華為交換機(jī)配置實(shí)例

1、超經(jīng)典 HPUX AIX cisco 華為 畢業(yè)論文 教育 醫(yī)學(xué)資料 HYPERLINK :/ docin /ccy7758 TELNET遠(yuǎn)程管理交換機(jī)配置組網(wǎng)需求：1PC通過(guò)telnet登陸交換機(jī)并對(duì)其進(jìn)行管理；2分別應(yīng)用帳號(hào)+密碼方式、僅密碼方式以及radius認(rèn)證方式；3只允許網(wǎng)段的地址的PC TELNET訪問(wèn)。組網(wǎng)圖：作為telnet登陸主機(jī)的PC與Switch A之間通過(guò)局域網(wǎng)互連也可以直連，PC可以ping通Switch A。配置步驟：H3C S3100-SI S5100系列交換機(jī)TELNET配置流程賬號(hào)+密碼方式登陸1配置TELNET登陸的ip地址system-view Swit

2、chAvlan 2 SwitchA-vlan2port Ethernet 1/0/1 SwitchA-vlan2quit SwitchAmanagement-vlan 2 SwitchAinterface vlan 2 SwitchA-Vlan-interface2ip address 24 2進(jìn)入用戶界面視圖SwitchAuser-interface vty 0 43配置本地或遠(yuǎn)端用戶名+口令認(rèn)證方式SwitchA-ui-vty0-4authentication-mode scheme4配置登陸用戶的級(jí)別為最高級(jí)別3(缺省為級(jí)別1)SwitchA-ui-vty0-4user privileg

3、e level 35添加TELNET管理的用戶，用戶類(lèi)型為telnet，用戶名為huawei，密碼為 adminSwitchAlocal-user huaweiSwitchA-luser-huaweiservice-type telnet level 3SwitchA-luser-huaweipassword simple admin僅密碼方式登陸1配置TELNET登陸的ip地址(與上面賬號(hào)+密碼登陸方式相同)2進(jìn)入用戶界面視圖SwitchAuser-interface vty 0 43設(shè)置認(rèn)證方式為密碼驗(yàn)證方式SwitchA-ui-vty0-4authentication-mode pass

4、word4設(shè)置登陸驗(yàn)證的password為明文密碼huaweiSwitchA-ui-vty0-4set authentication password simple huawei5配置登陸用戶的級(jí)別為最高級(jí)別3(缺省為級(jí)別1)SwitchA-ui-vty0-4user privilege level 3TELNET RADIUS驗(yàn)證方式配置1配置TELNET登陸的ip地址(與上面賬號(hào)+密碼登陸方式相同)2進(jìn)入用戶界面視圖SwitchAuser-interface vty 0 43配置遠(yuǎn)端用戶名和口令認(rèn)證SwitchA-ui-vty0-4authentication-mode scheme4配置

5、RADIUS認(rèn)證方案，名為camsSwitchAradius scheme cams5配置RADIUS認(rèn)證效勞器地址1 SwitchA-radius-camsprimary authentication 1 18126配置交換機(jī)與認(rèn)證效勞器的驗(yàn)證口令為huaweiSwitchA-radius-camskey authentication huawei7送往RADIUS的報(bào)文不帶域名SwitchA-radius-camsuser-name-format without-domain8創(chuàng)立進(jìn)入一個(gè)域，名為huaweiSwitchAdomain huawei9在域huawei中引用名為cams的認(rèn)證

6、方案SwitchA-isp-huaweiradius-scheme cams10將域huawei配置為缺省域SwitchAdomain default enable HuaweiTELNET訪問(wèn)控制配置1配置訪問(wèn)控制規(guī)那么只允許網(wǎng)段登錄2配置只允許符合ACL2000的IP地址登錄交換機(jī)SwitchAuser-interface vty 0 4SwitchA-ui-vty0-4acl 2000 inbound3補(bǔ)充說(shuō)明：TELNET訪問(wèn)控制配置是在以上三種驗(yàn)證方式配置完成的根底上進(jìn)行的配置；TELNET登陸主機(jī)與交換機(jī)不是直連的情況下需要配置默認(rèn)路由。H3C S3600 S5600系列交換機(jī)TE

7、LNET配置流程賬號(hào)+密碼方式登陸1配置TELNET登陸的ip地址system-view SwitchAvlan 2 SwitchA-vlan2port Ethernet 1/0/1 SwitchA-vlan2quit SwitchAinterface vlan 2 SwitchA-Vlan-interface2ip address 24 2進(jìn)入用戶界面視圖SwitchAuser-interface vty 0 43配置本地或遠(yuǎn)端用戶名+口令認(rèn)證方式SwitchA-ui-vty0-4authentication-mode scheme4配置登陸用戶的級(jí)別為最高級(jí)別3(缺省為級(jí)別1)Switch

8、A-ui-vty0-4user privilege level 35添加TELNET管理的用戶，用戶類(lèi)型為telnet，用戶名為huawei，密碼為 adminSwitchAlocal-user huaweiSwitchA-luser-huaweiservice-type telnet level 3SwitchA-luser-huaweipassword simple admin僅密碼方式登陸1配置TELNET登陸的ip地址(與上面賬號(hào)+密碼登陸方式相同)2進(jìn)入用戶界面視圖SwitchAuser-interface vty 0 43設(shè)置認(rèn)證方式為密碼驗(yàn)證方式SwitchA-ui-vty0-4

9、authentication-mode password4設(shè)置登陸驗(yàn)證的password為明文密碼huaweiSwitchA-ui-vty0-4set authentication password simple huawei5配置登陸用戶的級(jí)別為最高級(jí)別3(缺省為級(jí)別1)SwitchA-ui-vty0-4user privilege level 3TELNET RADIUS驗(yàn)證方式配置(以使用華為3Com公司開(kāi)發(fā)的CAMS 作為RADIUS效勞器為例)1配置TELNET登陸的ip地址(與上面賬號(hào)+密碼登陸方式相同)2進(jìn)入用戶界面視圖SwitchAuser-interface vty 0 43

10、配置遠(yuǎn)端用戶名和口令認(rèn)證SwitchA-ui-vty0-4authentication-mode scheme4配置RADIUS認(rèn)證方案，名為camsSwitchAradius scheme cams5配置RADIUS認(rèn)證效勞器地址1 SwitchA-radius-camsprimary authentication 1 18126配置交換機(jī)與認(rèn)證效勞器的驗(yàn)證口令為huaweiSwitchA-radius-camskey authentication huawei7送往RADIUS的報(bào)文不帶域名SwitchA-radius-camsuser-name-format without-domain

11、8創(chuàng)立進(jìn)入一個(gè)域，名為huaweiSwitchAdomain huawei9在域huawei中引用名為cams的認(rèn)證方案SwitchA-isp-huaweiradius-scheme cams10將域huawei配置為缺省域SwitchAdomain default enable HuaweiTELNET訪問(wèn)控制配置1配置訪問(wèn)控制規(guī)那么只允許網(wǎng)段登錄2配置只允許符合ACL2000的IP地址登錄交換機(jī)SwitchAuser-interface vty 0 4SwitchA-ui-vty0-4acl 2000 inbound3補(bǔ)充說(shuō)明：TELNET登陸主機(jī)與交換機(jī)不是直連的情況下需要配置默認(rèn)路由；

12、在交換機(jī)上增加super password(缺省情況下，從VTY用戶界面登錄后的級(jí)別為1級(jí)，無(wú)法對(duì)設(shè)備進(jìn)行配置操作。必須要將用戶的權(quán)限設(shè)置為最高級(jí)別3，才可以進(jìn)入系統(tǒng)視圖并進(jìn)行配置操作。低級(jí)別用戶登陸交換機(jī)后，需輸入super password改變自己的級(jí)別)例如，配置級(jí)別3用戶的super password為明文密碼super3：SwitchAsuper password level 3 simple super33 H3C S5500-SI S3610 S5510系列交換機(jī)TELNET配置流程1補(bǔ)充說(shuō)明：由于H3C S5500-SI S3610 S5510系列交換機(jī)采用全新的Comware

13、 V5平臺(tái)，命令行稍有改動(dòng)。在采用上述配置的根底上，只要在系統(tǒng)視圖下增加命令：SwitchAtelnet server enable 即可。配置關(guān)鍵點(diǎn)：1三層交換機(jī)，可以有多個(gè)三層虛接口，它的管理VLAN可以是任意一個(gè)具有三層接口并配置了IP地址的VLAN，而二層交換機(jī)，只有一個(gè)二層虛接口，它的管理VLAN即是對(duì)應(yīng)三層虛接口并配置了IP地址的VLAN；2交換機(jī)缺省的TELNET認(rèn)證模式是密碼認(rèn)證，如果沒(méi)有在交換機(jī)上配置口令，當(dāng)TELNET登錄交換機(jī)時(shí)，系統(tǒng)會(huì)出現(xiàn)password required, but none set.的提示；3TELNET登陸可以應(yīng)用windows自帶的dos、超級(jí)終端

14、，也可以應(yīng)用別的telnet軟件進(jìn)行登陸。交換機(jī)基于端口VLAN應(yīng)用配置組網(wǎng)需求：PC1和PC2分別連接到交換機(jī)的端口E1/0/1和E1/0/2，端口分別屬于VLAN10和VLAN20。組網(wǎng)圖：配置步驟：方法11創(chuàng)立進(jìn)入VLAN10，將E1/0/1參加到VLAN10SwitchAvlan 10SwitchA-vlan10port Ethernet 1/0/12創(chuàng)立進(jìn)入VLAN20，將E1/0/2參加到VLAN20SwitchAvlan 20SwitchA-vlan20port Ethernet 1/0/2方法21進(jìn)入以太網(wǎng)端口E1/0/1的配置視圖SwitchAinterface Ethern

15、et 1/0/12配置端口E1/0/1的PVID為10SwitchA-Ethernet1/0/1port access vlan 103進(jìn)入以太網(wǎng)端口E1/0/1的配置視圖SwitchAinterface Ethernet 0/24配置端口E1/0/2的PVID為20SwitchA-Ethernet1/0/2port access vlan 20配置關(guān)鍵點(diǎn)：無(wú)Web管理的配置組網(wǎng)需求：PC通過(guò)IE瀏覽器對(duì)Switch A進(jìn)行管理。組網(wǎng)圖：作為Web登陸主機(jī)的PC與Switch A之間通過(guò)局域網(wǎng)互連也可以直連，PC可以ping通Switch A。配置步驟：H3C S3100-SI-SI S510

16、0系列交換機(jī)Web配置流程1確認(rèn)WEB管理文件已經(jīng)在交換機(jī)flash中dir7 (*) -rw- 801220 Apr 02 2000 00:02:15 hw- 3.1.5-0042.web 2配置Web登陸的ip地址system-view SwitchAvlan 2 SwitchA-vlan2port Ethernet 1/0/1 SwitchA-vlan2quit SwitchAmanagement-vlan 2 SwitchAinterface vlan 2 SwitchA-Vlan-interface2ip address 24 3添加WEB管理的用戶，用戶類(lèi)型為telnet，用戶名為

17、huawei，密碼為adminSwitchAlocal-user huaweiSwitchA-luser-huaweiservice-type telnet level 3SwitchA-luser-huaweipassword simple adminH3C S3600 S5600 系列交換機(jī)Web配置流程1確認(rèn)WEB管理文件已經(jīng)在交換機(jī)flash中dir7 (*) -rw- 801220 Apr 02 2000 00:02:15 hw- 3.1.5-0042.web 2配置Web登陸的ip地址system-view SwitchAvlan 2 SwitchA-vlan2port Ether

18、net 1/0/1 SwitchA-vlan2quit SwitchAinterface vlan 2 SwitchA-Vlan-interface2ip address 24 3添加WEB管理的用戶，用戶類(lèi)型為telnet，用戶名為huawei，密碼為adminSwitchAlocal-user huaweiSwitchA-luser-huaweiservice-type telnet level 3SwitchA-luser-huaweipassword simple admin4補(bǔ)充說(shuō)明：如果想通過(guò)WEB方式管理交換機(jī)，必須首先將一個(gè)用于支持WEB管理的文件可以從網(wǎng)站上下載相應(yīng)的交換機(jī)軟

19、件版本時(shí)得到，其擴(kuò)展名為web或者zip載入交換機(jī)的flash中，該文件需要與交換機(jī)當(dāng)前使用的軟件版本相配套；Web登陸主機(jī)與交換機(jī)不是直連情況下需要配置默認(rèn)路由；登陸的時(shí)候在IE瀏覽器中輸入即可進(jìn)入Web登陸頁(yè)面。H3C S5500-SI S3610 S5510系列交換機(jī)Web配置流程1補(bǔ)充說(shuō)明：配置跟上述配置完全一致，但是不需要在flash中有web管理的文件，因?yàn)樵撐募呀?jīng)被集成在vrp軟件版本中了，只要按照上述的配置作就可以了。配置關(guān)鍵點(diǎn)：1對(duì)于S3100-SI S5100系列二層交換機(jī)，配置管理VLAN時(shí)必須保證沒(méi)有別的VLAN虛接口；2在將WEB管理文件載入交換機(jī)flash時(shí)，不要

20、將文件進(jìn)行解壓縮，只需將完整的文件載入交換機(jī)即可(向交換機(jī)flash載入WEB管理文件的方法，請(qǐng)參考本配置實(shí)例中交換機(jī)的系統(tǒng)管理配置章節(jié))。VLAN接口動(dòng)態(tài)獲取IP地址配置組網(wǎng)需求：1SwitchA為二層交換機(jī)，管理VLAN為VLAN10，SwitchA的VLAN接口10動(dòng)態(tài)獲取IP地址；2SwitchA的以太網(wǎng)端口E1/0/1為T(mén)runk端口，連接到SwitchB，同時(shí)SwitchB提供DHCP Server功能。組網(wǎng)圖：配置步驟：SwitchA配置1將E0/1端口設(shè)為trunk,并允許所有的vlan通過(guò)SwitchA-Ethernet1/0/1port link-type trunkSwi

21、tchA-Ethernet1/0/1port trunk permit vlan all2創(chuàng)立進(jìn)入VLAN10SwitchAvlan 103創(chuàng)立進(jìn)入VLAN接口10SwitchAinterface Vlan-interface 104為VLAN接口10配置IP地址SwitchA-Vlan-interface10ip address dhcp-allocSwitch B配置請(qǐng)參考DHCP Server配置局部配置關(guān)鍵點(diǎn)：1二層交換機(jī)只允許設(shè)置一個(gè)VLAN虛接口，在創(chuàng)立VLAN10的虛接口前需要保證沒(méi)有別的VLAN虛接口；2雖然交換機(jī)的VLAN接口動(dòng)態(tài)獲取了IP地址，但是不能獲得網(wǎng)關(guān)地址，因此還需

22、要在交換機(jī)上手工添加靜態(tài)默認(rèn)路由。流限速的配置組網(wǎng)需求：在交換機(jī)的Ethernet1/0/1口的入方向設(shè)置流量限速，限定速率為1Mbps1024Kbps。組網(wǎng)圖：配置步驟：H3C 5100 3500 3600 5600 系列交換機(jī)典型訪問(wèn)控制列表配置1配置acl，定義符合速率限制的數(shù)據(jù)流SwitchAacl number 4000SwitchA-acl-link-4000rule permit ingress any egress any2對(duì)端口E1/0/1的入方向報(bào)文進(jìn)行流量限速，限制到1MbpsSwitchA- Ethernet1/0/1traffic-limit inbound link

23、-group 4000 1 exceed drop配置關(guān)鍵點(diǎn)： 無(wú)自定義ACL的配置組網(wǎng)需求：配置自定義ACL，通過(guò)匹配報(bào)文對(duì)應(yīng)的協(xié)議號(hào)、MAC地址及IP地址等字段，過(guò)濾攻擊主機(jī)發(fā)出的冒充網(wǎng)關(guān)的ARP報(bào)文。組網(wǎng)圖：配置步驟：H3C 3600的配置1定義5000 aclSwitch acl number 50002把整個(gè)端口arp協(xié)議報(bào)文中源ip地址為的ARP報(bào)文禁掉16和32分別是協(xié)議字段和源IP字段的偏移量Switch-acl-user-5000rule 0 deny 0806 ffff 16 c0a80001 ffffffff 323允許arp協(xié)議報(bào)文源mac地址偏移量為26是000f-e

24、226-233c網(wǎng)關(guān)的arp報(bào)文通過(guò)Switch-acl-user-5000rule 1 permit 0806 ffff 16 000fe226233c ffffffffffff 26Switch-acl-user-5000quit4端口下下發(fā)創(chuàng)立的ACLSwitchinterface Ethernet 1/0/1 Switch-Ethernet1/0/1packet-filter inbound user-group 5000 H3C 5600的配置1定義5000 aclSwitch acl number 50002把整個(gè)端口arp協(xié)議報(bào)文源ip地址為的ARP報(bào)文禁掉 Switch-acl

25、-user-5000rule 0 deny 0806 ffff 20 c0a80001 ffffffff 363允許arp協(xié)議報(bào)文中源mac地址是000f-e226-233c的arp報(bào)文通過(guò)Switch-acl-user-5000rule 1 permit 0806 ffff 20 000fe226233c ffffffffffff 32Switch-acl-user-5000quit4端口下下發(fā)創(chuàng)立的ACLSwitchinterface Ethernet 1/0/1 Switch-Ethernet1/0/1packet-filter inbound user-group 5000H3C 36

26、10 5510的配置1定義5000 aclSwitch acl number 50002定義匹配的ACL規(guī)那么，匹配arp報(bào)文Switch-acl-user-5000 rule deny l2 0806 ffff 123配置擴(kuò)展流模板bbbSwitch flow-template bbb extend l2 12 24在端口E1/0/1上應(yīng)用流模板bbbSwitch interface Ethernet 1/0/1Switch-Ethernet1/0/1 flow-template bbbSwitch-Ethernet1/0/1 quit配置關(guān)鍵點(diǎn)：1如果開(kāi)啟了QinQ功能后，不建議應(yīng)用用戶自

27、定義acl；2H3C 3100-SI 5100 5500-SI不支持5000-5999的acl，H3C 3610及5510因?yàn)榕c流模板沖突，無(wú)法下發(fā)以上防ARP的ACL，需要配置自定義流模板。交換機(jī)Trunk端口配置組網(wǎng)需求：1SwitchA與SwitchB用trunk互連，相同VLAN的PC之間可以互訪，不同VLAN的PC之間禁止互訪；2PC1與PC2之間在不同VLAN，通過(guò)設(shè)置上層三層交換機(jī)SwitchB的VLAN接口10的IP地址為，VLAN接口20的IP地址為可以實(shí)現(xiàn)VLAN間的互訪。組網(wǎng)圖：1VLAN內(nèi)互訪，VLAN間禁訪2通過(guò)三層交換機(jī)實(shí)現(xiàn)VLAN間互訪配置步驟：實(shí)現(xiàn)VLAN內(nèi)互訪

28、VLAN間禁訪配置過(guò)程SwitchA相關(guān)配置：1創(chuàng)立進(jìn)入VLAN10，將E0/1參加到VLAN10SwitchAvlan 10SwitchA-vlan10port Ethernet 0/12創(chuàng)立進(jìn)入VLAN20，將E0/2參加到VLAN20SwitchAvlan 20SwitchA-vlan20port Ethernet 0/23將端口G1/1配置為T(mén)runk端口，并允許VLAN10和VLAN20通過(guò)SwitchAinterface GigabitEthernet 1/1SwitchA-GigabitEthernet1/1port link-type trunkSwitchA-GigabitE

29、thernet1/1port trunk permit vlan 10 20SwitchB相關(guān)配置：1創(chuàng)立進(jìn)入VLAN10，將E0/10參加到VLAN10SwitchBvlan 10SwitchB-vlan10port Ethernet 0/102創(chuàng)立進(jìn)入VLAN20，將E0/20參加到VLAN20SwitchBvlan 20SwitchB-vlan20port Ethernet 0/203將端口G1/1配置為T(mén)runk端口，并允許VLAN10和VLAN20通過(guò)SwitchBinterface GigabitEthernet 1/1SwitchB-GigabitEthernet1/1port

30、link-type trunkSwitchB-GigabitEthernet1/1port trunk permit vlan 10 20通過(guò)三層交換機(jī)實(shí)現(xiàn)VLAN間互訪的配置SwitchA相關(guān)配置：1創(chuàng)立進(jìn)入VLAN10，將E0/1參加到VLAN10SwitchAvlan 10SwitchA-vlan10port Ethernet 0/12創(chuàng)立進(jìn)入VLAN20，將E0/2參加到VLAN20SwitchAvlan 20SwitchA-vlan20port Ethernet 0/23將端口G1/1配置為T(mén)runk端口，并允許VLAN10和VLAN20通過(guò)SwitchAinterface Giga

31、bitEthernet 1/1SwitchA-GigabitEthernet1/1port link-type trunkSwitchA-GigabitEthernet1/1port trunk permit vlan 10 20SwitchB相關(guān)配置：1創(chuàng)立VLAN10SwitchBvlan 102設(shè)置VLAN10的虛接口地址SwitchBinterface vlan 103創(chuàng)立VLAN20SwitchBvlan 204設(shè)置VLAN20的虛接口地址SwitchBinterface vlan 205將端口G1/1配置為T(mén)runk端口，并允許VLAN10和VLAN20通過(guò)SwitchAinter

32、face GigabitEthernet 1/1SwitchA-GigabitEthernet1/1port link-type trunkSwitchA-GigabitEthernet1/1port trunk permit vlan 10 20配置關(guān)鍵點(diǎn)：無(wú)交換機(jī)端口鏈路類(lèi)型介紹交換機(jī)端口鏈路類(lèi)型介紹交換機(jī)以太網(wǎng)端口共有三種鏈路類(lèi)型：Access、Trunk和Hybrid。1Access類(lèi)型的端口只能屬于1個(gè)VLAN，一般用于連接計(jì)算機(jī)的端口；2Trunk類(lèi)型的端口可以屬于多個(gè)VLAN，可以接收和發(fā)送多個(gè)VLAN的報(bào)文，一般用于交換機(jī)之間連接的端口；3Hybrid類(lèi)型的端口可以屬于多個(gè)VL

33、AN，可以接收和發(fā)送多個(gè)VLAN的報(bào)文，可以用于交換機(jī)之間連接，也可以用于連接用戶的計(jì)算機(jī)。其中，Hybrid端口和Trunk端口的相同之處在于兩種鏈路類(lèi)型的端口都可以允許多個(gè)VLAN的報(bào)文發(fā)送時(shí)打標(biāo)簽；不同之處在于Hybrid端口可以允許多個(gè)VLAN的報(bào)文發(fā)送時(shí)不打標(biāo)簽，而Trunk端口只允許缺省VLAN的報(bào)文發(fā)送時(shí)不打標(biāo)簽。三種類(lèi)型的端口可以共存在一臺(tái)以太網(wǎng)交換機(jī)上，但Trunk端口和Hybrid端口之間不能直接切換，只能先設(shè)為Access端口，再設(shè)置為其他類(lèi)型端口。例如：Trunk端口不能直接被設(shè)置為Hybrid端口，只能先設(shè)為Access端口，再設(shè)置為Hybrid端口。各類(lèi)型端口使用考

34、前須知配置Trunk端口或Hybrid端口，并利用Trunk端口或Hybrid端口發(fā)送多個(gè)VLAN報(bào)文時(shí)一定要注意：本端端口和對(duì)端端口的缺省VLAN ID(端口的PVID)要保持一致。當(dāng)在交換機(jī)上使用isolate-user-vlan來(lái)進(jìn)行二層端口隔離時(shí)，參與此配置的端口的鏈路類(lèi)型會(huì)自動(dòng)變成Hybrid類(lèi)型。Hybrid端口的應(yīng)用比擬靈活，主要為滿足一些特殊應(yīng)用需求。此類(lèi)需求多為在無(wú)法下發(fā)訪問(wèn)控制規(guī)那么的交換機(jī)上，利用Hybrid端口收發(fā)報(bào)文時(shí)的處理機(jī)制，來(lái)完成對(duì)同一網(wǎng)段的PC機(jī)之間的二層訪問(wèn)控制。各類(lèi)型端口在接收和發(fā)送報(bào)文時(shí)的處理1端口接收?qǐng)?bào)文時(shí)的處理： 端口接收到的報(bào)文類(lèi)型報(bào)文幀結(jié)構(gòu)中攜帶

35、VLAN標(biāo)記報(bào)文幀結(jié)構(gòu)中不攜帶VLAN標(biāo)記Access端口丟棄該報(bào)文為該報(bào)文打上VLAN標(biāo)記為本端口的PVIDTrunk端口判斷本端口是否允許攜帶該VLAN標(biāo)記的報(bào)文通過(guò)。如果允許那么報(bào)文攜帶原有VLAN標(biāo)記進(jìn)行轉(zhuǎn)發(fā)，否那么丟棄該報(bào)文同上Hybrid端口同上同上2端口發(fā)送報(bào)文時(shí)的處理： Access端口剝掉報(bào)文所攜帶的VLAN標(biāo)記，進(jìn)行轉(zhuǎn)發(fā)Trunk端口首先判斷報(bào)文所攜帶的VLAN標(biāo)記是否和端口的PVID相等。如果相等，那么剝掉報(bào)文所攜帶的VLAN標(biāo)記，進(jìn)行轉(zhuǎn)發(fā)；否那么報(bào)文將攜帶原有的VLAN標(biāo)記進(jìn)行轉(zhuǎn)發(fā)Hybrid端口首先判斷報(bào)文所攜帶的VLAN標(biāo)記在本端口需要做怎樣的處理。如果是untag

36、ged方式轉(zhuǎn)發(fā)，那么處理方式同Access端口；如果是tagged方式轉(zhuǎn)發(fā)，那么處理方式同Trunk端口交換機(jī)DHCP Sever的配置組網(wǎng)需求：1在交換機(jī)上配置DHCP Server，使下面的用戶動(dòng)態(tài)獲取相應(yīng)網(wǎng)段的IP地址；2DHCP Server的IP地址是，PC機(jī)接在E1/0/2口上。組網(wǎng)圖：配置步驟：1創(chuàng)立進(jìn)入VLAN2Switchvlan 22將E1/0/1端口參加VLAN2Switch-vlan2port Ethernet1/0/23進(jìn)入VLAN接口2Switch-vlan2int vlan 24為VLAN2配置IP地址5全局使能DHCP功能Switchdhcp enable6創(chuàng)立

37、DHCP地址池并進(jìn)入DHCP地址池視圖Switchdhcp server ip-pool h3c7配置動(dòng)態(tài)分配的IP地址范圍8配置網(wǎng)關(guān)地址9禁止將PC機(jī)的網(wǎng)關(guān)地址分配給用戶10指定vlan2虛接口工作在全局地址池模式Switchdhcp select global interface vlan-interface 2配置關(guān)鍵點(diǎn)：1需保證虛接口地址在地址池中，這樣VLAN下接的PC機(jī)方能自動(dòng)獲得網(wǎng)段的IP地址；2對(duì)于DHCP Server設(shè)備，可以使用全局地址池和接口地址池進(jìn)行地址分配，這兩種配置方法的適用情況是：如果DHCP Client和DHCP Server在同一網(wǎng)段，這兩種配置方法都適用

38、，如果DHCP Client 與DHCP Server不在同一網(wǎng)段，那么只能用基于全局地址池的DHCP Server配置。當(dāng)虛接口工作在全局地址池模式時(shí)使用以下命令：Switchdhcp select global all3Vlan接口默認(rèn)情況下以全局地址池方式進(jìn)行地址分配，因此當(dāng)vlan接口配置了全局地址池方式進(jìn)行地址分配后，查看交換機(jī)當(dāng)前配置時(shí)，在相應(yīng)的vlan接口下無(wú)法看到有關(guān)DHCP的配置；4此系列交換機(jī)的具體型號(hào)包括：Quidway S3500、Quidway S3900-EI、Quidway S5600、H3C S3600-EI、H3C S5600系列交換機(jī)。交換機(jī)DHCP Rel

39、ay的配置組網(wǎng)需求：在交換機(jī)上配置DHCP Relay，使下面的用戶動(dòng)態(tài)獲取相應(yīng)網(wǎng)段的IP地址。組網(wǎng)圖：配置步驟：1全局使能DHCP功能H3Cdhcp enable2指定DHCP Server組1所采用的DHCP Server的IP地址3配置DHCP Relay到DHCP Server的接口地址H3Cvlan 2H3C-vlan2port e1/0/2H3Cint vlan 24配置DHCP Relay到PC的接口地址H3Cvlan 3H3C-vlan3port e1/0/3H3Cint vlan 35指定VLAN接口歸屬到DHCP Server組1H3C-Vlan-interface3dhc

40、p-server 1配置關(guān)鍵點(diǎn)：1必須保證路由可達(dá)；2保證動(dòng)態(tài)獲得的IP地址在地址池中；3此系列交換機(jī)的具體型號(hào)包括：Quidway S3500、Quidway S3900、Quidway S5600、H3C S3600和H3C S5600系列交換機(jī)。防ARP攻擊配置舉例關(guān)鍵詞：ARP、DHCP Snooping摘 要：本文主要介紹如何利用以太網(wǎng)交換機(jī)DHCP監(jiān)控模式下的防ARP攻擊功能，防止校園網(wǎng)中常見(jiàn)的“仿冒網(wǎng)關(guān)、“欺騙網(wǎng)關(guān)、“欺騙終端用戶、ARP泛洪等攻擊形式。同時(shí)，詳細(xì)描述了組網(wǎng)中各個(gè)設(shè)備的配置步驟和配置考前須知，指導(dǎo)用戶進(jìn)行實(shí)際配置?？s略語(yǔ)：ARPAddress Resolution

41、 Protocol，地址解析協(xié)議MITMMan-In-The-Middle，中間人攻擊ARP攻擊防御功能介紹近來(lái)，許多校園網(wǎng)絡(luò)都出現(xiàn)了ARP攻擊現(xiàn)象。嚴(yán)重者甚至造成大面積網(wǎng)絡(luò)不能正常訪問(wèn)外網(wǎng)，學(xué)校深受其害。H3C公司根據(jù)ARP攻擊的特點(diǎn)，提出了“全面防御，模塊定制的ARP攻擊防御理念，并給出了兩種解決方案。DHCP監(jiān)控模式下的ARP攻擊防御解決方案這種方式適合動(dòng)態(tài)分配IP地址的網(wǎng)絡(luò)場(chǎng)景，需要接入交換機(jī)支持DHCP Snooping功能。通過(guò)全網(wǎng)部署，可以有效的防御 “仿冒網(wǎng)關(guān)、“欺騙網(wǎng)關(guān)、“欺騙終端用戶、“ARP中間人攻擊、“ARP泛洪攻擊等校園網(wǎng)中常見(jiàn)的ARP攻擊方式；且不需要終端用戶安裝額

42、外的客戶端軟件，簡(jiǎn)化了網(wǎng)絡(luò)配置。認(rèn)證方式下的ARP攻擊防御解決方案這種方式適合網(wǎng)絡(luò)中動(dòng)態(tài)分配IP地址和靜態(tài)分配IP地址共存的網(wǎng)絡(luò)場(chǎng)景，且只能防御“仿冒網(wǎng)關(guān)的ARP攻擊方式。它不需要在接入交換機(jī)上進(jìn)行特殊的防攻擊配置，只需要客戶端通過(guò)認(rèn)證協(xié)議登錄網(wǎng)絡(luò)，認(rèn)證效勞器如CAMS效勞器會(huì)識(shí)別客戶端，并下發(fā)網(wǎng)關(guān)的IP/MAC對(duì)應(yīng)關(guān)系給客戶端，來(lái)防御“仿冒網(wǎng)關(guān)攻擊。ARP攻擊簡(jiǎn)介按照ARP協(xié)議的設(shè)計(jì)，一個(gè)主機(jī)即使收到的ARP應(yīng)答并非自身請(qǐng)求得到的，也會(huì)將其IP地址和MAC地址的對(duì)應(yīng)關(guān)系添加到自身的ARP映射表中。這樣可以減少網(wǎng)絡(luò)上過(guò)多的ARP數(shù)據(jù)通信，但也為“ARP欺騙創(chuàng)造了條件。校園網(wǎng)中，常見(jiàn)的ARP攻擊

43、有如下幾中形式。仿冒網(wǎng)關(guān)攻擊者偽造ARP報(bào)文，發(fā)送源IP地址為網(wǎng)關(guān)IP地址，源MAC地址為偽造的MAC地址的ARP報(bào)文給被攻擊的主機(jī)，使這些主機(jī)更新自身ARP表中網(wǎng)關(guān)IP地址與MAC地址的對(duì)應(yīng)關(guān)系。這樣一來(lái)，主機(jī)訪問(wèn)網(wǎng)關(guān)的流量，被重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶無(wú)法正常訪問(wèn)外網(wǎng)?！胺旅熬W(wǎng)關(guān)攻擊示意圖欺騙網(wǎng)關(guān)攻擊者偽造ARP報(bào)文，發(fā)送源IP地址為同網(wǎng)段內(nèi)某一合法用戶的IP地址，源MAC地址為偽造的MAC地址的ARP報(bào)文給網(wǎng)關(guān)；使網(wǎng)關(guān)更新自身ARP表中原合法用戶的IP地址與MAC地址的對(duì)應(yīng)關(guān)系。這樣一來(lái)，網(wǎng)關(guān)發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶無(wú)法正常訪問(wèn)外網(wǎng)。

44、“欺騙網(wǎng)關(guān)攻擊示意圖欺騙終端用戶攻擊者偽造ARP報(bào)文，發(fā)送源IP地址為同網(wǎng)段內(nèi)某一合法用戶的IP地址，源MAC地址為偽造的MAC地址的ARP報(bào)文給同網(wǎng)段內(nèi)另一臺(tái)合法主機(jī)；使后者更新自身ARP表中原合法用戶的IP地址與MAC地址的對(duì)應(yīng)關(guān)系。這樣一來(lái)，網(wǎng)段內(nèi)的其他主機(jī)發(fā)給該用戶的所有數(shù)據(jù)都被重定向到錯(cuò)誤的MAC地址，同網(wǎng)段內(nèi)的用戶無(wú)法正?；ピL?！捌垓_終端用戶攻擊示意圖“中間人攻擊ARP “中間人攻擊，又稱(chēng)為ARP雙向欺騙。如 REF _Ref156550173 r h 圖1-4所示，Host A和Host C通過(guò)Switch進(jìn)行通信。此時(shí)，如果有惡意攻擊者Host B想探聽(tīng)Host A和Host

45、C之間的通信，它可以分別給這兩臺(tái)主機(jī)發(fā)送偽造的ARP應(yīng)答報(bào)文，使Host A和Host C用MAC_B更新自身ARP映射表中與對(duì)方IP地址相應(yīng)的表項(xiàng)。此后，Host A 和Host C之間看似“直接的通信，實(shí)際上都是通過(guò)黑客所在的主機(jī)間接進(jìn)行的，即Host B擔(dān)當(dāng)了“中間人的角色，可以對(duì)信息進(jìn)行了竊取和篡改。這種攻擊方式就稱(chēng)作“中間人Man-In-The-Middle攻擊。ARP“中間人攻擊示意圖ARP報(bào)文泛洪攻擊惡意用戶利用工具構(gòu)造大量ARP報(bào)文發(fā)往交換機(jī)的某一端口，導(dǎo)致CPU負(fù)擔(dān)過(guò)重，造成其他功能無(wú)法正常運(yùn)行甚至設(shè)備癱瘓。ARP攻擊防御H3C公司根據(jù)ARP攻擊的特點(diǎn)，給出了DHCP監(jiān)控模式

46、下的ARP攻擊防御解決方案和認(rèn)證模式下的ARP攻擊防御解決方案。前者通過(guò)接入交換機(jī)上開(kāi)啟DHCP Snooping功能、配置IP靜態(tài)綁定表項(xiàng)、ARP入侵檢測(cè)功能和ARP報(bào)文限速功能，可以防御常見(jiàn)的ARP攻擊；后者不需要在接入交換機(jī)上進(jìn)行防攻擊配置，而需要通過(guò)CAMS效勞器下發(fā)網(wǎng)關(guān)的IP/MAC對(duì)應(yīng)關(guān)系給客戶端，防御“仿冒網(wǎng)關(guān)攻擊。詳見(jiàn) REF _Ref183919519 r h 表1-1。常見(jiàn)網(wǎng)絡(luò)攻擊和防范對(duì)照表攻擊方式防御方法動(dòng)態(tài)獲取IP地址的用戶進(jìn)行“仿冒網(wǎng)關(guān)、“欺騙網(wǎng)關(guān)、“欺騙終端用戶、“ARP中間人攻擊配置DHCP Snooping、ARP入侵檢測(cè)功能手工配置IP地址的用戶進(jìn)行“仿冒網(wǎng)

47、關(guān)、“欺騙網(wǎng)關(guān)、“欺騙終端用戶、“ARP中間人攻擊配置IP靜態(tài)綁定表項(xiàng)、ARP入侵檢測(cè)功能ARP泛洪攻擊配置ARP報(bào)文限速功能動(dòng)態(tài)和手工配置IP地址的用戶進(jìn)行“仿冒網(wǎng)關(guān)攻擊配置認(rèn)證模式的ARP攻擊防御解決方案(CAMS下發(fā)網(wǎng)關(guān)配置功能)DHCP Snooping功能DHCP Snooping是運(yùn)行在二層接入設(shè)備上的一種DHCP平安特性。通過(guò)監(jiān)聽(tīng)DHCP報(bào)文，記錄DHCP客戶端IP地址與MAC地址的對(duì)應(yīng)關(guān)系； 通過(guò)設(shè)置DHCP Snooping信任端口，保證客戶端從合法的效勞器獲取IP地址。信任端口正常轉(zhuǎn)發(fā)接收到的DHCP報(bào)文，從而保證了DHCP客戶端能夠從DHCP效勞器獲取IP地址。不信任端口

48、接收到DHCP效勞器響應(yīng)的DHCP-ACK和DHCP-OFFER報(bào)文后，丟棄該報(bào)文，從而防止了DHCP客戶端獲得錯(cuò)誤的IP地址。 說(shuō)明：目前H3C低端以太網(wǎng)交換機(jī)上開(kāi)啟DHCP Snooping功能后，所有端口默認(rèn)被配置為DHCP Snooping非信任端口。為了使DHCP客戶端能從合法的DHCP效勞器獲取IP地址，必須將與合法DHCP效勞器相連的端口設(shè)置為信任端口，設(shè)置的信任端口和與DHCP客戶端相連的端口必須在同一個(gè)VLAN內(nèi)。IP靜態(tài)綁定功能DHCP Snooping表只記錄了通過(guò)DHCP方式動(dòng)態(tài)獲取IP地址的客戶端信息，如果用戶手工配置了固定IP地址，其IP地址、MAC地址等信息將不會(huì)

49、被DHCP Snooping表記錄。因此，交換機(jī)支持手工配置IP靜態(tài)綁定表的表項(xiàng)，實(shí)現(xiàn)用戶的IP地址、MAC地址及接入交換機(jī)連接該用戶的端口之間的綁定關(guān)系。這樣，該固定用戶的報(bào)文就不會(huì)被ARP入侵檢測(cè)功能過(guò)濾。ARP入侵檢測(cè)功能H3C低端以太網(wǎng)交換機(jī)支持將收到的ARP請(qǐng)求與回應(yīng)報(bào)文重定向到CPU，結(jié)合DHCP Snooping平安特性來(lái)判斷ARP報(bào)文的合法性并進(jìn)行處理，具體如下。當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)匹配，且ARP報(bào)文的入端口及其所屬VLAN與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)一

50、致，那么為合法ARP報(bào)文，進(jìn)行轉(zhuǎn)發(fā)處理。當(dāng)ARP報(bào)文中的源IP地址及源MAC地址的綁定關(guān)系與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不匹配，或ARP報(bào)文的入端口，入端口所屬VLAN與DHCP Snooping表項(xiàng)或者手工配置的IP靜態(tài)綁定表項(xiàng)不一致，那么為非法ARP報(bào)文，直接丟棄。 說(shuō)明：DHCP Snooping表只記錄了通過(guò)DHCP方式動(dòng)態(tài)獲取IP地址的客戶端信息。如果固定IP地址的用戶需要訪問(wèn)網(wǎng)絡(luò)，必須在交換機(jī)上手工配置IP靜態(tài)綁定表的表項(xiàng)，即：用戶的IP地址、MAC地址及連接該用戶的端口之間的綁定關(guān)系。實(shí)際組網(wǎng)中，為了解決上行端口接收的ARP請(qǐng)求和應(yīng)答報(bào)文能夠通過(guò)A

51、RP入侵檢測(cè)問(wèn)題，交換機(jī)支持通過(guò)配置ARP信任端口，靈活控制ARP報(bào)文檢測(cè)功能。對(duì)于來(lái)自信任端口的所有ARP報(bào)文不進(jìn)行檢測(cè)，對(duì)其它端口的ARP報(bào)文通過(guò)查看DHCP Snooping表或手工配置的IP靜態(tài)綁定表進(jìn)行檢測(cè)。ARP報(bào)文限速功能H3C低端以太網(wǎng)交換機(jī)支持端口ARP報(bào)文限速功能，使受到攻擊的端口暫時(shí)關(guān)閉，來(lái)防止此類(lèi)攻擊對(duì)CPU的沖擊。開(kāi)啟某個(gè)端口的ARP報(bào)文限速功能后，交換機(jī)對(duì)每秒內(nèi)該端口接收的ARP報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì)，如果每秒收到的ARP報(bào)文數(shù)量超過(guò)設(shè)定值，那么認(rèn)為該端口處于超速狀態(tài)即受到ARP報(bào)文攻擊。此時(shí)，交換機(jī)將關(guān)閉該端口，使其不再接收任何報(bào)文，從而防止大量ARP報(bào)文攻擊設(shè)備。同時(shí)

52、，設(shè)備支持配置端口狀態(tài)自動(dòng)恢復(fù)功能，對(duì)于配置了ARP限速功能的端口，在其因超速而被交換機(jī)關(guān)閉后，經(jīng)過(guò)一段時(shí)間可以自動(dòng)恢復(fù)為開(kāi)啟狀態(tài)。CAMS下發(fā)網(wǎng)關(guān)配置功能CAMSComprehensive Access Management Server，綜合訪問(wèn)管理效勞器作為網(wǎng)絡(luò)中的業(yè)務(wù)管理核心，可以與以太網(wǎng)交換機(jī)等網(wǎng)絡(luò)產(chǎn)品共同組網(wǎng)，完成用戶的認(rèn)證、授權(quán)、計(jì)費(fèi)和權(quán)限管理。如 REF _Ref187741199 r h 圖1-5所示。CAMS組網(wǎng)示意圖認(rèn)證模式的ARP攻擊防御解決方案，不需要在接入交換機(jī)上進(jìn)行特殊的防攻擊配置，只需要客戶端通過(guò)認(rèn)證登錄網(wǎng)絡(luò)，并在CAMS上進(jìn)行用戶網(wǎng)關(guān)的設(shè)置，CAMS會(huì)通過(guò)接入

53、交換機(jī)，下發(fā)網(wǎng)關(guān)的IP/MAC對(duì)應(yīng)關(guān)系給客戶端，來(lái)防御“仿冒網(wǎng)關(guān)攻擊。ARP攻擊防御配置指南ARP攻擊防御配置任務(wù)操作命令說(shuō)明-進(jìn)入系統(tǒng)視圖system-view-配置DHCP Snooping功能記錄DHCP客戶端的IP/MAC對(duì)應(yīng)關(guān)系進(jìn)入以太網(wǎng)端口視圖interface interface-type interface-number-設(shè)置指定端口為DHCP Snooping信任端口dhcp-snooping trust必選缺省情況下，交換機(jī)的端口均為不信任端口退出至系統(tǒng)視圖quit-開(kāi)啟交換機(jī)DHCP Snooping功能dhcp-snooping必選缺省情況下，以太網(wǎng)交換機(jī)的DHCP S

54、nooping功能處于禁止?fàn)顟B(tài)配置指定端口的IP靜態(tài)綁定表項(xiàng)進(jìn)入以太網(wǎng)端口視圖interface interface-type interface-number-配置IP靜態(tài)綁定表項(xiàng)ip source static binding ip-address ip-address mac-address mac-address 可選缺省情況下，沒(méi)有配置IP靜態(tài)綁定表項(xiàng)退出至系統(tǒng)視圖quit-配置ARP入侵檢測(cè)功能，防御常見(jiàn)的ARP攻擊進(jìn)入以太網(wǎng)端口視圖interface interface-type interface-number-配置ARP信任端口arp detection trust可選缺省情

55、況下，端口為ARP非信任端口退出至系統(tǒng)視圖quit-進(jìn)入VLAN視圖vlan vlan-id-開(kāi)啟ARP入侵檢測(cè)功能arp detection enable 必選缺省情況下，指定VLAN內(nèi)所有端口的ARP入侵檢測(cè)功能處于關(guān)閉狀態(tài)退出至系統(tǒng)視圖quit-配置ARP限速功能開(kāi)啟ARP報(bào)文限速功能arp rate-limit enable必選缺省情況下，端口的ARP報(bào)文限速功能處于關(guān)閉狀態(tài)配置允許通過(guò)端口的ARP報(bào)文的最大速率arp rate-limit rate可選缺省情況下，端口能通過(guò)的ARP報(bào)文的最大速率為15pps退出至系統(tǒng)視圖quit-開(kāi)啟因ARP報(bào)文超速而被關(guān)閉的端口的狀態(tài)自動(dòng)恢復(fù)功能a

56、rp protective-down recover enable可選缺省情況下，交換機(jī)的端口狀態(tài)自動(dòng)恢復(fù)功能處于關(guān)閉狀態(tài)配置因ARP報(bào)文超速而被關(guān)閉的端口的端口狀態(tài)自動(dòng)恢復(fù)時(shí)間arp protective-down recover interval interval可選缺省情況下，開(kāi)啟端口狀態(tài)自動(dòng)恢復(fù)功能后，交換機(jī)的端口狀態(tài)自動(dòng)恢復(fù)時(shí)間為300秒 說(shuō)明：有關(guān)各款交換機(jī)支持的ARP攻擊防御功能的詳細(xì)介紹和配置命令，請(qǐng)參見(jiàn)各產(chǎn)品的操作、命令手冊(cè)。支持ARP攻擊防御功能的產(chǎn)品列表支持ARP攻擊防御功能的產(chǎn)品列表功能產(chǎn)品型號(hào)DHCP SnoopingARP入侵檢測(cè)IP靜態(tài)綁定ARP報(bào)文限速S5600

57、(Release1602)S5100-EI(Release2200)S5100-SI(Release2200)S3600-EI(Release1602)S3600-SI(Release1602)S3100-EI(Release2104)S3100-52P(Release1602)E352/E328(Release1602)E152(Release1602)E126A(Release2104) 說(shuō)明：有關(guān)各款交換機(jī)支持的防ARP攻擊功能的詳細(xì)介紹，請(qǐng)參見(jiàn)各產(chǎn)品的操作手冊(cè)。ARP攻擊防御配置舉例DHCP監(jiān)控模式下的ARP攻擊防御配置舉例組網(wǎng)需求某校園網(wǎng)內(nèi)大局部用戶通過(guò)接入設(shè)備連接網(wǎng)關(guān)和DHCP效勞

58、器，動(dòng)態(tài)獲取IP地址。管理員通過(guò)在接入交換機(jī)上全面部署ARP攻擊防御相關(guān)特性，形成保護(hù)屏障，過(guò)濾掉攻擊報(bào)文。詳細(xì)網(wǎng)絡(luò)應(yīng)用需求分析如下。校園網(wǎng)用戶分布在兩個(gè)區(qū)域Host area1和Host area2，分別屬于VLAN10和VLAN20，通過(guò)接入交換機(jī)Switch A和Switch B連接到網(wǎng)關(guān)Gateway，最終連接外網(wǎng)和DHCP。Host area1所在子網(wǎng)內(nèi)擁有一臺(tái)TFTP效勞器，其IP地址為，MAC地址為000d-85c7-4e00。為防止仿冒網(wǎng)關(guān)、欺騙網(wǎng)關(guān)等ARP攻擊形式，開(kāi)啟Switch A上VLAN10內(nèi)、Switch B上VLAN20內(nèi)ARP入侵檢測(cè)功能，設(shè)置Switch A和

59、Switch B的端口Ethernet1/0/1為ARP信任端口。為防止ARP泛洪攻擊，在Switch A和Switch B所有直接連接客戶端的端口上開(kāi)啟ARP報(bào)文限速功能。同時(shí)，開(kāi)啟因ARP報(bào)文超速而被關(guān)閉的端口的狀態(tài)自動(dòng)恢復(fù)功能，并設(shè)置恢復(fù)時(shí)間間隔100秒。組網(wǎng)圖DHCP監(jiān)控模式下的ARP攻擊防御組網(wǎng)示意圖配置思路在接入交換機(jī)Switch A和Switch B上開(kāi)啟DHCP snooping功能，并配置與DHCP效勞器相連的端口為DHCP snooping信任端口。在接入交換機(jī)Switch A上為固定IP地址的TFTP效勞器配置對(duì)應(yīng)的IP靜態(tài)綁定表項(xiàng)。在接入交換機(jī)Switch A和Swit

60、ch B對(duì)應(yīng)VLAN上開(kāi)啟ARP入侵檢測(cè)功能，并配置其上行口為ARP信任端口。在接入交換機(jī)Switch A和Switch B直接連接客戶端的端口上配置ARP報(bào)文限速功能，同時(shí)全局開(kāi)啟因ARP報(bào)文超速而被關(guān)閉的端口的狀態(tài)自動(dòng)恢復(fù)功能。配置步驟使用的版本本舉例中使用的接入交換機(jī)Switch A和Switch B為E126A系列以太網(wǎng)交換機(jī)。配置客戶端動(dòng)態(tài)獲取IP地址。配置客戶端自動(dòng)獲取IP地址示意圖配置Switch A# 創(chuàng)立VLAN10，并將端口Ethernet1/0/1到Ethernet1/0/4參加VLAN10中。 system-viewSwitchA vlan 10SwitchA-vlan