主机A IP地址:192.168.0.23/24 网关:192.168.0.1
内部 服务器 IP地址:202.0.0.2/24
主机B IP地址:192.168.0.21/24
E1/0/2
网关:192.168.0.1
E1/0/3
E1/0/1 G0/0
G0/2 G0/1
Internet
主机C
E1/0/4
实验步骤
⑥配置交换机 <H3C> system-view [H3C] dhcp snooping enable //启用DHCP Snooping功能 [H3C] interface ethernet 1/0/1 [H3C-Ethernet1/0/1] dhcp snooping trust [H3C-Ethernet1/0/1] interface gigabitethernet 1/0/2 [H3C-Ethernet1/0/2] dhcp snooping binding record //在接口Ethernet1/0/2上启用DHCP Snooping表项记录功能 [H3C-Ethernet1/0/2] quit [H3C] vlan 10 [H3C-vlan10]port Ethernet1/0/1 to Ethernet1/0/3 [H3C-vlan10] arp detection enable //使能ARP Detection功能，对用户合法性进行检查 [H3C-vlan10] interface ethernet 1/0/1 [H3C-Ethernet1/0/1] arp detection trust //接口状态缺省为非信任状态，上行接口配置为信任状态，下行接口按缺省配置 [H3C-Ethernet1/0/1] quit [H3C-Ethernet1/0/1] interface ethernet 1/0/3
（2）将网络连通，配置路由器的接口地址为后面的实验做准备。 对路由器做如下配置： <H3C>system-view [H3C]interface Gigabitethernet0/0 [H3C-GigabitEthernet0/0]ip address 192.168.0.1 255.255.255.0 [H3C-GigabitEthernet0/0]interface GigabitEthernet0/1 [H3C-GigabitEthernet0/1]ip address 212.0.0.1 255.255.255.0 [H3C-GigabitEthernet0/1]interface GigabitEthernet0/2 [H3C-GigabitEthernet0/2]ip address 202.0.0.1 255.255.255.0 [H3C-GigabitEthernet0/2]quit
<H3C> system-view [H3C] interface ethernet 1/0/2 [H3C-GigabitEthernet1/0/2] arp filter binding 192.168.0.23 000f-e349-1233 [H3C-Ethernet1/0/2] interface ethernet 1/0/3 [H3C-Ethernet1/0/3] arp filter binding 192.168.0.21 000f-e349-1234 完成上述配置后，接口Ethernet1/0/2收到主机A发出的源IP地址为192.168.0.23、源MAC地址为000fe349-1233的ARP报文将被允许通过，其他ARP报文将被丢弃；接口Ethernet1/0/3收到主机B发出的源 IP地址为192.168.0.21、源MAC地址为000f-e349-1234的ARP报文将被允许通过，其他ARP报文将被丢 弃。 （8）攻击方法配置 为防范外部网络对内部网络主机的Smurf攻击和扫描攻击，需要在路由器的接口GigabitEthernet0/1上开 启Smurf攻击防范和扫描攻击防范。具体要求为：启动扫描攻击防范的连接速率阈值为每秒4500个连接 数；将扫描攻击者添加到黑名单中（老化时间为10分钟）；检测到Smurf攻击或扫描攻击后，输出告警 日志。
实验步骤
[H3C-Ethernet1/0/3] ip source binding ip-address 192.168.0.21 mac-address 0001-0203-0607 vlan 10 //在接口Ethernet1/0/3上配置IP Source Guard静态绑定表项 [H3C-Ethernet1/0/3] quit [H3C] arp detection validate dst-mac ip src-mac //配置进行报文有效性检查 完成上述配置后，对于接口Ethernet1/0/2和Ethernet1/0/3收到的ARP报文，先进行报文有效性检查，然 后基于IP Source Guard静态绑定表项、DHCP Snooping安全表项进行用户合法性检查。
实验步骤ห้องสมุดไป่ตู้
为防范外部网络对内部服务器的SYN flood攻击，需要在接口GigabitEthernet0/2上开启SYN flood攻击 防范。具体要求为：当设备监测到向内部服务器每秒发送的SYN报文数持续达到或超过5000时，输出 告警日志并丢弃攻击报文。 [H3C] blacklist global enable //开启全局黑名单过滤功能 [H3C] blacklist global enable [H3C] blacklist ip 10.11.10.23 //将主机D的IP地址10.11.10.23添加到黑名单列表中，老化时间使用缺省情况（永不老化） [H3C] blacklist ip 192.168.0.22 timeout 50 //老化时间为50分钟 [H3C] attack-defense policy a1 //创建攻击防范策略a1 [H3C-attack-defense-policy-a1] signature detect smurf action logging //开启Smurf单包攻击报文的特征检测，配置处理行为为输出告警日志 [H3C-attack-defense-policy-a1] scan detect level low action logging block-source //开启低防范级别的扫描攻击防范，配置处理行为输出告警日志以及阻断并将攻击者的源IP地址加入黑 名单表项 [H3C-attack-defense-policy-a1] quit [H3C] interface gigabitethernet 0/1 [H3C-GigabitEthernet0/1] attack-defense apply policy a1 //在接口GigabitEthernet0/1上应用攻击防范策略a1 [H3C-GigabitEthernet0/1] quit
（6）配置ARP保护网关 与交换机相连的主机B进行了仿造网关（IP地址为192.168.0.1）的ARP攻击，导致与交换机相连的设备 与作为网关的路由器通信时错误发往了主机B，要求通过配置防止这种仿造网关攻击。 <H3C> system-view [H3C] interface ethernet 1/0/2 [H3C-Ethernet1/0/2] arp filter source 192.168.0.1 [H3C-Ethernet1/0/2] interface ethernet 1/0/3 [H3C-Ethernet1/0/3] arp filter source 192.168.0.1 完成上述配置后，对于主机B发送的伪造的源IP地址为网关IP地址的ARP报文将会被丢弃，不会再被转 发。
实验步骤
（7）配置ARP过滤保护 主机A的IP地址为192.168.0.23，MAC地址为000f-e349-1233；主机B的IP地址为192.168.0.21，MAC 地址为000f-e349-1234。要求限制交换机的Ethernet1/0/2、Ethernet1/0/3接口只允许指定用户接入，不 允许其他用户接入。
实验步骤
实验步骤
（4）源MAC地址固定的ARP攻击检测配置 假设IP地址10.11.10.23作为攻击源，其MAC为0012-3f86-e94c。 <H3C> system-view [H3C] arp source-mac filter //使能源MAC固定ARP攻击检测功能，并选择过滤模式 [H3C] arp source-mac threshold 30//配置源MAC固定的ARP报文攻击检测阈值为30个 [H3C] arp source-mac aging-time 60 //配置源MAC固定的ARP攻击检测表项的老化时间为60秒 [H3C] arp source-mac exclude-mac 0012-3f86-e94c //攻击检查的保护MAC地址为0012-3f86-e94c （5）用户合法性和报文有效性检查配置 ⑤将路由器配置为DHCP服务器 [H3C] interface gigabitethernet 0/0 [H3C-GigabitEthernet0/0] ip address 192.168.0.1 24 [H3C-GigabitEthernet0/0] arp authorized enable //使能接口授权ARP功能 [H3C-GigabitEthernet0/0] quit [H3C] dhcp enable [H3C] dhcp server ip-pool 1 [H3C-dhcp-pool-1] network 192.168.0.0 mask 255.255.255.0 [H3C-dhcp-pool-1] quit
（3）ARP防止IP报文攻击的配置 <H3C> system-view [H3C] arp source-suppression enable [H3C] arp source-suppression limit 100 //使能ARP源抑制功能，并配置ARP源抑制的阈值为100 [H3C] arp resolving-route enable //配置ARP黑洞路由功能