交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、功能需求
开启ARP攻击防御功能,防止在线用户和网关设备受到ARP欺骗。
二、配置要点
1、只有用户使用的客户端类型为RG-Su和RG-SA时才支持“保护网关下的计算机不受ARP欺骗”功能,并且只有部分锐捷的网关设备支持此功能。
2、非锐捷交换机只能实现客户端绑定静态ARP,无法实现在网关设备上添加可信任ARP。
三、配置步骤
设备配置
进入配置模式:
service trustedarp -- 启用可信任ARP功能
snmp community ruijie rw -- 配置安全公共名为ruijie,SMP使用他进行SNMP协议可信任ARP的操作
write -- 保存交换机配置
SMP配置
1. 在SMP配置界面,单击“ARP攻击防御”>“ARP攻击防御”>“添加”进入“添加网关信息”界面,如下图:
注意:在下图确认已勾选“开启ARP攻击防御”选项
添加一条网关设备信息,如下图示:
注意:
勾选“保护网关下的计算机不受ARP欺骗”,可以防止主机冒充网关欺骗其他主机;
勾选“保护锐捷网关设备不受ARP欺骗”,可以防止主机冒充其他主机欺骗网关。
2. 按照上图配置新添加网关的“基本信息”“保护对象”单击“添加”完成配置,如下图:
四、配置验证
用户使用SA/Su客户端认证上网后;
1) 查看用户计算机的ARP表中就会绑定了网关交换机的MAC与IP的对应关系,并且为静态,如下图:
2)参看网关交换机,添加了一条用户计算机的MAC与IP的可信任ARP绑定关系,如下图:
这样就实现了ARP的双重防御功能。