交换机ARP防护方法

可参考如下配置举例：

1.3.4  ARP防止IP报文攻击配置举例

1. 组网需求

某局域网内存在两个区域：研发区和办公区，分别属于VLAN 10和VLAN 20，通过接入交换机连接到网关Device，如图1-1所示。

网络管理员在监控网络时发现办公区存在大量ARP请求报文，通过分析认为存在IP泛洪攻击，为避免这种IP报文攻击所带来的危害，可采用ARP源抑制功能和ARP黑洞路由功能。

2. 组网图

图1-1 ARP防止IP报文攻击配置组网图

3. 配置思路

对攻击报文进行分析，如果发送攻击报文的源地址是固定的，采用ARP源抑制功能。在Device上做如下配置：

·     开启ARP源抑制功能；

·     配置ARP源抑制的阈值为100，即当每5秒内的ARP请求报文的流量超过100后，对于由此IP地址发出的IP报文，设备不允许其触发ARP请求，直至5秒后再处理。

如果发送攻击报文的源地址是不固定的，则采用ARP黑洞路由功能，在Device上配置ARP黑洞路由功能。

4. 配置步骤

·     配置ARP源抑制功能

# 开启ARP源抑制功能，并配置ARP源抑制的阈值为100。

<Device> system-view

[Device] arp source-suppression enable

[Device] arp source-suppression limit 100

·     配置ARP黑洞路由功能

# 开启ARP黑洞路由功能。

[Device] arp resolving-route enable