40-ARP和IP攻击防御命令
本章节下载 (88.31 KB)
【命令】
arp anti-attack valid-check enable
undo arp anti-attack valid-check enable
【视图】
系统视图
【参数】
无
【描述】
arp anti-attack valid-check enable命令用于开启ARP报文源MAC地址一致性检查功能。undo arp anti-attack valid-check enable命令用于关闭ARP源MAC地址一致性检查功能。
缺省情况下,本系列无线PoE注入器的ARP源MAC地址一致性检查功能处于关闭状态。
【举例】
# 开启无线PoE注入器ARP报文源MAC地址一致性检查功能。
<sysname> system-view
[sysname] arp anti-attack valid-check enable
【命令】
arp filter source ip-address
undo arp filter source
【视图】
以太网端口视图
【参数】
ip-address:用户网关的IP地址。
【描述】
arp filter source命令用来配置当前端口的基于网关IP地址的ARP报文过滤功能。配置该功能后,如果当前端口接收到的ARP报文的源IP地址为网关IP地址,则该ARP报文被认作不合法,直接丢弃。undo arp filter source命令用来取消基于网关IP地址绑定的ARP报文过滤功能的配置。
缺省情况下,端口上基于网关IP地址的ARP报文过滤功能处于关闭状态。
需要注意的是:
l 该命令应该配置在接入无线PoE注入器与用户相连的端口上。
l 多次配置该命令,后配置的命令生效。
【举例】
# 在端口Ethernet1/0/1上配置基于网关IP地址192.168.0.1/24的ARP报文过滤功能。
<sysname> system-view
[sysname] interface Ethernet1/0/1
[sysname-Ethernet1/0/1] arp filter source 192.168.0.1
【命令】
arp filter binding ip-address mac-address
undo arp filter binding
【视图】
以太网端口视图
【参数】
ip-address:需要绑定的网关的IP地址。
mac-address:需要绑定的网关的MAC地址。
【描述】
arp filter binding命令用来配置当前端口的基于网关IP地址、MAC地址绑定的ARP报文过滤功能。配置该功能后,如果当前端口接收到的ARP报文的源IP地址为指定网关IP地址,源MAC地址为不是指定网关的MAC地址,则该ARP报文被认作不合法,直接丢弃。undo arp filter binding命令用来取消基于网关IP地址、MAC地址绑定的ARP报文过滤功能的配置。
缺省情况下,端口上的基于网关IP地址、MAC地址绑定的ARP报文过滤功能处于关闭状态。
需要注意的是:
l 该命令应该配置在接入无线PoE注入器的级连端口或上行端口。
l 多次配置该命令,后配置的命令生效。
【举例】
# 在端口Ethernet1/0/2上配置基于网关IP地址192.168.100.1/24、MAC地址000d-88f8-528c绑定的ARP报文过滤功能。
<sysname> system-view
[sysname] interface Ethernet1/0/2
[sysname-Ethernet1/0/2] arp filter binding 192.168.100.1 000d-88f8-528c
【命令】
arp max-learning-num number
undo arp max-learning-num
【视图】
VLAN接口视图
【参数】
number:接口允许学习动态ARP表项的最大数目,取值范围为1~256。
【描述】
arp max-learning-num命令用来设置当前接口允许学习动态ARP表项的最大个数。undo arp max-learning-num命令用来取消当前接口允许学习动态ARP表项的最大个数的配置。
缺省情况下,没有配置VLAN接口允许学习动态ARP表项的最大个数。
多次配置该命令,后配置的命令生效。
【举例】
# 设置接口Vlan-interface40上可以学习动态ARP表项的最大个数为50。
<sysname> system-view
[sysname] interface vlan-interface 40
[sysname-Vlan-interface40] arp max-learning-num 50
【命令】
ip source static import dot1x
undo ip source static import dot1x
【视图】
系统视图
【参数】
无
【描述】
ip source static import dot1x命令用来开启802.1x认证通过的信息用于ARP入侵检测功能。当配置完成后,802.1x认证通过的信息在手工配置的IP静态绑定表项和DHCP Snooping表项之后进一步用于ARP入侵检测功能。
undo ip source static import dot1x命令用来关闭802.1x认证通过的信息用于ARP入侵检测功能。
缺省情况下,本系列无线PoE注入器关闭802.1x认证通过的信息用于ARP入侵检测功能。
需要注意的是,此命令必须与arp detection enable命令配合使用。
【举例】
# 开启802.1x认证通过的信息用于ARP入侵检测功能。
<sysname> system-view
[sysname] ip source static import dot1x
【命令】
ip check dot1x enable
undo ip check dot1x enable
【视图】
以太网端口视图
【参数】
无
【描述】
ip check dot1x enable命令用来开启802.1x认证通过的信息用于IP过滤功能。
undo ip check dot1x enable命令用来关闭802.1x认证通过的信息用于IP过滤功能。
缺省情况下,关闭802.1x认证通过的信息用于IP过滤功能。
需要注意的是,此命令与ip check source ip-address mac-address命令互斥。
【举例】
# 在端口Ethernet1/0/2上开启802.1x认证通过的信息用于IP过滤功能。
<sysname> system-view
[sysname] interface ethernet1/0/2
[sysname-Ethernet1/0/2] ip check dot1x enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!