ARP 防护解决方案总结

ip dhcp snooping trust

在不信任的端口，也就是需要监控的下连口上配置： no ip dhcp snooping trust (Default)

ip dhcp snooping limit rate 10 (pps) /*一定程度上防止DHCP拒绝服务攻击*/（可选）

那么dhcp snooping的配置就算完成了，通过 show ip dhcp snooping binding

来查看dhcp的参数，可以查看到客户端MAC地址、端口、VLAN ID、租借时间、绑定类型(静态的或者动态的)。例如： switch#sh ip dhcp snooping binding

MacAddress IpAddress Lease(sec) Type VLAN Interface

------------------ --------------- ---------- ------- ---- --------------------

00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7

2. 配置完dhcp snooping 并且检查用户表正常之后，需要确认每个vlan的

地址分配方式情况，也就是dhcp方式或者是手工设置方式。Arp inspection需要调用dhcp snooping的binding表，因此如果在实施arp inspection的vlan中假如有手工设置地址的用户，在没有做登记之前，无法使用网络。Arp inspection配置如下：

在config的全局模式下：

ip arp inspection vlan 100,200 /*定义对哪些VLAN进行ARP报文检测*/ ip arp inspection log-buffer entries 1024

ip arp inspection log-buffer logs 1024 interval 10/*定义log的参数信息*/

errdisable recovery cause arp-inspection/*定义当发现不合规则行为时不要自动关闭接口*/ 在接口上配置：

ip arp inspection trust /*定义哪些接口是信任接口，通常是网络设备接口，TRUNK接口等*/（默认是untrust）

ip arp inspection limit rate 15 (pps) /*定义接口每秒ARP报文数量*/

对于没有使用DHCP设备可以采用下面办法: arp access-list static-arp

permit ip host 10.66.227.5 mac host 0009.6b88.d387 ip arp inspection filter static-arp vlan 201 查看效果，通过 show log 可以看到类似以下信息：

3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa5/16, vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2 3. 配置结束，进入试运行期。在试运行期，主要需要查看汇聚交换机的dhc

p snooping表，以及log信息、cpu利用率；调查用户情况，是否有大范围无法获取地址现象或者是无法使用网络现象、登记特定手工设置地址的用户。 4. 正式投入运行。

二、思科解决方案（汇聚层为思科三层交换机、接入层为思科二层交换机或其它厂商支持pvlan的二层交换机）

2.1技术介绍

2.1.1 DHCP SNOOPING

同上，不再复述。

2.1.2 Dynamic ARP Inspection

同上，不再复述。

2.1.3 PVLAN

VLAN的局限性

随着网络的迅速发展，用户对于网络数据通信的安全性提出了更高的要求，诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通信的相对安全性；传统的解决方法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听。 然而，这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限。这些局限主要有下述几方面。

（1）VLAN的限制：交换机固有的VLAN数目的限制；

（2）复杂的STP：对于每个VLAN，每个相关的Spanning Tree的拓扑都需要管理；

（3）IP地址的紧缺：IP子网的划分势必造成一些IP地址的浪费； （4）路由的限制：每个子网都需要相应的默认网关的配置。 PVLAN技术

现在有了一种新的VLAN机制，所有服务器在同一个子网中，但服务器只能与自己的默认网关通信。这一新的VLAN特性就是专用VLAN（Private VLAN）。在Private VLAN的概念中，交换机端口有三种类型：Isolated port，Community port, Promisc-uous port；它们分别对应不同的VLAN类型：Isolated port属于Isolated PVLAN，Community port属于Community PVLAN，而代表一个Private VLAN整体的是Primary VLAN，前面两类VLAN需要和它绑定在一起，同时它还包括Promiscuous port。在Isolated PVLAN中，Isolated port只能和Promiscuous port通信，彼此不能交换流量；在Community PVLAN中，Community port不仅可以和Promiscuous port通信，而且彼此也可以交换流量。Promiscuous port 与路由器或第3层交换机接口相连,它收到的流量可以发往Isolated port和Community port。PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，用户只需与自己的默认网关连接，一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接，所有的用户都接入PVLAN，从而实现了所有用户与默认网关的连接，而与PVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，但

可以穿过Trunk端口。这样即使同一VLAN中的用户，相互之间也不会受到广播的影响。

在cisco 低端交换机中的实现方法:

1.通过端口保护(Switchitchport protected)来实现的。 2.通过PVLAN(private vlan 私有vlan)来实现. 主要操作如下:

相对来说2960交换机配置相对简单，进入网络接口配置模式:

Switch(config)#int range f0/1 - 24 #同时操作f0/1到f0/24口可根据自己的需求来选择端口

Switch(config-if-range)#Switchitchport protected #开启端口保护

3560、4500系列交换机可以通过PVLAN方式实现。 主要操作如下:

首先建立second Vlan 2个 Switch(config)#vlan 101

Switch(config-vlan)#private-vlan community ###建立vlan101 并指定此vlan为公共vlan Switch(config)vlan 102

Switch(config-vlan)private-vlan isolated ###建立vlan102 并指定此vlan为隔离vlan Switch(config)vlan 200

Switch(config-vlan)private-vlan primary

Switch(config-vlan)private-vlan association 101

Switch(config-vlan)private-vlan association add 102 ###建立vlan200 并指定此vlan为主vlan，同时制定vlan101以及102为vlan200的second vlan

Switch(config)#int vlan 200

Switch(config-if)#private-vlan mapping 101,102

###进入vlan200 配置ip地址后，使second vlan101与102之间路由，使其可以通信

Switch(config)#int f3/1

Switch(config-if)#Switchitchport private-vlan host-association 200 102

Switch(config-if)#Switchitchport private-vlan mapping 200 102

Switch(config-if)#Switchitchport mode private-vlan host

###进入接口模式，配置接口为PVLAN的host模式，配置Pvlan的主vlan以及second vlan，一定用102，102是隔离vlan

至此，配置结束，经过实验检测，各个端口之间不能通信，但都可以与自己的网关通信。

2.2技术实施

1. 首先实施的是

pvlan技术，在二层接入交换机上，把所有的用户接口全部

设置成隔离口（或者称保护口）；

2. 在三层的汇聚交换机上，首先在vlan database里定义主vlan并且指定

其second vlan，然后定义隔离vlan；

3. 划分物理口，上联用的物理口设置为promiscuous模式，接下联交换机

的口设置为host模式；

4. 在主vlan的接口中需要映射其second vlan，使其能够通信。需要注意

的一点是，在主vlan的接口下还需要配置ip local-proxy-arp和ip route-cache same-interface两条命令，因为默认情况下各使用了pvlan技术的交换机中，隔离口之间是无法通信的，现在我们想让vlan的网关来完成隔离口之间的通信，即使是同一vlan的两个用户之间通信也需要通过vlan网关来完成，为后面提供DAI提供条件； 5. pvlan实施完成，可以测试配置ip local-proxy-arp和ip route-cache

same-interface两条命令前后的同vlan用户通断情况以及隔离vlan用户与其它vlan的通断情况；

6. 下一步开始实施DAI，先确认在规划为dhcp提供ip地址的区域，每个用

户都是将网卡设置为自动获取地址，而不是手工设置地址，假如有手工配置地址需求，先做好统计；

7. 确认在dhcp区域每个用户都为dhcp之后，可以开始部署dhcp snooping

，选择需要保护的并且是arp病毒高发的vlan，在汇聚交换机上（汇聚交换机必须为cisco交换机）上的config 模式下输入：

ip dhcp snooping vlan 100,200 /*定义哪些VLAN启用DHCP嗅探 ip dhcp snooping

在接dhcp server的接口上配置（如果是交换机做server则不需要此命令）：

ip dhcp snooping trust

在不信任的端口，也就是需要监控的下连口上配置： no ip dhcp snooping trust (Default)

ip dhcp snooping limit rate 10 (pps) /*一定程度上防止DHCP拒绝服务攻击*/（可选）

那么dhcp snooping的配置就算完成了，通过 show ip dhcp snooping binding

来查看dhcp的参数，可以查看到客户端MAC地址、端口、VLAN ID、租借时间、绑定类型(静态的或者动态的)。例如： switch#sh ip dhcp snooping binding

MacAddress IpAddress Lease(sec) Type VLAN Interface

------------------ --------------- ---------- ------- ---- --------------------

00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7

8. 配置完dhcp snooping 并且检查用户表正常之后，需要确认每个vlan的

地址分配方式情况，也就是dhcp方式或者是手工设置方式。Arp inspection需要调用dhcp snooping的binding表，因此如果在实施arp inspection的vlan中假如有手工设置地址的用户，在没有做登记之前，无法使用网络。Arp inspection配置如下：