如下图所示,局域网中用户通过SwitchA和SwitchB接入连接到Gateway访问Internet。当网络中出现过多的ARP报文时,会导致网关设备CPU负载加重,影响设备正常处理用户的其它业务。另一方面,网络中过多的ARP报文会占用大量的网络带宽,引起网络堵塞,从而影响整个网络通信的正常运行。
定位手段 | 命令行 | 适用版本形态 |
---|---|---|
查看ARP临时表项 | display arp | V100R006C05版本以及之后版本 |
查看arp-request的CPCAR计数 | display cpu-defend statistics packet-type arp-request all | V100R006C05版本以及之后版本 |
查看攻击溯源结果 | display auto-defend attack-source [ slot slot-id ] | V200R003版本以及之后版本 |
如果MAC ADDRESS字段显示为Incomplete,表示有ARP学习不到,有可能设备遭受ARP攻击。
❝说明:该命令可以查看多次,比如1秒执行一次,查看多次执行的结果。如上显示,如果Drop(Packets)计数增加很快,比如1秒钟Drop上百个,这说明设备正在遭受ARP攻击,上送的ARP报文已经超过了设备配置的CPCAR范围,攻击ARP报文可能已经挤掉了正常ARP报文,则部分ARP可能学习不到。
首先在系统视图下配置防攻击策略:
[HUAWEI] cpu-defend policy policy1
[HUAWEI-cpu-defend-policy-policy1] auto-defend enable
[HUAWEI-cpu-defend-policy-policy1] auto-defend attack-packet sample 5
[HUAWEI-cpu-defend-policy-policy1] auto-defend threshold 30 ???
[HUAWEI-cpu-defend-policy-policy1] undo auto-defend trace-type source-portvlan? ?//
auto-defend enable后,缺省情况下溯源类型为source-mac、source-ip和source-portvlan,source-portvlan粒度太大,所以去使能source-port vlan
[HUAWEI-cpu-defend-policy-policy1]undo auto-defend protocol dhcp icmp igmp tcp telnet ttl- expired udp// auto-defend enable后,缺省情况下攻击溯源的协议类比较多,这里只保留arp报文攻击溯源,如果有其它协议也需要攻击溯源,则不要undo掉
接下来应用防攻击策略policy1
最后通过命令display auto-defend attack-source slot 4查看攻击源的MAC地址。
❝说明:识别的MAC中可能包含网关的MAC地址或互连网络设备的MAC,需要注意剔除。
设备支持接口下的ARP表项限制,如果接口已经学习到的ARP表项数目超过限制值,系统不再学习新的ARP表项,但不会清除已经学习到的ARP表项,会提示用户删除超出的ARP表项。
配置命令如下:
system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp-limit vlan 10 maximum 20
在一段时间内,如果设备收到某一源IP地址的ARP报文数目超过设定阈值,则不处理超出阈值部分的ARP请求报文。
system-view
[HUAWEI] arp speed-limit source-ip 10.0.0.1 maximum 50
❝说明:缺省情况下,对ARP报文进行时间戳抑制的抑制速率为5pps,即每秒处理5个ARP报文。
[HUAWEI] acl 4444
[HUAWEI-acl-L2-4444] rule permit l2-protocol arp source-mac 0-0-1 vlan-id 3
[HUAWEI-acl-L2-4444] quit
[HUAWEI] cpu-defend policy policy1
[HUAWEI-cpu-defend-policy-policy1] blacklist 1 acl 4444
[HUAWEI-cpu-defend-policy-policy1] quit
接下来应用防攻击策略policy1。
[HUAWEI] acl 4445
[HUAWEI-acl-L2-4445] rule permit l2-protocol arp
[HUAWEI-acl-L2-4445] quit
[HUAWEI] traffic classifier policy1
[HUAWEI-classifier-policy1] if-match acl 4445
[HUAWEI-classifier-policy1] quit
[HUAWEI] traffic behavior policy1
[HUAWEI-behavior-policy1] car cir 32
[HUAWEI] traffic policy policy1
[HUAWEI-trafficpolicy-policy1] classifier policy1 behavior policy1
[HUAWEI] interface GigabitEthernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] traffic-policy policy1 inbound