可信任ARP技术保护合法用户

　　GSN采用可信任ARP技术实现客户端和网关的自动双向绑定，保护合法用户免遭ARP欺骗攻击。GSN的ARP欺骗防御体系主要由SMP（安全管理策略服务器）、网关（三层交换机S8610）、NAS（S21XX）和SU（Supplicant）四个部分组成。SU安装在用户主机上，用于发起认证以及接受并执行SMP的指令；NAS接受SU发起的认证并将用户真实的IP和MAC信息传递到SMP，同时向SU传递SMP的指令，NAS和SU之间采用EAP报文进行通信，不受ARP欺骗的影响；网关必须提供可信任ARP的支持，可信任ARP的优先级介于静态ARP和动态ARP之间，除了创建方式外其它特性均与动态ARP相同；SMP是整个体系的核心，作为一个可信任的第三方，同时向网关和SU提供双方正确的ARP信息，并自动管理双向绑定的建立和删除。

　　配置如图1所示：

                                             图1 GSN的ARP欺骗防御体系
      

　　1. SMP

　　添加网关信息：包括网关的IP，MAC和SNMP读写Community。

　　2. 网关（S8610）

　　service trustedarp //启用可信任服务

　　snmp-server community private rw

　　//设置SNMP读写Community为private

　　3. NAS（S21XX）

　　radius-server host 192.168.0.10

　　//设置认证服务器

　　aaa authentication dot1x

　　aaa accounting server 192.168.0.10

　　//设置记账服务器

　　aaa accounting

　　aaa accounting update

　　radius-server key ruijiesam

　　security gsn enable

　　//启用GSN功能

　　security v2c community ruijiesmp

　　smp-server host 192.168.0.20

　　interface fastEthernet 0/1

　　switchport access vlan 100

　　dot1x port-control auto //端口开启认证

　　security address-bind enable //启用认证后绑定IP和MAC

　　……

　　4. SU

　　SU不需任何配置。

　　使用ARP-Check封堵非法ARP报文

　　锐捷NAS使用ARP-Check技术对流入的ARP报文内容进行合法性检查，丢弃非法报文，防止受控端口下联的主机对网关或其它主机发起ARP欺骗攻击。ARP-Check通常需要结合SAM认证，用户通过认证后将在NAS上绑定用户的IP和MAC信息；ARP-Check根据在NAS上动态绑定用户的IP和MAC信息来检查ARP报文内容，转发合法报文，丢弃非法报文，如图2所示。

                                                   图2 使用ARP-Check封堵非法ARP报文的过程

　　接入交换机（S21XX）的配置如下：

　　radius-server host 192.168.0.10

　　//设置认证服务器

　　aaa authentication dot1x

　　aaa accounting server 192.168.0.10

　　//设置记账服务器

　　aaa accounting

　　aaa accounting update

　　radius-server key ruijiesam

　　port-security arp-check //启用交换机的arp报文检查功能

　　port-security arp-check cpu

　　//对送入交换机的arp报文进行检测

　　interface fastEthernet 0/1

　　switchport access vlan 100

　　dot1x port-control auto //端口开启认证

　　security address-bind enable

　　//启用认证后绑定IP和MAC

　　……

　　对于未开启认证的端口或者S21XX尚未启用SAM认证，可以采用静态绑定的方式，手工绑定合法用户的IP、MAC及接入端口的对应关系。

　　接入交换机（S21XX）的相关配置如下：

　　port-security arp-check//开启交换机的arp报文检查功能

　　port-security arp-check cpu//检测交换机的arp报文

　　interface fastEthernet 0/1 switchport access vlan 100

　　switchport port-security //启用端口安全模式

　　//绑定IP-MAC

　　switchport port-security mac-address 00d0.f8a4.6802

　　ip-address 192.168.2.1

　　……

　　GSN+ARP-Check实现全面防御

　　ARP-Check方案最大的优点是部署简单，同时屏蔽了大量的虚假ARP报文，净化了网络环境；缺点是必须部署全网段，只要在同一个网段内存在接入端口不受控的主机，就存在着ARP欺骗的隐患，而且对于S21XX部署在汇聚层、接入交换机不支持ARP-Check的情况，在同一台接入交换机范围之内存在互相欺骗的可能性。GSN方案最大的优点是：只要是通过认证的合法用户，就会受到保护；缺点是无法减少网络中的虚假ARP报文，而当网关是不支持可信任ARP的设备时，只能对客户端进行单向绑定保护。

　　考虑最不理想的一种环境：网关为其它品牌的设备，不支持可信任ARP；S21XX交换机部署在汇聚层，接入设备为其它品牌，不支持ARP-Check。ARP-Check可以保护网关不被欺骗，并且将欺骗限制在同一台接入交换机的有限范围内；而GSN能自动在客户端绑定真实的网关ARP信息，从而避免被其它主机欺骗。GSN方案和ARP-Check方案各有长短，分别适用于不同的环境并且能够共存，二者功能的互补可以实现对ARP欺骗攻击的全面防御。

《中国教育网络》