锐捷全网防arp欺骗配置案例 - 图文

案例分析总结

文档编号：65wangt200705242 文档名称：锐捷全网防ARP欺骗配置案例 替代文档：（根据资料库是否有需要替换的内容填写） 附 件：（有附件的，请填写文档编号） 编制区域：华东区 编 制 人：王涛 发布时间：（最终发布时由林晋填写） 总页数：11 正文页数：10 内容提要： S21推出支持DHCP relay跨管理vlan relay版本，S3760推出支持arp cheak版本，S86推出支持DAI（动态arp检测）功能后，锐捷已经在全球率先推出了全网防arp欺骗的解决方案。 文档类型： ● T—文本文件 ○ I一图像文件 ○ G—图形文件 ○ V一影像文件 ○ A—声音文件 ○ O—超媒体链结文件 ○ P—程序文件 ○ D—数据文件 公布对象：●公司内部 ○用户 审 核 人：

技术类模版：

评语： 锐捷全网防ARP欺骗配置案例 产品类型/所使S2100G V1.68 (1a3)支持 标题 用版本 内容提要： 编写日期 编写人 发布对象 RG-S3760 V 4.12(7) RG-S8600 V10.1(2) 锐捷全网防arp欺骗配置案例 2007-5-23 王涛 ●公司内部 ○用户 简要描述 2007-05-233

1 第1页, 共11页

案例分析总结

标题： 锐捷全网防arp欺骗配置案例 简述： S21推出支持DHCP relay跨管理vlan relay版本，S3760推出支持arp cheak版本，S86推出支持DAI（动态arp检测）功能后，锐捷已经在全球率先推出了全网防arp欺骗的解决方案。 分别介绍了在各层设备中，各种组网方式和各种应用下的arp欺骗防范配置。 网络背景/技术要点简述： ARP,ARP cheak，LINUX，DHCP raly，OPTION82，DHCP soooping，DAI 需求 拓扑 需求： 1、在S2126G上开启端口接入认证的情况下，用户通过DCHP relay 获取地址，防止对网关的ARP欺骗； 2、S3760下挂非锐捷交换机时，在S3760端口开启radius认证的情况下，用户通过DHCP relay获取地址，防止对网关的ARP 欺骗。 3、S3760端口直连用户时，在S3760端口开启radius认证的情况下，用户通过DHCP relay获取地址，防止对网关的ARP 欺骗。 4、S8610下挂非锐捷交换机时，在S8610上开启DAI+dhcp snooping，防止arp欺骗。 2007-05-233

2 第2页, 共11页

案例分析总结

实现方法 21实施要点 DHCP relay + IP授权模式 + arp-check + 端口认证 a) 开启aaa认证的IP授权模式为DHCP获取； aaa authorization ip-auth-mode dhcp-server b) 静态绑定21管理地址与三层设备通信地址的IP/MAC，保证交换机的正常管理； address-bind 192.168.2.1 00d0.f8a4.6802 或者arp 192.168.2.1 00d0.f8a4.6802 arpa interface fa 0/1 c) 开启Option82功能，结合全局的dhcp绑定； service dhcp service dhcp address-bind ip helper-address 192.168.204.88 ip dhcp relay information option82 d) 进行arp检查； port-security arp-check ；只有目的IP地址为管理地址的ARP报文送入CPU（硬件转发）。其他ARP报文结合绑定检验正确性，决定丢弃，转发处理； port-security arp-check cpu；对目的IP地址为管理地址，送入CPU处理的报文进行检测，结合绑定地址决定丢弃，转发处理。 3760实施要点 DHCP relay + 全局的动态地址绑定 + arp-check + 端口认证 a) 开启全局的DHCP动态绑定； service dhcp address-bind b) 绑定下联设备管理地址的IP/MAC； address-bind 192.168.2.2 00d0.f8bc.8b0c c) 设置绑定上联口，保证上联口正常通信； address-bind uplink FastEthernet 0/1 d) arp-check默认开启； 8610实施要点 DHCP Snooping+DAI a）开启dhcp soooping功能 ip dhcp snooping b)启用全局DAI功能，也可以启用指定vlan的DAI功能 ip arp inspection vlan x c) 将不需要arp报文检测的口设置为可信任，将跳过arp报文检测 ip arp inspection trust S2126G配置 S2126G#show running-config System software version : 1.68(1a3) Build May 14 2007 Release Building configuration... Current configuration : 1140 bytes ! version 1.0 2007-05-233

3 第3页, 共11页

案例分析总结

! hostname S2126G vlan 1 ! vlan 10 ! Vlan 100 ! radius-server host 192.168.200.3 aaa authentication dot1x aaa accounting server 192.168.200.3 aaa accounting aaa accounting update port-security arp-check //开启交换机的arp报文检查功能 port-security arp-check cpu //对送入交换机的arp报文进行检测 address-bind 192.168.100.1 00d0.f8a4.7597 //绑定上联设备的管理网关地址 service dhcp service dhcp address-bind port //开启端口的DHCP动态绑定 ip helper-address 192.168.200.2 ip dhcp relay information option82 //基于dhcp server option82相关字段进行dhcp relay interface fastEthernet 0/1 description Connect_S3760 switchport mode trunk ! interface fastEthernet 0/2 //端口开启认证时进行动态绑定 description Connect_PC1 switchport access vlan 10 dot1x port-control auto ! interface fastEthernet 0/3 //端口不开启认证进行动态绑定，需要开启端口安全 description Connect_PC5 switchport access vlan 10 switchport port-security ! interface vlan 100 no shutdown ip address 192.168.100.2 255.255.255.0 ! aaa authorization ip-auth-mode dhcp-server //开启aaa认证的IP授权模式为DHCP获取 radius-server key public ip default-gateway 192.168.100.1 arp 192.168.100.1 00d0.f8a4.7597 arpa fastEthernet 0/1 end 2007-05-233

4 第4页, 共11页

案例分析总结

测试结果 1）测试的过程中，送入21的管理地址的arp，21会进行学习；21即使学习到了构造的ARP，只会对该21的网管功能有影响，不会造成我们所说的影响其他用户上网，可以通过在21上静态绑定与三层设备通信的IP/MAC地址来保证远程的网管功能正常。 2）由于认证过程中开启了IP授权模式，又进行了arp-check，21会对送入CPU的arp进行检测，如果该ARP sender IP/MAC不是DHCP relay下发的IP/MAC地址对，由于21是二层设备，下联客户对发往网关，或其他主机的ARP不会被转发，直接被过滤，因此三层网关，或其他主机不会被攻击ARP报文欺骗。 注释：如果接入客户端不进行认证的情况下，可以开启端口安全，然后通过动态的DHCP获取地址绑定，也可以实现防止对其他主机以及三层网关的欺骗。 非锐捷设备1 配置： 上联端口 trunk 其他端口 VLAN 30 交换机管理IP 192.168.100.3 S3760配置: S3760#show running-config System software version : RGNOS V4.12(7) Build May 17 2007 Release Building configuration... Current configuration : 962 bytes version 1.0 ! hostname S3760 vlan 1 ! vlan 10 ! vlan 20 ! vlan 30 ! vlan 100 ! radius-server host 192.168.200.3 aaa authentication dot1x aaa accounting server 192.168.200.3 aaa accounting aaa accounting update service dhcp service dhcp address-bind //开启全局的DHCP动态绑定，和2126配置有区别 2007-05-233

5 第5页, 共11页

案例分析总结

8：华南区 东北区：辽宁11 吉林12 黑龙江13 西北区：陕西21 河南22 山西23 华北区：北京31 天津32 河北33 山东35 西南区： 四川51 重庆52 贵州53 华东区：上海61 浙江62 江苏63 安徽65 华中区：湖南71 湖北72 江西73 广西75 华南区：广东81 福建82 海南83 工程师邮箱的名称，如：ljin 年月日，如：20060806 1为当日编写的第一篇文档，如：第2篇编号为 2 林晋8月10日编写第一篇文档：82ljin200608061 省区代码 规定 工程师代码 时间代码 序列号代码 范例 规定 规定 规定 规定 2007-05-233

11 第11页, 共11页

本文来源：https://www.bwwdw.com/article/eaq5.html