- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
57-ND防护典型配置举例
本章节下载: 57-ND防护典型配置举例 (384.22 KB)
目 录
ND协议是 IPv6 协议中的一个关键协议,但是,由于ND 协议并未提供认证机制,导致网络中的节点不可信,也使攻击者有机可乘,可针对ND 协议发起一系列攻击。
对于安全性要求较高的场景,部分设备不会主动响应ND信息,可以通过手动添加静态ND表项来解决无法稳定访问部分设备的情况。
本文档介绍设备ND防护及静态ND功能的配置举例。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
必须保证设备间通信数据经过设备转发。
如图1所示,公司内网有多台服务器设备,防止服务器被局域网内PC进行ND欺骗造成服务器无法正常访问。
图1 ND防护典型组网图
(1) 开启防ND欺骗功能。
(2) 开启防止ND Flood攻击。
本举例是在R6618版本上进行配置和验证的。
(1) 开启防ND欺骗
如图2所示,进入“策略配置>安全设置>安全防护>ARP/ND攻击防护>防ND欺骗”;关闭ND学习,开启ND反向查询,设置每MAC地址IP数检查,开启接口主动保护,点击<提交>按钮提交配置。
图2 启用防ND欺骗
(2) 配置IP-MAC绑定
如图3所示,进入“策略配置>安全设置>安全防护>ARP/ND攻击防护>IP-MAC绑定”;绑定被保护服务器的IPMAC地址,勾选唯一性,点击<提交>按钮提交配置。
(3) 配置ARP/ND Flood攻击
如图4所示,进入“策略配置>安全设置>安全防护>ARP/ND攻击防护>ARP/ND Flood攻击”;设置阈值和抑制时长,点击<提交>按钮提交配置。
图4 配置ND Flood攻击防护
如图5所示,进入>“数据中心>安全日志>安全防护日志”,进入安全防护日志显示页面。
图5 防ND欺骗日志
如下图所示,某公司内网PC2禁用了ND主动响应功能,导致PC1无法主动访问PC2,现希望PC1能主动访问PC2。
图6 静态ND配置举例组网图
· 按组网需求组网
· 配置静态ND功能
· 配置控制策略
本举例是在R6618版本上进行配置和验证的。
(1) 配置静态ND
进入“策略配置>安全防护>ARP/ND攻击防护>ND表”页面,点击“新增静态ND”,配置静态ND表项。
图7 配置静态ND表
配置完成后如下图所示。
图8 静态ND显示页面
(2) 配置控制策略
进入“策略配置 > 策略配置 > 控制策略 ”页面,配置一条允许的控制策略。
图9 配置控制策略
无
使用PC1 ping PC2,可以ping通。
图10 PC1 ping PC2
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
