配置ARP攻擊防護
?缺省配置信息
ARP 攻擊防護功能默認不啟用。缺省設置信息如下表所示:
表 47-1 ARP 攻擊防護功能缺省配置信息
?ARP攻擊防護基本配置
ARP 攻擊防護配置分為防 ARP 欺騙攻擊配置和防 ARP flood 攻擊配置。
配置步驟:
1.進入策略>安全防護>ARP 攻擊防護>配置
參數(shù)說明:
防 ARP 欺騙:點選啟用,對檢測到的 ARP 欺騙攻擊告警。
主動保護:點選啟用主動保護發(fā)包功能,每隔一定時間間隔發(fā)送一次主動保護列表上的免費 ARP 報文。
時間間隔:發(fā)送主動保護列表上的 ARP 的時間間隔,缺省配置為 1 秒。
關閉 ARP 學習:默認啟用 ARP 學習,關閉后只要是不匹配 IP-MAC 綁定表的報文都將被丟棄。
防 ARP Flood:點選啟用防 ARP Flood 攻擊。
ARP 攻擊識別閾值:一秒內(nèi)收到 ARP 報文的數(shù)量,缺省配置為 300。
攻擊主機抑制時長:設置阻斷時間,當系統(tǒng)檢測到攻擊時,在配置的時長內(nèi)拒絕來自于該臺源主機的所有其它包,缺省配置為 60 秒。
2.點擊提交:完成設置。
?
?
?主動保護列表配置
配置主動保護列表,在開啟配置中的主動保護后,將自動廣播列表中的免費ARP 報文。
配置步驟:
1.進入策略>安全防護> ARP 攻擊防護>主動保護列表 點擊新建:
參數(shù)說明:
接口:ARP 報文發(fā)送接口
接口保護:在保護列表中加入接口地址
IP 地址&MAC 地址:廣播 ARP 報文的 IP 和 MAC
2.點擊提交:完成設置
點擊接口名稱進行編輯
不能對接口進行修改,其他參數(shù)和操作同新建。
刪除主動保護列表
點擊
直接刪除該接口下的主動保護列表配置。
?
IP-MAC綁定配置
配置步驟:
- 進入策略>安全防護>ARP 攻擊防護>IP-MAC 綁定
點擊新建:
?
參數(shù)說明:
名稱:IP-MAC 綁定的名稱
IP 地址:IP-MAC 中的 IP 地址
MAC 地址:IP-MAC 中的 MAC 地址
唯一性檢查:選定后,一個 MAC 只能與一個 IP 地址綁定
- 點擊提交:完成設置
?
ARP表
進入策略>安全防護>ARP 攻擊防護>ARP 表
可以根據(jù) IP、MAC 和接口進行搜索
ARP 表中直接進行 IP-MAC 綁定
進入策略>安全防護>ARP 表
點擊
綁定設備已經(jīng)完成學習的 IP-MAC 地址對
綁定成功后,ARP 表頁面會顯示
ARP 探測:點擊右上角的探測按鈕,可以根據(jù)接口或者 IP 進行探測
選擇接口時,會對本接口下的所有設備進行探測
選擇 IP 時,只探測相應 IP 地址
?
?常見故障分析
1 故障現(xiàn)象:PC無法上網(wǎng)
?
