|
|
华为8500交换机防ARP案例
一、各产品技术问题公告
1、关于VRP3.4-0006版本在MP接口上启用MPLS必须关闭快转问题的公告
问题描述:
MP
RTA-----RTB------RTC
RTA、RTB、RTC之间组建MPLS VPN网络,如果同时在RTB和RTC之间使用MP,则会出现从RTA上无法ping通RTC的loopback地址,从而导致无法建立BGP邻居的问题。但是使用VRP3.30-0008却没有该现象。
解决方案:目前,对于该问题可以在MP接口上使用“undo ip fast-forwarding”命令关闭快转功能来规避。
2、关于S2403H掉电后上行端口无法学习到对端设备mac地址的公告
在使用S2403H交换机时,如果S2403H和对端设备同时掉电,或者对端设备掉电重启后,有可能会出现S2403H下面用户无法上网的故障现象。
该故障原因是由于对端设备重启后(目前发现对端设备是S3528系列交换机时,容易出现该问题),向S2403H发送不兼容信号,导致S2403H的上行端口无法学习到对端设备的mac地址,致使S2403H下面用户无法上网。
该故障出现几率较小,且比较随机。0022及以后版本已解决该问题。
3、R2620 路由器上插入两块E&M 2.1单板后设备无法启动的问题
问题描述:R2620路由器上插入两块或者两块以上E&M 2.1单板后设备无法启动,而插入E&M 2.0单板不存在此问题。
采取措施:基于以上原因,R2620目前规格只支持一块E&M 2.1单板;如果需要支持两块以上,建议其他几块用E&M 2.0替代。
4、中低端路由器VOIP与Cisco IOS 12.3版本对接,在启动快启后,可能出现单通或语音质量不好的问题
问题描述:中低端路由器语音与Cisco IOS 12.3版本互通,在启用快启后,出现单通或者语音质量不好现象。
采取措施:将两端的路由器的快启功能都关闭。
华为的中低端路由器的快启功能默认是关闭的。思科快启是默认启用的,可以在思科路由器上关闭快启进行规避。思科路由器上关闭快启的命令是no h323 call start
5、S3528-S3552启用DHCP SERVER导致死机的的问题
问题描述:S3528-S3552-VRP3.10-0012及以前版本在启用DHCP server后,可能出现异常死机情况。
采取措施:升级到S3528-S3552-VRP3.10-0013版本及以后版本可以根本解决该问题。
6、关于MA5200G的 IPOA业务中MAP IP命令可能配置不成功的问题
问题描述:MA5200G VRP3.30-2121及以前版本,在配置IPOA业务时,使用MAP IP命令可能出现配置不成功的现象。
采取措施:在ATM子接口下,配置了PVC 及 MAP IP时,不要直接删除此ATM子接口;如果要想删除此ATM子接口,必须先把每个PVC下的MAP IP清除掉后,再删除此子口。
升级到2121以后(不包括2121)版本解决该问题。
二、学习案例
1、S8500 ARP攻击相关问题说明
ARP攻击简介:
这里,我们将利用ARP报文发起的攻击的行为,统称为“ARP攻击”,其常见的攻击方式有如下两种:
其一,由于ARP协议没有任何验证方式,在网络监听过程中,攻击者抢先合法目的主机应答源主机发起的ARP请求,源主机被误导建立一个错误的映射并保存一段时间,在这段时间内,源主机发送给目的主机的信息被误导致攻击者。如果攻击者模拟网络出口路由器发动ARP攻击,内部网络的所有出口信息都将被接管。
其二:攻击者向三层交换机发送大量的ARP报文,由于设备的处理能力和资源有限,当冲击设备的报文达到一定数量的时候,会导致合法主机的ARP报文被“淹没”于其中而得不到处理,结果无法生成正常的ARP表项,从而导致三层转发异常。
从实施难度和危害程度来说,第二种方式操作较为容易,并且危害也更为严重,也是我们在交换机侧需要予以重点关注和预防的攻击方式,因此我们这里所说的ARP攻击,特指这种攻击方式。
2、S8500 ARP防攻击机制
为了增加产品的健壮性,S8500设计并实现了ARP的攻击检测及抑制功能,该功能通过以下命令进行控制:
anti-attack arp {enable | disable }
当使能了该功能后,系统自动检测冲击设备的ARP报文,在检测到攻击报文时,提取出该报文的源MAC,然后自动下发一条抑制表项,在一段时间内抑制相同源MAC的报文转发。抑制定时器超时后,自动解除,恢复转发。
其次,我们可以通过使用ACL规则对各端口接收到的ARP报文进行流量监管,下面采用一个实际的例子给大家示范一下。如果S8500上的Ethernet2/1/7受到了ARP攻击,我们可以采用下面的配置步骤解决这个问题:
(1)配置流模板如下:
[8512D]flow-template user-defined ethernet-protocol ip-protocol
(2)配置ACL规则如下:
[8512D]acl name robust_arp link
[8512D-acl-link-robust_arp]rule permit arp
(3)在受攻击的端口E2/1/7上,利用ACL规则下发流量监管功能。
[8512D-Ethernet2/1/7]flow-template user-defined
[8512D-Ethernet2/1/7]raffic-limit inbound link-group robust_arp 128 512 512 exceed drop
在端口上进行这样的配置可以使其他端口的用户在该端口受到ARP攻击之后,本端口的ARP学习不受影响。
我们通过灵活运用ARP防攻击功能和流量监管,85对于ARP攻击是可以有效预防的。
3、ARP攻击对比测试
ARP攻击是常用的攻击手段之一,为了更好的对ARP防攻击进行优化处理,对同类型的几款产品进行了对比测试。按照不同的攻击手法,我们分为下面三个测试用例进行对比测试。
一个端口属于一个vlan,这个端口受到ARP攻击,如图1-1所示,端口A属于vlan10,端口B属于vlan20,从A端口打入ARP攻击报文,报文的原ip地址1000个循环一次,报文发送方式为连续;B端口打入原ip地址变化的100条流,速度为1.50包/s,发送方式为一次发完.。
图1-1
测试结果见下表:
一个端口允许了很多vlan通过,此端口同时受到多个vlan下的ARP攻击,如图1-1,A端口 trunk permit vlan 2 to 61,B端口只属于vlan 80。从A端口中打入ARP攻击报文,每个vlan一个攻击报文,发送方式为连续发送;B端口中打入100条原ip地址循环变化的正常ARP请求报文,速度为1.50包/s,发送方式为一次发完。
测试结果见下表:
同一个局域网上来的报文中存在攻击报文,如图1-2,两个端口所属的vlan是同一个vlan,中间的3050上的三个端口同属于同一个vlan,从A端口循环打入1000条ARP攻击报文,发送方式为连续发送;从B端口打入100条正常的ARP学习报文,报文速度为1.50包/s,发送方式为一次发完。 图2-2
测试结果见下表:
从测试结果,我们不难看出,三种设备的处理能力有限。在设备被攻击时,最好能查找攻击源,然后将其划入黑名单(通过ACL等手段过滤)。 |
|
IP卡
狗仔卡
发表于 2008-10-23 06:17:05
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-1-2 13:25:56
发表于 2009-5-4 12:14:07