• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S3100-UM[S3100-SI(UM)]系列以太网交换机 命令手册-Release 22XX系列-6W101

38-ARP和IP攻击防御命令

本章节下载  (87.91 KB)

38-ARP和IP攻击防御命令


1 ARP和IP攻击防御配置命令

1.1  ARP和IP攻击防御配置命令

1.1.1  arp anti-attack valid-check enable

【命令】

arp anti-attack valid-check enable

undo arp anti-attack valid-check enable

【视图】

系统视图

【参数】

【描述】

arp anti-attack valid-check enable命令用于开启ARP报文源MAC地址一致性检查功能。undo arp anti-attack valid-check enable命令用于关闭ARP源MAC地址一致性检查功能。

缺省情况下,交换机的ARP源MAC地址一致性检查功能处于关闭状态。

【举例】

# 开启交换机ARP报文源MAC地址一致性检查功能。

<sysname> system-view

[sysname] arp anti-attack valid-check enable

1.1.2  arp filter source

【命令】

arp filter source ip-address

undo arp filter source

【视图】

以太网端口视图

【参数】

ip-address:用户网关的IP地址。

【描述】

arp filter source命令用来配置当前端口的基于网关IP地址的ARP报文过滤功能。配置该功能后,如果当前端口接收到的ARP报文的源IP地址为网关IP地址,则该ARP报文被认作不合法,直接丢弃。undo arp filter source命令用来取消基于网关IP地址绑定的ARP报文过滤功能的配置。

缺省情况下,端口上基于网关IP地址的ARP报文过滤功能处于关闭状态。

需要注意的是:

l              该命令应该配置在接入交换机与用户相连的端口上。

l              多次配置该命令,后配置的命令生效。

【举例】

# 在端口Ethernet1/0/1上配置基于网关IP地址192.168.0.1/24的ARP报文过滤功能。

<sysname> system-view

[sysname] interface Ethernet1/0/1

[sysname-Ethernet1/0/1] arp filter source 192.168.0.1

1.1.3  arp filter binding

【命令】

arp filter binding ip-address mac-address

undo arp filter binding

【视图】

以太网端口视图

【参数】

ip-address:需要绑定的网关的IP地址。

mac-address:需要绑定的网关的MAC地址。

【描述】

arp filter binding命令用来配置当前端口的基于网关IP地址、MAC地址绑定的ARP报文过滤功能。配置该功能后,如果当前端口接收到的ARP报文的源IP地址为指定网关IP地址,源MAC地址为不是指定网关的MAC地址,则该ARP报文被认作不合法,直接丢弃。undo arp filter binding命令用来取消基于网关IP地址、MAC地址绑定的ARP报文过滤功能的配置。

缺省情况下,端口上的基于网关IP地址、MAC地址绑定的ARP报文过滤功能处于关闭状态。

需要注意的是:

l              该命令应该配置在接入交换机的级连端口或上行端口。

l              多次配置该命令,后配置的命令生效。

【举例】

# 在端口Ethernet1/0/2上配置基于网关IP地址192.168.100.1/24、MAC地址000d-88f8-528c绑定的ARP报文过滤功能。

<sysname> system-view

[sysname] interface Ethernet1/0/2

[sysname-Ethernet1/0/2] arp filter binding 192.168.100.1 000d-88f8-528c

1.1.4  arp max-learning-num

【命令】

arp max-learning-num number

undo arp max-learning-num

【视图】

VLAN接口视图

【参数】

number:接口允许学习动态ARP表项的最大数目,取值范围为1~256。

【描述】

arp max-learning-num命令用来设置当前接口允许学习动态ARP表项的最大个数。undo arp max-learning-num命令用来取消当前接口允许学习动态ARP表项的最大个数的配置。

缺省情况下,没有配置VLAN接口允许学习动态ARP表项的最大个数。

多次配置该命令,后配置的命令生效。

【举例】

# 设置接口Vlan-interface40上可以学习动态ARP表项的最大个数为50。

<sysname> system-view

[sysname] interface vlan-interface 40

[sysname-Vlan-interface40] arp max-learning-num 50

1.1.5  ip source static import dot1x

【命令】

ip source static import dot1x

undo ip source static import dot1x

【视图】

系统视图

【参数】

【描述】

ip source static import dot1x命令用来开启802.1x认证通过的信息用于ARP入侵检测功能。当配置完成后,802.1x认证通过的信息在手工配置的IP静态绑定表项和DHCP Snooping表项之后进一步用于ARP入侵检测功能。

undo ip source static import dot1x命令用来关闭802.1x认证通过的信息用于ARP入侵检测功能。

缺省情况下,交换机关闭802.1x认证通过的信息用于ARP入侵检测功能。

需要注意的是,此命令必须与arp detection enable命令配合使用。

【举例】

# 开启802.1x认证通过的信息用于ARP入侵检测功能。

<sysname> system-view

[sysname] ip source static import dot1x

1.1.6  ip check dot1x enable

【命令】

ip check dot1x enable

undo ip check dot1x enable

【视图】

以太网端口视图

【参数】

【描述】

ip check dot1x enable命令用来开启802.1x认证通过的信息用于IP过滤功能

undo ip check dot1x enable命令用来关闭802.1x认证通过的信息用于IP过滤功能。

缺省情况下,关闭802.1x认证通过的信息用于IP过滤功能。

需要注意的是,此命令与ip check source ip-address mac-address命令互斥。

【举例】

# 在端口Ethernet1/0/2上开启802.1x认证通过的信息用于IP过滤功能。

<sysname> system-view

[sysname] interface ethernet1/0/2

[sysname-Ethernet1/0/2] ip check dot1x enable

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们