H3C交换机源MAC地址固定的ARP攻击检测功能配置案例
组网需求
如图所示,某局域网内四个客户端通过两台接入交换机连接网关和内部服务器,内部服务器的MAC地址为0001-0002-0003。
现要求通过源MAC地址固定的ARP攻击检测功能实现:
网关收到同一源MAC地址的ARP报文超过一定的阈值,能够将攻击MAC地址添加到攻击检测表项中。
攻击检测表项老化之前,打印Log信息并且将该源MAC地址发送的ARP报文过滤掉。
内部服务器MAC地址0001-0002-0003即使存在攻击也不会被检测、过滤。
源MAC地址固定的ARP攻击检测功能典型配置组网图
配置步骤
(1) 配置网关
# 开启源MAC固定ARP攻击检测功能,并选择filter检查模式。
<Gateway> system-view
[Gateway] arp anti-attack source-mac filter
# 配置源MAC固定ARP报文攻击检测阈值为30个。
[Gateway] arp anti-attack source-mac threshold 30
# 配置源MAC地址固定的ARP攻击检测表项的老化时间为60秒。
[Gateway] arp anti-attack source-mac aging-time 60
# 配置源MAC固定攻击检查的保护MAC地址为0001-0002-0003。
[Gateway] arp anti-attack source-mac exclude-mac 0001-0002-0003
验证配置
# 显示检测到的源MAC地址固定的ARP攻击检测表项。
<Sysname> display arp anti-attack source-mac slot 2
Source-MAC VLAN ID Interface Aging-time
23f3-1122-3344 4094 GE2/0/1 10
23f3-1122-3355 4094 GE2/0/2 30
23f3-1122-33ff 4094 GE2/0/3 25
23f3-1122-33ad 4094 GE2/0/4 30
23f3-1122-33ce 4094 GE2/0/5 2
配置文件
#
arp anti-attack source-mac filter
arp anti-attack source-mac exclude-mac 0001-0002-0003
arp anti-attack source-mac aging-time 60
arp anti-attack source-mac threshold 30
#
适用于H3C S10500系列以太网交换机 S5800&S5820X系列以太网交换机 S5830系列以太网交换机 S5500-EI&S5500-SI系列以太网交换机
