- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
22-ND攻擊防禦命令
本章節下載: 22-ND攻擊防禦命令 (264.95 KB)
目 錄
1.1.1 display ipv6 nd source-mac
1.1.2 display ipv6 nd source-mac configuration
1.1.4 ipv6 nd source-mac threshold
1.1.5 reset ipv6 nd source-mac
1.2.1 display ipv6 nd attack-suppression configuration
1.2.2 display ipv6 nd attack-suppression per-interface
1.2.3 display ipv6 nd attack-suppression per-interface inteface
1.2.4 ipv6 nd attack-suppression enable per-interface
1.2.5 ipv6 nd attack-suppression threshold
1.2.6 reset ipv6 nd attack-suppression per-interface
1.2.7 reset ipv6 nd attack-suppression per-interface statistics
1.3.1 ipv6 nd check log enable
1.3.2 ipv6 nd mac-check enable
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
display ipv6 nd source-mac命令用來顯示源MAC地址固定的ND攻擊檢測表項。
【命令】
display ipv6 nd source-mac interface interface-type interface-number [ slot slot-number ] [ verbose ]
display ipv6 nd source-mac { mac mac-address | vlan vlan-id } slot slot-number [ verbose ]
display ipv6 nd source-mac slot slot-number [ count | verbose ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
【參數】
interface interface-type interface-number:顯示指定接口上的源MAC地址固定的ND攻擊檢測表項,interface-type interface-number表示指定接口的類型和編號。
mac mac-address:顯示指定源MAC對應的源MAC地址固定的ND攻擊檢測表項。mac-address格式為H-H-H。
vlan vlan-id:顯示指定VLAN內檢測到的源MAC地址固定的ND攻擊檢測表項。vlan-id的取值範圍為1~4094。
slot slot-number:顯示虛擬接口包含的指定成員設備上的物理口檢測到的源MAC地址固定的ND攻擊檢測表項。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示的是虛擬接口在主設備上的物理口檢測到的源MAC地址固定的ND攻擊檢測表項。
slot slot-number:顯示指定成員設備上的源MAC地址固定的ND攻擊檢測表項。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示主設備上的源MAC地址固定的ND攻擊檢測表項。
verbose:顯示檢測到的源MAC地址固定的ND攻擊檢測表項的詳細信息。如果未指定本參數,則顯示檢測到的源MAC地址固定的ND攻擊檢測表項的簡要信息。
count:隻顯示檢測到的源MAC地址固定的ND攻擊檢測表項的數目。如果未指定本參數,則顯示檢測到的源MAC地址固定的ND攻擊檢測表項。
【使用指導】
顯示虛擬接口檢測到的源MAC地址固定的ND攻擊檢測表項時,才支持輸入slot參數;顯示物理口檢測到的源MAC地址固定的ND攻擊檢測表項時,不支持輸入slot參數。
虛擬接口支持二層聚合接口、三層聚合接口、三層聚合子接口和VXLAN中的VSI虛接口。
如果未指定任何參數,則顯示所有檢測到的源MAC地址固定的ND攻擊檢測表項。
【舉例】
# 顯示接口GigabitEthernet1/0/1檢測到的源MAC地址固定的ND攻擊檢測表項。
<Sysname> display ipv6 nd source-mac interface gigabitethernet 1/0/1
Source MAC VLAN ID Interface Aging time (sec) Packets dropped
23f3-1122-3344 4094 GE1/0/1 10 84467
# 顯示檢測到的源MAC地址固定的ND攻擊檢測表項個數。
<Sysname> display ipv6 nd source-mac slot 1 count
Total source MAC-based ND attack detection entries: 1
# 顯示接口GigabitEthernet1/0/1檢測到的源MAC地址固定的ND攻擊檢測表項的詳細信息。
<Sysname> display ipv6 nd source-mac interface gigabitethernet 1/0/1 verbose
Source MAC: 0001-0001-0001
VLAN ID: 4094
Hardware status: Succeeded
Aging time: 10 seconds
Interface: GigabitEthernet1/0/1
Attack time: 2019/06/04 15:53:34
Packets dropped: 84467
表1-1 display ipv6 nd source-mac命令顯示信息描述表
|
字段 |
描述 |
|
Source MAC |
檢測到攻擊的源MAC地址 |
|
VLAN ID |
檢測到攻擊的VLAN ID |
|
Interface |
攻擊來源的接口 |
|
Aging time |
源MAC地址固定的ND攻擊檢測表項的剩餘老化時間,單位為秒 |
|
Packets dropped |
丟包總個數,如果是二層以太網接口,則不支持統計丟包總個數,顯示為“0” |
|
Total source MAC-based ND attack detection entries |
源MAC地址固定的ND攻擊檢測表項個數 |
|
Hardware status |
表項下硬件狀態,取值包括: · Succeeded:成功 · Failed:失敗 · Not supported:不支持 · Not enough resources:資源不足 |
|
Attack time |
檢測到攻擊的時間(顯示方式如2019/06/04 15:53:34) |
【相關命令】
· reset ipv6 nd source-mac
display ipv6 nd source-mac configuration命令用來顯示源MAC地址固定的ND攻擊檢測功能的配置信息。
【命令】
display ipv6 nd source-mac configuration
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
【舉例】
# 顯示源MAC固定的ND攻擊檢測功能的配置信息。
<Sysname> display ipv6 nd source-mac configuration
IPv6 ND source-mac is enabled.
Mode: Filter Threshold: 20
表1-2 display ipv6 nd source-mac configuration命令顯示信息描述表
|
字段 |
描述 |
|
IPv6 ND source-mac is enabled. |
源MAC地址固定的ND攻擊檢測功能處於開啟狀態 |
|
IPv6 ND source-mac is disabled. |
源MAC地址固定的ND攻擊檢測功能處於關閉狀態 |
|
Mode |
源MAC地址固定的ND攻擊檢測模式,取值包括: · Filter:過濾模式 · Moniter:監控模式 |
|
Threshold |
源MAC地址固定的ND攻擊檢測的閾值 |
【相關命令】
· ipv6 nd source-mac
· ipv6 nd source-mac threshold
ipv6 nd source-mac命令用來開啟源MAC地址固定的ND攻擊檢測功能,並選擇檢查模式。
undo ipv6 nd source-mac命令用來關閉源MAC地址固定的ND攻擊檢測功能。
【命令】
ipv6 nd source-mac { filter | monitor }
undo ipv6 nd source-mac
【缺省情況】
源MAC地址固定的ND攻擊檢測功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
filter:過濾模式。
monitor:監控模式。
【使用指導】
建議在網關設備上開啟本功能。
本功能用於防止源MAC地址固定的ND報文攻擊。在5秒內,如果收到同一源MAC地址的ND報文超過一定的閾值,則認為存在攻擊,係統會將此MAC地址添加到攻擊檢測表項中。在開啟了ND日誌信息功能的情況下(配置ipv6 nd check log enable命令),係統會根據設置的檢查模式對存在於攻擊檢測表項中的MAC地址有如下處理:
· 如果設置的檢查模式為過濾模式,則會打印日誌信息並且將該源MAC地址發送的ND報文過濾掉;
· 如果設置的檢查模式為監控模式,則隻打印日誌信息,不會將該源MAC地址發送的ND報文過濾掉。
對於已添加到源MAC地址固定的ND攻擊檢測表項中的MAC地址,如果老化時間(固定值300秒)內丟棄的ND報文個數大於或等於一個特定值((閾值/5)×300),則設備會重置該表項的老化時間;如果小於該特定值,則設備刪除該源MAC地址固定的ND攻擊表項,MAC地址會重新恢複成普通MAC地址。
切換源MAC地址固定的ND攻擊檢查模式時,如果從監控模式切換到過濾模式,過濾模式馬上生效;如果從過濾模式切換到監控模式,已生成的攻擊檢測表項,到表項老化前還會繼續按照過濾模式處理。
【舉例】
# 開啟源MAC地址固定的ND攻擊檢測功能,配置檢查方式為監控模式。
<Sysname> system-view
[Sysname] ipv6 nd source-mac monitor
ipv6 nd source-mac threshold命令用來配置源MAC地址固定的ND報文攻擊檢測閾值。
undo ipv6 nd source-mac threshold命令用來恢複缺省情況。
【命令】
ipv6 nd source-mac threshold threshold-value
undo ipv6 nd source-mac threshold
【缺省情況】
源MAC地址固定的ND報文攻擊檢測表項的閾值為30個報文。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:5秒內源MAC地址固定的ND報文攻擊檢測的閾值,取值範圍為1~5000,單位為報文個數。
【使用指導】
在5秒內,如果某個接口收到的源MAC地址固定的ND報文個數超過閾值,則認為該接口受到源MAC地址固定的ND報文攻擊。
【舉例】
# 配置源MAC地址固定的ND報文攻擊檢測閾值為100個報文。
<Sysname> system-view
[Sysname] ipv6 nd source-mac threshold 100
reset ipv6 nd source-mac命令用來清除源MAC地址固定的ND攻擊表項。
【命令】
reset ipv6 nd source-mac [ interface interface-type interface-number | mac mac-address | vlan vlan-id ] [ slot slot-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interface interface-type interface-number:清除指定接口上的源MAC地址固定的ND攻擊檢測表項。interface-type interface-number表示接口類型和接口編號。
mac mac-address:清除指定MAC地址對應的源MAC地址固定的ND攻擊檢測表項。mac-address格式為H-H-H。
vlan vlan-id:清除指定VLAN內的源MAC地址固定的ND攻擊檢測表項。vlan-id的取值範圍為1~4094。
slot slot-number:清除指定成員設備的源MAC地址固定的ND攻擊檢測表項。slot-number表示設備在IRF中的成員編號。
【使用指導】
如果未指定任何參數,則表示清除設備上所有源MAC地址固定的ND攻擊檢測表項。
【舉例】
# 清除設備上所有的源MAC地址固定的ND攻擊檢測表項。
<Sysname> reset ipv6 nd source-mac
【相關命令】
· display ipv6 nd source-mac
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、 F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
display ipv6 nd attack-suppression configuration命令用來顯示ND接口攻擊抑製功能的配置信息。
【命令】
display ipv6 nd attack-suppression configuration
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
【舉例】
# 顯示ND接口攻擊抑製功能的配置信息。
<Sysname> display ipv6 nd attack-suppression configuration
IPv6 ND attack-suppression per-interface is enabled.
Threshold: 3000
表1-3 display ipv6 nd source-mac configuration命令顯示信息描述表
|
字段 |
描述 |
|
IPv6 ND attack-suppression per-interface is enabled. |
ND接口攻擊抑製功能處於開啟狀態 |
|
IPv6 ND attack-suppression per-interface is disabled. |
ND接口攻擊抑製功能處於關閉狀態 |
|
Threshold |
ND接口攻擊抑製功能的檢測閾值 |
【相關命令】
· ipv6 nd attack-suppression enable per-interface
display ipv6 nd attack-suppression per-interface命令用來顯示ND接口攻擊抑製表項。
【命令】
display ipv6 nd attack-suppression per-interface slot slot-number [ count | verbose ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
【參數】
verbose:顯示ND接口攻擊抑製檢測表項的詳細信息。如果未指定本參數,則顯示ND接口攻擊抑製檢測表項的簡要信息。
slot slot-number:顯示指定成員設備的ND接口攻擊抑製表項。slot-number表示設備在IRF中的成員編號。
count:隻顯示ND接口攻擊抑製表項個數。如果未指定本參數,則顯示ND接口攻擊抑製表項。
【使用指導】
如果未指定任何參數,則顯示設備上所有的ND接口攻擊抑製表項的簡要信息。
【舉例】
# 顯示Slot1上的ND接口攻擊抑製表項。
<Sysname> display ipv6 nd attack-suppression per-interface slot 1
Interface Suppression time (second) Packets dropped
GE1/0/1 200 84467
GE1/0/2 140 38293
# 顯示Slot1上的ND接口攻擊抑製表項個數。
<Sysname> display ipv6 nd attack-suppression per-interface slot 1 count
Total ND attack suppression entries: 2
# 顯示Slot1上的ND接口攻擊抑製表項的詳細信息。
<Sysname> display ipv6 nd attack-suppression per-interface interface slot 1 verbose
Interface: GigabitEthernet1/0/1
Suppression time: 200 seconds
Hardware status: Succeeded
Attack time: 2019/06/04 15:53:34
Packets dropped: 84467
Interface: GigabitEthernet1/0/2
Suppression time: 140 seconds
Hardware status: Succeeded
Attack time: 2019/06/04 14:53:34
Packets dropped: 38293
表1-2 display ipv6 nd attack-suppression per-interface命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
受到ND攻擊的接口 |
|
Suppression time (second) |
抑製接口接收ND報文的時間,單位為秒 |
|
Packets dropped |
丟包總個數 |
|
Total ND attack suppression entries |
ND接口攻擊抑製表項個數 |
|
Hardware status |
表項下硬件狀態,取值包括: · Succeeded:成功 · Failed:失敗 · Not supported:不支持 · Not enough resources:資源不足 |
|
Suppression time |
剩餘抑製時間,單位為秒 |
|
Attack time |
檢測到攻擊的時間(顯示方式如2019/06/04 15:53:34) |
【相關命令】
· reset ipv6 nd attack-suppression per-interface
· reset ipv6 nd attack-suppression per-interface statistics
display ipv6 nd attack-suppression per-interface interface命令用來顯示指定接口的ND接口攻擊抑製表項。
【命令】
display ipv6 nd attack-suppression per-interface interface interface-type interface-number [ verbose ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
【參數】
interface-type interface-number:指定接口的接口類型和接口編號。
verbose:顯示指定接口的ND接口攻擊抑製表項的詳細信息。如果未指定本參數,則顯示ND接口攻擊抑製表項的簡要信息。
【舉例】
# 顯示接口GigabitEthernet1/0/1上的ND接口攻擊抑製表項。
<Sysname> display ipv6 nd attack-suppression per-interface interface gigabitethernet 1/0/1
Interface Suppression time (second) Packets dropped
GE1/0/1 200 84467
# 顯示接口GigabitEthernet1/0/1上的ND接口攻擊抑製表項的詳細信息。
<Sysname> display ipv6 nd attack-suppression per-interface interface gigabitethernet 1/0/1 verbose
Interface: GigabitEthernet1/0/1
Suppression time: 200 seconds
Hardware status: Succeeded
Attack time: 2019/06/04 15:53:34
Packets dropped: 84467
表1-2 display ipv6 nd attack-suppression per-interface inteface命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
受到ND攻擊的接口 |
|
Suppression time (second) |
抑製接口接收ND報文的時間,單位為秒 |
|
Packets dropped |
丟包總個數 |
|
Hardware status |
表項下硬件狀態,取值包括: · Succeeded:成功 · Failed:失敗 · Not supported:不支持 · Not enough resources:資源不足 |
|
Suppression time |
剩餘抑製時間,單位為秒 |
|
Attack time |
檢測到攻擊的時間(顯示方式如2019/06/04 15:53:34) |
【相關命令】
· reset ipv6 nd attack-suppression per-interface
· reset ipv6 nd attack-suppression per-interface statistics
ipv6 nd attack-suppression enable per-interface命令用來開啟ND接口攻擊抑製功能。
undo ipv6 nd attack-suppression enable per-interface命令用來關閉ND接口攻擊抑製功能。
【命令】
ipv6 nd attack-suppression enable per-interface
undo ipv6 nd attack-suppression enable per-interface
【缺省情況】
ND接口攻擊抑製功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
ND接口攻擊抑製功能基於接口限製ND請求速率,以防止非法用戶構造大量ND請求報文對設備進行ND攻擊。本功能隻統計設備的三層接口上收到的ND請求報文,在5秒內,如果單個接口收到的ND請求報文個數超過配置的ND接口攻擊抑製閾值,則認為該接口受到ND攻擊。確定受到ND攻擊後,設備會生成ND接口攻擊抑製表項,在ND接口攻擊抑製表項的抑製時間(固定值300秒)清零之前設備直接丟棄表項對應接口接收的所有ND報文,防止ND攻擊報文持續衝擊CPU。
ND接口攻擊抑製表項的抑製時間清零後,如果抑製時間內丟棄的ND報文個數大於或等於一個特定值((閾值/5)×300),則設備會將ND接口攻擊抑製表項抑製時間重置;如果小於該特定值,則設備刪除該ND接口攻擊抑製表項。
建議在網關設備上開啟本功能。
【舉例】
# 開啟ND接口攻擊抑製功能。
<Sysname> system-view
[Sysname] ipv6 nd attack-suppression enable per-interface
【相關命令】
· display ipv6 nd attack-suppression per-interface
· ipv6 nd attack-suppression threshold
ipv6 nd attack-suppression threshold命令用來配置ND接口攻擊抑製閾值。
undo ipv6 nd attack-suppression threshold命令用來恢複缺省情況。
【命令】
ipv6 nd attack-suppression threshold threshold-value
undo ipv6 nd attack-suppression threshold
【缺省情況】
ND接口攻擊抑製閾值為1000。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:ND接口攻擊抑製閾值,即5秒內可接收ND請求報文的個數,取值範圍為1~5000。
【使用指導】
在5秒內,如果某個接口收到的ND請求報文個數超過閾值,則認為該接口受到ND報文攻擊。
【舉例】
# 配置ND接口攻擊抑製閾值為500,即當某個接口上在5秒內收到的ND請求報文個數超過500個,則認為該接口受到ND報文攻擊。
<Sysname> system-view
[Sysname] ipv6 nd attack-suppression threshold 500
【相關命令】
· display ipv6 nd attack-suppression per-interface
· ipv6 nd attack-suppression enable per-interface
reset ipv6 nd attack-suppression per-interface命令用來清除ND接口攻擊抑製表項。
【命令】
reset ipv6 nd attack-suppression per-interface [ interface interface-type interface-number ] [ slot slot-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interface interface-type interface-number:清除指定接口上的ND接口攻擊抑製表項。interface-type interface-number表示接口類型和接口編號。
slot slot-number:清除指定成員設備的ND接口攻擊抑製表項。slot-number表示設備在IRF中的成員編號。
【使用指導】
如果未指定任何參數,則表示清除設備上所有的ND接口攻擊抑製表項。
【舉例】
# 清除所有的ND接口攻擊抑製表項。
<Sysname> reset ipv6 nd attack-interface per-interface
【相關命令】
· display ipv6 nd attack-suppression per-interface
reset ipv6 nd attack-suppression per-interface statistics命令用來清除ND接口攻擊抑製功能丟棄的ND攻擊報文計數統計信息。
【命令】
reset ipv6 nd attack-suppression per-interface statistics [ interface interface-type interface-number ] [ slot slot-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interface interface-type interface-number:清除指定接口上ND接口攻擊抑製功能丟棄的ND攻擊報文計數統計信息。interface-type interface-number表示接口類型和接口編號。
slot slot-number:清除指定成員設備上ND接口攻擊抑製功能丟棄的ND攻擊報文計數統計信息。slot-number表示設備在IRF中的成員編號。
【使用指導】
執行本命令後,display ipv6 nd attack-suppression per-interface命令顯示信息中的Packets dropped信息會被清空。
如果未指定任何參數,則表示清除設備上所有的ND接口攻擊抑製功能丟棄的ND攻擊報文計數統計信息。
【舉例】
# 清除ND接口攻擊抑製功能丟棄的ND攻擊報文計數統計信息。
<Sysname> reset ipv6 nd attack-interface per-interface statistics
【相關命令】
· display ipv6 nd attack-suppression per-interface
ipv6 nd check log enable命令用來開啟ND日誌信息功能。
undo ipv6 nd check log enable命令用來關閉ND日誌信息功能。
【命令】
ipv6 nd check log enable
undo ipv6 nd check log enable
【缺省情況】
ND日誌信息功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
設備生成的ND日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
為了防止設備輸出過多的ND日誌信息,一般情況下建議不要開啟此功能。
【舉例】
# 開啟ND日誌信息功能。
<Sysname> system-view
[Sysname] ipv6 nd check log enable
ipv6 nd mac-check enable命令用來開啟ND協議報文源MAC地址一致性檢查功能。
undo ipv6 nd mac-check enable命令用來關閉ND協議報文源MAC地址一致性檢查功能。
【命令】
ipv6 nd mac-check enable
undo ipv6 nd mac-check enable
【缺省情況】
ND協議報文源MAC地址一致性檢查功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
網關設備開啟該功能後,會對接收到的ND協議報文進行檢查,如果ND報文中的源MAC地址和以太網數據幀首部的源MAC地址不一致,則丟棄該報文。
【舉例】
# 開啟ND協議報文源MAC地址一致性檢查功能。
<Sysname> system-view
[Sysname] ipv6 nd mac-check enable
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
