华为交换机 VLAN+VRRP+ARP 防御联动配置(完整脚本)
一、方案背景与联动逻辑
1.1 应用场景
本方案适用于电网办公网、政企内网等对网络稳定性和安全性要求极高的场景。在这类场景中,需解决三大核心问题:① 用VLAN划分广播域,隔离不同业务网段,减少广播风暴影响;② 用VRRP实现网关冗余,避免单网关故障导致整个网段业务中断;③ 用ARP防御(静态绑定、ARP检测等)抵御ARP欺骗攻击,防止网关IP/MAC被篡改,保障VRRP主备切换的可靠性。
1.2 联动核心逻辑
三者联动的核心是“分层防护+冗余保障”:
1. VLAN作为基础隔离层:将不同业务(如办公、运维、业务系统)划分到独立VLAN,限制ARP广播域范围,避免攻击跨网段扩散;
2. VRRP作为网关冗余层:为每个VLAN配置VRRP备份组,指定主/备网关,确保单网关故障时1秒内自动切换,不影响终端通信;
3. ARP防御作为安全防护层:通过静态绑定VRRP虚拟网关、主备网关的IP-MAC映射,结合ARP检测功能,过滤伪造ARP报文,防止攻击者篡改网关信息,确保VRRP备份组正常工作。
二、组网规划(示例)
|
设备角色 |
设备型号 |
VLAN规划 |
接口配置 |
VRRP备份组 |
|
VRRP主网关(SW1) |
华为S6720 |
VLAN 10(办公网:192.168.10.0/24)、VLAN 20(运维网:192.168.20.0/24) |
Gi0/0/1(接SW2,Trunk)、Gi0/0/2-20(接入VLAN 10终端)、Gi0/0/21-30(接入VLAN 20终端) |
VLAN 10备份组1(虚拟IP:192.168.10.1,优先级120);VLAN 20备份组2(虚拟IP:192.168.20.1,优先级120) |
|
VRRP备网关(SW2) |
华为S6720 |
同SW1(VLAN 10、VLAN 20) |
Gi0/0/1(接SW1,Trunk)、Gi0/0/2-20(接入VLAN 10终端)、Gi0/0/21-30(接入VLAN 20终端) |
VLAN 10备份组1(优先级100);VLAN 20备份组2(优先级100) |
补充说明:① 两台交换机通过Gi0/0/1接口配置Trunk链路,透传VLAN 10、20;② VRRP虚拟网关为终端默认网关;③ ARP防御针对各VLAN网关IP(虚拟+主备实IP)进行绑定。
三、完整配置脚本(SW1+SW2)
3.1 基础配置(SW1与SW2通用,先执行)
|
bash
# 1. 配置主机名
system-view
sysname SW1 # SW2此处改为sysname SW2
quit
# 2. 配置系统时间与日志(等保要求,便于故障追溯)
clock timezone UTC+8
ntp server 192.168.254.10 source LoopBack0 # 对接内网NTP服务器
info-center enable
info-center loghost 192.168.254.10 # 对接日志服务器
quit
# 3. 关闭不必要服务,减少攻击面
system-view
undo service telnet
service https enable
quit |
3.2 VLAN配置(SW1与SW2配置一致)
|
bash
# 1. 创建VLAN并配置VLANIF接口(网关IP)
system-view
vlan batch 10 20 # 批量创建VLAN 10、20
# VLAN 10(办公网)接口配置
interface Vlanif 10
ip address 192.168.10.2 255.255.255.0 # SW1实IP,SW2改为192.168.10.3
quit
# VLAN 20(运维网)接口配置
interface Vlanif 20
ip address 192.168.20.2 255.255.255.0 # SW1实IP,SW2改为192.168.20.3
quit
# 2. 配置接入接口(终端侧)
# 配置VLAN 10接入接口(Gi0/0/2-20)
interface range GigabitEthernet 0/0/2 to GigabitEthernet 0/0/20
port link-type access
port default vlan 10
undo port negotiation auto # 关闭自动协商,避免链路波动
quit
# 配置VLAN 20接入接口(Gi0/0/21-30)
interface range GigabitEthernet 0/0/21 to GigabitEthernet 0/0/30
port link-type access
port default vlan 20
undo port negotiation auto
quit
# 3. 配置Trunk链路(SW1与SW2互联接口Gi0/0/1)
interface GigabitEthernet 0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 # 仅透传业务VLAN,增强安全性
port trunk pvid vlan 1 # 默认VLAN为1(不影响业务)
undo port negotiation auto
quit |
3.3 VRRP配置(SW1为主网关,SW2为备网关)
|
bash
# ========== SW1(主网关)配置 ==========
system-view
# VLAN 10 VRRP备份组1配置
interface Vlanif 10
vrrp vrid 1 virtual-ip 192.168.10.1 # 虚拟网关IP(终端默认网关)
vrrp vrid 1 priority 120 # 优先级高于SW2(100),成为主网关
vrrp vrid 1 preempt-mode enable # 启用抢占模式(默认开启,故障恢复后夺回主地位)
vrrp vrid 1 authentication-mode md5 cipher VRRP-AUTH-123 # 启用MD5认证,防止虚假VRRP报文
quit
# VLAN 20 VRRP备份组2配置
interface Vlanif 20
vrrp vrid 2 virtual-ip 192.168.20.1
vrrp vrid 2 priority 120
vrrp vrid 2 preempt-mode enable
vrrp vrid 2 authentication-mode md5 cipher VRRP-AUTH-123
quit
# ========== SW2(备网关)配置 ==========
system-view
# VLAN 10 VRRP备份组1配置
interface Vlanif 10
vrrp vrid 1 virtual-ip 192.168.10.1
vrrp vrid 1 priority 100 # 优先级低于SW1,成为备网关
vrrp vrid 1 preempt-mode enable
vrrp vrid 1 authentication-mode md5 cipher VRRP-AUTH-123 # 认证密钥需与SW1一致
quit
# VLAN 20 VRRP备份组2配置
interface Vlanif 20
vrrp vrid 2 virtual-ip 192.168.20.1
vrrp vrid 2 priority 100
vrrp vrid 2 preempt-mode enable
vrrp vrid 2 authentication-mode md5 cipher VRRP-AUTH-123
quit |
3.4 ARP防御配置(联动核心,SW1与SW2配置一致)
|
bash
# 1. 静态绑定VRRP虚拟网关、主备网关的IP-MAC映射(关键:防止网关信息被篡改)
system-view
# 绑定VLAN 10相关IP-MAC
# SW1自身IP(192.168.10.2)与MAC(需替换为实际设备MAC,用display interface Vlanif 10查看)
arp static 192.168.10.2 00e0-fc12-3456 # SW1的Vlanif 10 MAC
# SW2 IP(192.168.10.3)与MAC(SW2的Vlanif 10 MAC)
arp static 192.168.10.3 00e0-fc65-4321
# VRRP虚拟网关IP(192.168.10.1)与虚拟MAC(VRRP虚拟MAC格式:00-00-5E-00-01-VRID,此处VRID=1)
arp static 192.168.10.1 0000-5e00-0101
# 绑定VLAN 20相关IP-MAC
arp static 192.168.20.2 00e0-fc12-3457 # SW1的Vlanif 20 MAC
arp static 192.168.20.3 00e0-fc65-4322 # SW2的Vlanif 20 MAC
arp static 192.168.20.1 0000-5e00-0102 # VRRP虚拟MAC(VRID=2)
quit
# 2. 启用ARP检测(DAI),过滤伪造ARP报文
system-view
# 全局启用ARP检测
arp detection enable
# 在业务VLAN内启用ARP检测(仅对接入接口生效)
vlan 10
arp detection enable
# 配置ARP检测信任接口(Trunk链路Gi0/0/1,允许转发合法ARP报文)
arp detection trust-interface GigabitEthernet 0/0/1
quit
vlan 20
arp detection enable
arp detection trust-interface GigabitEthernet 0/0/1
quit
# 3. (可选)联动DHCP snooping,自动获取终端IP-MAC绑定(终端通过DHCP获取IP场景)
# 全局启用DHCP snooping
dhcp-snooping enable
# 在业务VLAN内启用DHCP snooping
vlan 10
dhcp-snooping enable
quit
vlan 20
dhcp-snooping enable
quit
# 配置DHCP服务器连接接口为信任端口(若DHCP服务器接在SW1的Gi0/0/31)
interface GigabitEthernet 0/0/31
dhcp-snooping trust
quit
# 启用ARP检测与DHCP snooping联动(自动用DHCP绑定表验证ARP报文)
arp detection validate dhcp-snooping binding
quit |
3.5 跨VLAN路由配置(可选,需跨VLAN通信时)
|
bash
# 若需实现VLAN 10与VLAN 20互通,启用交换机三层路由功能(华为S6720支持三层路由)
system-view
ip routing-table enable # 启用路由表功能
# 无需额外配置静态路由,VLANIF接口已直连路由,路由表自动生成
quit |
四、配置验证命令
|
bash
# 1. 验证VLAN配置
display vlan brief # 查看VLAN与接口的关联关系
display interface Vlanif 10 # 查看VLANIF接口状态与IP
# 2. 验证VRRP状态(核心)
display vrrp brief # 查看各备份组的主备状态、虚拟IP、优先级
# 正常状态:SW1的VLAN 10/20备份组为Master,SW2为Backup
# 3. 验证ARP绑定与检测
display arp static # 查看静态ARP绑定表
display arp detection configuration # 查看ARP检测配置
display arp detection statistics # 查看ARP检测统计(是否有伪造报文被丢弃)
# 4. 验证DHCP snooping(联动场景)
display dhcp-snooping trust interface # 查看DHCP信任端口
display dhcp-snooping binding # 查看DHCP snooping绑定表
# 5. 主备切换测试(模拟主网关故障)
# 在SW1上关闭Vlanif 10接口,测试SW2是否成为Master
interface Vlanif 10
shutdown
quit
display vrrp brief # 验证SW2的VLAN 10备份组变为Master
# 恢复SW1接口
interface Vlanif 10
undo shutdown
quit
display vrrp brief # 验证SW1重新成为Master(抢占模式生效) |
五、常见故障排查
- VRRP备份组无法建立:① 检查Trunk链路是否正常(display port trunk),确保VLAN透传;② 验证VRRP认证密钥是否一致;③ 检查VLANIF接口是否Up(display interface Vlanif)。
- 终端无法获取IP(DHCP场景):① 确认DHCP snooping信任端口配置正确;② 检查ARP检测是否误拦截DHCP报文(查看arp detection statistics);③ 验证DHCP服务器是否正常下发IP。
- ARP攻击导致网关不可达:① 查看ARP检测统计,确认是否有大量伪造报文被丢弃;② 补充静态ARP绑定(终端IP-MAC);③ 在接入接口启用端口安全(port-security),限制单端口最大MAC地址数。
- VRRP主备切换失败:① 检查抢占模式是否启用;② 验证备份组优先级配置是否正确;③ 检查链路是否存在丢包(用ping测试SW1与SW2的互联接口)。
六、运维建议
1. 定期备份配置:每季度执行save命令保存配置,异地存储,故障时快速恢复;
2. 定期更新密钥:每90天更新VRRP认证密钥,避免密钥泄露;
3. 常态化日志审计:每周查看ARP检测日志、VRRP状态变化日志,及时发现异常攻击;
4. 限制接入权限:在终端接入接口启用端口安全(port-security max-mac-num 1),防止非法设备接入;
5. 固件版本更新:及时更新华为交换机固件,修复已知的VRRP、ARP相关漏洞。
4
0
已为社区贡献1条内容
所有评论(0)