龙空技术网

在华为eNSP模拟器配置基于二层三层的ARP报文限速策略

KB小网管 569

前言:

现时你们对“ensp怎么用命令查公用ip”大概比较关切,看官们都需要分析一些“ensp怎么用命令查公用ip”的相关资讯。那么小编同时在网络上搜集了一些关于“ensp怎么用命令查公用ip””的相关内容,希望同学们能喜欢,你们一起来学习一下吧!

通过之前的文章,我们已经了解了 ARP 攻击的危害,黑客采用 ARP 软件进行扫描并发送欺骗应答,同处一个局域网的普通用户就可能遭受断网攻击、流量被限、账号被窃的危险。

由于攻击门槛非常低,普通人只要拿到攻击软件就可以扰乱网络秩序,导致现在的公共网络、家庭网络、校园网、企业内网等变得脆弱无比。

所以,作为网络工程师要怎么防御ARP攻击呢?

首先,我们先通过一张经典图解来了解 ARP 攻击原理:

当 PC1 询问 PC2 的 MAC 地址时,攻击者 PC3 返回 ARP 欺骗回应包:我的 IP 地址是 IP2,MAC 地址是 MAC3。一旦 PC1 记录了错误的 ARP 映射,则发给 PC2 的数据,都会落到 PC3 手里。

通过企业级交换机配置命令防御ARP攻击

一、配置基于源MAC地址的arp报文限速,防止设备收到不断变化的源ip地址的arp攻击时被耗尽cpu资源

[Huawei]arp speed-limit source-mac maximum 100 //限制所有MAC地址报文100个/s

[Huawei]arp speed-limit source-mac 0001-0002-0003 maximum 10 // 限制单个MAC地址报文10个/s

二、配置基于源ip地址的arp报文限速

[Huawei]arp speed-limit source-ip maximum 100 //限制所有ip地址报文100个/s

[Huawei]arp speed-limit source-ip 0001-0002-0003 maximum 10 //限制单个ip地址报文10个/s

三、基于端口、vlan或全局的arp限速

1、基于接口的arp限速

[Huawei]arp anti-attack rate-limit enable //全局下开启arp限速功能

[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit enable //接口下开启arp限速功能

[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit 200 10 block timer 60 //限速10s内允许通过最大200个arp报文,超过丢弃

[Huawei-GigabitEthernet0/0/1]quit

2、基于vlan的arp限速

[Huawei]arp anti-attack rate-limit enable //全局下开启arp限速功能

[Huawei-Vlanif2]arp anti-attack rate-limit enable //开启基于vlan的arp限速功能

[Huawei-Vlanif2]arp anti-attack rate-limit 200 10 //限速10s内允许通过最大200个arp报文,超过丢弃

[Huawei-Vlanif2]quit

3、基于全局的arp限速

[Huawei]arp anti-attack rate-limit enable //全局下开启arp限速功能

[Huawei]arp anti-attack rate-limit 200 10 //限速10s内允许通过最大200个arp报文,超过丢弃

标签: #ensp怎么用命令查公用ip