• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

09-安全命令参考

目录

18-ND攻击防御命令

本章节下载 18-ND攻击防御命令  (114.42 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S12500/S12500X-AF/Command/Command_Manual/H3C_S12500X-AF_CR(R320x)-6W100/09/201905/1181787_30005_0.htm

18-ND攻击防御命令


1 ND攻击防御

1.1  ND协议报文源MAC地址一致性检查命令

1.1.1  ipv6 nd check log enable

ipv6 nd check log enable命令用来开启ND日志信息功能。

undo ipv6 nd check log enable命令用来关闭ND日志信息功能。

【命令】

ipv6 nd check log enable

undo ipv6 nd check log enable

【缺省情况】

ND日志信息功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。

【举例】

# 开启ND日志信息功能。

<Sysname> system-view

[Sysname] ipv6 nd check log enable

1.1.2  ipv6 nd mac-check enable

ipv6 nd mac-check enable命令用来开启ND协议报文源MAC地址一致性检查功能。

undo ipv6 nd mac-check enable命令用来关闭ND协议报文源MAC地址一致性检查功能。

【命令】

ipv6 nd mac-check enable

undo ipv6 nd mac-check enable

【缺省情况】

ND协议报文源MAC地址一致性检查功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

网关设备开启该功能后,会对接收到的ND协议报文进行检查,如果ND报文中的源MAC地址和以太网数据帧首部的源MAC地址不一致,则丢弃该报文。

【举例】

# 开启ND协议报文源MAC地址一致性检查功能。

<Sysname> system-view

[Sysname] ipv6 nd mac-check enable

1.2  IPv6 Destination Guard配置命令

1.2.1  display ipv6 destination-guard

display ipv6 destination-guard命令用来显示IPv6 Destination Guard功能的状态信息。

【命令】

display ipv6 destination-guard [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:显示指定接口的IPv6 Destination Guard功能的状态信息。interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则显示全局和所有接口的IPv6 Destination Guard功能的状态信息。

【举例】

# 显示全局和所有接口的IPv6 Destination Guard功能的状态信息。

<Sysname> display ipv6 destination-guard

Global IPv6 destination-guard status: Enabled (Stressed)

Interface                 Status

HGE1/0/1                  Enabled (Stressed)

HGE1/0/2                  Disabled

表1-1 display ipv6 destination-guard 命令显示信息描述表

字段

描述

Global IPv6 destination-guard status

全局IPv6 Destination Guard功能的状态,取值包括:

·     Disabled:关闭状态

·     Enabled:开启状态

Stressed表示在压力模式下开启全局IPv6 Destination Guard功能

Interface

接口名称

Status

接口IPv6 Destination Guard功能的状态,取值包括:

·     Disabled:关闭状态

·     Enabled:开启状态

Stressed表示在压力模式下开启接口IPv6 Destination Guard功能

 

【相关命令】

·     ipv6 destination-guard

·     ipv6 destination-guard global enable

1.2.2  ipv6 destination-guard

ipv6 destination-guard enable命令用来开启接口IPv6 Destination Guard功能。

ipv6 destination-guard disable命令用来关闭接口IPv6 Destination Guard功能。

undo ipv6 destination-guard命令用来将接口IPv6 Destination Guard功能恢复成当前全局IPv6 Destination Guard功能的状态。

【命令】

ipv6 destination-guard { disable | enable [ stressed ] }

undo ipv6 destination-guard

【缺省情况】

接口IPv6 Destination Guard功能的状态与全局IPv6 Destination Guard功能的状态保持一致。

【视图】

三层以太网接口视图

VLAN接口视图

【缺省用户角色】

network-admin

【参数】

stressed:表示仅在压力模式下开启接口的IPv6 Destination Guard功能。如果未指定本参数,则表示设备立即开启接口IPv6 Destination Guard功能。

【使用指导】

如果接口上配置了IPv6 Destination Guard功能,接口IPv6 Destination Guard功能的状态以接口的配置为准,不受全局IPv6 Destination Guard功能的影响。如果接口上未配置IPv6 Destination Guard功能,接口IPv6 Destination Guard功能的状态以全局的配置为准。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在VLAN接口2上开启IPv6 Destination Guard功能。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] ipv6 destination-guard enable

【相关命令】

·     display ipv6 destination-guard

·     ipv6 destination-guard global enable

1.2.3  ipv6 destination-guard global enable

ipv6 destination-guard global enable命令用来开启全局IPv6 Destination Guard功能。

undo ipv6 destination-guard global enable命令用来关闭全局IPv6 Destination Guard功能。

【命令】

ipv6 destination-guard global enable [ stressed ]

undo ipv6 destination-guard global enable

【缺省情况】

全局IPv6 Destination Guard功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

stressed:表示仅在压力模式下开启设备的全局IPv6 Destination Guard功能。如果未指定本参数,则表示设备立即开启全局IPv6 Destination Guard功能。

【使用指导】

如果接口上开启了IPv6 Destination Guard功能,接口IPv6 Destination Guard功能的状态以接口的配置为准,不受全局IPv6 Destination Guard功能的影响。如果接口上未开启IPv6 Destination Guard功能,接口IPv6 Destination Guard功能的状态以全局的配置为准。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 开启全局IPv6 Destination Guard功能。

<Sysname> system-view

[Sysname] ipv6 destination-guard global enable

【相关命令】

·     display ipv6 destination-guard

·     ipv6 destination-guard

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们