- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
17-ARP攻擊防禦命令
本章節下載: 17-ARP攻擊防禦命令 (362.25 KB)
1.1.1 arp resolving-route enable
1.1.2 arp resolving-route probe-count
1.1.3 arp resolving-route probe-interval
1.1.4 arp source-suppression enable
1.1.5 arp source-suppression limit
1.1.6 display arp source-suppression
1.2.2 arp rate-limit log enable
1.2.3 arp rate-limit log interval
1.2.4 snmp-agent trap enable arp
1.3.2 arp source-mac aging-time
1.3.3 arp source-mac exclude-mac
1.3.4 arp source-mac log enable
1.3.5 arp source-mac threshold
1.7.2 arp detection log enable
1.7.3 arp detection port-match-ignore
1.7.7 arp restricted-forwarding enable
1.7.9 display arp detection statistics attack-source
1.7.10 display arp detection statistics packet-drop
1.7.11 reset arp detection statistics attack-source
1.7.12 reset arp detection statistics packet-drop
arp resolving-route enable命令用來開啟ARP黑洞路由功能。
undo arp resolving-route enable命令用來關閉ARP黑洞路由功能。
【命令】
arp resolving-route enable
undo arp resolving-route enable
【缺省情況】
ARP黑洞路由功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
建議在網關設備上開啟本功能。
【舉例】
# 開啟ARP黑洞路由功能。
<Sysname> system-view
[Sysname] arp resolving-route enable
【相關命令】
· arp resolving-route probe-count
· arp resolving-route probe-interval
arp resolving-route probe-count命令用來配置發送ARP請求報文的次數。
undo arp resolving-route probe-count命令用來恢複缺省情況。
【命令】
arp resolving-route probe-count count
undo arp resolving-route probe-count
【缺省情況】
發送ARP請求報文的次數為3次。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
count:發送ARP請求報文的次數,取值範圍為1~25。
【舉例】
# 配置發送ARP請求報文的次數為5次。
<Sysname> system-view
[Sysname] arp resolving-route probe-count 5
【相關命令】
· arp resolving-route enable
· arp resolving-route probe-interval
arp resolving-route probe-interval命令用來配置發送ARP請求報文的時間間隔。
undo arp resolving-route probe-interval命令用來恢複缺省情況。
【命令】
arp resolving-route probe-interval interval
undo arp resolving-route probe-interval
【缺省情況】
發送ARP請求報文的時間間隔是1秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interval:發送ARP請求報文的時間間隔,取值範圍為1~5,單位為秒。
【舉例】
# 配置發送ARP請求報文的時間間隔為3秒。
<Sysname> system-view
[Sysname] arp resolving-route probe-interval 3
【相關命令】
· arp resolving-route enable
· arp resolving-route probe-count
arp source-suppression enable命令用來開啟ARP源地址抑製功能。
undo arp source-suppression enable命令用來關閉ARP源地址抑製功能。
【命令】
arp source-suppression enable
undo arp source-suppression enable
【缺省情況】
ARP源地址抑製功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
建議在網關設備上開啟本功能。
【舉例】
# 開啟ARP源地址抑製功能。
<Sysname> system-view
[Sysname] arp source-suppression enable
【相關命令】
· display arp source-suppression
arp source-suppression limit命令用來配置ARP源抑製的閾值。
undo arp source-suppression limit命令用來恢複缺省情況。
【命令】
arp source-suppression limit limit-value
undo arp source-suppression limit
【缺省情況】
ARP源抑製的閾值為10。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
limit-value:ARP源抑製的閾值,即設備在5秒間隔內可以處理的源IP相同,但目的IP地址不能解析的IP報文的最大數目,取值範圍為2~1024。
【使用指導】
如果網絡中每5秒內從某IP地址向設備某接口發送目的IP地址不能解析的IP報文超過了設置的閾值,則設備將不再處理由此IP地址發出的IP報文直至該5秒結束,從而避免了惡意攻擊所造成的危害。
【舉例】
# 配置ARP源抑製的閾值為100。
<Sysname> system-view
[Sysname] arp source-suppression limit 100
【相關命令】
· display arp source-suppression
display arp source-suppression命令用來顯示當前ARP源抑製的配置信息。
【命令】
display arp source-suppression
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示當前ARP源抑製的配置信息。
<Sysname> display arp source-suppression
ARP source suppression is enabled
Current suppression limit: 100
表1-1 display arp source-suppression顯示信息描述表
|
字段 |
描述 |
|
ARP source suppression is enabled |
ARP源抑製功能處於開啟狀態 |
|
Current suppression limit |
設備在5秒時間間隔內可以接收到的源IP相同,但目的IP地址不能解析的IP報文的最大數目 |
arp rate-limit命令用來開啟ARP報文限速功能,並設置ARP報文限速速率。
undo arp rate-limit命令用來關閉ARP報文限速功能。
【命令】
arp rate-limit [ pps ]
undo arp rate-limit
【缺省情況】
ARP報文限速功能處於開啟狀態。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
pps:ARP限速速率,單位為包每秒(pps),取值範圍為5~200。如果未指定本參數,則用來恢複設備缺省ARP限速速率。
【使用指導】
不指定限速速率時,設備使用缺省限速速率,超過限速部分的報文會被丟棄。
【舉例】
# 在二層以太網接口GigabitEthernet1/0/1上開啟ARP報文限速功能,並設置ARP報文限速速率為50pps。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp rate-limit 50
arp rate-limit log enable命令用來開啟ARP報文限速日誌功能。
undo arp rate-limit log enable命令用來關閉ARP報文限速日誌功能。
【命令】
arp rate-limit log enable
undo arp rate-limit log enable
【缺省情況】
設備的ARP報文限速日誌功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
當開啟了ARP限速日誌功能後,設備將這個時間間隔內的超速峰值作為日誌的速率值發送到設備的信息中心,通過設置信息中心的參數,最終決定日誌報文的輸出規則(即是否允許輸出以及輸出方向)。有關信息中心參數的設置請參見“網絡管理和監控配置指導”中的“信息中心”。
【舉例】
# 開啟ARP報文限速日誌功能。
<Sysname> system-view
[Sysname] arp rate-limit log enable
arp rate-limit log interval命令用來配置當設備收到的ARP報文速率超過用戶設定的限速值時,設備發送告警和日誌的時間間隔。
undo arp rate-limit log interval命令用來恢複缺省情況。
【命令】
arp rate-limit log interval interval
undo arp rate-limit log interval
【缺省情況】
當設備收到的ARP報文速率超過用戶設定的限速值時,設備發送告警和日誌的時間間隔為60秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interval:當端口上的ARP報文速率超過用戶設定的限速值時,設備發送告警和日誌的時間間隔。取值範圍為1~86400,單位為秒。
【使用指導】
用戶需要先開啟發送告警或日誌功能,然後配置此命令指定設備發送告警和日誌的時間間隔,同時本命令必須和端口下的arp rate-limit命令配合使用,單獨配置本命令無效。
【舉例】
# 當設備收到的ARP報文速率超過用戶設定的限速值時,配置設備發送告警和日誌的時間間隔為120秒。
<Sysname> system-view
[Sysname] arp rate-limit log interval 120
【相關命令】
· arp rate-limit
· arp rate-limit log enable
· snmp-agent trap enable arp
snmp-agent trap enable arp命令用來開啟ARP模塊的告警功能。
undo snmp-agent trap enable arp命令用來關閉ARP模塊的告警功能。
【命令】
snmp-agent trap enable arp [ rate-limit ]
undo snmp-agent trap enable arp [ rate-limit ]
【缺省情況】
ARP模塊的告警功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
rate-limit:開啟ARP報文限速的告警功能。
【使用指導】
當開啟了ARP模塊的告警功能後,設備將這個時間間隔內的超速峰值作為告警信息發送出去,生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關特性。
有關告警信息的詳細描述,請參見“網絡管理和監控配置指導”中的“SNMP”。
【舉例】
# 開啟ARP報文限速的告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable arp rate-limit
arp source-mac命令用來開啟源MAC地址固定的ARP攻擊檢測功能,並選擇檢查模式。
undo arp source-mac命令用來關閉源MAC地址固定的ARP攻擊檢測功能。
【命令】
arp source-mac { filter | monitor }
undo arp source-mac [ filter | monitor ]
【缺省情況】
源MAC地址固定的ARP攻擊檢測功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
filter:配置檢查方式為過濾模式。
monitor:配置檢查方式為監控模式。
【使用指導】
建議在網關設備上開啟本功能。
本特性根據ARP報文的源MAC地址對上送CPU的ARP報文進行統計,在5秒內,如果收到同一源MAC地址(源MAC地址固定)的ARP報文超過一定的閾值,則認為存在攻擊,係統會將此MAC地址添加到攻擊檢測表項中。當開啟了ARP日誌信息功能(配置arp check log enable命令),且在該攻擊檢測表項老化之前,如果設置的檢查模式為過濾模式,則會打印日誌信息並且將該源MAC地址發送的ARP報文過濾掉,同時,還會將源/目的MAC地址為該MAC地址的數據報文也過濾掉;如果設置的檢查模式為監控模式,則隻打印日誌信息,不會過濾報文。關於ARP日誌信息功能的詳細描述,請參見“三層技術-IP業務配置指導”中的“ARP”。
如果undo arp source-mac命令中未指定檢查模式,則關閉任意檢查模式的源MAC地址固定的ARP攻擊檢測功能。
【舉例】
# 開啟源MAC地址固定的ARP攻擊檢測功能,並選擇filter檢查模式。
<Sysname> system-view
[Sysname] arp source-mac filter
arp source-mac aging-time命令用來配置源MAC地址固定的ARP攻擊檢測表項的老化時間。
undo arp source-mac aging-time命令用來恢複缺省情況。
【命令】
arp source-mac aging-time time
undo arp source-mac aging-time
【缺省情況】
源MAC地址固定的ARP攻擊檢測表項的老化時間為300秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
time:源MAC地址固定的ARP攻擊檢測表項的老化時間,取值範圍為60~6000,單位為秒。
【舉例】
# 配置源MAC地址固定的ARP攻擊檢測表項的老化時間為60秒。
<Sysname> system-view
[Sysname] arp source-mac aging-time 60
arp source-mac exclude-mac命令用來配置保護MAC地址。當配置了保護MAC地址之後,即使該ARP報文中的MAC地址存在攻擊也不會被檢測過濾。
undo arp source-mac exclude-mac命令用來取消配置的保護MAC地址。
【命令】
arp source-mac exclude-mac mac-address&<1-10>
undo arp source-mac exclude-mac [ mac-address&<1-10> ]
【缺省情況】
未配置任何保護MAC地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
mac-address&<1-10>:MAC地址列表。其中,mac-address表示配置的保護MAC地址,格式為H-H-H。&<1-10>表示每次最多可以配置的10個保護MAC地址。
【使用指導】
如果undo命令中未指定MAC地址,則取消所有已配置的保護MAC地址。
本命令支持重複配置,設備上最多可以配置64個保護MAC地址。
【舉例】
# 配置源MAC地址固定的ARP攻擊檢查的保護MAC地址為001e-1200-0213。
<Sysname> system-view
[Sysname] arp source-mac exclude-mac 001e-1200-0213
arp source-mac log enable命令用來開啟源MAC地址固定的ARP攻擊檢測日誌信息功能。
undo arp source-mac log enable命令用來關閉源MAC地址固定的ARP攻擊檢測日誌信息功能。
【命令】
arp source-mac log enable
undo arp source-mac log enable
【缺省情況】
源MAC地址固定的ARP攻擊檢測日誌信息功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
當設備判斷網絡中存在源MAC地址固定的ARP攻擊時,會生成源MAC地址固定的ARP攻擊檢測的日誌信息,並將該日誌信息交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
網絡管理員可以根據日誌信息定位問題和解決問題。
【舉例】
# 開啟源MAC地址固定的ARP攻擊檢測日誌信息功能。
<Sysname> system-view
[Sysname] arp source-mac log enable
arp source-mac threshold命令用來配置源MAC地址固定的ARP報文攻擊檢測閾值,當在固定的時間(5秒)內收到源MAC地址固定的ARP報文超過該閾值則認為存在ARP報文攻擊。
undo arp source-mac threshold命令用來恢複缺省情況。
【命令】
arp source-mac threshold threshold-value
undo arp source-mac threshold
【缺省情況】
源MAC地址固定的ARP報文攻擊檢測的閾值為30。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
threshold-value:固定時間內源MAC地址固定的ARP報文攻擊檢測的閾值,單位為報文個數,取值範圍為1~5000。
【舉例】
# 配置源MAC地址固定的ARP報文攻擊檢測閾值為30個。
<Sysname> system-view
[Sysname] arp source-mac threshold 30
display arp source-mac命令用來顯示檢測到的源MAC地址固定的ARP攻擊檢測表項。
【命令】
display arp source-mac { interface interface-type interface-number [ slot slot-number ] | slot slot-number }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定接口檢測到的源MAC地址固定的ARP攻擊檢測表項,interface-type interface-number表示指定接口的類型和編號。
slot slot-number:顯示虛擬接口包含的指定成員設備上的物理口檢測到的源MAC地址固定的ARP攻擊檢測表項。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示的是虛擬接口在主設備上的物理口檢測到的源MAC地址固定的ARP攻擊檢測表項。
slot slot-number:顯示指定成員設備檢測到的源MAC地址固定的ARP攻擊檢測表項。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示主設備上檢測到的源MAC地址固定的ARP攻擊檢測表項。
【使用指導】
顯示虛擬接口檢測到的源MAC地址固定的ARP攻擊檢測表項時,才支持輸入slot參數;顯示物理口檢測到的源MAC地址固定的ARP攻擊檢測表項時,不支持輸入slot參數。
虛擬接口支持二層聚合接口。
【舉例】
# 顯示接口GigabitEthernet1/0/1檢測到的源MAC地址固定的ARP攻擊檢測表項。
<Sysname> display arp source-mac interface gigabitethernet 1/0/1
Source-MAC VLAN/VSI name Interface Aging-time (sec)
23f3-1122-3344 4094 GE1/0/1 10
表1-2 display arp source-mac命令顯示信息描述表
|
字段 |
描述 |
|
Source-MAC |
檢測到攻擊的源MAC地址 |
|
VLAN/VSI name |
(暫不支持VSI)檢測到攻擊的VLAN的編號或VSI名稱,如果檢測到的攻擊不屬於任何VLAN和VSI,則顯示為“N/A” |
|
Interface |
攻擊來源的接口 |
|
Aging-time (sec) |
ARP防攻擊策略表項老化剩餘時間,單位為秒 |
arp valid-check enable命令用來開啟ARP報文源MAC地址一致性檢查功能。
undo arp valid-check enable命令用來關閉ARP報文源MAC地址一致性檢查功能。
【命令】
arp valid-check enable
undo arp valid-check enable
【缺省情況】
ARP報文源MAC地址一致性檢查功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
ARP報文源MAC地址一致性檢查功能主要應用於網關設備。
開啟ARP報文源MAC地址一致性檢查功能後,設備會對接收的ARP報文進行檢查,如果以太網數據幀首部中的源MAC地址和ARP報文中的源MAC地址不同,則丟棄該報文。
【舉例】
# 開啟ARP報文源MAC地址一致性檢查功能。
<Sysname> system-view
[Sysname] arp valid-check enable
arp active-ack enable命令用來開啟ARP主動確認功能。
undo arp active-ack enable命令用來關閉ARP主動確認功能。
【命令】
arp active-ack [ strict ] enable
undo arp active-ack [ strict ] enable
【缺省情況】
ARP主動確認功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
strict:ARP主動確認功能的嚴格模式。
【使用指導】
ARP的主動確認功能主要應用於網關設備,防止攻擊者仿冒用戶欺騙網關設備。通過strict參數開啟或關閉主動確認的嚴格模式。開啟嚴格模式後,ARP主動確認功能執行更嚴格的檢查,新建ARP表項前,需要本設備先對其IP地址發起ARP解析,解析成功後才能觸發正常的主動確認流程,在主動確認流程成功後,才允許設備學習該表項。
【舉例】
# 開啟ARP主動確認功能。
<Sysname> system-view
[Sysname] arp active-ack enable
arp authorized enable命令用來開啟接口下的授權ARP功能。
undo arp authorized enable命令用來關閉接口下的授權ARP功能。
【命令】
arp authorized enable
undo arp authorized enable
【缺省情況】
接口下的授權ARP功能處於關閉狀態。
【視圖】
VLAN接口視圖
【缺省用戶角色】
network-admin
【舉例】
# 開啟Vlan-interface200接口下授權ARP功能。
<Sysname> system-view
[Sysname] interface vlan-interface 200
[Sysname-Vlan-interface200] arp authorized enable
arp detection enable命令用來開啟ARP Detection功能,即對ARP報文進行用戶合法性檢查。
undo arp detection enable命令用來關閉ARP Detection功能。
【命令】
arp detection enable
undo arp detection enable
【缺省情況】
ARP Detection功能處於關閉狀態,即不進行用戶合法性檢查。
【視圖】
VLAN視圖
【缺省用戶角色】
network-admin
【舉例】
# 在VLAN 2下開啟ARP Detection功能。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] arp detection enable
【相關命令】
· arp detection rule
· display arp detection
· display arp detection statistics attack-source
· reset arp detection statistics attack-source
arp detection log enable命令用來開啟ARP Detection日誌功能。
undo arp detection log enable命令用來關閉ARP Detection日誌功能。
【命令】
arp detection log enable [ interval interval | number number ]
undo arp detection log enable
【缺省情況】
ARP Detection日誌功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interval interval:ARP Detection日誌信息輸出周期,interval的取值範圍為0、10~3600,單位為秒,缺省值為60。當interval取值為0時,表示立即輸出日誌信息。
number number:每個輸出周期輸出的ARP Detection日誌最大數量,number的取值範圍為1~128,缺省值為128。
【使用指導】
ARP Detection日誌可以方便管理員定位問題和解決問題。設備生成的ARP Detection日誌信息會交給信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。關於信息中心的詳細描述請參見“網絡管理和監控配置指導”中的“信息中心”。
當設備輸出大量ARP Detection日誌信息時,會降低設備性能。這時用戶可以關閉ARP Detection日誌功能,使設備不再輸出ARP Detection日誌信息。
大量的日誌信息不僅影響設備性能,還影響管理員查看日誌和定位問題。解決方法如下:
· 用戶可以設置每個輸出周期輸出的ARP Detection日誌數量,超過指定的日誌數量的日誌信息不會被顯示。
對於單個成員設備,最多支持同時輸出128條ARP Detection日誌信息。
【舉例】
# 開啟ARP Detection日誌功能。
<Sysname> system-view
[Sysname] arp detection log enable
arp detection port-match-ignore命令用來開啟ARP Detection忽略端口匹配檢查功能。
undo arp detection port-match-ignore命令用來關閉ARP Detection忽略端口匹配檢查功能。
【命令】
arp detection port-match-ignore
undo arp detection port-match-ignore
【缺省情況】
ARP Detection忽略端口匹配檢查功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟ARP Detection忽略端口匹配檢查功能後,ARP Detection在進行各類安全表項檢查時,忽略ARP報文入端口和表項中的端口是否匹配的檢查。
【舉例】
# 開啟ARP Detection忽略端口匹配檢查功能。
<Sysname> system-view
[Sysname] arp detection port-match-ignore
【相關命令】
· arp detection enable
arp detection rule命令用來配置用戶合法性檢查規則。
undo arp detection rule命令用來刪除用戶合法性檢查規則。
【命令】
arp detection rule rule-id { deny | permit } ip { ip-address [ mask ] | any } mac { mac-address [ mask ] | any } [ vlan vlan-id ]
undo arp detection rule [ rule-id ]
【缺省情況】
未配置用戶合法性檢查規則。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
rule-id:用戶合法性規則編號,取值範圍為0~511,數值越小表示該用戶合法性規則優先級越高。
deny:丟棄指定範圍內的ARP報文。
permit:轉發指定範圍內的ARP報文。
ip { ip-address [ mask ] | any }:指定報文的源IP地址範圍。
· ip-address:表示報文的源IP地址,為點分十進製形式。
· mask:表示源IP地址的掩碼,為點分十進製形式。如果未指定該參數,則ip-address表示主機地址。
· any:表示任意源IP地址。
mac { mac-address [ mask ] | any }:指定報文的源MAC地址範圍。
· mac-address:表示報文的源MAC地址,格式為H-H-H。
· mask:表示源MAC地址的掩碼,格式為H-H-H。如果未指定該參數,則mac-address表示主機MAC地址。
· any:表示任意源MAC地址。
vlan vlan-id:指定規則中匹配的VLAN,vlan-id的取值範圍為1~4094。如果未指定該參數,則不對報文中的VLAN進行匹配檢查。
【使用指導】
隻有配置了arp detection enable命令後,通過命令arp detection rule配置的規則才生效。
使用undo arp detection rule命令時,如果未指定rule-id,則會刪除設備上所有已配置的用戶合法性規則。
【舉例】
# 配置用戶合法性規則,規則編號為0,規則內容為轉發源地址為10.1.1.1,掩碼為255.255.0.0,源MAC地址為0001-0203-0405,掩碼為ffff-ffff-0000的ARP報文。並在VLAN2中開啟用戶合法性檢查功能。
<Sysname> system-view
[Sysname] arp detection rule 0 permit ip 10.1.1.1 255.255.0.0 mac 0001-0203-0405 ffff-ffff-0000
[Sysname] vlan 2
[Sysname-vlan2] arp detection enable
【相關命令】
· arp detection enable
arp detection trust命令用來配置接口為ARP信任接口。
undo arp detection trust命令用來恢複缺省情況。
【命令】
arp detection trust
undo arp detection trust
【缺省情況】
接口為ARP非信任接口。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【舉例】
# 配置二層以太網接口GigabitEthernet1/0/1為ARP信任接口。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp detection trust
arp detection validate命令用來開啟對ARP報文的目的MAC地址或源MAC地址、IP地址的有效性檢查。
undo arp detection validate命令用來關閉對ARP報文的有效性檢查。
【命令】
arp detection validate { dst-mac | ip | src-mac } *
undo arp detection validate [ dst-mac | ip | src-mac ] *
【缺省情況】
ARP報文有效性檢查功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
dst-mac:檢查ARP應答報文中的目的MAC地址,是否為全0或者全1,是否和以太網報文頭中的目的MAC地址一致。全0、全1、不一致的報文都是無效的,無效的報文需要被丟棄。
ip:檢查ARP報文源IP和目的IP地址,全1或者組播IP地址都是不合法的,需要丟棄。對於ARP應答報文,源IP和目的IP地址都進行檢查;對於ARP請求報文,隻檢查源IP地址。
src-mac:檢查ARP報文中的源MAC地址和以太網報文頭中的源MAC地址是否一致,一致認為有效,否則丟棄。
【使用指導】
開啟有效性檢查時可以指定某一種檢查方式也可以配置成多種檢查方式的組合。
關閉時可以指定關閉某一種或多種檢查,在不指定檢查方式時,表示關閉所有有效性檢查。
【舉例】
# 開啟對ARP報文的MAC地址和IP地址的有效性檢查。
<Sysname> system-view
[Sysname] arp detection validate dst-mac ip src-mac
arp restricted-forwarding enable命令用來開啟ARP報文強製轉發功能。
undo arp restricted-forwarding enable命令用來關閉ARP報文強製轉發功能。
【命令】
arp restricted-forwarding enable
undo arp restricted-forwarding enable
【缺省情況】
ARP報文強製轉發功能處於關閉狀態。
【視圖】
VLAN視圖
【缺省用戶角色】
network-admin
【舉例】
# 開啟VLAN 2的ARP報文強製轉發功能。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] arp restricted-forwarding enable
display arp detection命令用來顯示配置了ARP Detection功能的VLAN。
【命令】
display arp detection
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示所有配置了ARP Detection功能的VLAN。
<Sysname> display arp detection
ARP detection is enabled in the following VLANs:
1-2, 4-5
表1-3 display arp detection命令顯示信息描述表
|
字段 |
描述 |
|
ARP detection is enabled in the following VLANs |
配置了ARP Detection功能的VLAN信息,如果不存在配置了ARP Detection功能的VLAN,則顯示“ARP detection is not enabled in any VLANs.” |
【相關命令】
· arp detection enable
display arp detection statistics attack-source命令用來顯示ARP Detection攻擊源統計信息。
【命令】
display arp detection statistics attack-source slot slot-number
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
slot slot-number:顯示指定成員設備的ARP Detection攻擊源統計信息。slot-number表示設備在IRF中的成員編號。
【舉例】
# 顯示Slot 1所有的ARP Detection攻擊源統計信息。
<Sysname> display arp detection statistics attack-source slot 1
Interface VLAN MAC address IP address Number Time
GE1/0/1 1 0005-0001-0001 10.1.1.14 24 17:09:56
03-27-2017
表1-4 display arp detection attack statistics attack-source命令顯示信息描述表
|
字段 |
描述 |
|
Interface |
ARP Detection攻擊報文的入接口 |
|
VLAN |
ARP Detection攻擊報文所屬VLAN |
|
MAC address |
ARP Detection攻擊報文中的源MAC地址 |
|
IP address |
ARP Detection攻擊報文中的源IP地址 |
|
Number |
ARP Detection攻擊報文被攔截的次數 |
|
Time |
最近一次攔截該ARP Detection攻擊報文的時間 |
【相關命令】
· arp detection enable
display arp detection statistics packet-drop命令用來顯示ARP Detection丟棄報文的統計信息。
【命令】
display arp detection statistics packet-drop [ interface interface-type interface-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定接口的ARP Detection丟棄報文的統計信息。interface-type interface-number用來指定接口類型和編號。如果未指定本參數,則顯示所有接口的ARP Detection丟棄報文的統計信息。
【使用指導】
按接口顯示用戶合法性檢查和報文有效性檢查的統計情況,隻顯示ARP Detection功能報文的丟棄情況。
【舉例】
# 顯示ARP Detection丟棄報文的統計信息。
<Sysname> display arp detection statistics packet-drop
State: U-Untrusted T-Trusted
ARP packets dropped by ARP inspect checking:
Interface(State) IP Src-MAC Dst-MAC Inspect
GE1/0/1(U) 40 0 0 78
GE1/0/2(U) 0 0 0 0
GE1/0/3(T) 0 0 0 0
GE1/0/4(U) 0 0 30 0
表1-5 display arp detection statistics packet-drop命令顯示信息描述表
|
字段 |
描述 |
|
State |
接口狀態: · U:ARP非信任接口 · T:ARP信任接口 |
|
Interface(State) |
ARP報文入接口,State表示該接口的信任狀態 |
|
IP |
ARP報文源和目的IP地址檢查不通過丟棄的報文計數 |
|
Src-MAC |
ARP報文源MAC地址檢查不通過丟棄的報文計數 |
|
Dst-MAC |
ARP報文目的MAC地址檢查不通過丟棄的報文計數 |
|
Inspect |
ARP報文結合用戶合法性檢查不通過丟棄的報文計數 |
【相關命令】
· reset arp detection statistics packet-drop
reset arp detection statistics attack-source命令用來清除ARP Detection攻擊源統計信息。
【命令】
reset arp detection statistics attack-source [ slot slot-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
slot slot-number:清除指定成員設備的ARP Detection攻擊源統計信息。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則清除所有成員設備上的ARP Detection攻擊源統計信息。
【舉例】
# 清除所有的ARP Detection攻擊源統計信息。
<Sysname> reset arp detection statistics attack-source
【相關命令】
· arp detection enable
· display arp detection statistics attack-source
reset arp detection statistics packet-drop命令用來清除ARP Detection的報文丟棄統計信息。
【命令】
reset arp detection statistics packet-drop [ interface interface-type interface-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:表示清除指定接口下的ARP Detection的報文丟棄統計信息。interface-type interface-number用來指定接口類型和編號。如果未指定本參數,則清除所有接口下的ARP Detection報文丟棄統計信息。
【舉例】
# 清除所有的ARP Detection的報文丟棄統計信息。
<Sysname> reset arp detection statistics packet-drop
【相關命令】
· display arp detection statistics packet-drop
arp fixup命令用來將設備上的動態ARP表項轉化成靜態ARP表項。
undo arp fixup命令用來將設備上有效靜態ARP表項轉化為動態ARP表項,將無效靜態ARP表項刪除。
【命令】
arp fixup
undo arp fixup
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
本命令將當前的動態ARP表項轉換為靜態ARP表項,後續學習到的動態ARP表項可以通過再次執行arp fixup命令進行固化。
固化後的靜態ARP表項與配置產生的靜態ARP表項相同。
固化生成的靜態ARP表項數量同樣受到設備可以支持的靜態ARP表項數目的限製,由於靜態ARP表項數量的限製可能導致隻有部分動態ARP表項被固化。
如果用戶執行固化前有D個動態ARP表項,S個靜態ARP表項,由於固化過程中存在動態ARP表項的老化或者新建動態ARP表項的情況,所以固化後的靜態ARP表項可能為(D+S+M-N)個。其中,M為固化過程中新建的動態ARP表項個數,N為固化過程中老化的動態ARP表項個數。
通過固化生成的靜態ARP表項,可以通過命令行undo arp ip-address [ vpn-instance-name ]逐條刪除,也可以通過命令行reset arp all或reset arp static全部刪除。
【舉例】
# 將設備上的動態ARP表項轉化成靜態ARP表項。
<Sysname> system-view
[Sysname] arp fixup
arp scan命令用來開啟ARP自動掃描功能。
【命令】
arp scan [ start-ip-address to end-ip-address ] [ send-rate pps ]
【視圖】
VLAN接口視圖
【缺省用戶角色】
network-admin
【參數】
start-ip-address:ARP掃描區間的起始IP地址。起始IP地址必須小於等於終止IP地址。
end-ip-address:ARP掃描區間的終止IP地址。
send-rate pps:接口發送ARP報文的速率,單位為包每秒。pps的取值範圍為10~1000,且需要設置為10的整數倍,否則設備會提示配置錯誤。如果未設置本參數,則接口會向掃描區間的所有IP地址同時發送ARP請求報文。
【使用指導】
掃描操作可能比較耗時,且會占用較大的設備資源和網絡負載。可以通過<Ctrl_C>來終止掃描(在終止掃描時,對於已經收到的鄰居應答,會建立該鄰居的動態ARP表項)。
ARP自動掃描功能可以對接口下指定地址範圍內的鄰居進行掃描,對於已存在ARP表項的IP地址不進行掃描。
如果用戶知道局域網內鄰居分配的IP地址範圍,指定了ARP掃描區間,則對該範圍內的鄰居進行掃描,減少掃描等待的時間。如果指定的掃描區間同時在接口下多個IP地址的網段內,則發送的ARP請求報文的源IP地址選擇網段範圍較小的接口IP地址。
如果用戶不指定ARP掃描區間的起始IP地址和終止IP地址,則僅對接口下的主IP地址網段內的鄰居進行掃描。其中,發送的ARP請求報文的源IP地址就是接口的主IP地址。
ARP掃描區間的起始IP地址和終止IP地址必須與接口的IP地址(主IP地址或手工配置的從IP地址)在同一網段。
接口上開啟了ARP自動掃描功能後,會向掃描區間的所有IP地址同時發送ARP請求報文,這會造成設備瞬間CPU利用率過高、網絡負載過大的問題。用戶可以通過設置接口發送ARP報文的速率解決此問題。
當發送ARP報文的速率配置為較大值時,為避免影響設備性能,設備實際發送ARP報文的速率可能會小於該配置值。
【舉例】
# 對接口Vlan-interface2下的主IP地址網段內的鄰居進行掃描。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] arp scan
# 對接口Vlan-interface2下指定地址範圍內的鄰居進行掃描。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] arp scan 1.1.1.1 to 1.1.1.20
# 對VLAN接口2下指定地址範圍內的鄰居進行掃描,並設置接口發送ARP報文的速率為10pps。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] arp scan 1.1.1.1 to 1.1.1.20 send-rate 10
arp filter source命令用來開啟ARP網關保護功能,配置受保護的網關IP地址。
undo arp filter source命令用來關閉ARP網關保護功能,並刪除已配置的受保護網關IP地址。
【命令】
arp filter source ip-address
undo arp filter source ip-address
【缺省情況】
ARP網關保護功能處於關閉狀態。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:受保護的網關IP地址。
【使用指導】
每個接口最多支持配置8個受保護的網關IP地址。
不能在同一接口下同時配置命令arp filter source和arp filter binding。
【舉例】
# 在GigabitEthernet1/0/1下開啟ARP網關保護功能,受保護的網關IP地址為1.1.1.1。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp filter source 1.1.1.1
arp filter binding命令用來開啟ARP過濾保護功能並配置ARP過濾保護表項。
undo arp filter binding命令用來刪除ARP過濾保護表項。
【命令】
arp filter binding ip-address mac-address
undo arp filter binding ip-address
【缺省情況】
ARP過濾保護功能處於關閉狀態。
【視圖】
二層以太網接口視圖
二層聚合接口視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:允許通過的ARP報文的源IP地址。
mac-address:允許通過的ARP報文的源MAC地址。
【使用指導】
ARP過濾保護表項可以限製隻有特定源IP地址和源MAC地址的ARP報文才允許通過。
每個接口最多支持配置8組允許通過的ARP報文的源IP地址和源MAC地址。
不能在同一接口下同時配置命令arp filter source和arp filter binding。
【舉例】
# 在GigabitEthernet1/0/1下開啟ARP過濾保護功能,允許源IP地址為1.1.1.1、源MAC地址為0e10-0213-1023的ARP報文通過。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp filter binding 1.1.1.1 0e10-0213-1023
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
