华为交换机如何防范ARP攻击

1、1  网络主机侧攻击防范----配置静态ARP 

1.1  确认网关设备、局域网内重要服务器以及本机的IP地址、MAC地址

—  通过在DOS界面输入ipconfig /all命令可查本机IP、MAC和网关IP 

—  通过在DOS界面输入arp –a命令可查网关IP所对应的MAC地址

—  局域网内其他重要服务器的IP、MAC需登陆服务器再通过ipconfig /all查询

1.2  配置静态ARP绑定

新建一个记事本文档，输入以下命令：

arp –d  //清空ARP缓存表

arp -d 

arp -d 

arp -s 192.168.16.1 00-00-00-00-01  //配置静态ARP，绑定网关的IP与MAC

arp -s 192.168.16.2 00-00-00-00-02  //配置静态ARP，绑定服务器的IP与MAC

arp -s 192.168.16.3 00-00-00-00-03  //配置静态ARP，绑定本机的IP与MAC 

注：如果网关是两交换机启用了vrrp后的虚拟ip，则应该将网关ip绑定vrrp的虚mac ，格

式为00-00-5e-00-01-[vrid] （vrid是指启用vrrp的备份组号）

配置完成后，将其另存为arp.bat文件（注意后缀名需为bat）

1.3  将arp.bat文件放入主机的启动项中

—  打开电脑的启动项目录。具体操作是点击“开始”→“程序” →“启动”右键单击选择“打开所有用户” 

—  将arp.bat文件放入打开的目录中，这样程序就会在每次开机时自动运行

2、2  网关设备侧攻击防范

2.1  二层交换机（接入设备）配置规范

—  在与PC直接相连的端口上配置静态MAC，同时禁止动态学习MAC

[S2403H]mac-address static 0002-0002-0002 interface Ethernet0/7 vlan 10 

[S2403H]interface Ethernet0/7 

[S2403H- Ethernet0/7] mac-address max-mac-count 0 

注：配置顺序一定要注意，要先配置静态MAC，再在端口下禁止动态学习MAC；如要对静态MAC绑定的数据做任何修改和删除，也要先在对应端口下删除mac-address max-mac-count 0，修改完成后再在端口重新添加mac-address max-mac-count 0。否则设备易出错，切记！

—  暂时不被使用的端口应该手动shutdown 

[S2403H]interface Ethernet0/8 

[S2403H-Ethernet0/7] shutdown 

完成了如上配置后，某端口下只能连接指定MAC的PC，如果有非法PC企图接入网络或原合法PC机中毒后企图发起一些变换MAC的攻击，则新的MAC地址不会被端口所学习。这样，大大加强了二层网络的安全性。 

2.2  三层交换机（网关设备）配置规范

—  在三层交换机上配置静态ARP绑定下挂PC机的IP与MAC地址，防止下挂PC随意变动IP地址或发起ARP攻击：

[S3528G]arp static 192.168.16.2 0002-0002-0002 10 Ethernet0/3

[S3528G]arp static 192.168.16.3 0003-0003-0003 10 Ethernet0/3 

[S3528G]arp static 192.168.16.4 0004-0004-0004 10 Ethernet0/3 

S3528G

S2403H-1

S2403H-2

PC网关

PC-1 PC-3 PC-4 PC-5

PC-6

常见组网结构 如图

2.3  交换机既作网关又作接入时的配置规范（综合前两项）

—  在与PC直接相连的端口上配置静态MAC，同时禁止动态学习MAC 

—  暂时不被使用的端口应该手动shutdown 

—  配置静态ARP绑定下挂PC机的IP与MAC地址，防止下挂PC随意变动IP地址或发起ARP攻击。