ARP报文强制转发
ARP报文强制转发功能是将ARP非信任端口接收到的已经通过用户合法性检查的ARP报文,按照一定的规则进行转发的防攻击功能,此功能不对ARP信任端口接收到的通过用户合法性检查的ARP报文进行限制。
对于从ARP非信任端口收到的已经通过用户合法性检查的合法ARP报文的处理过程如下:
?
对于ARP请求报文,通过信任端口进行转发;
?
对于ARP应答报文,首先按照报文中的以太网目的MAC地址进行转发,若在MAC地址表中没有查到目的MAC地址对应的表项,则将此ARP应答报文通过信任端口进行转发。
ARP自动扫描、固化功能简介
ARP自动扫描功能一般与ARP固化功能配合使用:
?
启用ARP自动扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,从而建立动态ARP表项)。
?
ARP固化功能用来将当前的ARP动态表项(包括ARP自动扫描生成的动态ARP表项)转换为静态ARP表项。通过对动态ARP表项的固化,可以有效的防止攻击者修改ARP表项。
推荐在网吧这种环境稳定的小型网络中使用这两个功能。
ARP网关保护功能简介
在设备上不与网关相连的端口上配置此功能,可以防止伪造网关攻击。
在端口配置此功能后,当端口收到ARP报文时,将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。如果相同,则认为此报文非法,将其丢弃;否则,认为此报文合法,继续进行后续处理。
ARP过滤保护功能简介
本功能用来限制端口下允许通过的ARP报文,可以防止仿冒网关和仿冒用户的攻击。
在端口配置此功能后,当端口收到ARP报文时,将检查ARP报文的源IP地址和源MAC地址是否和允许通过的IP地址和MAC地址相同:
?
如果相同,则认为此报文合法,继续进行后续处理;
?
如果不相同,则认为此报文非法,将其丢弃。
MFF
MFF作用
在传统的以太网组网方案中,为了实现不同客户端主机之间的二层隔离和三层互通,通常采用在交换机上划分VLAN的方法。但是当彼此间需要二层隔离的用户较多时,这种方式会占用大量的VLAN资源;同时,为实现客户端之间三层互通,需要为每个VLAN规划不同的IP网段,并配置VLAN接口的IP地址,因此划分过多的VLAN会降低IP地址的分配效率。
为了改善这种现状,MAC-Forced Forwarding(下文统一用"MFF"替代)为同一广播域内实现客户端主机间的二层隔离和三层互通,提供了一种解决方案。
MFF截获用户的ARP请求报文,通过ARP代答机制,回复网关MAC地址的ARP应答报文。通过这种方式,可以强制用户将所有流量(包括同一子网内的流量)发送到网关,使网关可以监控数据流量,防止用户之间的恶意攻击,能更好的保障网络部署的安全性。
图 5 应用组网图
如图7-1所示,Switch A和Switch B作为以太网接入节点(Ethernet Access Nodes,EAN),提供了客户端主机与汇聚节点(Switch C)之间的连接。在以太网接入节点上配置MFF功能,可以使客户端的数据报文交互全部通过网关转发,实现了客户端之间的三层互通,又保证了二层数据的隔离。
MFF通常与DHCP Snooping、ARP Snooping、IP Source Guard、ARP Detection、VLAN映射等功能配合使用,在接入层交换机上实现客户端的流量过滤、二层隔离和三层互通,提高接入层网络的安全性。
MFF端口角色
MFF特性包括两种端口角色:用户端口及网络端口。
用户端口
MFF的用户端口是指直接接入网络终端用户的端口。
用户端口上对于不同的报文处理如下:
?
允许组播报文和DHCP报文通过;
?
对于ARP报文则上送CPU进行处理;
?
若已经学习到网关MAC地址,则仅允许目的MAC地址为网关MAC地址的单播报文通过,其他报文都将被丢弃;若没有学习到网关MAC地址,目的MAC地址为网关MAC地址的单播报文也被丢弃。
网络端口
MFF的网络端口是指连接其他网络设备如接入交换机、汇聚交换机或网关的端口。
网络端口上对于不同的报文处理如下:
?
允许组播报文和DHCP报文通过;
?
对于ARP报文则上送CPU进行处理;
?
拒绝其他广播报文通过。
MFF运行模式
MFF特性包括两种运行模式:手工方式和自动方式。
手工方式
手工方式应用于用户静态配置IP地址的场景中,这是因为在用户静态配置IP地址时,无法通过DHCP报文来获取网关信息。另外,在用户静态配置IP时,由于没有依据进行用户与网关的映射,因此仅维护缺省网关的MAC地址,即,一个VLAN下仅维护一个网关MAC地址。
使能了手工方式后,MFF代答网关对用户的ARP请求,以及伪造ARP请求探测网关MAC的依据都是ARP Snooping表项。
若在MFF学习到缺省网关MAC地址后,收到来自网关的携带了与记录的MAC地址不同的源MAC地址的ARP报文,则需要更新记录的网关MAC地址。
自动方式
自动方式应用于用户通过DHCP协议动态获取IP地址的场景中。DHCP Snooping功能通过侦听DHCP ACK报文,并解析其中的Option 3字段(Router IP)来获取网关IP地址。
在使能MFF自动方式时,每一个DHCP Snooping用户绑定表项都应该有相对应的唯一网关IP地址。若DHCP ACK报文携带多个网关IP地址,则只记录第一个。若学习到的用户绑定表项不包含网关IP地址,或者没有记录在用户绑定表项中,则自动方式会根据当前VLAN记录的第一个网关作为用户网关应答该用户的ARP请求,除非其请求的是一个已知的网关地址。
同时,针对每一个网关IP地址,从第一个与其对应的用户绑定表项中获取用户IP地址及MAC地址,封装并伪造ARP请求,用于探测网关的MAC地址。
?
自动方式下,一个VLAN内最多可以学习并维护20个网关信息,超过此限制的网关不再学习及处理。网关IP获取之后不会进行更新,即网关信息一旦生成就不会老化,除非去使能MFF。
?
若在MFF学习到网关MAC地址后,收到来自网关的ARP报文,携带了与记录MAC地址不同的源MAC地址,则需要更新记录的网关MAC地址。
|
