H3C SecPath F100-C-AI防火墙 Web配置指导-5PW100

PDF下载 本章节下载(933.08 KB)

20-ARP


1 ARP管理

Web页面提供的ARP管理功能如下:

·              查看ARP表项

·              新建静态ARP表项

·              删除ARP表项

·              配置接口的动态ARP表项学习功能

·              配置免费ARP功能

1.1  概述

1.1.1  ARP简介

ARPAddress Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址(或称物理地址)的协议。

在局域网中,当主机或其它网络设备有数据要发送给另一个主机或设备时,它必须知道对方的网络层地址(即IP地址)。但是仅仅有IP地址是不够的,因为IP数据报文必须封装成帧才能通过物理网络发送,因此发送站还必须有接收站的物理地址,所以需要一个从IP地址到物理地址的映射。APR就是实现这个功能的协议。

说明

关于ARP协议的详细介绍请参见《H3C SecPath F100-C-AI防火墙 配置指导》“网络管理配置指导”中的“ARP”。

 

1.1.2  免费ARP简介

1. 免费ARP报文

免费ARP报文是一种特殊的ARP报文,该报文中携带的发送者IP地址和目标IP地址都是本机IP地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址。

设备通过对外发送免费ARP报文来实现以下功能:

·              确定其它设备的IP地址是否与本机IP地址冲突。当其它设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址相同,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。

·              设备改变了硬件地址,通过发送免费ARP报文通知其他设备更新ARP表项。

2. 免费ARP报文学习功能

使能了免费ARP报文学习功能后,设备会根据收到的免费ARP报文中携带的信息(源IP地址、源MAC地址)对自身维护的ARP表进行修改。设备先判断ARP表中是否存在与此免费ARP报文源IP地址对应的ARP表项:

·              如果没有对应的ARP表项,设备会根据该免费ARP报文中携带的信息新建ARP表项。

·              如果存在对应的ARP表项,设备会根据该免费ARP报文中携带的信息更新对应的ARP表项。

关闭免费ARP报文学习功能后,设备不会根据收到的免费ARP报文来新建ARP表项,但是会更新已存在的对应ARP表项。如果用户不希望通过免费ARP报文来新建ARP表项,可以关闭免费ARP报文学习功能,以节省ARP表项资源。

1.2  查看ARP表项

在导航栏中选择“高级配置 > ARP管理 > ARP表”,进入如下图所示的页面。页面显示所有ARP表项的信息。

图1-1 ARP

 

1.3  新建静态ARP表项

(1)      在导航栏中选择“高级配置 > ARP管理 > ARP表”,进入如1-1所示的页面。

(2)      单击<新建>按钮,进入新建静态ARP表项的配置页面,如下图所示。

图1-2 新建静态ARP表项

 

(3)      配置ARP表项的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表1-1 静态ARP表项的详细配置

配置项

说明

IP地址

设置静态ARP表项的IP地址

MAC地址

设置静态ARP表项的MAC地址

高级选项

VLAN ID

设置静态ARP表项所属的VLAN和接口名称

提示

指定的VLAN ID必须是已经创建好的VLANID,且指定的接口必须属于这个VLAN;指定的VLAN ID对应的VLAN接口必须已经创建

端口

VPN实例

设置静态ARP表项所属的VPN实例的名称

 

1.4  删除ARP表项

在导航栏中选择“高级配置 > ARP管理 > ARP表”,进入ARP表的显示页面,如1-1所示。删除ARP表项的详细配置如下表所示。

表1-2 删除ARP表项的详细配置

功能

配置方法

删除指定的ARP表项

在列表中选中指定ARP表项前的复选框,单击<删除选中>按钮

删除所有静态和动态ARP表项

单击<删除所有静态和动态表项>按钮

删除所有静态ARP表项

单击<删除所有静态表项>按钮

删除所有动态ARP表项

单击<删除所有动态表项>按钮

 

1.5  配置接口的动态ARP表项学习功能

在导航栏中选择“高级配置 > ARP管理 > 动态表项管理”,进入如下图所示的页面。

图1-3 动态表项管理

 

接口动态ARP表项学习功能的详细配置如下表所示。

表1-3 接口动态ARP表项学习功能的详细配置

功能

配置方法

禁止列表中所有接口学习动态ARP表项

单击<禁止所有接口学习>按钮

禁止指定接口学习动态ARP表项

在列表中选中指定接口前的复选框,单击<禁止选中接口学习>按钮

允许列表中所有接口学习动态ARP表项

单击<允许所有接口学习>按钮

允许指定接口学习动态ARP表项

在列表中选中指定接口前的复选框,单击<允许选中接口学习>按钮

修改指定接口允许学习动态ARP表项的最大数目

(1)    在列表中单击指定接口对应的icon_mdf图标,进入如1-4所示的页面

(2)    输入接口允许学习动态ARP表项的最大数目,0表示禁止接口学习动态ARP表项

(3)    单击<确定>按钮完成操作

需要注意的是,通过按钮设置允许接口学习动态ARP表项后,接口允许学习ARP表项的最大数目将恢复为缺省值。

 

图1-4 修改接口配置

 

1.6  配置免费ARP功能

(1)      在导航栏中选择“高级配置 > ARP管理 > 免费ARP”,进入如下图所示的页面。

图1-5 免费ARP

 

(2)      设置是否关闭免费ARP报文学习功能。

(3)      设置当收到非同一网段ARP请求时,是否发送免费ARP报文。

(4)      单击<确定>按钮完成操作。

1.7  静态ARP典型配置举例

1. 组网需求

·              Firewall连接主机,通过接口Ethernet0/2连接Router。接口Ethernet0/2属于VLAN 10

·              RouterIP地址为192.168.1.1/24MAC地址为00e0-fc01-0000

为了增加FirewallRouter通信的安全性,可以在Firewall上配置静态ARP表项。

图1-6 静态ARP配置组网图

 

2. 配置步骤

(1)      创建VLAN 10Vlan-interface10

步骤1:在导航栏中选择“接口配置 > LAN设置”,默认进入“VLAN设置”页签的页面。

步骤2:如下图所示,选中“创建”前的单选按钮,输入VLAN编号为“10”,选中“创建VLAN接口”前的复选框。

步骤3:单击<应用>按钮完成操作。

图1-7 创建VLAN 10Vlan-interface10

 

(2)      配置将接口Ethernet0/2加入VLAN 10

图1-8 将接口Ethernet0/2加入VLAN 10

 

步骤1:如上图所示,在“VLAN设置”页面的下半部分选择VLAN ID为“10”。

步骤2:在列表中选中接口“Ethernet0/2”。

步骤3:单击<添加>按钮,弹出配置进度对话框。

步骤4:看到配置成功的提示后,在对话框中单击<关闭>按钮完成操作。

(3)      配置Vlan-interface10IP地址。

步骤1:单击“VLAN接口设置”页签。

步骤2:如下图所示,选择VLAN为“10”,输入IP地址为“192.168.1.2”,输入子网掩码为“255.255.255.0”。

步骤3:单击<确定>按钮完成操作。

图1-9 配置Vlan-interface10IP地址

 

(4)      配置静态ARP表项。

步骤1:在导航栏中选择“高级配置 > ARP管理 > ARP表”。

步骤2:单击<新建>按钮。

步骤3:进行如下配置,如下图所示。

·              输入IP地址为“192.168.1.1”。

·              输入MAC地址为“00e0-fc01-0000”。

·              选中“高级选项”前的复选框。

·              输入VLAN ID为“10”。

·              选择端口为“Ethernet0/2”。

步骤4:单击<确定>按钮完成操作。

图1-10 配置静态ARP表项

 

3. 配置结果验证

步骤1:完成上述配置后,页面跳转回ARP表的显示页面,选择查询项为“类型”,输入关键字为“静态”。

步骤2:单击<查询>按钮,可以查看到Firewall上的静态ARP表项,如下图所示。

图1-11 查看配置的静态ARP表项信息

 


2 ARP防攻击

Web页面提供的ARP防攻击配置功能如下:

·              配置免费ARP定时发送功能

·              配置ARP自动扫描功能

·              配置ARP固化功能

2.1  概述

ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁。为了避免各种攻击带来的危害,设备提供了以下技术对攻击进行检测和解决:

1. 免费ARP定时发送功能

免费ARP定时发送功能可以及时通知下行设备更新ARP表项或者MAC地址表项,主要应用场景如下:

·              防止仿冒网关的ARP攻击。

·              防止主机ARP表项老化。

·              防止VRRP虚拟IP地址冲突。

·              及时更新模糊终结VLAN内设备的MAC地址表。

2. ARP自动扫描和固化功能

ARP自动扫描功能一般与ARP固化功能配合使用:

·              启用ARP自动扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。

·              ARP固化功能用来将当前的ARP动态表项(包括ARP自动扫描生成的动态ARP表项)转换为静态ARP表项。

通过ARP自动扫描和固化功能,可以有效的防止攻击者修改ARP表项。推荐在网吧这种环境稳定的小型网络中使用这两个功能。

2.2  配置免费ARP定时发送功能

说明

·       设备最多允许同时在1024个接口上使能定时发送免费ARP功能。

·       配置免费ARP定时发送功能后,只有当接口链路Up并且配置IP地址后,此功能才真正生效。

·       如果修改了免费ARP报文的发送间隔时间,则在下一个发送周期才能生效。

·       如果同时在很多接口下使能本功能,或者每个接口有大量的从IP地址,或者两种情况共存的同时又配置很小的发送间隔时间,那么免费ARP报文的发送频率可能会远远低于用户的预期。

·       不要在配置了VRRP备份组的接口下使能免费ARP定时发送功能。

 

(1)      在导航栏中选择“高级配置 > ARP防攻击 > 免费ARP定时发送”,进入如下图所示的页面。

图2-1 免费ARP定时发送

 

(2)      设置定时发送免费ARP报文的接口和发送间隔时间:在“待选接口”框中选中要设置的接口,指定发送间隔时间,单击“<<”按钮,可将设置添加到“定时发送接口”框中;在“定时发送接口”框中选中接口和发送间隔时间的组合,单击“>>”按钮,可将其从“定时发送接口”框中删除。

(3)      单击<确定>按钮完成操作。

2.3  配置ARP自动扫描功能

说明

·       建议用户在ARP自动扫描期间不要进行其他操作。

·       ARP自动扫描操作可能比较耗时,用户可以通过单击页面中的<中止>按钮来终止扫描。

 

(1)      在导航栏中选择“高级配置 > ARP防攻击 > 扫描”,进入如下图所示的页面。

图2-2 扫描

 

(2)      配置ARP自动扫描的参数,详细配置如下表所示。

表2-1 ARP自动扫描功能的详细配置

配置项

说明

接口

设置进行ARP自动扫描的接口

开始IP地址

设置ARP自动扫描区间的开始IP地址和结束IP地址

·       如果用户知道局域网内邻居分配的IP地址范围,指定了ARP自动扫描区间,则对该范围内的邻居进行扫描,减少扫描等待的时间。如果指定的扫描区间同时在接口下多个IP地址的网段内,则发送的ARP请求报文的源IP地址选择网段范围较小的接口IP地址

·       如果不指定ARP自动扫描区间的开始IP地址和结束IP地址,则仅对接口下的主IP地址网段内的邻居进行扫描。其中,发送的ARP请求报文的源IP地址就是接口的主IP地址

提示

·       开始IP地址和结束IP地址必须同时设置或同时不设置

·       开始IP地址和结束IP地址必须与接口的IP地址(主IP地址或手工配置的从IP地址)在同一网段,且开始IP地址必须小于或等于结束IP地址

结束IP地址

对已存在ARP表项的IP地址也进行扫描

设置是否对已存在ARP表项的IP地址也进行ARP自动扫描

 

(3)      单击<开始>按钮,开始进行ARP自动扫描。扫描过程中,用户可以随时单击<中止>按钮中止扫描。

(4)      扫描完成后,页面上显示“扫描完成”的提示,用户可以到“高级配置 > ARP防攻击 > 固化”中查看扫描生成的动态ARP表项。

2.4  配置ARP固化功能

说明

·       固化后的静态ARP表项与配置产生的静态ARP表项完全相同。

·       固化生成的静态ARP表项数量同样受到设备可以支持的静态ARP表项数目的限制,由于静态ARP表项数量的限制可能导致只有部分动态ARP表项被固化。

·       如果用户执行固化前有D个动态ARP表项,S个静态ARP表项,由于固化过程中存在动态ARP表项的老化或者新建动态ARP表项的情况,所以固化后的静态ARP表项可能为(DSMN)个。其中,M为固化过程中新建的动态ARP表项个数,N为固化过程中老化的动态ARP表项个数。

 

在导航栏中选择“高级配置 > ARP防攻击 > 固化”,进入如下图所示的页面。页面显示所有静态ARP表项(包括手工配置的和固化生成的)和动态ARP表项的信息。

图2-3 固化

 

ARP固化功能的详细配置如下表所示。

表2-2 ARP固化功能的详细配置

功能

配置方法

将所有动态ARP表项固化为静态ARP表项

单击<全部固化>按钮

将指定的动态ARP表项固化为静态ARP表项

选中指定动态ARP表项前的复选框,单击<固化>按钮

将所有静态ARP表项删除

单击<解除全部固化>按钮

将指定的静态ARP表项删除

选中指定静态ARP表项前的复选框,单击<解除固化>按钮

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。 H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!