• 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

07 安全命令參考

目錄

15-ND攻擊防禦命令

本章節下載 15-ND攻擊防禦命令  (108.55 KB)

15-ND攻擊防禦命令


1 ND攻擊防禦配置命令

1.1  ND協議報文源MAC地址一致性檢查配置命令

1.1.1  ipv6 nd mac-check enable

【命令】

ipv6 nd mac-check enable

undo ipv6 nd mac-check enable

【視圖】

係統視圖

【缺省級別】

2:係統級

【參數】

【描述】

ipv6 nd mac-check enable命令用來在網關設備上使能ND協議報文源MAC地址一致性檢查功能。在網關使能此功能後,會對接收的ND協議報文進行檢查,如果ND協議報文中的源MAC地址和源鏈路層選項地址中的MAC地址不同,則丟棄該報文。undo ipv6 nd mac-check enable命令用來關閉ND協議報文源MAC地址一致性檢查功能。

缺省情況下,ND協議報文源MAC地址一致性檢查功能處於關閉狀態。

【舉例】

# 使能ND協議報文源MAC地址一致性檢查功能。

<Sysname> system-view

[Sysname] ipv6 nd mac-check enable

1.2  ND Detection配置命令

1.2.1  display ipv6 nd detection

【命令】

display ipv6 nd detection [ | { begin | exclude | include } regular-expression ]

【視圖】

任意視圖

【缺省級別】

1:監控級

【參數】

|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。

begin:從包含指定正則表達式的行開始顯示。

exclude:隻顯示不包含指定正則表達式的行。

include:隻顯示包含指定正則表達式的行。

regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。

【描述】

display ipv6 nd detection命令用來顯示ND Detection的配置信息。

相關配置可參考命令ipv6 nd detection enableipv6 nd detection trust

【舉例】

# 顯示ND Detection配置信息。

<Sysname> display ipv6 nd detection

ND detection is enabled on the following VLANs:

 1, 2, 4-5

ND detection trust is configured on the following interfaces:

 Eth1/0/1

 Eth1/0/2

表1-1 display ipv6 nd detection命令顯示信息描述表

字段

描述

ND detection is enabled on the following VLANs

使能了ND Detection功能的VLAN

ND detection trust is configured on the following interfaces

ND信任端口列表

 

1.2.2  display ipv6 nd detection statistics

【命令】

display ipv6 nd detection statistics [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

【視圖】

任意視圖

【缺省級別】

1:監控級

【參數】

interface interface-type interface-number:顯示指定接口的統計信息。interface-type interface-number用來指定接口類型和編號。

|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。

begin:從包含指定正則表達式的行開始顯示。

exclude:隻顯示不包含指定正則表達式的行。

include:隻顯示包含指定正則表達式的行。

regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。

【描述】

display ipv6 nd detection statistics命令用來顯示ND Detection進行用戶合法性檢查時丟棄報文的統計信息。

需要注意的是:指定接口時,隻顯示該接口丟棄報文的統計信息;不指定接口時,顯示所有接口丟棄報文的統計信息。

【舉例】

# 顯示ND Detection進行用戶合法性檢查時丟棄報文的統計信息。

<Sysname> display ipv6 nd detection statistics

ND packets dropped by ND detection:

Interface           Packets Dropped

Eth1/0/1             78

Eth1/0/2             0

Eth1/0/3             0

Eth1/0/4             0

表1-2 display ipv6 nd detection statistics命令顯示信息描述表

字段

描述

Interface

ND報文入接口

Packets Dropped

由於用戶合法性檢查不通過而丟棄的ND報文數目

 

1.2.3  ipv6 nd detection enable

【命令】

ipv6 nd detection enable

undo ipv6 nd detection enable

【視圖】

VLAN視圖

【缺省級別】

2:係統級

【參數】

【描述】

ipv6 nd detection enable命令用來使能ND Detection功能,即對ND報文進行用戶合法性檢查。undo ipv6 nd detection enable命令用來關閉ND Detection功能。

缺省情況下,ND Detection功能處於關閉狀態。

【舉例】

# 使能VLAN 10的ND Detection功能。

<Sysname> system-view

[Sysname] ipv6

[Sysname] vlan 10

[Sysname-vlan10] ipv6 nd detection enable

1.2.4  ipv6 nd detection trust

【命令】

ipv6 nd detection trust

undo ipv6 nd detection trust

【視圖】

二層以太網端口視圖/二層聚合接口視圖

【缺省級別】

2:係統級

【參數】

【描述】

ipv6 nd detection trust命令用來配置端口為ND信任端口。undo ipv6 nd detection trust命令用來配置端口為ND非信任端口。

缺省情況下,端口為ND非信任端口。

【舉例】

# 配置二層以太網端口Ethernet1/0/1為ND信任端口。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] ipv6 nd detection trust

# 配置二層聚合接口Bridge-Aggregation1為ND信任端口。

<Sysname> system-view

[Sysname] interface bridge-Aggregation 1

[Sysname-Bridge-Aggregation1] ipv6 nd detection trust

1.2.5  reset ipv6 nd detection statistics

【命令】

reset ipv6 nd detection statistics [ interface interface-type interface-number ]

【視圖】

用戶視圖

【缺省級別】

1:監控級

【參數】

interface interface-type interface-number:表示清除指定接口的統計信息。interface-type interface-number用來指定接口類型和編號。

【描述】

reset ipv6 nd detection statistics命令用來清除ND Detection的統計信息。不指定接口時,清除所有的ND Detection統計信息。

【舉例】

# 清除所有的ND Detection統計信息。

<Sysname> reset ipv6 nd detection statistics

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆
官網
聯係我們