【佐罗网】ZCOM发布中文品牌“佐罗网”

 

网管技巧

读者服务

华为交换机防范

ARP欺骗的配置方法

解决办法

通过在接入交换机上开启DHCPSnooping功能、配置IP静态绑定表项、ARP入侵检测功能和ARP报文限速功能，可以防御常见的ARP攻击，如表所示。[ ）

表常见网络攻击方式和防御方法对照表

攻击方式

防御方法

动态获取IP地址的用户进行仿冒网关、ARP中间配置DHCPSnooping、ARP

人攻击、欺骗终端用户、欺骗网关等攻击入侵检测功能手工配置IP地址的用户进行仿冒网关、ARP中间配置IP静态绑定表项、ARP人攻击、欺骗终端用户、欺骗网关等攻击入侵检测功能

ARP洪水攻击

配置ARP报文限速功能

配置方法

配置DHCPsnoopingARP入侵检测功能：

<huawei>system-view（进入系统视图）

[huawei]dhcp-snooping（全局启用dhcp-snooping功能）[huawei]interfaceEther1/0/1（进入端口配置模式，选定端口通常为上联端口）

[huawei-Ether1/0/1]dhcp-snoopingtrust（配置该端口为dhcp-snooping的信任端口）[huawei-Ether1/0/1]arpdetectiontrust（配置该端口为ARP信任端口）

[Huawei-Ether1/0/1]quit（返回系统视图）[Huawei]vlan1（进入用户vlan配置界面）[Huawei-vlan1]arpdetectionenable（启用ARP检测功能）[Huawei-vlan1]arprestricted-forwardingenable（开启ARP严格转发功能，此项功能为可选）[Huawei-vlan1]quit（返回系统视图）配置端口上IP与MAC的静态绑定：

[Huawei]interfaceEther1/0/2（进入需要配置静态绑定的端口配置模式）[Huawei-Ether1/0/2]ipsourcestaticbindingip-address192.168.0.10mac-address000d-85c7-4e00（绑定该端口的IP和MAC，可以是多个MAC）

[Huawei-Ether1/0/2]quit（返回系统视图）配置端口上ARP报文限速功能（防范ARP洪水攻击）：

[Huawei]interfaceEther1/0/3（进入端口配置模式，该操作需要对每个端口进行单独配置）

[Huawei-Ether1/0/2]arprate-limitenable（开启ARP限速功能）

[Huawei-Ether1/0/2]arprate-limit20（限定每秒20个）[Huawei-Ether1/0/2]quit（返回全局视图）[Huawei]arpprotective-downrecoverenable（由于启用了限速功能，在超过限速后交换机会临时关闭该端口，因此需要启用端口自动恢复功能）

[Huawei]arpprotective-downrecoverinterval100（端口自动恢复的时间为100秒）

相关建议

1．上述功能需要最新版本的系统才能支持，因此您可能需要升级交换机的操作系统版本。2．配置ARP入侵检测功能之前，需要先在交换机上开启DHCPSnooping功能，并设置DHCPSnooping信任端口，否则所有ARP报文都无法通过ARP入侵检测。

3．目前，H3C低端以太网交换机开启DHCPSnooping功能后，所有端口默认被配置为DHCPSnooping非信任端口。为了使DHCP客户端能从合法的DHCP服务器上获取IP地址，必须将与合法DHCP服务器相连的端口设置为信任端口，设置的信任端口和与DHCP客户端相连的端口必须在同一个VLAN内。

4．DHCPSnooping表只记录了通过DHCP方式动态获取IP地址的客户端信息。如果固定IP地址的用户需要访问网络，必须在交换机上手工配置IP静态绑定表的表项，即用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。

5．目前，H3C系列以太网交换机在端口上配置的IP静态绑定表项，其所属VLAN为端口的缺省VLANID。因此，如果ARP报文的VLANTAG与端口的缺省VLANID值不同，报文将无法通过根据IP静态绑定表项进行的ARP入侵检测。

6．H3C系列以太网交换机上手工配置的IP静态绑定表项的优先级高于DHCPSnooping动态表项，具体表现在：如果手工配置的IP静态绑定表项中的IP地址与已存在的DHCPSnooping动态表项的IP地址相同，则覆盖DHCPSnooping动态表项的内容；如果先配置了IP静态绑定表项，再开启交换机的DHCPSnooping功能，则DHCP客户端不能通过该交换机获取到IP静态绑定表项中已经存在的IP地址。

7．实际组网中，为了解决让上行端口接收的ARP请求和应答报文通过ARP入侵检测的问题，交换机对于来自信任端口的所有ARP报文不进行检测，对其它端口的ARP报文通过查看DHCPSnooping表或手工配置的IP静态绑定表进行检测。

8．不要在汇聚组中的端口上配置ARP入侵检测、ARP报文限速功能。

（本文由CERNET国家网络中心CCERT应急响应组郑先伟整理）

ZCOM发布中文品牌“佐罗网”

本刊讯

近日，电子杂志平台服务提供商ZCOM在京发布中文品牌“佐

罗网”，同时宣布最新业务发展战略：为杂志行业提供专业的电子杂志合成技术支持、数据统计服务和发行平台，推动杂志行业数字化。

在本次战略发布会上，佐罗网正式对外介绍了一款历时3年、耗巨资开发的名为“ZMAKER”的电子杂志合成软件，该软件可以帮助杂志社轻松实现传统杂志的数字化。

另外，佐罗网宣布，2007-2008年最受欢迎电子杂志评选活动正式启动。

2008.2-3中国教育网络

79