17-ND攻击防御命令
本章节下载: 17-ND攻击防御命令 (115.33 KB)
目 录
1.1.1 ipv6 nd mac-check enable
1.2.1 display ipv6 nd detection
1.2.2 display ipv6 nd detection statistics
1.2.3 ipv6 nd detection enable
1.2.5 reset ipv6 nd detection statistics
【命令】
ipv6 nd mac-check enable
undo ipv6 nd mac-check enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ipv6 nd mac-check enable命令用来在网关设备上使能ND协议报文源MAC地址一致性检查功能。在网关使能此功能后,会对接收的ND协议报文进行检查,如果ND协议报文中的源MAC地址和源链路层选项地址中的MAC地址不同,则丢弃该报文。undo ipv6 nd mac-check enable命令用来关闭ND协议报文源MAC地址一致性检查功能。
缺省情况下,ND协议报文源MAC地址一致性检查功能处于关闭状态。

· 对于VRRP组网,目前NA回复报文的源MAC地址和源链路层选项地址中的MAC地址都是不一致的,因此对于VRRP组网不要使能ND协议报文源MAC地址一致性检查功能。
· 仅S5500-28F-WiNet交换机支持VRRP。
【举例】
# 使能ND协议报文源MAC地址一致性检查功能。
<Sysname> system-view
[Sysname] ipv6 nd mac-check enable
【命令】
display ipv6 nd detection [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipv6 nd detection命令用来显示ND Detection的配置信息。
相关配置可参考命令ipv6 nd detection enable和ipv6 nd detection trust。
【举例】
# 显示ND Detection配置信息。
<Sysname> display ipv6 nd detection
ND detection is enabled on the following VLANs:
1, 2, 4-5
ND detection trust is configured on the following interfaces:
GigabitEthernet1/0/1
GigabitEthernet1/0/2
表1-1 display ipv6 nd detection命令显示信息描述表
| 字段 | 描述 | 
| ND detection is enabled on the following VLANs | 使能了ND Detection功能的VLAN | 
| ND detection trust is configured on the following interfaces | ND信任端口列表 | 
【命令】
display ipv6 nd detection statistics [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
interface interface-type interface-number:显示指定接口的统计信息。interface-type interface-number用来指定接口类型和编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipv6 nd detection statistics命令用来显示ND Detection进行用户合法性检查时丢弃报文的统计信息。
需要注意的是:指定接口时,只显示该接口丢弃报文的统计信息;不指定接口时,显示所有接口丢弃报文的统计信息。
【举例】
# 显示ND Detection进行用户合法性检查时丢弃报文的统计信息。
<Sysname> display ipv6 nd detection statistics
ND packets dropped by ND detection:
Interface Packets Dropped
GE1/0/1 78
GE1/0/2 0
GE1/0/3 0
GE1/0/4 0
表1-2 display ipv6 nd detection statistics命令显示信息描述表
| 字段 | 描述 | 
| Interface | ND报文入接口 | 
| Packets Dropped | 由于用户合法性检查不通过而丢弃的ND报文数目 | 
【命令】
ipv6 nd detection enable
undo ipv6 nd detection enable
【视图】
VLAN视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ipv6 nd detection enable命令用来使能ND Detection功能,即对ND报文进行用户合法性检查。undo ipv6 nd detection enable命令用来关闭ND Detection功能。
缺省情况下,ND Detection功能处于关闭状态。
【举例】
# 使能VLAN 10的ND Detection功能。
<Sysname> system-view
[Sysname] vlan 10
[Sysname-vlan10] ipv6 nd detection enable
【命令】
ipv6 nd detection trust
undo ipv6 nd detection trust
【视图】
二层以太网端口视图/二层聚合接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ipv6 nd detection trust命令用来配置端口为ND信任端口。undo ipv6 nd detection trust命令用来配置端口为ND非信任端口。
缺省情况下,端口为ND非信任端口。
【举例】
# 配置二层以太网端口GigabitEthernet1/0/1为ND信任端口。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 nd detection trust
# 配置二层聚合接口Bridge-Aggregation1为ND信任端口。
<Sysname> system-view
[Sysname] interface bridge-Aggregation 1
[Sysname-Bridge-Aggregation1] ipv6 nd detection trust
【命令】
reset ipv6 nd detection statistics [ interface interface-type interface-number ]
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
interface interface-type interface-number:表示清除指定接口的统计信息。interface-type interface-number用来指定接口类型和编号。
【描述】
reset ipv6 nd detection statistics命令用来清除ND Detection的统计信息。不指定接口时,清除所有的ND Detection统计信息。
【举例】
# 清除所有的ND Detection统计信息。
<Sysname> reset ipv6 nd detection statistics
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
