交换机上的ARP表项安全策略（交换机 arp）

防ARP欺骗攻击

攻击行为

ARP欺骗指恶意用户通过发送伪造的ARP报文，恶意修改网关或网络内其他主机的ARP表项，造成用户或网络的报文转发异常。

恶意用户仿冒其他用户向网关发送ARP报文，导致网关学习到错误的用户ARP表项。

恶意用户仿冒网关发出ARP报文，导致网络中其他用户学习到错误的网关ARP表项。

恶意用户通过构造畸形的ARP报文进行攻击，导致交换机学习到错误的ARP表项。

安全策略

针对以上攻击行为，可以在交换机上配置如下安全策略。

ARP表项固化

交换机支持三种ARP表项固化模式，这三种模式适用于不同的应用场景，且是互斥关系。

fixed-mac方式适用于用户MAC地址固定，但用户接入位置频繁变动的场景。当用户从不同接口接入交换机时，交换机上该用户对应的ARP表项中的接口信息可以及时更新。

fixed-all方式适用于用户MAC地址固定，并且用户接入位置相对固定的场景。

send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。

动态ARP检测（DAI）

使能DAI的交换机会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较，如果信息匹配，说明发送该ARP报文的用户是合法用户，允许此用户的ARP报文通过，否则就认为是攻击，丢弃该ARP报文。绑定表通常通过DHCP Snooping动态生成，也可手工配置指定。

ARP防网关冲突

为了防范攻击者仿冒网关，当用户主机直接接入网关时，可以在网关交换机上使能ARP防网关冲突攻击功能。当交换机收到的ARP报文存在下列情况之一：

ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同。

ARP报文的源IP地址是入接口的虚拟IP地址，但ARP报文源MAC地址不是VRRP虚MAC。

交换机就认为该ARP报文是与网关地址冲突的ARP报文，交换机将生成ARP防攻击表项，并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文，这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。

免费ARP报文主动丢弃

在确认攻击来自免费ARP报文之后，可以在网关交换机上使能免费ARP报文主动丢弃功能，使网关交换机直接丢弃免费ARP报文。

发送ARP免费报文

在网关交换机上配置发送免费ARP报文的功能，用来定期更新合法用户的ARP表项，使得合法用户ARP表项中记录的是正确的网关地址映射关系。

ARP报文内MAC地址一致性检查

交换机收到ARP报文时，对以太报文头中的源、目的MAC地址和ARP报文中的源、目的MAC地址进行一致性检查。如果以太网数据帧首部中的源/目的MAC地址和ARP报文中的源/目的MAC地址不同，则认为是攻击报文，将其丢弃；否则，继续进行ARP学习。可以有效防止恶意用户通过构造畸形ARP报文对网络或者网络交换机的攻击。

ARP报文合法性检查

为了防止非法ARP报文的攻击，可以在接入交换机或网关交换机上配置ARP报文合法性检查功能，用来对MAC地址和IP地址不合法的ARP报文进行过滤。交换机提供以下三种可以任意组合的检查项配置：

IP地址检查：交换机会检查ARP报文中的源IP和目的IP地址，全0、全1、或者组播IP地址都是不合法的，需要丢弃。对于ARP应答报文，源IP和目的IP地址都进行检查；对于ARP请求报文，只检查源IP地址。

源MAC地址检查：交换机会检查ARP报文中的源MAC地址和以太网数据帧首部中的源MAC地址是否一致，一致则认为合法，否则丢弃报文。

目的MAC地址检查：交换机会检查ARP应答报文中的目的MAC地址是否和以太网数据帧首部中的目的MAC地址一致，一致则认为合法，否则丢弃报文。

ARP网关保护功能

在交换机与网关相连的接口上配置ARP网关保护功能，可以防止攻击者仿冒网关。

ARP表项严格学习

配置ARP表项严格学习功能后，只有本交换机主动发送的ARP请求报文的应答报文才能触发本交换机学习ARP，其他交换机主动向本交换机发送的ARP报文不能触发本交换机学习ARP，这样可以拒绝大部分的ARP报文攻击。

DHCP触发ARP学习

在DHCP用户场景下，当DHCP用户数目很多时，交换机进行大规模ARP表项的学习和老化会对交换机性能和网络环境形成冲击。为了避免此问题，可以在网关交换机上使能DHCP触发ARP学习功能。当DHCP服务器给用户分配了IP地址，网关交换机会根据VLANIF接口上收到的DHCP ACK报文直接生成该用户的ARP表项。

VPLS网络中ARP代理

在VPLS网络中，为了防止PW侧的伪造ARP报文被广播到AC侧形成ARP欺骗攻击，可以在PE交换机上使能在VPLS网络中的ARP代理功能。