- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
09-ND攻击防御命令
本章节下载: 09-ND攻击防御命令 (131.31 KB)
1.1.1 display ipv6 nd source-mac
1.1.2 display ipv6 nd source-mac statistics
1.1.4 ipv6 nd source-mac aging-time
1.1.5 ipv6 nd source-mac exclude-mac
1.1.6 ipv6 nd source-mac threshold
1.1.7 reset ipv6 nd source-mac statistics
1.2.1 ipv6 nd check log enable
1.2.2 ipv6 nd mac-check enable
display ipv6 nd source-mac命令用来显示源MAC地址固定的ND攻击检测表项。
【命令】
独立运行模式
display ipv6 nd source-mac { interface interface-type interface-number | slot slot-number }
IRF模式
display ipv6 nd source-mac { interface interface-type interface-number | chassis chassis-number slot slot-number }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口上的源MAC地址固定的ND攻击检测表项,interface-type interface-number表示指定接口的类型和编号。如果不指定该参数,则显示所有接口上的源MAC地址固定的ND攻击检测表项。
slot slot-number:显示指定单板上的源MAC地址固定的ND攻击检测表项。slot-number表示单板所在的槽位号。如果未指定本参数,则显示主用主控板上的源MAC地址固定的ND攻击检测表项。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的源MAC地址固定的ND攻击检测表项。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则显示全局主用主控板上的源MAC地址固定的ND攻击检测表项。(IRF模式)
【举例】
# 显示接口GigabitEthernet1/0/1上的源MAC地址固定的ND攻击检测表项。
<Sysname> display ipv6 nd source-mac interface gigabitethernet 1/0/1
Source MAC VLAN ID Interface Aging time(s)
3333-2222-1234 11 GE1/0/1 286
表1-1 display ipv6 nd source-mac命令显示信息描述表
|
字段 |
描述 |
|
Source MAC |
检测到攻击的源MAC地址 |
|
VLAN ID |
检测到攻击的VLAN ID,如果不存在,则显示为“N/A” |
|
Interface |
检测到攻击的接口 |
|
Aging time(s) |
ND防攻击策略表项老化剩余时间,单位为秒 |
display ipv6 nd source-mac statistics命令用来显示ND攻击检测功能丢弃的源MAC地址固定的ND攻击报文计数统计信息。
【命令】
(独立运行模式)
display ipv6 nd source-mac statistics slot slot-number
(IRF模式)
display ipv6 nd source-mac statistics chassis chassis-number slot slot-number
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:显示指定单板上的计数统计信息。slot-number表示单板的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的计数统计信息。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。(IRF模式)
【举例】
# 显示Slot1上的ND攻击检测功能丢弃的源MAC地址固定的ND攻击报文计数统计信息。(独立运行模式)
<Sysname> display ipv6 nd source-mac statistics slot 1
Dropped ND messages: 1000
表1-2 display ipv6 nd source-mac statistics命令显示信息描述表
|
字段 |
描述 |
|
Dropped ND messages |
被丢弃的源MAC固定的ND攻击报文数 |
【相关命令】
· reset ipv6 nd source-mac statistics
ipv6 nd source-mac命令用来开启源MAC地址固定的ND攻击检测功能,并选择检查模式。
undo ipv6 nd source-mac命令用来关闭源MAC地址固定的ND攻击检测功能。
【命令】
ipv6 nd source-mac { filter | monitor }
undo ipv6 nd source-mac
【缺省情况】
源MAC地址固定的ND攻击检测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
filter:配置检查方式为过滤模式。
monitor:配置检查方式为监控模式。
【使用指导】
建议在网关设备上开启本功能。
本特性根据ND报文的源MAC地址对上送CPU的ND报文进行统计,在5秒内,如果收到同一源MAC地址(源MAC地址固定)的ND报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。当开启了ND日志信息功能(配置ipv6 nd check log enable命令),且在该攻击检测表项老化之前,根据设置的检查模式有如下处理方式:
· 如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ND报文过滤掉;
· 如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ND报文过滤掉。
切换源MAC地址固定的ND攻击检查模式时,如果从监控模式切换到过滤模式,过滤模式马上生效;如果从过滤模式切换到监控模式,已生成的攻击检测表项,到表项老化前还会继续按照过滤模式处理。
【举例】
# 开启源MAC地址固定的ND攻击检测功能,并选择monitor检查模式。
<Sysname> system-view
[Sysname] ipv6 nd source-mac monitor
ipv6 nd source-mac aging-time命令用来配置源MAC地址固定的ND报文攻击检测表项的老化时间。
undo ipv6 nd source-mac aging-time命令用来恢复缺省情况。
【命令】
ipv6 nd source-mac aging-time time
undo ipv6 nd source-mac aging-time
【缺省情况】
源MAC地址固定的ND报文攻击检测表项的老化时间为300秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time:源MAC地址固定的ND报文攻击检测表项的老化时间,取值范围为60~6000,单位为秒。
【举例】
# 配置源MAC地址固定的ND报文攻击检测表项的老化时间为100秒。
<Sysname> system-view
[Sysname] ipv6 nd source-mac aging-time 100
ipv6 nd source-mac exclude-mac命令用来配置需保护设备的MAC地址。当配置了保护MAC地址之后,即使检测认为这些MAC地址存在攻击,也不会过滤这些MAC地址发送的ND报文。
undo ipv6 nd source-mac exclude-mac命令用来删除配置的保护MAC地址。
【命令】
ipv6 nd source-mac exclude-mac mac-address&<1-10>
undo ipv6 nd source-mac exclude-mac [ mac-address&<1-10> ]
【缺省情况】
未配置任何保护MAC地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
mac-address&<1-10>:MAC地址列表,其中,mac-address表示配置的保护MAC地址,格式为H-H-H。
【使用指导】
如果undo命令中未指定MAC地址,则删除所有已配置的保护MAC地址。
【举例】
# 配置源MAC地址固定的ND报文攻击检查的保护MAC地址为001e-1200-0213。
<Sysname> system-view
[Sysname] ipv6 nd source-mac exclude-mac 001e-1200-0213
ipv6 nd source-mac threshold命令用来配置源MAC地址固定的ND报文攻击检测阈值,当在固定的时间(5秒)内收到相同MAC地址的ND报文超过该阈值则认为存在ND报文攻击。
undo ipv6 nd source-mac threshold命令用来恢复缺省情况。
【命令】
ipv6 nd source-mac threshold threshold-value
undo ipv6 nd source-mac threshold
【缺省情况】
源MAC地址固定的ND报文攻击检测表项的阈值为30个。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold-value:固定时间内源MAC地址固定的ND报文攻击检测的阈值,取值范围为1~5000,单位为报文个数。
【举例】
# 配置源MAC地址固定的ND报文攻击检测阈值为100个报文。
<Sysname> system-view
[Sysname] ipv6 nd source-mac threshold 100
reset ipv6 nd source-mac statistics命令用来清除ND攻击检测功能丢弃的源MAC地址固定的ND攻击报文计数统计信息。
【命令】
独立运行模式
reset ipv6 nd source-mac statistics { all | slot slot-number }
IRF模式
reset ipv6 nd source-mac statistics { all | chassis chassis-number slot slot-number }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
all:清除所有的计数统计信息。
slot slot-number:清除指定单板上的计数统计信息。slot-number表示单板的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备的指定单板上的计数统计信息。chassis-number表示设备在IRF中的成员编号。slot-number表示单板的槽位号。(IRF模式)
【举例】
# 清除Slot 1上所有ND攻击检测功能丢弃的源MAC地址固定的ND攻击报文计数统计信息。(独立运行模式)
<Sysname> reset ipv6 nd source-mac statistics slot 1
【相关命令】
· display ipv6 nd source-mac statistics
ipv6 nd check log enable命令用来开启ND日志信息功能。
undo ipv6 nd check log enable命令用来关闭ND日志信息功能。
【命令】
ipv6 nd check log enable
undo ipv6 nd check log enable
【缺省情况】
ND日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。
【举例】
# 开启ND日志信息功能。
<Sysname> system-view
[Sysname] ipv6 nd check log enable
ipv6 nd mac-check enable命令用来开启ND协议报文源MAC地址一致性检查功能。
undo ipv6 nd mac-check enable命令用来关闭ND协议报文源MAC地址一致性检查功能。
【命令】
ipv6 nd mac-check enable
undo ipv6 nd mac-check enable
【缺省情况】
ND协议报文源MAC地址一致性检查功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
网关设备开启该功能后,会对接收到的ND协议报文进行检查,如果ND报文中的源MAC地址和以太网数据帧首部的源MAC地址不一致,则丢弃该报文。
【举例】
# 开启ND协议报文源MAC地址一致性检查功能。
<Sysname> system-view
[Sysname] ipv6 nd mac-check enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
