《在华为交换机上配置防止 ARP 攻击》
方法一:
如果您发现某个接口经常收到大量异常的 ARP 报文,您可以在该接口上开启动态 ARP 检测,并将连接合法设备的接口设置为信任接口,这样可以有效地防止来自该接口的 ARP 攻击。
1. 开启 ARP 防攻击功能
- 进入系统视图: system-view
- 开启 ARP 防攻击功能: arp anti-attack enable
2. 配置动态 ARP 检测
- 进入接口视图: interface [interface-type interface-number]
- 开启动态 ARP 检测: arp detection enable
- 配置信任接口(通常是连接合法设备的接口): arp detection trust
3. 配置 ARP 表项严格学习
- 进入系统视图: system-view
- 开启 ARP 表项严格学习功能: arp learning strict
4. 配置 ARP 限速
- 进入系统视图: system-view
- 配置 ARP 报文限速: arp speed-limit source-ip maximum [max-rate]
方法二:
通过静态绑定来确保其 ARP 信息的准确性,防止被恶意篡改。
1. 静态绑定关键设备的 IP 和 MAC 地址
- 进入系统视图: system-view
- 配置静态 ARP 表项: arp static [ip-address]