配置ARP攻击防护
缺省配置信息
ARP 攻击防护功能默认不启用。缺省设置信息如下表所示:
表 47-1 ARP 攻击防护功能缺省配置信息
ARP攻击防护基本配置
ARP 攻击防护配置分为防 ARP 欺骗攻击配置和防 ARP flood 攻击配置。
配置步骤:
1.进入策略>安全防护>ARP 攻击防护>配置
参数说明:
防 ARP 欺骗:点选启用,对检测到的 ARP 欺骗攻击告警。
主动保护:点选启用主动保护发包功能,每隔一定时间间隔发送一次主动保护列表上的免费 ARP 报文。
时间间隔:发送主动保护列表上的 ARP 的时间间隔,缺省配置为 1 秒。
关闭 ARP 学习:默认启用 ARP 学习,关闭后只要是不匹配 IP-MAC 绑定表的报文都将被丢弃。
防 ARP Flood:点选启用防 ARP Flood 攻击。
ARP 攻击识别阈值:一秒内收到 ARP 报文的数量,缺省配置为 300。
攻击主机抑制时长:设置阻断时间,当系统检测到攻击时,在配置的时长内拒绝来自于该台源主机的所有其它包,缺省配置为 60 秒。
2.点击提交:完成设置。
主动保护列表配置
配置主动保护列表,在开启配置中的主动保护后,将自动广播列表中的免费ARP 报文。
配置步骤:
1.进入策略>安全防护> ARP 攻击防护>主动保护列表 点击新建:
参数说明:
接口:ARP 报文发送接口
接口保护:在保护列表中加入接口地址
IP 地址&MAC 地址:广播 ARP 报文的 IP 和 MAC
2.点击提交:完成设置
点击接口名称进行编辑
不能对接口进行修改,其他参数和操作同新建。
删除主动保护列表
点击
直接删除该接口下的主动保护列表配置。
IP-MAC绑定配置
配置步骤:
- 进入策略>安全防护>ARP 攻击防护>IP-MAC 绑定
点击新建:
参数说明:
名称:IP-MAC 绑定的名称
IP 地址:IP-MAC 中的 IP 地址
MAC 地址:IP-MAC 中的 MAC 地址
唯一性检查:选定后,一个 MAC 只能与一个 IP 地址绑定
- 点击提交:完成设置
ARP表
进入策略>安全防护>ARP 攻击防护>ARP 表
可以根据 IP、MAC 和接口进行搜索
ARP 表中直接进行 IP-MAC 绑定
进入策略>安全防护>ARP 表
点击
绑定设备已经完成学习的 IP-MAC 地址对
绑定成功后,ARP 表页面会显示
ARP 探测:点击右上角的探测按钮,可以根据接口或者 IP 进行探测
选择接口时,会对本接口下的所有设备进行探测
选择 IP 时,只探测相应 IP 地址
常见故障分析
1 故障现象:PC无法上网
