- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-ARP攻擊防禦命令
本章節下載: 03-ARP攻擊防禦命令 (269.34 KB)
1.1.1 arp resolving-route enable
1.1.2 arp resolving-route probe-count
1.1.3 arp resolving-route probe-interval
1.1.4 arp source-suppression enable
1.1.5 arp source-suppression limit
1.1.6 display arp source-suppression
1.2.2 arp source-mac aging-time
1.2.3 arp source-mac exclude-mac
1.2.4 arp source-mac threshold
1.6.5 arp restricted-forwarding enable
1.6.7 display arp detection statistics
1.6.8 reset arp detection statistics
由於WX2500H-WiNet係列、WAC係列和WX2500H-LI係列不支持IRF功能,因此不支持IRF模式的命令行配置。
arp resolving-route enable命令用來開啟ARP黑洞路由功能。
undo arp resolving-route enable命令用來關閉ARP黑洞路由功能。
【命令】
arp resolving-route enable
undo arp resolving-route enable
【缺省情況】
ARP黑洞路由功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
建議在網關設備上開啟本功能。
【舉例】
# 開啟ARP黑洞路由功能。
<Sysname> system-view
[Sysname] arp resolving-route enable
【相關命令】
· arp resolving-route probe-count
· arp resolving-route probe-interval
arp resolving-route probe-count命令用來配置發送ARP請求報文的次數。
undo arp resolving-route probe-count命令用來恢複缺省情況。
【命令】
arp resolving-route probe-count count
undo arp resolving-route probe-count
【缺省情況】
發送ARP請求報文的次數為3次。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
count:發送ARP請求報文的次數,取值範圍為1~25。
【舉例】
# 配置發送ARP請求報文的次數為5次。
<Sysname> system-view
[Sysname] arp resolving-route probe-count 5
【相關命令】
· arp resolving-route enable
· arp resolving-route probe-interval
arp resolving-route probe-interval命令用來配置發送ARP請求報文的時間間隔。
undo arp resolving-route probe-interval命令用來恢複缺省情況。
【命令】
arp resolving-route probe-interval interval
undo arp resolving-route probe-interval
【缺省情況】
發送ARP請求報文的時間間隔是1秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interval:發送ARP請求報文的時間間隔,取值範圍為1~5,單位為秒。
【舉例】
# 配置發送ARP請求報文的時間間隔為3秒。
<Sysname> system-view
[Sysname] arp resolving-route probe-interval 3
【相關命令】
· arp resolving-route enable
· arp resolving-route probe-count
arp source-suppression enable命令用來開啟ARP源地址抑製功能。
undo arp source-suppression enable命令用來關閉ARP源地址抑製功能。
【命令】
arp source-suppression enable
undo arp source-suppression enable
【缺省情況】
ARP源地址抑製功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
建議在網關設備上開啟本功能。
【舉例】
# 開啟ARP源地址抑製功能。
<Sysname> system-view
[Sysname] arp source-suppression enable
【相關命令】
· display arp source-suppression
arp source-suppression limit命令用來配置ARP源抑製的閾值。
undo arp source-suppression limit命令用來恢複缺省情況。
【命令】
arp source-suppression limit limit-value
undo arp source-suppression limit
【缺省情況】
ARP源抑製的閾值為10。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
limit-value:ARP源抑製的閾值,即設備在5秒間隔內可以處理的源IP相同,但目的IP地址不能解析的IP報文的最大數目,取值範圍為2~1024。
【使用指導】
如果網絡中每5秒內從某IP地址向設備某接口發送目的IP地址不能解析的IP報文超過了設置的閾值,則設備將不再處理由此IP地址發出的IP報文直至該5秒結束,從而避免了惡意攻擊所造成的危害。
【舉例】
# 配置ARP源抑製的閾值為100。
<Sysname> system-view
[Sysname] arp source-suppression limit 100
【相關命令】
· display arp source-suppression
display arp source-suppression命令用來顯示當前ARP源抑製的配置信息。
【命令】
display arp source-suppression
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示當前ARP源抑製的配置信息。
<Sysname> display arp source-suppression
ARP source suppression is enabled
Current suppression limit: 100
表1-1 display arp source-suppression顯示信息描述表
|
字段 |
描述 |
|
ARP source suppression is enabled |
ARP源抑製功能處於開啟狀態 |
|
Current suppression limit |
設備在5秒時間間隔內可以接收到的源IP相同,但目的IP地址不能解析的IP報文的最大數目 |
arp source-mac命令用來開啟源MAC地址固定的ARP攻擊檢測功能,並選擇檢查模式。
undo arp source-mac命令用來關閉源MAC地址固定的ARP攻擊檢測功能。
【命令】
arp source-mac { filter | monitor }
undo arp source-mac [ filter | monitor ]
【缺省情況】
源MAC地址固定的ARP攻擊檢測功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
filter:配置檢查方式為過濾模式。
monitor:配置檢查方式為監控模式。
【使用指導】
建議在網關設備上開啟本功能。
本特性根據ARP報文的源MAC地址對上送CPU的ARP報文進行統計,在5秒內,如果收到同一源MAC地址(源MAC地址固定)的ARP報文超過一定的閾值,則認為存在攻擊,係統會將此MAC地址添加到攻擊檢測表項中。當開啟了ARP日誌信息功能(配置arp check log enable命令),且在該攻擊檢測表項老化之前,如果設置的檢查模式為過濾模式,則會打印日誌信息並且將該源MAC地址發送的ARP報文過濾掉;如果設置的檢查模式為監控模式,則隻打印日誌信息,不會將該源MAC地址發送的ARP報文過濾掉。關於ARP日誌信息功能的詳細描述,請參見“網絡互通配置指導”中的“ARP”。
如果undo arp source-mac命令中未指定檢查模式,則關閉任意檢查模式的源MAC地址固定的ARP攻擊檢測功能。
【舉例】
# 開啟源MAC地址固定的ARP攻擊檢測功能,並選擇filter檢查模式。
<Sysname> system-view
[Sysname] arp source-mac filter
arp source-mac aging-time命令用來配置源MAC地址固定的ARP攻擊檢測表項的老化時間。
undo arp source-mac aging-time命令用來恢複缺省情況。
【命令】
arp source-mac aging-time time
undo arp source-mac aging-time
【缺省情況】
源MAC地址固定的ARP攻擊檢測表項的老化時間為300秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time:源MAC地址固定的ARP攻擊檢測表項的老化時間,取值範圍為60~6000,單位為秒。
【舉例】
# 配置源MAC地址固定的ARP攻擊檢測表項的老化時間為60秒。
<Sysname> system-view
[Sysname] arp source-mac aging-time 60
arp source-mac exclude-mac命令用來配置保護MAC地址。當配置了保護MAC地址之後,即使該ARP報文中的MAC地址存在攻擊也不會被檢測過濾。
undo arp source-mac exclude-mac命令用來取消配置的保護MAC地址。
【命令】
arp source-mac exclude-mac mac-address&<1-n>
undo arp source-mac exclude-mac [ mac-address&<1-n> ]
【缺省情況】
未配置任何保護MAC地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
mac-address&<1-n>:MAC地址列表。其中,mac-address表示配置的保護MAC地址,格式為H-H-H。&<1-n>表示每次最多可以配置的保護MAC地址個數。n的取值為10。
【使用指導】
如果undo命令中未指定MAC地址,則取消所有已配置的保護MAC地址。
【舉例】
# 配置源MAC地址固定的ARP攻擊檢查的保護MAC地址為001e-1200-0213。
<Sysname> system-view
[Sysname] arp source-mac exclude-mac 001e-1200-0213
arp source-mac threshold命令用來配置源MAC地址固定的ARP報文攻擊檢測閾值,當在固定的時間(5秒)內收到源MAC地址固定的ARP報文超過該閾值則認為存在ARP報文攻擊。
undo arp source-mac threshold命令用來恢複缺省情況。
【命令】
arp source-mac threshold threshold-value
undo arp source-mac threshold
【缺省情況】
源MAC地址固定的ARP報文攻擊檢測閾值為30。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:固定時間內源MAC地址固定的ARP報文攻擊檢測的閾值,單位為報文個數,取值範圍為1~5000。
【舉例】
# 配置源MAC地址固定的ARP報文攻擊檢測閾值為30個。
<Sysname> system-view
[Sysname] arp source-mac threshold 30
display arp source-mac命令用來顯示檢測到的源MAC地址固定的ARP攻擊檢測表項。
【命令】
(獨立運行模式)
display arp source-mac [ interface interface-type interface-number ]
(IRF模式)
display arp source-mac { interface interface-type interface-number | slot slot-number }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定接口檢測到的源MAC地址固定的ARP攻擊檢測表項,interface-type interface-number表示指定接口的類型和編號。
slot slot-number:顯示指定成員設備檢測到的源MAC地址固定的ARP攻擊檢測表項。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示主設備上檢測到的源MAC地址固定的ARP攻擊檢測表項。(IRF模式)
【舉例】
# 顯示接口GigabitEthernet1/0/1檢測到的源MAC地址固定的ARP攻擊檢測表項。
<Sysname> display arp source-mac interface gigabitethernet 1/0/1
Source-MAC VLAN ID Interface Aging-time
23f3-1122-3344 4094 GE1/0/1 10
表1-2 display arp source-mac命令顯示信息描述表
|
字段 |
描述 |
|
Source-MAC |
檢測到攻擊的源MAC地址 |
|
VLAN ID |
檢測到攻擊的VLAN ID |
|
Interface |
攻擊來源的接口 |
|
Aging-time |
ARP防攻擊策略表項老化剩餘時間,單位為秒 |
arp valid-check enable命令用來開啟ARP報文源MAC地址一致性檢查功能。
undo arp valid-check enable命令用來關閉ARP報文源MAC地址一致性檢查功能。
【命令】
arp valid-check enable
undo arp valid-check enable
【缺省情況】
ARP報文源MAC地址一致性檢查功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
ARP報文源MAC地址一致性檢查功能主要應用於網關設備。
開啟ARP報文源MAC地址一致性檢查功能後,設備會對接收的ARP報文進行檢查,如果以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同,則丟棄該報文。
【舉例】
# 開啟ARP報文源MAC地址一致性檢查功能。
<Sysname> system-view
[Sysname] arp valid-check enable
arp active-ack enable命令用來開啟ARP主動確認功能。
undo arp active-ack enable命令用來關閉ARP主動確認功能。
【命令】
arp active-ack [ strict ] enable
undo arp active-ack [ strict ] enable
【缺省情況】
ARP主動確認功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
strict:ARP主動確認功能的嚴格模式。
【使用指導】
ARP的主動確認功能主要應用於網關設備,防止攻擊者仿冒用戶欺騙網關設備。通過strict參數開啟或關閉主動確認的嚴格模式。
【舉例】
# 開啟ARP主動確認功能。
<Sysname> system-view
[Sysname] arp active-ack enable
arp authorized enable命令用來開啟接口下的授權ARP功能。
undo arp authorized enable命令用來關閉接口下的授權ARP功能。
【命令】
arp authorized enable
undo arp authorized enable
【缺省情況】
接口下的授權ARP功能處於關閉狀態。
【視圖】
三層以太網接口視圖
三層以太網子接口視圖
VLAN接口視圖
【缺省用戶角色】
network-admin
【舉例】
# 開啟Vlan-interface200接口下授權ARP功能。
<Sysname> system-view
[Sysname] interface vlan-interface 200
[Sysname-Vlan-interface200] arp authorized enable
arp detection enable命令用來開啟ARP Detection功能,即對ARP報文進行用戶合法性檢查。
undo arp detection enable命令用來關閉ARP Detection功能。
【命令】
arp detection enable
undo arp detection enable
【缺省情況】
ARP Detection功能處於關閉狀態,即不進行用戶合法性檢查。
【視圖】
VLAN視圖
【缺省用戶角色】
network-admin
【舉例】
# 在VLAN 2下開啟ARP Detection功能。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] arp detection enable
【相關命令】
· arp detection rule
arp detection rule命令用來配置用戶合法性檢查規則。
undo arp detection rule命令用來刪除用戶合法性檢查規則。
【命令】
arp detection rule rule-id { deny | permit } ip { ip-address [ mask ] | any } mac { mac-address [ mask ] | any } [ vlan vlan-id ]
undo arp detection rule [ rule-id ]
【缺省情況】
未配置用戶合法性檢查規則。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:用戶合法性規則編號,取值範圍為0~511,數值越小表示該用戶合法性規則優先級越高。
deny:丟棄指定範圍內的ARP報文。
permit:轉發指定範圍內的ARP報文。
ip { ip-address [ mask ] | any }:指定報文的源IP地址範圍。
· ip-address:表示報文的源IP地址,為點分十進製形式。
· mask:表示源IP地址的掩碼,為點分十進製形式。如果未指定該參數,則ip-address表示主機地址。
· any:表示任意源IP地址。
mac { mac-address [ mask ] | any }:指定報文的源MAC地址範圍。
· mac-address:表示報文的源MAC地址,格式為H-H-H。
· mask:表示源MAC地址的掩碼,格式為H-H-H。如果未指定該參數,則mac-address表示主機MAC地址。
· any:表示任意源MAC地址。
vlan vlan-id:指定規則中匹配的VLAN,vlan-id的取值範圍為1~4094。如果未指定該參數,則不對報文中的VLAN進行匹配檢查。
【使用指導】
隻有配置了arp detection enable命令後,通過命令arp detection rule配置的規則才生效。
使用undo arp detection rule命令時,如果未指定rule-id,則會刪除設備上所有已配置的用戶合法性規則。
【舉例】
# 配置用戶合法性規則,規則編號為0,規則內容為轉發源地址為10.1.1.1,掩碼為255.255.0.0,源MAC地址為0001-0203-0405,掩碼為ffff-ffff-0000的ARP報文。並在VLAN2中開啟用戶合法性檢查功能。
<Sysname> system-view
[Sysname] arp detection rule 0 permit ip 10.1.1.1 255.255.0.0 mac 0001-0203-0405 ffff-ffff-0000
[Sysname] vlan 2
[Sysname-vlan2] arp detection enable
【相關命令】
· arp detection enable
arp detection trust命令用來配置接口為ARP信任接口。
undo arp detection trust命令用來恢複缺省情況。
【命令】
arp detection trust
undo arp detection trust
【缺省情況】
接口為ARP非信任接口。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【舉例】
# 配置二層以太網接口GigabitEthernet1/0/1為ARP信任接口。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp detection trust
arp detection validate命令用來開啟對ARP報文的目的MAC地址或源MAC地址、IP地址的有效性檢查。
undo arp detection validate命令用來關閉對ARP報文的有效性檢查。
【命令】
arp detection validate { dst-mac | ip | src-mac } *
undo arp detection validate [ dst-mac | ip | src-mac ] *
【缺省情況】
ARP報文有效性檢查功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
dst-mac:檢查ARP應答報文中的目的MAC地址,是否為全0或者全1,是否和以太網報文頭中的目的MAC地址一致。全0、全1、不一致的報文都是無效的,無效的報文需要被丟棄。
ip:檢查ARP報文源IP和目的IP地址,全1或者組播IP地址都是不合法的,需要丟棄。對於ARP應答報文,源IP和目的IP地址都進行檢查;對於ARP請求報文,隻檢查源IP地址。
src-mac:檢查ARP報文中的源MAC地址和以太網報文頭中的源MAC地址是否一致,一致認為有效,否則丟棄。
【使用指導】
開啟有效性檢查時可以指定某一種檢查方式也可以配置成多種檢查方式的組合。
關閉時可以指定關閉某一種或多種檢查,在不指定檢查方式時,表示關閉所有有效性檢查。
【舉例】
# 開啟對ARP報文的MAC地址和IP地址的有效性檢查。
<Sysname> system-view
[Sysname] arp detection validate dst-mac ip src-mac
arp restricted-forwarding enable命令用來開啟ARP報文強製轉發功能。
undo arp restricted-forwarding enable命令用來關閉ARP報文強製轉發功能。
【命令】
arp restricted-forwarding enable
undo arp restricted-forwarding enable
【缺省情況】
ARP報文強製轉發功能處於關閉狀態。
【視圖】
VLAN視圖
【缺省用戶角色】
network-admin
【舉例】
# 開啟VLAN 2的ARP報文強製轉發功能。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] arp restricted-forwarding enable
display arp detection命令用來顯示配置了ARP Detection功能的VLAN。
【命令】
display arp detection
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示所有配置了ARP Detection功能的VLAN。
<Sysname> display arp detection
ARP detection is enabled in the following VLANs:
1-2, 4-5
表1-3 display arp detection命令顯示信息描述表
|
字段 |
描述 |
|
ARP detection is enabled in the following VLANs |
配置了ARP Detection功能的VLAN信息,如果不存在配置了ARP Detection功能的VLAN,則顯示“ARP detection is not enabled in any VLAN.” |
【相關命令】
· arp detection enable
display arp detection statistics命令用來顯示ARP Detection丟棄報文的統計信息。
【命令】
display arp detection statistics [ interface interface-type interface-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定接口的ARP Detection丟棄報文的統計信息。interface-type interface-number用來指定接口類型和編號。如果未指定本參數,則顯示所有接口的ARP Detection丟棄報文的統計信息。
【使用指導】
按接口顯示用戶合法性檢查和報文有效性檢查的統計情況,隻顯示ARP Detection功能報文的丟棄情況。
【舉例】
# 顯示ARP Detection丟棄報文的統計信息。
<Sysname> display arp detection statistics
State: U-Untrusted T-Trusted
ARP packets dropped by ARP inspect checking:
Interface(State) IP Src-MAC Dst-MAC Inspect
GE1/0/1(U) 40 0 0 78
GE1/0/2(U) 0 0 0 0
GE1/0/3(T) 0 0 0 0
GE1/0/4(U) 0 0 30 0
表1-4 display arp detection statistics命令顯示信息描述表
|
字段 |
描述 |
|
State |
接口狀態: · U:ARP非信任接口 · T:ARP信任接口 |
|
Interface(State) |
ARP報文入接口,State表示該接口的信任狀態 |
|
IP |
ARP報文源和目的IP地址檢查不通過丟棄的報文計數 |
|
Src-MAC |
ARP報文源MAC地址檢查不通過丟棄的報文計數 |
|
Dst-MAC |
ARP報文目的MAC地址檢查不通過丟棄的報文計數 |
|
Inspect |
ARP報文結合用戶合法性檢查不通過丟棄的報文計數 |
【相關命令】
· reset arp detection statistics
reset arp detection statistics命令用來清除ARP Detection的報文丟棄統計信息。
【命令】
reset arp detection statistics [ interface interface-type interface-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:表示清除指定接口下的ARP Detection的報文丟棄統計信息。interface-type interface-number用來指定接口類型和編號。如果未指定本參數,則清除所有接口下的ARP Detection報文丟棄統計信息。
【舉例】
# 清除所有的ARP Detection的報文丟棄統計信息。
<Sysname> reset arp detection statistics
【相關命令】
· display arp detection statistics
arp fixup命令用來將設備上的動態ARP表項轉化成靜態ARP表項。
【命令】
arp fixup
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
本命令將當前的動態ARP表項轉換為靜態ARP表項,後續學習到的動態ARP表項可以通過再次執行arp fixup命令進行固化。
固化後的靜態ARP表項與配置產生的靜態ARP表項相同。
固化生成的靜態ARP表項數量同樣受到設備可以支持的靜態ARP表項數目的限製,由於靜態ARP表項數量的限製可能導致隻有部分動態ARP表項被固化。
如果用戶執行固化前有D個動態ARP表項,S個靜態ARP表項,由於固化過程中存在動態ARP表項的老化或者新建動態ARP表項的情況,所以固化後的靜態ARP表項可能為(D+S+M-N)個。其中,M為固化過程中新建的動態ARP表項個數,N為固化過程中老化的動態ARP表項個數。
通過固化生成的靜態ARP表項,可以通過命令行undo arp ip-address逐條刪除,也可以通過命令行reset arp all或reset arp static全部刪除。
【舉例】
# 將設備上的動態ARP表項轉化成靜態ARP表項。
<Sysname> system-view
[Sysname] arp fixup
arp scan命令用來開啟ARP自動掃描功能。
【命令】
arp scan [ start-ip-address to end-ip-address ]
【視圖】
三層以太網接口視圖
三層以太網子接口視圖
VLAN接口視圖
【缺省用戶角色】
network-admin
【參數】
start-ip-address:ARP掃描區間的起始IP地址。起始IP地址必須小於等於終止IP地址。
end-ip-address:ARP掃描區間的終止IP地址。
【使用指導】
ARP自動掃描功能可以對接口下指定地址範圍內的鄰居進行掃描,對於已存在ARP表項的IP地址不進行掃描。
如果用戶知道局域網內鄰居分配的IP地址範圍,指定了ARP掃描區間,則對該範圍內的鄰居進行掃描,減少掃描等待的時間。如果指定的掃描區間同時在接口下多個IP地址的網段內,則發送的ARP請求報文的源IP地址選擇網段範圍較小的接口IP地址。
如果用戶不指定ARP掃描區間的起始IP地址和終止IP地址,則僅對接口下的主IP地址網段內的鄰居進行掃描。其中,發送的ARP請求報文的源IP地址就是接口的主IP地址。
ARP掃描區間的起始IP地址和終止IP地址必須與接口的IP地址(主IP地址或手工配置的從IP地址)在同一網段。
掃描操作可能比較耗時,用戶可以通過<Ctrl_C>來終止掃描(在終止掃描時,對於已經收到的鄰居應答,會建立該鄰居的動態ARP表項)。
【舉例】
# 對接口Vlan-interface2下的主IP地址網段內的鄰居進行掃描。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] arp scan
# 對接口Vlan-interface2下指定地址範圍內的鄰居進行掃描。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] arp scan 1.1.1.1 to 1.1.1.20
arp filter source命令用來開啟ARP網關保護功能,配置受保護的網關IP地址。
undo arp filter source命令用來關閉ARP網關保護功能,並刪除已配置的受保護網關IP地址。
【命令】
arp filter source ip-address
undo arp filter source ip-address
【缺省情況】
ARP網關保護功能處於關閉狀態。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:受保護的網關IP地址。
【使用指導】
每個接口最多支持配置8個受保護的網關IP地址。
不能在同一接口下同時配置命令arp filter source和arp filter binding。
【舉例】
# 在GigabitEthernet1/0/1下開啟ARP網關保護功能,受保護的網關IP地址為1.1.1.1。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp filter source 1.1.1.1
arp filter binding命令用來開啟ARP過濾保護功能並配置ARP過濾保護表項。
undo arp filter binding命令用來刪除ARP過濾保護表項。
【命令】
arp filter binding ip-address mac-address
undo arp filter binding ip-address
【缺省情況】
ARP過濾保護功能處於關閉狀態。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:允許通過的ARP報文的源IP地址。
mac-address:允許通過的ARP報文的源MAC地址。
【使用指導】
ARP過濾保護表項可以限製隻有特定源IP地址和源MAC地址的ARP報文才允許通過。
每個接口最多支持配置8組允許通過的ARP報文的源IP地址和源MAC地址。
不能在同一接口下同時配置命令arp filter source和arp filter binding。
【舉例】
# 在GigabitEthernet1/0/1下開啟ARP過濾保護功能,允許源IP地址為1.1.1.1、源MAC地址為0e10-0213-1023的ARP報文通過。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp filter binding 1.1.1.1 0e10-0213-1023
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
