- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
15-ND攻击防御命令
本章节下载 (129.02 KB)
ipv6 nd check log enable命令用来开启ND日志信息功能。
undo ipv6 nd check log enable命令用来关闭ND日志信息功能。
【命令】
ipv6 nd check log enable
undo ipv6 nd check log enable
【缺省情况】
ND日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。
【举例】
# 开启ND日志信息功能。
<Sysname> system-view
[Sysname] ipv6 nd check log enable
ipv6 nd mac-check enable命令用来开启ND协议报文源MAC地址一致性检查功能。
undo ipv6 nd mac-check enable命令用来关闭ND协议报文源MAC地址一致性检查功能。
【命令】
ipv6 nd mac-check enable
undo ipv6 nd mac-check enable
【缺省情况】
ND协议报文源MAC地址一致性检查功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
网关设备开启该功能后,会对接收到的ND协议报文进行检查,如果ND报文中的源MAC地址和以太网数据帧首部的源MAC地址不一致,则丢弃该报文。
【举例】
# 开启ND协议报文源MAC地址一致性检查功能。
<Sysname> system-view
[Sysname] ipv6 nd mac-check enable
snmp-agent trap enable nd命令用来开启ND模块的告警功能。
undo snmp-agent trap enable nd命令用来关闭ND模块的告警功能。
【命令】
snmp-agent trap enable nd [ entry-limit | local-conflict | nd-miss | user-ip-conflict ] *
undo snmp-agent trap enable nd [ entry-limit | local-conflict | nd-miss | user-ip-conflict ] *
【缺省情况】
ND模块的告警功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
entry-limit:开启ND表项达到最大个数的告警功能。
local-conflict:开启ND模块终端与本机IPv6地址冲突的告警功能。
nd-miss:开启ND Miss消息和ND报文发送限速的告警功能。
user-ip-conflict:开启ND模块终端用户间IPv6地址冲突的告警功能。
【使用指导】
用户可根据业务需求开启指定功能的ND模块的告警:
· 开启了ND表项达到最大个数的告警功能后,如果当前ND表项的数量超过了告警阈值,设备会将当前ND表项的数目作为告警信息发送到设备的SNMP模块。
· 开启了ND模块终端与本机冲突的告警功能后,设备会将冲突报文的发送端IPv6地址和MAC地址、目标IPv6地址和MAC地址等信息作为告警信息发送设备的SNMP模块。
· 开启了ND Miss消息和ND报文发送限速的告警功能后,如果设备每秒发送的ND Miss消息或ND报文的个数超过了设备定制的阈值,设备会将超速峰值作为告警信息发送到设备的SNMP模块。
· 开启了ND模块终端用户端口迁移的告警功能后,设备会将发生了端口迁移的用户的IPv6地址、MAC地址、迁移前后的端口名称等信息作为告警信息发送到设备的SNMP模块。
可以通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。有关告警信息的详细描述,请参见“网络管理和监控配置指导”中的“SNMP”。
【举例】
# 开启ND模块终端与本机IPv6地址冲突的告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable nd local-conflict
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
