【网工】案例分析解题方法①

目录

■Super-VLAN/Aggregate-vlan

■Mux-vlan

■IP相关技术与协议

▲ARP协议工作流程

▲ARP 泛洪攻击

解决方案

▲ARP欺骗

ARP欺骗解决方案

---

---

遇到不会的题，没有思路的题时，可以参考下述方法：

※ 联系上下文，找对称关系。

※ 从题干中找答案，而不是瞎猜，更不是乱写。

※ 穷举法，多写不扣分。穷举不是瞎蒙，而是适当分析+圈定范围，在一定范围内去蒙。

■Super-VLAN/Aggregate-vlan

VLAN 10为Super-VLAN,VLAN2~VLAN4作为Super-VLAN 10的Sub-VLAN。Sub-VLAN2、Sub-VLAN3和Sub-VLAN4共用一个子网10.1.1.0/24，这样，该网络中就只有一个子网号10.1.1.0、一个子网缺省网关地址10.1.1.1和一个子网定向广播地址10.1.1.255共3个IP地址不能被主机使用，其余都可以被主机使用。而且，各Sub-VLAN间的界线也不再是从前的子网界线了，它们可以根据其各自主机的需求数目在Super-VLAN对应子网内灵活的划分地址范围，比如Sub-VLAN2实际需要10个，就给它分配10.1.1.2～10.1.1.11的地址段。

■Mux-vlan

二层隔离

• 典型案例

• 案例

某计算机考试教室，为了防止学生作弊，确保各学生PC终端不能通信，需要在接入交换机上配置什么功能？如果该教室还有2台监考教师机，要确保教师机之间可以互访，学生机不能互访，而教师机可以访问学生机，且监考教师机和学生机都可以访问试卷服务器，写出实现技术和配置要点。

【参考答案】

①端口隔离

②MUX-VLAN，将学生机放入隔离型辅助VLAN，将监考教师机和连接试卷服务器的接口都放入主VLAN。

■IP相关技术与协议

IP相关协议：ARP、NAT、DNS、DHCP       VLAN、IP子网划分

三张表：ARP表、MAC地址表、路由表

网络层协议：IP/IPv6、ICMP、ARP、IGMP、GRE

▲ARP协议工作流程

①主机A查询自己的ARP缓存，发现没有主机B对应的MAC地址；

②主机A发送ARP Request报文（广播）；

③主机B把主机A的IP、MAC对应信息填入自己的ARP缓存中；

④主机B向主机A回送包含主机B的MAC地址的ARP Reply报文（单播）；

⑤主机A收到主机B的ARP Replay报文，将主机B的IP和MAC对应关系填入自己的ARP缓存中。

▲ARP 泛洪攻击

用户通过SwitchA和SwitchB接入到Gateway访问Internet。当网络中出现过多的ARP报文时：

①会导致网关设备CPU负载加重，影响设备正常处理用户的其它业务。

②过多的ARP报文会占用大量的网络带宽，引起网络堵塞，从而影响整个网络通信的正常运行。

③耗尽网关设备ARP表项，不能为正常用户提供服务。

现象：

①交换机CPU占有率较高，正常用户不能学习ARP甚至无法上网。

②Ping不通。

③网络设备不能管理。

原因分析：

由于终端中毒频繁发送大量ARP报文。中毒 

下挂网络成环产生大量的ARP报文。环路

解决方案

1、在接口下配置ARP表项限制。设备支持接口下的ARP表项限制，如果接口已经学习到的ARP表项数目超过限制值，系统不再学习新的ARP表项，但不会清除已经学习到的ARP表项，会提示用户删除超出的ARP表项。

<HUAWEI> system-view

[HUAWEI] interface gigabitethernet 1/0/1

[HUAWEl-GigabitEthernet1/0/1] arp-limit vlan 10 maximum 20 //该接口下VLAN 10只能学20个表项

2、配置针对源IP地址的ARP报文速率抑制的功能。在一段时间内，如果设备收到某一源IP地址的ARP报文数目超过设定阈值，则不处理超出阈值部分的ARP请求报文。

<HUAWEI> system-view

[HUAWEl] arp speed-limit source-ip 10.0.0.1 maximum 50 //对ARP报文进行时间戳抑制的抑制速率为 50pps，即每秒处理50个ARP报文。

3、根据排查出的攻击源MAC配置黑名单过滤掉攻击源发出的ARP报文。

[HUAWEI] acl 4444

[HUAWEI-acl-L2-4444] rule permit I2-protocol arp source-mac 0-0-1 vlan-id 193

[HUAWEI-acl-L2-4444] quit

[HUAWEI] cpu-defend policy policy1

[HUAWEI-cpu-defend-policy-policy1] blacklist 1 acl 4444

[HUAWEI-cpu-defend-policy-policy1] quit

接下来应用防攻击策略policy1，关于防攻击策略的应用：

<HUAWEI> system-view

[HUAWEI] cpu-defend-policy policy1

[HUAWEI] quit

4、如果上述配置无法解决，比如源MAC变化或源IP变化的ARP攻击源来自某台接入设备下挂用户，在接入侧交换机上配置流策略限速，不让该接入侧设备下的用户影响整个网络。

[HUAWEI] acl 4445

[HUAWEI-acl-L2-4445] rule permit I2-protocol arp

[HUAWEI-acl-L2-4445] quit

[HUAWEI] traffic classifier policy1

[HUAWEI-classifier-policy1] if-match acl 4445

[HUAWEI-classifier-policy1] quit

[HUAWEI] traffic behavior policy1

[HUAWEI-behavior-policy1] car cir 32 //保证ARP平均速率只能32kbit/s

[HUAWEI-behavior-policy1] quit

[HUAWEI] traffic policy policy1

[HUAWEI-trafficpolicy-policy1] classifier policy1 behavior policy1

[HUAWEI-trafficpolicy-policy1] quit

[HUAWEI] interface GigabitEthernet 1/0/1

[HUAWEI-GigabitEthernet1/0/1] traffic-policy policy1 inbound

▲ARP欺骗

UserA、UserB、UserC上线之后，通过相互之间交互ARP报文，UserA、UserB、UserC和Gateway上都会 创建相应的ARP表项。此时，如果有攻击者Attacker通过在广播域内发送伪造的ARP报文，篡改Gateway或者UserA、UserB、UserC上的ARP表项，Attacker可以轻而易举地窃取UserA、UserB、UserC的信息或者 阻碍UserA、UserB、UserC正常访问网络。

• 现象描述

局域网内用户时通时断，无法正常上网。网络设备会经常脱管，网关设备会打印大量地址冲突的告警。

• 原因分析

①终端中毒。

②攻击者将主机地址设为网关地址。

ARP欺骗解决方案

• 方法一：在交换机上配置黑名单过滤攻击源的源MAC地址。

[HUAWEI] acl 4444

[HUAWEI-acl-L2-4444] rule permit I2-protocol arp source-mac 1-1-1

[HUAWEI-acl-L2-4444] quit

[HUAWEI] cpu-defend policy policy1

[HUAWEI-cpu-defend-policy-policy1] blacklist 1 acl 4444

接下来应用防攻击策略policy1，关于防攻击策略的应用。

• 方法二: 更严厉的惩罚措施可以将攻击者的MAC配置成黑洞MAC，彻底不让该攻击者上网。

[HUAWEI] mac-address blackhole 1-1-1 vlan 3

• 方法三：可以在交换机上配置防网关冲突功能（该功能要求交换机必须做网关），ARP网关冲突防攻击功能使能后，系统生成ARP防攻击表项，在后续一段时间内对收到具有相同源MAC地址的报文直接丢弃，这样可以防止与网关地址冲突的ARP报文在VLAN内广播。

[HUAWEI] arp anti-attack gateway-duplicate enable

• 方法四：在接入交换机上配置DAI功能（也可以在网关设备上做，但是越靠近用户侧防攻击的效果越好），DAI会将ARP报文上送CPU跟绑定表进行比较，非法的ARP报文直接丢弃，合法的ARP报文才会转发。对于动态用户需要配置dhcp snooping功能，对于静态用户，需要配置静态绑定表。

[HUAWEI] dhcp enable

[HUAWEI] dhcp snooping enable//使能dhcp snooping 功能

[HUAWEI] interface gigabitethernet 0/0/1

[HUAWEI-GigabitEtherneto/0/1]dhcp snooping enable

[HUAWEI-GigabitEthernetO/0/1]arp anti-attack check user-bind enable//用户侧接口使能dhcp snooping 以及DAI功能

[HUAWEI] interface gigabitethernet 0/0/24

[HUAWEI-GigabitEtherneto/0/24]dhcp snooping trusted//网络侧端口配置成信任状态

• 方法五：在接入交换机上配置网关保护功能。需要注意的是在连网络侧的端口配置保护网关IP地址。

[HUAWEI] interface gigabitethernet 0/0/24

[HUAWEI-GigabitEthernet0/0/24] arp trust source 10.10.10.1 //网络侧端口保护网关地址10.10.10.1，老 版本的命令行为arp filter source

至此，本文分享的内容就结束了。