- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-ARP攻击防御命令
本章节下载: 07-ARP攻击防御命令 (120.07 KB)
1.1.1 arp source-suppression enable
1.1.2 arp source-suppression limit
1.1.3 display arp source-suppression
1.2.4 arp restricted-forwarding enable
1.2.6 display arp detection statistics
1.2.7 reset arp detection statistics
arp source-suppression enable命令用来使能ARP源地址抑制功能。
undo arp source-suppression enable命令用来恢复缺省情况。
【命令】
arp source-suppression enable
undo arp source-suppression enable
【缺省情况】
ARP源地址抑制功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
建议在网关设备上配置本功能。
【举例】
# 使能ARP源地址抑制功能。
<Sysname> system-view
[Sysname] arp source-suppression enable
【相关命令】
· display arp source-suppression
arp source-suppression limit命令用来配置ARP源抑制的阈值。
undo arp source-suppression limit命令用来恢复缺省情况。
【命令】
arp source-suppression limit limit-value
undo arp source-suppression limit
【缺省情况】
ARP源抑制的阈值为10。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
limit-value:ARP源抑制的阈值,即设备在5秒间隔内可以处理的源IP相同,但目的IP地址不能解析的IP报文的最大数目,取值范围为2~1024。
【使用指导】
如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。
【举例】
# 配置ARP源抑制的阈值为100。
<Sysname> system-view
[Sysname] arp source-suppression limit 100
【相关命令】
· display arp source-suppression
display arp source-suppression命令用来显示当前ARP源抑制的配置信息。
【命令】
display arp source-suppression
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示当前ARP源抑制的配置信息。
<Sysname> display arp source-suppression
ARP source suppression is enabled
Current suppression limit: 100
表1-1 display arp source-suppression显示信息描述表
|
字段 |
描述 |
|
ARP source suppression is enabled |
ARP源地址抑制功能处于使能状态 |
|
Current suppression limit |
设备在5秒时间间隔内可以接收到的源IP相同,但目的IP地址不能解析的IP报文的最大数目 |
arp detection enable命令用来使能ARP Detection功能,即对ARP报文进行用户合法性检查。
undo arp detection enable命令用来恢复缺省情况。
【命令】
arp detection enable
undo arp detection enable
【缺省情况】
ARP Detection功能处于关闭状态,即不进行用户合法性检查。
【视图】
VLAN视图
【缺省用户角色】
network-admin
【举例】
# 使能ARP Detection功能。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] arp detection enable
arp detection trust命令用来配置接口为ARP信任接口。
undo arp detection trust命令用来恢复缺省情况。
【命令】
arp detection trust
undo arp detection trust
【缺省情况】
接口为ARP非信任接口。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【举例】
# 配置二层以太网接口FortyGigE1/0/1为ARP信任接口。
<Sysname> system-view
[Sysname] interface fortygige 1/0/1
[Sysname-FortyGigE1/0/1] arp detection trust
arp detection validate命令用来使能对ARP报文的目的MAC地址或源MAC地址、IP地址的有效性检查。使能有效性检查时可以指定某一种检查方式也可以配置成多种检查方式的组合。
undo arp detection validate命令用来关闭对ARP报文的有效性检查。关闭时可以指定关闭某一种或多种检查,在不指定检查方式时,表示关闭所有有效性检查。
【命令】
arp detection validate { dst-mac | ip | src-mac } *
undo arp detection validate [ dst-mac | ip | src-mac ] *
【缺省情况】
ARP报文有效性检查功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
dst-mac:检查ARP应答报文中的目的MAC地址,是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,无效的报文需要被丢弃。
ip:检查ARP报文源IP和目的IP地址,全1或者组播IP地址都是不合法的,需要丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。
src-mac:检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致认为有效,否则丢弃。
【举例】
# 使能对ARP报文的MAC地址和IP地址的有效性检查。
<Sysname> system-view
[Sysname] arp detection validate dst-mac src-mac ip
arp restricted-forwarding enable命令用来使能ARP报文强制转发功能。
undo arp restricted-forwarding enable命令用来关闭ARP报文强制转发功能。
【命令】
arp restricted-forwarding enable
undo arp restricted-forwarding enable
【缺省情况】
ARP报文强制转发功能处于关闭状态。
【视图】
VLAN视图
【缺省用户角色】
network-admin
【举例】
# 使能VLAN 2的ARP报文强制转发功能。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] arp restricted-forwarding enable
display arp detection命令用来显示使能了ARP Detection功能的VLAN。
【命令】
display arp detection
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示所有使能了ARP Detection功能的VLAN。
<Sysname> display arp detection
ARP detection is enabled in the following VLANs:
1-2, 4-5
表1-2 display arp detection命令显示信息描述表
|
字段 |
描述 |
|
ARP detection is enabled in the following VLANs |
使能了ARP Detection功能的VLAN |
【相关命令】
· arp detection enable
display arp detection statistics命令用来显示ARP Detection功能报文检查的丢弃计数的统计信息。
【命令】
display arp detection statistics [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的统计信息。interface-type interface-number用来指定接口类型和编号。
【使用指导】
按接口显示用户合法性检查、报文有效性检查和ARP报文上送限速的统计情况,只显示ARP Detection功能报文的丢弃情况。不指定接口时,显示所有接口的统计信息。
【举例】
# 显示ARP Detection功能报文检查的丢弃计数的统计信息。
<Sysname> display arp detection statistics
State: U-Untrusted T-Trusted
ARP packets dropped by ARP inspect checking:
Interface(State) IP Src-MAC Dst-MAC Inspect
BAGG1(U) 0 0 0 0
FGE1/0/1(U) 0 0 0 0
FGE1/0/2(U) 0 0 0 0
FGE1/0/3(U) 0 0 0 0
FGE1/0/4(U) 0 0 0 0
FGE1/0/5(U) 0 0 0 0
FGE1/0/6(U) 0 0 0 0
FGE1/0/7(U) 0 0 0 0
FGE1/0/8(U) 0 0 0 0
FGE1/0/9(U) 0 0 0 0
FGE1/0/10(U) 0 0 0 0
FGE1/0/11(U) 0 0 0 0
FGE1/0/12(U) 0 0 0 0
表1-3 display arp detection statistics命令显示信息描述表
|
字段 |
描述 |
|
State |
接口状态: · U:ARP非信任接口 · T:ARP信任接口 |
|
Interface(State) |
ARP报文入接口,State表示该接口的信任状态 |
|
IP |
ARP报文源和目的IP地址检查不通过丢弃的报文计数 |
|
Src-MAC |
ARP报文源MAC地址检查不通过丢弃的报文计数 |
|
Dst-MAC |
ARP报文目的MAC地址检查不通过丢弃的报文计数 |
|
Inspect |
ARP报文结合用户合法性检查不通过丢弃的报文计数 |
reset arp detection statistics命令用来清除ARP Detection的统计信息。
【命令】
reset arp detection statistics [ interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示清除指定接口下的统计信息。interface-type interface-number用来指定接口类型和编号。
【使用指导】
不指定接口时,清除所有ARP Detection统计信息。
【举例】
# 清除所有ARP Detection统计信息。
<Sysname> reset arp detection statistics
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
