华为8500交换机防ARP案例

network

　　 一、各产品技术问题公告

　　1、关于VRP3.4-0006版本在MP接口上启用MPLS必须关闭快转问题的公告

　　问题描述：
　　MP
　　RTA－－－－－RTB－－－－－－RTC
　　RTA、RTB、RTC之间组建MPLS VPN网络，如果同时在RTB和RTC之间使用MP，则会出现从RTA上无法ping通RTC的loopback地址，从而导致无法建立BGP邻居的问题。但是使用VRP3.30-0008却没有该现象。

　　解决方案：目前，对于该问题可以在MP接口上使用“undo ip fast-forwarding”命令关闭快转功能来规避。

　　2、关于S2403H掉电后上行端口无法学习到对端设备mac地址的公告

　　在使用S2403H交换机时，如果S2403H和对端设备同时掉电，或者对端设备掉电重启后，有可能会出现S2403H下面用户无法上网的故障现象。
　　该故障原因是由于对端设备重启后(目前发现对端设备是S3528系列交换机时，容易出现该问题)，向S2403H发送不兼容信号，导致S2403H的上行端口无法学习到对端设备的mac地址，致使S2403H下面用户无法上网。
　　该故障出现几率较小，且比较随机。0022及以后版本已解决该问题。

　　3、R2620 路由器上插入两块E&M 2.1单板后设备无法启动的问题

　　问题描述：R2620路由器上插入两块或者两块以上E&M 2.1单板后设备无法启动，而插入E&M 2.0单板不存在此问题。

　　采取措施：基于以上原因，R2620目前规格只支持一块E&M 2.1单板；如果需要支持两块以上，建议其他几块用E&M 2.0替代。

　　4、中低端路由器VOIP与Cisco IOS 12.3版本对接，在启动快启后，可能出现单通或语音质量不好的问题

　　问题描述：中低端路由器语音与Cisco IOS 12.3版本互通，在启用快启后，出现单通或者语音质量不好现象。

　　采取措施：将两端的路由器的快启功能都关闭。
　　华为的中低端路由器的快启功能默认是关闭的。思科快启是默认启用的，可以在思科路由器上关闭快启进行规避。思科路由器上关闭快启的命令是no h323 call start

　　5、S3528-S3552启用DHCP SERVER导致死机的的问题

　　问题描述：S3528-S3552-VRP3.10-0012及以前版本在启用DHCP server后，可能出现异常死机情况。

　　采取措施：升级到S3528-S3552-VRP3.10-0013版本及以后版本可以根本解决该问题。

　　6、关于MA5200G的 IPOA业务中MAP IP命令可能配置不成功的问题

　　问题描述：MA5200G VRP3.30-2121及以前版本，在配置IPOA业务时，使用MAP IP命令可能出现配置不成功的现象。

　　采取措施：在ATM子接口下，配置了PVC 及 MAP IP时，不要直接删除此ATM子接口；如果要想删除此ATM子接口，必须先把每个PVC下的MAP IP清除掉后，再删除此子口。
　　升级到2121以后（不包括2121）版本解决该问题。

　　二、学习案例

　　1、S8500 ARP攻击相关问题说明
　　ARP攻击简介：
　　这里，我们将利用ARP报文发起的攻击的行为，统称为“ARP攻击”，其常见的攻击方式有如下两种：
　　其一，由于ARP协议没有任何验证方式，在网络监听过程中，攻击者抢先合法目的主机应答源主机发起的ARP请求，源主机被误导建立一个错误的映射并保存一段时间，在这段时间内，源主机发送给目的主机的信息被误导致攻击者。如果攻击者模拟网络出口路由器发动ARP攻击，内部网络的所有出口信息都将被接管。
　　其二：攻击者向三层交换机发送大量的ARP报文，由于设备的处理能力和资源有限，当冲击设备的报文达到一定数量的时候，会导致合法主机的ARP报文被“淹没”于其中而得不到处理，结果无法生成正常的ARP表项，从而导致三层转发异常。
从实施难度和危害程度来说，第二种方式操作较为容易，并且危害也更为严重，也是我们在交换机侧需要予以重点关注和预防的攻击方式，因此我们这里所说的ARP攻击，特指这种攻击方式。

　　2、S8500 ARP防攻击机制

　　为了增加产品的健壮性，S8500设计并实现了ARP的攻击检测及抑制功能，该功能通过以下命令进行控制：
　　anti-attack arp {enable | disable }

　　当使能了该功能后，系统自动检测冲击设备的ARP报文，在检测到攻击报文时，提取出该报文的源MAC，然后自动下发一条抑制表项，在一段时间内抑制相同源MAC的报文转发。抑制定时器超时后，自动解除，恢复转发。
　
　　其次，我们可以通过使用ACL规则对各端口接收到的ARP报文进行流量监管，下面采用一个实际的例子给大家示范一下。如果S8500上的Ethernet2/1/7受到了ARP攻击，我们可以采用下面的配置步骤解决这个问题：
　　(1)配置流模板如下：
[8512D]flow-template user-defined ethernet-protocol ip-protocol
　　(2)配置ACL规则如下：
[8512D]acl name robust_arp link
[8512D-acl-link-robust_arp]rule permit arp
　　(3)在受攻击的端口E2/1/7上，利用ACL规则下发流量监管功能。
[8512D-Ethernet2/1/7]flow-template user-defined
[8512D-Ethernet2/1/7]raffic-limit inbound link-group robust_arp 128 512 512 exceed drop

　　在端口上进行这样的配置可以使其他端口的用户在该端口受到ARP攻击之后，本端口的ARP学习不受影响。

　　我们通过灵活运用ARP防攻击功能和流量监管，85对于ARP攻击是可以有效预防的。

　　3、ARP攻击对比测试

　　ARP攻击是常用的攻击手段之一，为了更好的对ARP防攻击进行优化处理，对同类型的几款产品进行了对比测试。按照不同的攻击手法，我们分为下面三个测试用例进行对比测试。

　　一个端口属于一个vlan，这个端口受到ARP攻击，如图1－1所示，端口A属于vlan10，端口B属于vlan20，从A端口打入ARP攻击报文，报文的原ip地址1000个循环一次,报文发送方式为连续；B端口打入原ip地址变化的100条流，速度为1.50包/s，发送方式为一次发完.。

　　　　　　　　　　　　　　　　　　　图1－1
　　测试结果见下表：

　　一个端口允许了很多vlan通过,此端口同时受到多个vlan下的ARP攻击，如图1－1，A端口 trunk permit vlan 2 to 61，B端口只属于vlan 80。从A端口中打入ARP攻击报文，每个vlan一个攻击报文，发送方式为连续发送；B端口中打入100条原ip地址循环变化的正常ARP请求报文，速度为1.50包/s，发送方式为一次发完。

　　测试结果见下表：

　　同一个局域网上来的报文中存在攻击报文，如图1－2，两个端口所属的vlan是同一个vlan，中间的3050上的三个端口同属于同一个vlan，从A端口循环打入1000条ARP攻击报文，发送方式为连续发送；从B端口打入100条正常的ARP学习报文，报文速度为1.50包/s，发送方式为一次发完。

　　　　　　　　　　　　　　　　　　　图2－2
　　测试结果见下表：

　　从测试结果，我们不难看出，三种设备的处理能力有限。在设备被攻击时，最好能查找攻击源，然后将其划入黑名单（通过ACL等手段过滤）。