华为ARP安全综合功能配置案例

知孤云出岫

发布于 2026-03-31 18:03:00

680

📘 华为ARP安全综合功能配置案例

📊 一、组网图形

图1 配置ARP安全功能组网图

🧠 二、ARP安全简介

ARP（Address Resolution Protocol）安全是一种用于防范ARP攻击的安全机制，通过对ARP表学习及ARP报文处理进行限制与检测，保障网络设备安全。

🔥 常见ARP攻击类型

ARP欺骗（网关伪造）
- 攻击者伪造网关ARP报文
- 用户误认为攻击者是网关
- 流量被劫持 → 数据被窃听
ARP Miss泛洪攻击
- 发送大量不可达IP报文
- 触发大量ARP Miss
- CPU负载升高 + 带宽消耗
ARP报文泛洪攻击
- 大量ARP报文涌入
- CPU处理压力过大
- 影响正常业务

🛡️ 三、ARP安全防护措施

攻击类型	防护措施
网关欺骗	ARP防网关冲突
ARP Miss攻击	ARP Miss限速
ARP泛洪攻击	ARP报文限速

⚠️ 四、配置注意事项

适用于华为框式交换机及部分盒式交换机
支持设备（部分）：
- S5700 / S5710 / S5720 / S5730 / S6730 等
⚠️ S5731-L系列不支持本地CLI配置

🎯 五、组网需求

📌 网络结构

Switch作为网关
接口连接：
- GE1/0/1 → VLAN10（用户）
- GE1/0/2 → VLAN20（用户）
- GE1/0/3 → VLAN30（服务器）

⚡ 存在威胁

攻击者伪造网关ARP报文
ARP Miss泛洪攻击
User1：MAC固定 + IP变化攻击
User3：IP固定攻击

🧩 六、配置思路

启用ARP防网关冲突
配置ARP Miss限速（按源IP）
配置ARP限速（按源MAC）
配置ARP限速（按源IP）

⚙️ 七、操作步骤

1️⃣ 创建VLAN及接口配置

<HUAWEI> system-view
[HUAWEI] sysname Switch

[Switch] vlan batch 10 20 30

[Switch] interface gigabitethernet 1/0/1
[Switch-GE1/0/1] port link-type trunk
[Switch-GE1/0/1] port trunk allow-pass vlan 10

[Switch] interface gigabitethernet 1/0/2
[Switch-GE1/0/2] port link-type trunk
[Switch-GE1/0/2] port trunk allow-pass vlan 20

[Switch] interface gigabitethernet 1/0/3
[Switch-GE1/0/3] port link-type trunk
[Switch-GE1/0/3] port trunk allow-pass vlan 30

2️⃣ 配置VLANIF网关

[Switch] interface vlanif 10
 ip address 10.8.8.4 24

[Switch] interface vlanif 20
 ip address 10.9.9.4 24

[Switch] interface vlanif 30
 ip address 10.10.10.3 24

3️⃣ 启用ARP防网关冲突

[Switch] arp anti-attack gateway-duplicate enable

4️⃣ 配置ARP Miss限速（按源IP）

[Switch] arp-miss speed-limit source-ip maximum 20
[Switch] arp-miss speed-limit source-ip 10.10.10.2 maximum 40

5️⃣ 配置ARP限速（按源MAC）

[Switch] arp speed-limit source-mac 0001-0001-0001 maximum 10

6️⃣ 配置ARP限速（按源IP）

[Switch] arp speed-limit source-ip 10.9.9.2 maximum 10

🔍 八、验证配置

查看ARP安全配置

display arp anti-attack configuration all

查看ARP统计信息

display arp packet statistics

📈 关键指标说明

字段	含义
ARP Pkt Discard For Limit	限速丢弃
ARP Pkt Discard For SpeedLimit	限速生效
ARP-Miss Msg Discard	Miss限速

👉 若出现丢弃计数，说明ARP安全策略已生效

📂 九、完整配置文件

sysname Switch

vlan batch 10 20 30

arp-miss speed-limit source-ip 10.10.10.2 maximum 40
arp speed-limit source-ip 10.9.9.2 maximum 10
arp speed-limit source-mac 0001-0001-0001 maximum 10
arp anti-attack gateway-duplicate enable
arp-miss speed-limit source-ip maximum 20

interface Vlanif10
 ip address 10.8.8.4 255.255.255.0

interface Vlanif20
 ip address 10.9.9.4 255.255.255.0

interface Vlanif30
 ip address 10.10.10.3 255.255.255.0

interface GigabitEthernet1/0/1
 port link-type trunk
 port trunk allow-pass vlan 10

interface GigabitEthernet1/0/2
 port link-type trunk
 port trunk allow-pass vlan 20

interface GigabitEthernet1/0/3
 port link-type trunk
 port trunk allow-pass vlan 30

return

本文参与腾讯云自媒体同步曝光计划，分享自微信公众号。

原始发表：2026-03-26，如有侵权请联系 cloudcommunity@tencent.com 删除

安全