- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
14-ND攻击防御命令
本章节下载: 14-ND攻击防御命令 (150.34 KB)
目 录
1.1.1 ipv6 nd check log enable
1.1.2 ipv6 nd mac-check enable
1.2.1 ipv6 nd scan auto enable
1.2.2 ipv6 nd scan auto send-rate
ipv6 nd check log enable命令用来开启ND日志信息功能。
undo ipv6 nd check log enable命令用来关闭ND日志信息功能。
【命令】
ipv6 nd check log enable
undo ipv6 nd check log enable
【缺省情况】
ND日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。
【举例】
# 开启ND日志信息功能。
<Sysname> system-view
[Sysname] ipv6 nd check log enable
ipv6 nd mac-check enable命令用来开启ND协议报文源MAC地址一致性检查功能。
undo ipv6 nd mac-check enable命令用来关闭ND协议报文源MAC地址一致性检查功能。
【命令】
ipv6 nd mac-check enable
undo ipv6 nd mac-check enable
【缺省情况】
ND协议报文源MAC地址一致性检查功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
网关设备开启该功能后,会对接收到的ND协议报文进行检查,如果ND报文中的源MAC地址和以太网数据帧首部的源MAC地址不一致,则丢弃该报文。
【举例】
# 开启ND协议报文源MAC地址一致性检查功能。
<Sysname> system-view
[Sysname] ipv6 nd mac-check enable
ipv6 nd scan auto enable命令用来在接口上开启ND表项周期性自动扫描功能,并指定扫描范围。
undo ipv6 nd scan auto enable命令用来在接口上关闭ND表项周期性自动扫描功能。
【命令】
ipv6 nd scan auto enable start-ipv6-address to end-ipv6-address [ source-addr source-ipv6-address ]
undo ipv6 nd scan auto enable
【缺省情况】
接口上的ND表项周期性自动扫描功能处于关闭状态。
【视图】
三层以太网接口视图
三层以太网子接口视图
三层聚合接口视图
三层聚合子接口视图
VSI虚接口视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
start-ipv6-address:ND自动扫描区间的起始IPv6地址。起始IPv6地址必须小于等于终止IPv6地址。
to end-ipv6-address:ND自动扫描区间的终止IPv6地址。起始IPv6地址和终止IPv6地址之间的地址个数不能超过65535。
source-addr source-ipv6-address:指定NS消息的源地址。source-ipv6-address可以是任何合法的IPv6地址。若不指定该参数,则表示NS消息的源地址为所在接口的IPv6地址。
【使用指导】
设备上的ND表项可以通过邻居请求消息NS及邻居通告消息NA来动态创建,但是这个动态创建过程需要流量来触发。接口上开启了ND周期自动扫描功能后,会周期性的向指定范围内的所有ND表项中不存在的IPv6地址发送NS请求报文,从而解决了NS消息的发送依赖流量以及接口ND表项无法及时更新的问题。
接口发送NS请求报文时使用的源地址可选择指定,缺省为配置的接口IPv6地址:
· 如果开启本功能时未指定源source-addr参数,则接口将对ND自动扫描区间和接口所在网段的交集进行扫描。如果接口上配置了多个网段的IPv6地址,且这些网段与ND自动扫描区间都有交集,则设备发送的请求消息NS的源IPv6地址为前缀较长的地址;如果前缀长度相同,则选择接口主IPv6地址。
· 如果开启本功能时指定了source-addr参数,则接口将对ND自动扫描区间进行扫描,不判断与接口网段的交集。
如果接口上开启了ND Proxy功能,则接口上指定的NS消息的源地址不会影响设备三层通信的报文转发路径,关于ND Proxy功能的详细介绍,请参见“三层技术-IP业务配置指导”中的“IPv6基础”。
接口上开启了ND周期自动扫描功能后,会按照指定的扫描速率向扫描区间的所有IPv6地址发送NS请求报文,设备发送NS报文的速率可通过ipv6 nd scan auto send-rate命令设置。
为避免影响设备转发性能,建议仅在网络中用户频繁上下线的环境下开启本功能。
【举例】
# 在GigabitEthernet0/0/1接口上对指定地址网段内的邻居进行扫描。
<Sysname> system-view
[Sysname] interface gigabitethernet 0/0/1
[Sysname-GigabitEthernet0/0/1] ipv6 nd scan auto enable 2001::1 to 2001::10
# 在VLAN接口100上对指定地址网段内的邻居进行扫描。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] ipv6 nd scan auto enable 2001::1 to 2001::10
ipv6 nd scan auto send-rate命令用来设置ND表项周期性自动扫描的速率。
undo ipv6 nd scan auto send-rate命令用来恢复缺省情况。
【命令】
ipv6 nd scan auto send-rate { ppm ppm | pps }
undo ipv6 nd scan auto send-rate
【缺省情况】
ND表项周期性自动扫描速率为每秒发送48个包。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ppm ppm:接口发送ND报文的速率,取值范围为10~600,单位为包每分钟,为10的整数倍。当ppm不是10的整数倍时设备会提示配置错误。
pps:接口发送ND报文的速率,取值范围为10~1000,单位为包每秒,为10的整数倍。当pps不是10的整数倍时设备会提示配置错误。
【使用指导】
接口下开启ND表项周期性自动扫描功能后,会按照指定的速率发送ND报文,为避免接口发送的ND报文对设备性能造成影响,可通过本命令调整接口发送ND报文的速率。
当配置了较大的发送ND报文的速率时,为避免影响设备性能,设备实际发送ND报文的速率可能会小于该配置值。
【举例】
# 配置ND表项周期自动扫描速率为每秒10个ND请求报文。
<Sysname> system-view
[Sysname] ipv6 nd scan auto send-rate 10
【相关命令】
· ipv6 nd scan auto enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
