华为网络设备ARP安全防护实战：从基础限速到高级检测

1. ARP安全防护的必要性与挑战

ARP协议作为网络通信的基础协议，就像小区里的门牌号系统，负责把IP地址和MAC地址对应起来。但正是这种简单直接的机制，让它成为攻击者的重点目标。我在实际运维中就遇到过好几次因为ARP欺骗导致的网络瘫痪，最严重的一次整个办公区断网两小时。

ARP攻击主要分两类：一种是ARP欺骗，攻击者伪造ARP响应包，把自己伪装成网关或其他主机；另一种是ARP泛洪，短时间内发送大量ARP请求耗尽设备资源。这两种攻击都会导致网络中断、数据泄露等严重后果。华为设备的ARP安全防护功能就像给网络装上了防盗门、监控摄像头和报警系统，从多个维度构建防御体系。

2. 基础防护：ARP报文限速配置

2.1 源MAC地址限速

限速是最基础的防护措施，相当于给ARP报文流量装上水龙头。配置起来很简单：

[Huawei]arp speed-limit source-mac maximum 10

这条命令限制每个源MAC地址每秒最多发送10个ARP报文。我建议初期可以设得宽松些（比如20-30），然后根据实际流量逐步调整。太严格会影响正常业务，太宽松又起不到防护效果。

对于重点防护的设备，可以单独设置限速值：

[Huawei]arp speed-limit source-mac 1000-0000-0000 maximum 10

2.2 源IP地址限速

除了MAC地址，还可以针对IP地址限速：

[Huawei]arp speed-limit source-ip 10.1.1.1 maximum 30

这个配置对指定IP的ARP报文限速为30个/秒。在实际项目中，我通常会结合DHCP Snooping功能，只允许DHCP分配的IP地址发送ARP请求。

2.3 接口级限速配置

在具体接口上启用限速更精准：

[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit 10 [Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit enable [Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit alarm enable [Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit alarm threshold 100

这里不仅设置了限速，还开启了告警功能。当丢弃的ARP报文超过阈值（100个）时，设备会发出告警。这个功能非常实用，有次就是靠它及时发现了一个内网扫描行为。

3. 中级防护：动态ARP检测与表项固化

3.1 动态ARP检测(DAI)

这个功能就像网络里的身份证查验系统：

[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind enable [Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind check-item ip-address [Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind check-item mac-address [Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind check-item vlan

配置时需要先启用DHCP Snooping：

[Huawei]dhcp enable [Huawei]dhcp snooping enable [Huawei-GigabitEthernet0/0/1]dhcp snooping enable [Huawei-GigabitEthernet0/0/1]dhcp snooping trusted

这样设备会建立一个绑定表，记录IP、MAC、VLAN和接口的对应关系。任何不符合绑定表的ARP报文都会被丢弃。实测下来，这个功能能拦截90%以上的ARP欺骗攻击。

3.2 ARP表项固化

表项固化就像给ARP缓存上锁：

[Huawei]arp anti-attack entry-check fixed-mac enable [Huawei]arp anti-attack entry-check fixed-all enable

启用后，ARP表项中的MAC地址或全部字段就不能被更新了。这个功能特别适合网络拓扑稳定的环境。有次客户的内网总是间歇性断网，启用这个功能后问题立刻解决，后来发现是有台中毒的电脑在持续发送伪造ARP包。

4. 高级防护：网关保护与行为监控

4.1 防网关冲突攻击

网关是网络流量的枢纽，必须重点保护：

[Huawei]arp anti-attack gateway-duplicate enable

这个功能会检测是否有其他设备冒充网关。一旦发现冲突，会立即告警并记录日志。我曾经遇到过一个案例，攻击者伪造网关ARP响应，导致所有流量都被劫持。启用这个功能后，类似攻击就被及时阻断了。

4.2 免费ARP定时发送

合法网关应该定期"亮明身份"：

[Huawei-Vlanif10]arp gratuitous-arp send enable [Huawei-Vlanif10]arp gratuitous-arp send interval 60

配置网关每60秒发送一次免费ARP报文，可以帮助终端设备及时更新ARP缓存。这个看似简单的功能，实际上能有效预防ARP缓存中毒攻击。

4.3 ARP报文合法性检查

最后一道防线是报文内容检查：

[Huawei]arp anti-attack packet-check sender-mac

这个功能会验证ARP报文中的发送者MAC地址是否与以太网帧头一致。很多低级的ARP攻击工具都会忽略这个细节，配置后能直接过滤掉这些恶意报文。

5. 运维与排错技巧

5.1 常用查看命令

日常运维离不开这些命令：

[Huawei]display arp anti-attack configuration all [Huawei]display arp-limit [Huawei]display arp learning strict [Huawei]display arp anti-attack statistics check user-bind interface g0/0/1

特别是最后一个命令，可以查看因绑定表检查被丢弃的ARP报文计数。有次排查网络问题时，就是通过这个命令发现某个接口丢弃了大量ARP包，最终定位到是一台违规接入的设备导致的。

5.2 统计信息清零

长期运行后可能需要清零统计：

[Huawei]reset arp packet statistics [Huawei]reset arp anti-attack statistics check user-bind interface g0/0/1 [Huawei]reset arp anti-attack statistics rate-limit

建议在每次重大网络变更前后都执行这些操作，方便对比分析。

5.3 日志与告警优化

合理配置日志能事半功倍：

[Huawei]arp anti-attack log-trap-timer 1

这个命令设置告警时间间隔为1分钟。在攻击高发期，可以临时调小这个值；平时则可以设大些，避免日志爆炸。