15-ND攻擊防禦命令
本章節下載: 15-ND攻擊防禦命令 (108.55 KB)
1.1.1 ipv6 nd mac-check enable
1.2.1 display ipv6 nd detection
1.2.2 display ipv6 nd detection statistics
1.2.3 ipv6 nd detection enable
1.2.5 reset ipv6 nd detection statistics
【命令】
ipv6 nd mac-check enable
undo ipv6 nd mac-check enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ipv6 nd mac-check enable命令用來在網關設備上使能ND協議報文源MAC地址一致性檢查功能。在網關使能此功能後,會對接收的ND協議報文進行檢查,如果ND協議報文中的源MAC地址和源鏈路層選項地址中的MAC地址不同,則丟棄該報文。undo ipv6 nd mac-check enable命令用來關閉ND協議報文源MAC地址一致性檢查功能。
缺省情況下,ND協議報文源MAC地址一致性檢查功能處於關閉狀態。
【舉例】
# 使能ND協議報文源MAC地址一致性檢查功能。
<Sysname> system-view
[Sysname] ipv6 nd mac-check enable
【命令】
display ipv6 nd detection [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ipv6 nd detection命令用來顯示ND Detection的配置信息。
相關配置可參考命令ipv6 nd detection enable和ipv6 nd detection trust。
【舉例】
# 顯示ND Detection配置信息。
<Sysname> display ipv6 nd detection
ND detection is enabled on the following VLANs:
1, 2, 4-5
ND detection trust is configured on the following interfaces:
Eth1/0/1
Eth1/0/2
表1-1 display ipv6 nd detection命令顯示信息描述表
字段 |
描述 |
ND detection is enabled on the following VLANs |
使能了ND Detection功能的VLAN |
ND detection trust is configured on the following interfaces |
ND信任端口列表 |
【命令】
display ipv6 nd detection statistics [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
interface interface-type interface-number:顯示指定接口的統計信息。interface-type interface-number用來指定接口類型和編號。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ipv6 nd detection statistics命令用來顯示ND Detection進行用戶合法性檢查時丟棄報文的統計信息。
需要注意的是:指定接口時,隻顯示該接口丟棄報文的統計信息;不指定接口時,顯示所有接口丟棄報文的統計信息。
【舉例】
# 顯示ND Detection進行用戶合法性檢查時丟棄報文的統計信息。
<Sysname> display ipv6 nd detection statistics
ND packets dropped by ND detection:
Interface Packets Dropped
Eth1/0/1 78
Eth1/0/2 0
Eth1/0/3 0
Eth1/0/4 0
表1-2 display ipv6 nd detection statistics命令顯示信息描述表
字段 |
描述 |
Interface |
ND報文入接口 |
Packets Dropped |
由於用戶合法性檢查不通過而丟棄的ND報文數目 |
【命令】
ipv6 nd detection enable
undo ipv6 nd detection enable
【視圖】
VLAN視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ipv6 nd detection enable命令用來使能ND Detection功能,即對ND報文進行用戶合法性檢查。undo ipv6 nd detection enable命令用來關閉ND Detection功能。
缺省情況下,ND Detection功能處於關閉狀態。
【舉例】
# 使能VLAN 10的ND Detection功能。
<Sysname> system-view
[Sysname] ipv6
[Sysname] vlan 10
[Sysname-vlan10] ipv6 nd detection enable
【命令】
ipv6 nd detection trust
undo ipv6 nd detection trust
【視圖】
二層以太網端口視圖/二層聚合接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ipv6 nd detection trust命令用來配置端口為ND信任端口。undo ipv6 nd detection trust命令用來配置端口為ND非信任端口。
缺省情況下,端口為ND非信任端口。
【舉例】
# 配置二層以太網端口Ethernet1/0/1為ND信任端口。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] ipv6 nd detection trust
# 配置二層聚合接口Bridge-Aggregation1為ND信任端口。
<Sysname> system-view
[Sysname] interface bridge-Aggregation 1
[Sysname-Bridge-Aggregation1] ipv6 nd detection trust
【命令】
reset ipv6 nd detection statistics [ interface interface-type interface-number ]
【視圖】
用戶視圖
【缺省級別】
1:監控級
【參數】
interface interface-type interface-number:表示清除指定接口的統計信息。interface-type interface-number用來指定接口類型和編號。
【描述】
reset ipv6 nd detection statistics命令用來清除ND Detection的統計信息。不指定接口時,清除所有的ND Detection統計信息。
【舉例】
# 清除所有的ND Detection統計信息。
<Sysname> reset ipv6 nd detection statistics
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!