华为模拟器ensp基本指令:在华为eNSP模拟器配置基于二层三层的ARP报文限速策略
通过之前的文章,我们已经了解了 ARP 攻击的危害,黑客采用 ARP 软件进行扫描并发送欺骗应答,同处一个局域网的普通用户就可能遭受断网攻击、流量被限、账号被窃的危险。
由于攻击门槛非常低,普通人只要拿到攻击软件就可以扰乱网络秩序,导致现在的公共网络、家庭网络、校园网、企业内网等变得脆弱无比。
所以,作为网络工程师要怎么防御ARP攻击呢?
首先,我们先通过一张经典图解来了解 ARP 攻击原理:
一、配置基于源MAC地址的arp报文限速,防止设备收到不断变化的源ip地址的arp攻击时被耗尽cpu资源
[Huawei]arp speed-limit source-mac maximum 100 //限制所有MAC地址报文100个/s
[Huawei]arp speed-limit source-mac 0001-0002-0003 maximum 10 // 限制单个MAC地址报文10个/s
二、配置基于源ip地址的arp报文限速
[Huawei]arp speed-limit source-ip maximum 100 //限制所有ip地址报文100个/s
[Huawei]arp speed-limit source-ip 0001-0002-0003 maximum 10 //限制单个ip地址报文10个/s
三、基于端口、vlan或全局的arp限速
1、基于接口的arp限速
[Huawei]arp anti-attack rate-limit enable //全局下开启arp限速功能
[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit enable //接口下开启arp限速功能
[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit 200 10 block timer 60 //限速10s内允许通过最大200个arp报文,超过丢弃
[Huawei-GigabitEthernet0/0/1]quit
2、基于vlan的arp限速
[Huawei]arp anti-attack rate-limit enable //全局下开启arp限速功能
[Huawei-Vlanif2]arp anti-attack rate-limit enable //开启基于vlan的arp限速功能
[Huawei-Vlanif2]arp anti-attack rate-limit 200 10 //限速10s内允许通过最大200个arp报文,超过丢弃
[Huawei-Vlanif2]quit
3、基于全局的arp限速
[Huawei]arp anti-attack rate-limit enable //全局下开启arp限速功能
[Huawei]arp anti-attack rate-limit 200 10 //限速10s内允许通过最大200个arp报文,超过丢弃
,
免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com
