i目录1ARP攻击防御配置命令·1-11.
1ARP报文限速配置命令1-11.
1.
1arprate-limit1-11.
2ARP主动确认配置命令1-11.
2.
1arpanti-attackactive-ackenable·1-11.
3ARPDetection配置命令1-21.
3.
1arpdetection1-21.
3.
2arpdetectionenable·1-31.
3.
3arpdetectiontrust·1-41.
3.
4arpdetectionvalidate1-41.
3.
5arprestricted-forwardingenable·1-51.
3.
6displayarpdetection1-51.
3.
7displayarpdetectionstatistics1-61.
3.
8resetarpdetectionstatistics·1-71.
4ARP网关保护配置命令1-81.
4.
1arpfiltersource1-81.
5ARP过滤保护配置命令1-91.
5.
1arpfilterbinding·1-91-11ARP攻击防御配置命令1.
1ARP报文限速配置命令1.
1.
1arprate-limit【命令】arprate-limit{disable|rateppsdrop}undoarprate-limit【视图】二层以太网端口视图/二层聚合接口视图【缺省级别】2:系统级【参数】disable:不进行限速.
ratepps:ARP限速速率,单位为包每秒(pps).
取值范围为5~100.
drop:丢弃超出限速部分的报文.
【描述】arprate-limit命令用来配置ARP报文限速功能,可以配置端口ARP报文限速速率,配置对超速ARP报文的处理,或者配置取消ARP报文限速.
undoarprate-limit命令用来恢复缺省情况.
缺省情况下,ARP报文限速功能处于关闭状态.
【举例】#配置二层以太网端口GigabitEthernet1/0/1端口ARP报文限速为50pps,超过限速部分的报文丢弃.
system-view[Sysname]interfaceGigabitEthernet1/0/1[Sysname-GigabitEthernet1/0/1]arprate-limitrate50drop1.
2ARP主动确认配置命令1.
2.
1arpanti-attackactive-ackenable【命令】arpanti-attackactive-ackenableundoarpanti-attackactive-ackenable【视图】系统视图1-2【缺省级别】2:系统级【参数】无【描述】arpanti-attackactive-ackenable命令用来使能ARP主动确认功能.
undoarpanti-attackactive-ackenable命令用来恢复缺省情况.
缺省情况下,ARP主动确认功能处于关闭状态.
ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备.
【举例】#使能ARP主动确认功能.
system-view[Sysname]arpanti-attackactive-ackenable1.
3ARPDetection配置命令1.
3.
1arpdetection【命令】arpdetectionid-number{permit|deny}ip{any|ip-address[ip-address-mask]}mac{any|mac-address[mac-address-mask]}[vlanvlan-id]undoarpdetectionid-number【视图】系统视图【缺省级别】2:系统级【参数】id-number:指定规则的编号,取值范围为0~511,数值越小优先级越高.
deny:表示拒绝转发指定范围内的ARP报文.
permit:表示允许转发指定范围内的ARP报文.
ip{any|ip-address[ip-address-mask]}:指定规则的源IP地址范围.
any表示任意源IP地址.
ip-address表示报文的源IP地址.
ip-address-mask表示源IP地址掩码,采用点分十进制格式表示长度,不配置掩码时ip-address表示主机地址.
mac{any|mac-address[mac-address-mask]}:指定规则的源MAC地址范围.
any表示任意源MAC地址.
mac-address表示源MAC地址,格式为H-H-H.
1-3mac-address-mask表示源MAC地址的掩码,格式为H-H-H.
vlanvlan-id:指定规则应用的VLAN.
其中vlan-id表示规则应用的VLANID,取值范围为1~4094.
【描述】arpdetection命令用来配置用户合法性检查的规则.
undoarpdetection命令用来恢复缺省情况.
缺省情况下,没有配置用户合法性检查的规则.
配置了用户合法性检查的规则,并使能了用户合法性检查功能后,设备对收到的ARP报文首先进行基于配置规则的检查,如果在配置的规则中找到与报文匹配的规则,则按照规则对ARP报文进行处理.
如果在配置的规则中没有找到与报文匹配的规则,继续进行基于IPSourceGuard静态绑定表项的检查、基于DHCPSnooping安全表项的检查、基于802.
1X安全表项的检查.
相关配置可参考命令arpdetectionenable.
【举例】#配置用户合法性检查的规则,并使能用户合法性检查功能.
system-view[Sysname]arpdetection0permitip3.
1.
1.
1255.
255.
0.
0mac0001-0203-0607ffff-ffff-0000[Sysname]vlan1[Sysname-Vlan1]arpdetectionenable1.
3.
2arpdetectionenable【命令】arpdetectionenableundoarpdetectionenable【视图】VLAN视图【缺省级别】2:系统级【参数】无【描述】arpdetectionenable命令用来使能ARPDetection功能,即对ARP报文进行用户合法性检查.
undoarpdetectionenable命令用来恢复缺省情况.
缺省情况下,ARPDetection功能处于关闭状态.
【举例】#使能ARPDetection功能.
system-view[Sysname]vlan1[Sysname-Vlan1]arpdetectionenable1-41.
3.
3arpdetectiontrust【命令】arpdetectiontrustundoarpdetectiontrust【视图】二层以太网端口视图/二层聚合接口视图【缺省级别】2:系统级【参数】无【描述】arpdetectiontrust命令用来配置端口为ARP信任端口.
undoarpdetectiontrust命令用来恢复缺省情况.
缺省情况下,端口为ARP非信任端口.
【举例】#配置二层以太网端口GigabitEthernet1/0/1为ARP信任端口.
system-view[Sysname]interfaceGigabitEthernet1/0/1[Sysname-GigabitEthernet1/0/1]arpdetectiontrust1.
3.
4arpdetectionvalidate【命令】arpdetectionvalidate{dst-mac|ip|src-mac}*undoarpdetectionvalidate[dst-mac|ip|src-mac]*【视图】系统视图【缺省级别】2:系统级【参数】dst-mac:检查ARP应答报文中的目的MAC地址,是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致.
全0、全1、不一致的报文都是无效的,无效的报文需要被丢弃.
Sharktech又称SK或者鲨鱼机房,是一家主打高防产品的国外商家,成立于2003年,提供的产品包括独立服务器租用、VPS云服务器等,自营机房在美国洛杉矶、丹佛、芝加哥和荷兰阿姆斯特丹等。之前我们经常分享商家提供的独立服务器产品,近期主机商针对云虚拟服务器(CVS)提供优惠码,优惠后XS套餐年付最低仅33.39美元起,支持使用支付宝、PayPal、信用卡等付款方式。下面以XS套餐为例,分享产品配...
炭云怎么样?炭云(之前的碳云),国人商家,正规公司(哈尔滨桓林信息技术有限公司),主机之家测评介绍过多次。现在上海CN2共享IP的VPS有一款特价,上海cn2 vps,2核/384MB内存/8GB空间/800GB流量/77Mbps端口/共享IP/Hyper-v,188元/年,特别适合电信网络。有需要的可以关注一下。点击进入:炭云官方网站地址炭云vps套餐:套餐cpu内存硬盘流量/带宽ip价格购买上...
v5net当前对香港和美国机房的走优质BGP+CN2网络的云服务器进行7折终身优惠促销,每个客户进线使用优惠码一次,额外有不限使用次数的终身9折优惠一枚!V5.NET Server提供的都是高端网络线路的机器,特别优化接驳全世界骨干网络,适合远程办公、跨境贸易、网站建设等用途。 官方网站:https://v5.net/cloud.html 7折优惠码:new,仅限新客户,每人仅限使用一次 9...