ARP和IP攻击防御配置命令
转载自:http://www.h3c.com/cn/d_201202/737952_30005_0.htm
1.1 ARP和IP攻击防御配置命令
1.1.1 arp anti-attack valid-check enable
【命令】
arp anti-attack valid-check enable
undo arp anti-attack valid-check enable
【视图】
系统视图
【参数】
无
【描述】
arp anti-attack valid-check enable命令用于开启ARP报文源MAC地址一致性检查功能。undo arp anti-attack valid-check enable命令用于关闭ARP源MAC地址一致性检查功能。
缺省情况下,交换机的ARP源MAC地址一致性检查功能处于关闭状态。
【举例】
# 开启交换机ARP报文源MAC地址一致性检查功能。
<sysname> system-view
[sysname] arp anti-attack valid-check enable1.1.2 arp filter source
【命令】
arp filter** source **ip-address
undo arp filter** source**
【视图】
以太网端口视图
【参数】
ip-address:用户网关的IP地址。
【描述】
arp filter source命令用来配置当前端口的基于网关IP地址的ARP报文过滤功能。配置该功能后,如果当前端口接收到的ARP报文的源IP地址为网关IP地址,则该ARP报文被认作不合法,直接丢弃。undo arp filter source命令用来取消基于网关IP地址绑定的ARP报文过滤功能的配置。
缺省情况下,端口上基于网关IP地址的ARP报文过滤功能处于关闭状态。
需要注意的是:
- 该命令应该配置在接入交换机与用户相连的端口上。
- 多次配置该命令,后配置的命令生效。
- 在S3100系列交换机中,只有S3100-EI系列支持此命令。
【举例】
# 在端口Ethernet1/0/1上配置基于网关IP地址192.168.0.1/24的ARP报文过滤功能。
<sysname> system-view
[sysname] interface Ethernet1/0/1
[sysname-Ethernet1/0/1] arp filter source 192.168.0.11.1.3 arp filter binding
【命令】
arp filter** binding **ip-address mac-address
undo arp filter** binding**
【视图】
以太网端口视图
【参数】
ip-address:需要绑定的网关的IP地址。
mac-address:需要绑定的网关的MAC地址。
【描述】
arp filter binding命令用来配置当前端口的基于网关IP地址、MAC地址绑定的ARP报文过滤功能。配置该功能后,如果当前端口接收到的ARP报文的源IP地址为指定网关IP地址,源MAC地址为不是指定网关的MAC地址,则该ARP报文被认作不合法,直接丢弃。undo arp filter binding命令用来取消基于网关IP地址、MAC地址绑定的ARP报文过滤功能的配置。
缺省情况下,端口上的基于网关IP地址、MAC地址绑定的ARP报文过滤功能处于关闭状态。
需要注意的是:
- 该命令应该配置在接入交换机的级连端口或上行端口。
- 多次配置该命令,后配置的命令生效。
- 在S3100系列交换机中,只有S3100-EI系列支持此命令。
【举例】
# 在端口Ethernet1/0/2上配置基于网关IP地址192.168.100.1/24、MAC地址000d-88f8-528c绑定的ARP报文过滤功能。
<sysname> system-view
[sysname] interface Ethernet1/0/2
[sysname-Ethernet1/0/2] arp filter binding 192.168.100.1 000d-88f8-528c1.1.4 arp max-learning-num
【命令】
arp max-learning-num** **number
undo arp max-learning-num
【视图】
VLAN接口视图
【参数】
number:接口允许学习动态ARP表项的最大数目,取值范围为1~256。
【描述】
arp max-learning-num命令用来设置当前接口允许学习动态ARP表项的最大个数。undo arp max-learning-num命令用来取消当前接口允许学习动态ARP表项的最大个数的配置。
缺省情况下,没有配置VLAN接口允许学习动态ARP表项的最大个数。
多次配置该命令,后配置的命令生效。
需要注意的是,在S3100系列交换机中,只有S3100-EI系列支持此命令。
【举例】
# 设置接口Vlan-interface40上可以学习动态ARP表项的最大个数为50。
<sysname> system-view
[sysname] interface vlan-interface 40
[sysname-Vlan-interface40] arp max-learning-num 501.1.5 ip source static import dot1x
【命令】
ip source static import dot1x
undo ip source static import dot1x
【视图】
系统视图
【参数】
无
【描述】
ip source static import dot1x命令用来开启802.1x认证通过的信息用于[ARP]()入侵检测功能。当配置完成后,802.1x认证通过的信息在手工配置的IP静态绑定表项和DHCP Snooping表项之后进一步用于ARP入侵检测功能。
undo ip source static import dot1x命令用来关闭802.1x认证通过的信息用于ARP入侵检测功能。
缺省情况下,交换机关闭802.1x认证通过的信息用于ARP入侵检测功能。
需要注意的是:
- 此命令必须与arp detection enable命令配合使用。
- 在S3100系列交换机中,只有S3100-EI系列支持此命令。
【举例】
#开启802.1x认证通过的信息用于ARP入侵检测功能。
<sysname> system-view
[sysname] ip source static import dot1x1.1.6 ip check dot1x enable
【命令】
ip check dot1x enable
undo ip check dot1x enable
【视图】
以太网端口视图
【参数】
无
【描述】
ip check dot1x enable命令用来开启802.1x认证通过的信息用于IP过滤功能。
undo ip check dot1x enable命令用来关闭802.1x认证通过的信息用于IP过滤功能。
缺省情况下,关闭802.1x认证通过的信息用于IP过滤功能。
需要注意的是:
- 此命令与ip check source ip-address mac-address命令互斥。
- 在S3100系列交换机中,只有S3100-EI系列支持此命令。
【举例】
# 在端口Ethernet1/0/2上开启802.1x认证通过的信息用于IP过滤功能。
<sysname> system-view
[sysname] interface ethernet1/0/2
[sysname-Ethernet1/0/2] ip check dot1x enable
微信
支付宝本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。