Huawei

Como Configurar Dynamic ARP Inspection (DAI) no Huawei NE8000: Passo a Passo

2 min de leitura
O Dynamic ARP Inspection (DAI) no Huawei NE8000  é uma funcionalidade de segurança que protege a rede contra ataques ARP Spoofing. Ele valida pacotes ARP com base em tabelas de configuração ou informações de segurança, garantindo que apenas dispositivos legítimos comuniquem-se na rede. Configurar o DAI no Huawei NE8000 fortalece a segurança e evita falsificação de pacotes ARP.

Passo a Passo para Configurar Dynamic ARP Inspection no Huawei NE8000

Pré-requisitos:

  • Acesso ao Huawei NE8000 via CLI.
  • Permissões administrativas.
  • O recurso DHCP Snooping deve estar ativado e configurado.

Passo 1: Acesse o Huawei NE8000

Conecte-se ao dispositivo via SSH ou console local: ssh admin@<IP_DO_DISPOSITIVO>

Passo 2: Entre no modo de configuração global

Acesse o modo de configuração global para realizar alterações:
VRP (Huawei)
system-view

Passo 3: Ative o DAI na VLAN

Associe o recurso DAI às VLANs que precisam de proteção contra ARP Spoofing: arp anti-attack enable arp anti-attack check user-bind enable vlan <ID_DA_VLAN> Exemplo: arp anti-attack enable arp anti-attack check user-bind enable vlan 10

Passo 4: Configure portas confiáveis e não confiáveis

Defina quais interfaces podem enviar pacotes ARP diretamente (confiáveis) e quais precisam de validação:
  • Configurar uma porta como confiável:
    VRP (Huawei)
    interface <NOME_DA_INTERFACE>
arp anti-attack check user-bind trust
    Exemplo:
    VRP (Huawei)
    interface GigabitEthernet0/0/1
arp anti-attack check user-bind trust
  • Configurar uma porta como não confiável:
    VRP (Huawei)
    interface <NOME_DA_INTERFACE>
undo arp anti-attack check user-bind trust

Passo 5: Configure limites de pacotes ARP em portas não confiáveis

Defina limites de pacotes ARP por segundo para proteger a rede contra ataques: arp anti-attack rate-limit <PACOTES_POR_SEGUNDO> vlan <ID_DA_VLAN> Exemplo: arp anti-attack rate-limit 50 vlan 10

Passo 6: Monitore as entradas DAI na tabela ARP

Certifique-se de que os pacotes ARP estão sendo validados corretamente:
VRP (Huawei)
display arp anti-attack statistics

Passo 7: Ajuste configurações conforme necessário

Se detectar falsos positivos ou problemas, ajuste as regras e limites para otimizar a proteção.

Passo 8: Salve as configurações

Certifique-se de salvar todas as alterações realizadas para que permaneçam após reinicializações:
VRP (Huawei)
save

Conclusão

Configurar o Dynamic ARP Inspection no Huawei NE8000 é uma medida essencial para proteger a rede contra ataques ARP Spoofing e garantir a segurança das comunicações. Com o DAI ativado, você pode reforçar a integridade e a confiabilidade da infraestrutura de rede.