AR2220 通过cpu-defend policy处理大量大量arp广播的小技巧

今天发现有局域网里面有几台电脑中毒了，在大量的发送ARP报文，导致设备cpu利用率很高。

一、查看display cpu-defend statistics 发现arp-reply  arp-request 报文drop很很多包。

二、打开auto-defend 功能，开启自动发现攻击源

<AR2220>display auto-defend configuration 
 -----------------------------------------------------------------------
 Name  : xdhg
 Related slot : <0>
 auto-defend                 : enable
 auto-defend threshold       : 128 (pps)
 auto-defend alarm           : enable
 auto-defend alarm threshold : 128 (pps)
 auto-defend trace-type      : source-mac source-portvlan source-ip 
 auto-defend protocol        : ARP ICMP DHCP IGMP TTLONE TCP TELNET 
 ----------------------------------------------------------------------

查看信息

发现192.168.0.36 mac为4016-9fef-f2b3的电脑在发arp攻击包

三、开启cpu-defend 黑名单

L2 ACL 4000, 3 rules
Acl's step is 5
 rule 5 permit l2-protocol arp source-mac 4016-9fe7-f2b3(979719 matches)
 rule 10 permit l2-protocol arp source-mac 1cfa-681c-47e9(359743 matches)
 rule 15 permit l2-protocol arp source-mac 3883-4571-183f(51538 matches)

<AR2220>display cpu-defend policy xdhg
 Related slot : <0>
 BlackList Status : 
   Slot<0> : Success
 Configuration : 
   Blacklist 1 ACL number : 4000
   Deny packet-type igmp
   Rate-limit all-packets : 1500(pps)(default)

在cpu-defend的策略里面添加黑名单，并在全局下面启用，启用cpu黑名单之后，路由器不会吧acl里面mac地址发送的arp报文上传到cpu处理，而是直接敷略，这样路由器也不会学习到他们的arp信息，这样的话，为了让他们正常通信还需要通过手动的方式添加静态arp

<AR2220>display arp static
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE 
                                          VLAN/CEVLAN PVC                      
------------------------------------------------------------------------------
192.168.0.106   1cfa-681c-47e9            S--
192.168.0.36    4016-9fe7-f2b3            S--
192.168.0.237   3883-4571-183f            S--
------------------------------------------------------------------------------
Total:3         Dynamic:0       Static:3     Interface:0    

。

<AR2220>display cpu-defend statistics
-----------------------------------------------------------------------
Packet Type               Pass Packets        Drop Packets
-----------------------------------------------------------------------
8021X                                0                   0 
arp-miss                             0                   0 
arp-reply                            0                   0 
arp-request                        116                 0 

这样处理之后，就没有太多的arp广播报文了，而且电脑也可以正常通信哈

个人发现的小技巧，不知道是不是真的就这么回事了，也请华为的专家看看，这样能否行呢？谢谢

原文来自：http://support.huawei.com/ecommunity/bbs/10178799.html