应用场景
无线客户端流动性很大和不确定,比如在外来人员比较多的地方:广场、大厅、会议室和接待室等等。使用该方案可以有效地避免因为无线端出现私设IP地址导致地址冲突或者客户端中ARP病毒发起ARP攻击的情况。
优点:增加无线的安全性,防止无线客户端私设IP地址,防止无线网络因为arp攻击而瘫痪。
缺点:对无线设备的性能要求高,需要消耗无线设备的运行资源,需要增加额外的配置
功能简介:
在无线网络中,由于接入无线网络用户的多样性及不确定性,使得在无线端极有可能出现私设IP地址或者客户端中ARP病毒发起ARP攻击的情况,在无线设备上部署防ARP攻击功能,可以有效解决这些问题。
一、组网需求
防止无线用户私自配置IP地址导致IP地址冲突或者使用ARP攻击软件导致网络瘫痪
二、组网拓扑
三、配置要点
1、AC-1开启dhcp snooping并且配置信任端口
2、配置ARP防护功能
3、清除arp及 proxy_arp表
四、配置步骤
1、AC-1开启dhcp snooping并且配置信任端口
AC-1(config)#ip dhcp snooping ----->全局启用dhcp snooping
AC-1(config)#interface gigabitEthernet 0/1
AC-1(config-if-GigabitEthernet 0/1)#ip dhcp snooping trust ----->上联接口配置为信任端口
2、配置ARP防护功能
1)未开启Web认证功能时
AC-1(config)#wlansec 1
AC-1(config-wlansec)#ip verify source port-security ----->开启IP防护功能
AC-1(config-wlansec)#arp-check ----->开启ARP检测功能
2)开启Web认证功能时
AC-1(config)#web-auth dhcp-check ----->开启web认证下的dhcp检测功能(IP防护功能类似)
AC-1(config)#wlansec 1
AC-1(config-wlansec)#arp-check ----->ARP检测功能
3、清除arp及 proxy_arp表
AC-1#clear arp-cache
AC-1#clear proxy_arp
五、注意事项
1. 打开ARP Check检测功能可能会使相关安全应用的策略数/用户数减少。
2. 无法在镜像的目的口上配置arp-check功能。
3. 无法在DHCP Snooping信任端口上配置ARP Check功能。
4. 无法在全局IP+MAC的例外口配置ARP Check功能。
六、功能验证
1、无线用户连接到无线网络通过dhcp获取到IP地址被添加到dhcp snooping数据库内。
Ruijie#show ip dhcp snooping binding
Total number of bindings: 1
NO. MACADDRESS IPADDRESS LEASE(SEC) TYPE VLAN INTERFACE
----- ----------------- ------------ ------------ ---------------- ------ --------------
1 0811.9692.244C 172.16.1.4 86394 DHCP-Snooping 10 WLAN 1
2、手动配置无线网卡IP地址,无法ping通网关。
3、将无线网卡IP静态配置为其他正常用户的IP地址,其他正常用户不会提示地址冲突。