设为首页   锐捷官网
用其他帐号登录:
查看: 1082|回复: 0

防ARP攻击功能

[复制链接]

25

主题

25

帖子

152

积分

版主

Rank: 7Rank: 7Rank: 7

积分
152
发表于 2016-1-9 19:35:45 | 显示全部楼层 |阅读模式
本帖 * 后由 浪天涯星仔 于 2016-1-9 19:54 编辑

功能介绍:
在无线网络中,由于接入无线网络用户的多样性及不确定性,使得在无线端极有可能出现私设IP地址或者客户端中ARP病毒发起ARP攻击的情况,在无线设备上部署防ARP攻击功能,可以有效解决这些问题。
适用场景说明
无线客户端流动性很大和不确定,比如在外来人员比较多的地方:广场、大厅、会议室和接待室等等。使用该方案可以有效地避免因为无线端出现私设IP地址导致地址冲突或者客户端中ARP病毒发起ARP攻击的情况。
优点:增加无线的安全性,防止无线客户端私设IP地址,防止无线网络因为arp攻击而瘫痪。
缺点:对无线设备的性能要求高,需要消耗无线设备的运行资源,需要增加额外的配置
一、组网需求
防止无线用户私自配置IP地址导致IP地址冲突或者使用ARP攻击软件导致网络瘫痪

二、组网拓扑
1.png
三、配置要点
1、AC-1开启dhcp snooping并且配置信任端口
2、配置ARP防护功能
3、清除arp及 proxy_arp表

以下主要是配置介绍,配置可以直接复制案例介绍 * 后的脚本文件,根据实际的网络环境修改脚本文件中的部分内容,详见案例 * 后的脚本。


四、配置步骤
1、AC-1开启dhcp snooping并且配置信任端口
AC-1(config)#ip dhcp snooping   ----->全局启用dhcp snooping
AC-1(config)#interface gigabitEthernet 0/1
AC-1(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust   ----->上联接口配置为信任端口,如果DHCP服务器在AC上,那么不用配置该命令
2、配置ARP防护功能(开启arp防护需要让已经在线的终端下线再关联无线)
1)未开启Web认证功能时
AC-1(config)#wlansec 1
AC-1(config-wlansec)#ip verify source port-security  ----->开启IP防护功能
AC-1(config-wlansec)#arp-check      ----->开启ARP检测功能
2)开启Web认证功能时
AC-1(config)#web-auth dhcp-check    ----->开启web认证下的dhcp检测功能(IP防护功能类似)
AC-1(config)#wlansec 1
AC-1(config-wlansec)#arp-check   ----->ARP检测功能
注意:WEB认证环境中,该配置不能支持防网关arp欺骗,需要在配置再加上其他操作才可以支持:
           1、升级到RGOS 10.4(1b19)p2, Release(180118) 版本;
           2、在AC上配置wlansec口上配置防网关arp欺骗命令,来过滤从下联口上来冒充网关的arp报文。
                命令:wlansec下anti-arp-spoofing ip x.x.x.x (x.x.x.x代表网关地址),条目限制数量64。
3、清除arp及 proxy_arp表
AC-1#clear arp-cache
AC-1#clear proxy_arp

五、配置验证
1、无线用户连接到无线网络通过dhcp获取到IP地址被添加到dhcp snooping数据库内。
2.png
2、手动配置无线网卡IP地址,无法ping通网关。
3.png
3、将无线网卡IP静态配置为其他正常用户的IP地址,其他正常用户不会提示地址冲突。

下面为防ARP攻击功能的配置脚本:
防ARP攻击功能脚本.rar (357 Bytes, 下载次数: 529)
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则