商务领航2-2 ARP防攻击典型配置
一、 组网需求:
某用户局域网中存在ARP攻击,常常导致内网用户无法正常访问外部的网络资源,因此部署了商务领航2-2进行ARP攻击防护。
二、 组网图:
三、 配置步骤:
1. 配置WAN接口GE0/0地址
在左侧导航栏中点击“接口配置 > WAN接口设置”,配置GE0/0,连接模式选择“手动指定IP地址”,IP地址输入“192.168.103.171”,子网掩码为“22”,网关地址为“192.168.100.254”,然后点击< 应用 >按钮完成配置。
在左侧导航栏中点击“接口配置 > 高级设置”,查看当前接口配置结果:
2. 配置ARP防攻击方法
1.发送免费ARP
点击左侧导航栏“高级配置 > ARP防攻击 > 免费ARP定时发送”,选择接口Vlan-interface2,发送时间间隔采用默认值,或者输入合适的时间间隔,然后点击,再点击< 确定 >按钮完成配置。这是让内网所有机器记录内网接口Vlan-interface2的ARP表项。配置发送免费ARP如下图所示。
2. ARP扫描
点击左侧导航栏“高级配置 > ARP防攻击 > 扫描”。选择接口Vlan-interface2,设置扫描的开始和结束IP地址范围,例如下图所示。如果不输入地址,则系统会按照接口地址的掩码范围进行扫描。
3. ARP固化
点击左侧导航栏“高级配置 > ARP防攻击 > 固化”。表中将出现所有商务领航2-2设备上学习到的全部动态和静态ARP,包括ARP扫描获取的。
勾选想要固化的ARP表项,点击,<固化>。或者勾选不想固化的ARP,点击<解除固化>。“全部固化”和“解除全部固化”用来对ARP固化表中的全部ARP表项进行操作。ARP固化如下图所示。
说明:解除固化操作,实际上是删除该ARP静态表项。
1. 免费ARP验证结果
在内网(192.168.1.0/24)抓取报文,能够每隔2秒钟抓到Vlan-interface2发送的免费ARP报文。免费ARP报文如下图。
2. ARP扫描验证结果
扫描之后,内网所有ARP表项将全部出现在ARP表中,可以查看“高级配置 > ARP管理 > ARP”中所有表项,例如能看到192.168.1.0/24网段的ARP表项,如下图所示。
3. ARP固化验证结果
在“高级配置 > ARP防攻击 > 固化”界面中,勾选ARP表项192.168.1.2、192.168.1.11、192.168.1.78,然后点击< 固化 >,结果如下图所示。说明,ARP固化之后变成静态ARP,静态ARP会列举在ARP表的最前面,所以这三项的表中显示位置可能会发生变化。
4. ARP解除固化验证结果
在“高级配置 > ARP防攻击 > 固化”界面中,勾选ARP表项192.168.1.2、192.168.1.11、192.168.1.78,然后点击< 解除固化 >。将会出现如下提示。点击< 确定 >,则这三项ARP静态表项被删除。表中暂时查看不到这三个ARP表项,除非商务领航2-2设备重新学习到ARP,或者进行了对应接口的ARP扫描。
四、配置关键点及注意事项:
⑴ 配置免费ARP功能后,只有当接口链路Up并且配置IP地址后,此功能才真正生效。
⑵ 如果修改了免费ARP报文的发送周期,则在下一个发送周期才能生效。
⑶ 不要在配置了VRRP备份组的接口下使能免费ARP功能。
⑷ 建议用户在ARP自动扫描期间不要进行其他操作。
⑸ 只有三层以太网接口、三层以太网子接口、VLAN接口学习到的动态ARP表项可以被固化。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作