的IP地址是本设备接口IP地址的ARP请求报文，接口板直接回复ARP应答，对于目的IP地址不是本设备IP地址的ARP请求报文，设备直接丢弃，从而可以提高设备防御ARP泛洪攻击的能力。该功能尤其适用于设备上安装了多块接口板的场景。

缺省情况下，ARP优化应答功能处于使能状态。

具体配置：

[Huawei]undo arp optimized-rely disable

说明：

设备不支持对无线用户发送的ARP请求报文进行ARP优化应答。

设备仅支持对VLANIF接口接收到的ARP请求报文进行ARP优化应答。其中，Separate VLAN（隔离型从VLAN）、Group VLAN（互通性从VLAN）、Super-VLAN和Sub-VLAN的VLANIF接口不支持ARP优化应答。

以下配置会导致全局或相应VLANIF接口的ARP优化应答功能不生效：

执行命令arp anti-attack gateway-duplicate enable，使能了设备的ARP防网关冲突攻击功能。

执行命令arp ip-conflict-detect enable，使能了设备的IP地址冲突检测功能。

执行命令arp anti-attack check user-bind enable，使能了动态ARP检测功能。

执行命令dhcp snooping arp security enable，使能了出口ARP检测功能。

执行命令arp over-vpls enable，使能了设备在VPLS网络中的ARP代理功能。

执行命令arp-proxy enable、arp-proxy inner-sub-vlan-proxy enable或arp-proxy inter-sub-vlan-proxy enable，配置了ARP代理功能。

6、配置ARP表项严格学习

可以在网关设备上配置ARP表项严格学习功能。配置该功能后，只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP，其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP，这样，可以拒绝大部分的ARP报文攻击。

ARP表项严格学习功能可在全局和接口视图下进行配置。

说明：

在全局使能ARP表项严格学习功能的前提下：

如果在指定接口下执行命令arp learning strict force-disable，则该接口将会被强制执行去使能ARP表项严格学习的功能。

如果在指定接口下执行命令arp learning strict trust时，则该接口的ARP表项严格学习功能和全局的配置保持一致。

由于有些用户主机上安装的防火墙会阻止其收到ARP请求时发送ARP应答或网卡无法回复ARP应答，所以使能ARP表项严格学习功能后，如果设备上触发了ARP Miss消息，则设备主动发出的ARP请求将无法得到该用户的ARP应答，从而使设备无法学习到该用户的ARP。在这种场景下，如果仅是个别用户出现该问题，则可以为其配置静态ARP；如果该问题在用户中非常普遍，则建议去使能ARP表项严格学习功能。

具体配置：

1、配置全局ARP表项严格学习功能

[Huawei]arp learning strict

2、配置接口的ARP表项严格学习功能

[Huawei-GigabitEthernet0/0/2]undo portswitch #切换到三层模式，否则无法使用此命令。

[Huawei-GigabitEthernet0/0/2]arp learning strict ?

force-disable  Force to disable ARP strict learning #去使能arp严格学习功能

force-enable   Force to enable ARP strict learning #使能arp严格学习功能

trust          ARP strict learning complies with the global configuration

7、配置基于接口的ARP表项限制

为了防止当一个接口所接入的某一用户主机发起ARP攻击时导致整个设备的ARP表资源都被耗尽，可以在指定接口下配置接口能够学习到的最大动态ARP表项数目。当指定接口下的动态ARP表项达到允许学习的最大数目后，将不允许新增动态ARP表项。

建议在网关设备上进行如下配置。可以在物理接口、vlanif、eth-trunk、子接口上配置。

具体配置

1、配置二层以太网（物理接口/eth-trunk）接口的ARP表项限制（限制从哪些vlan学习）

[Huawei-GigabitEthernet0/0/2]arp-limit vlan 2 to 5 maximum ?

INTEGERThe maximum of limitation

2、配置三层接口（vlanif/子接口等）的ARP表项限制

[Huawei-GigabitEthernet0/0/2]arp-limit maximum ?

INTEGERThe maximum of limitation

8、配置禁止接口学习ARP表项

当某接口下出现大量动态ARP表项时，出于安全考虑建议在网关设备上配置禁止该接口学习ARP表项的功能，以防止该接口下所接入的用户主机发起ARP攻击使整个设备的ARP表资源都被耗尽。

注意：

禁止接口下的动态ARP学习能力，可能会造成转发不通，用户配置时需要注意。

禁止ARP学习前，如果接口上已经有动态学习到的ARP表项，系统并不会自动删除这些表项。用户可以根据需要，手动删除或保留这些已经学习到的动态ARP表项。

具体配置：

[Huawei-Vlanif3]arp learning disable

二、配置防ARP欺骗攻击

1、配置ARP表项固化

可在全局和VLANIF接口下配置ARP表项固化功能。

具体配置：

[Huawei]arp anti-attack entry-check ?

fixed-all  Fixed all mode

fixed-mac  Fixed mac mode

send-ack   Inquire mode

2、配置动态ARP检测

为了防御中间人攻击，避免合法用户的数据被中间人窃取，可以在接入设备上使能动态ARP检测DAI功能。可在接口视图或VLAN视图下使能动态ARP检测功能。

当网关设备上部署了DHCP触发ARP学习功能时，则可以在网关设备上部署本功能。

本功能仅适用于DHCP Snooping场景。

具体配置

1、使能arp动态检测功能

[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind enable

2、配置arp动态检测的检测项（默认对IP MAC vlan都检查）

[Huawei-GigabitEthernet0/0/1arp anti-attack check user-bind check-item ?

ip-address   Check ip address

mac-address  Check mac-address

vlan         Check vlan

3、配置ARP防网关冲突

如果有攻击者仿冒网关，在局域网内部发送源IP地址是网关IP地址的ARP报文，会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。

        [Huawei]arp  anti-attack  gateway-duplicate  enable

4、配置免费ARP报文主动丢弃

在确认攻击来自免费ARP报文之后，可以在网关设备上使能免费ARP报文主动丢弃功能，使网关设备直接丢弃免费ARP报文。

丢弃免费ARP报文功能可以在全局和VLANIF接口下使能。

一般在用户侧的VLANIF接口下配置免费ARP报文主动丢弃功能。

具体配置

1、全局使能免费ARP报文主动丢弃

[Huawei]arp anti-attack gratuitous-arp drop

2、vlanif接口下使能免费ARP报文主动丢弃

[Huawei-Vlanif3]arp anti-attack gratuitous-arp drop

5、配置发送ARP免费报文

如果有攻击者向其他用户发送仿冒网关的ARP报文，会导致其他用户的ARP表中记录错误的网关地址映射关系，

造成其他用户的正常数据不能被网关接收。发送免费ARP报文的功能，用来定期更新合法用户的ARP表项，使得合法用户ARP表项中记录的是正确的网关地址映射关系。

可在全局或VLANIF接口下配置发送免费ARP报文功能。

具体配置

1、使能网关发送免费arp报文

[Huawei]arp gratuitous-arp send enable

2、设备免费arp报文发送时间间隔（确实6700及以下是60S，以上是30S

[Huawei]arp gratuitous-arp send interval 120

6、配置ARP报文内MAC地址一致性检查

ARP报文内MAC地址一致性检查功能主要应用于网关设备上，可以防御以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址不同的ARP攻击。

本命令不支持在子接口上配置，当子接口收到ARP报文时，ARP报文内MAC地址一致性检查遵循主接口下的检查规则。

本命令不支持在VLANIF接口上配置，当VLANIF接口收到ARP报文时，ARP报文内MAC地址一致性检查遵循成员口下的检查规则。

[Huawei-GigabitEthernet0/0/1]arp validate ?

destination-mac  Destination MAC

source-mac       Source MAC

7、配置ARP报文合法性检查

为了防止非法ARP报文的攻击，可以在接入设备或网关设备上配置ARP报文合法性检查功能，用来对MAC地址和IP地址不合法的ARP报文进行过滤。设备提供以下三种可以任意组合的检查项配置：

1、IP地址检查：

设备会检查ARP报文中的源IP和目的IP地址，全0、全1、或者组播IP地址都是不合法的，需要丢弃。对于ARP

应答报文，源IP和目的IP地址都进行检查；对于ARP请求报文，只检查源IP地址。

2、源MAC地址检查：

设备会检查ARP报文中的源MAC地址和以太网数据帧首部中的源MAC地址是否一致，一致则认为合法，否则丢弃报文。

3、目的MAC地址检查：

设备会检查ARP应答报文中的目的MAC地址是否和以太网数据帧首部中的目的MAC地址一致，一致则认为合法，否则丢弃报文。

通常，ARP报文中源MAC地址和以太网数据帧首部中的源MAC地址不一致的ARP报文，以及目的MAC地址和以太网数据帧首部中的目的MAC地址不一致的ARP应答报文均是ARP协议允许的ARP报文。因此，只有在网络管理员发现攻击产生后，通过报文头获取方式定位，确定是由于对应项不一致的ARP报文导致的攻击，才能指定ARP报文合法性检查时需要检查源MAC地址和检查目的MAC地址。

[Huawei]arp anti-attack packet-check sender-mac  #模拟器只有目的MAC

8、配置ARP表项严格学习

只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP，其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP，这样，可以拒绝大部分的ARP报文攻击。

ARP表项严格学习功能可在全局和接口视图下进行配置。

在全局使能ARP表项严格学习功能的前提下：

如果在指定接口下执行命令arp learning strict force-disable，则该接口将会被强制执行去使能ARP表项严格学习的功能。

如果在指定接口下执行命令arp learning strict trust时，则该接口的ARP表项严格学习功能和全局的配置保持一致。

由于有些用户主机上安装的防火墙会阻止其收到ARP请求时发送ARP应答或网卡无法回复ARP应答，所以使能ARP表项严格学习功能后，如果设备上触发了ARP Miss消息，则设备主动发出的ARP请求将无法得到该用户的ARP应答，从而使设备无法学习到该用户的ARP。在这种场景下，如果仅是个别用户出现该问题，则可以为其配置静态ARP；如果该问题在用户中非常普遍，则建议去使能ARP表项严格学习功能。

具体配置：

1、全局配置

[Huawei]arp learning strict

2、接口配置

[Huawei-GigabitEthernet0/0/4]undo portswitch

[Huawei-GigabitEthernet0/0/4]arp learning strict

9、配置DHCP触发ARP学习

在DHCP用户场景下，当DHCP用户数目很多时，设备进行大规模ARP表项的学习和老化会对设备性能和网络环境形成冲击。

为了避免此问题，可以在网关设备上使能DHCP触发ARP学习功能。当DHCP服务器给用户分配了IP地址，网关设备会根据VLANIF接口上收到的DHCP ACK报文直接生成该用户的ARP表项。

DHCP触发ARP学习功能生效的前提是通过命令dhcp snooping enable使能DHCP Snooping功能。

在VRRP和DHCP Relay组合场景下，VRRP主备设备上都不能再配置命令dhcp snooping enable和arp learning

dhcp-trigger。

网关设备上还可同时部署动态ARP检测功能，防止DHCP用户的ARP表项被伪造的ARP报文恶意修改。

具体配置：

[Huawei-Vlanif10]arp learning dhcp-trigger

10、配置VPLS网络中ARP代理

在VPLS网络中，为了防止PW（Pseudo Wire）侧的伪造ARP报文被广播到AC（Attachment Circuit）侧形成ARP欺骗攻击，可以在PE设备上使能在VPLS网络中的ARP代理功能。

使能该功能后，PW侧的ARP报文将会被上送到主控板进行处理：

如果是ARP请求报文，并且报文的目的IP地址在DHCP Snooping绑定表中存在，则设备根据DHCP Snooping绑定表组装ARP应答报文直接回应PW侧的请求方。

如果不是ARP请求报文，或者ARP请求报文的目的IP地址不在DHCP Snooping绑定表中，则报文被正常转发。

本功能需要和DHCP Snooping over VPLS功能配合使用。

[Huawei]arp over-vpls enable