1、i 目 录 1 ARP攻击防御配置命令 .1-1 1.1 ARP报文限速配置命令.1-1 1.1.1 arp rate-limit.1-1 1.2 源MAC地址固定的ARP攻击检测配置命令.1-1 1.2.1 arp anti-attack source-mac.1-1 1.2.2 arp anti-attack source-mac aging-time.1-2 1.2.3 arp anti-attack source-mac exclude-mac .1-2 1.2.4 arp anti-attack source-mac threshold.1-3 1.2.5 display arp a
2、nti-attack source-mac.1-3 1.3 ARP报文源MAC地址一致性检查配置命令.1-4 1.3.1 arp anti-attack valid-check enable.1-4 1.4 ARP主动确认配置命令.1-5 1.4.1 arp anti-attack active-ack enable.1-5 1.5 ARP Detection配置命令.1-5 1.5.1 arp detection enable.1-5 1.5.2 arp detection trust.1-6 1.5.3 arp detection validate .1-6 1.5.4 arp restr
3、icted-forwarding enable.1-7 1.5.5 display arp detection .1-8 1.5.6 display arp detection statistics.1-8 1.5.7 reset arp detection statistics.1-9 1.6 ARP网关保护配置命令.1-10 1.6.1 arp filter source.1-10 1.7 ARP过滤保护配置命令.1-10 1.7.1 arp filter binding.1-10 1-1 1 ARP攻击防御配置命令攻击防御配置命令 1.1 ARP报文限速配置命令 1.1.1 arp ra
4、te-limit 【命令】 arp rate-limit disable | rate pps drop undo arp rate-limit 【视图】 二层以太网端口视图/二层聚合接口视图 【缺省级别】 2:系统级 【参数】 disable:不进行限速。 rate pps:ARP 限速速率,单位为包每秒(pps),取值范围为 5100。 drop:丢弃超出限速部分的报文。 【描述】 arp rate-limit 命令用来开启 ARP 报文限速功能,可以配置端口 ARP 报文限速速率,配置对超速 ARP 报文的处理,或者配置取消 ARP 报文限速。undo arp rate-limit 命令
5、用来恢复缺省情况。 缺省情况下,ARP 报文限速功能处于关闭状态。 【举例】 # 配置二层以太网端口 GigabitEthernet1/0/1 端口 ARP 报文限速为 50pps,超过限速部分的报文丢 弃。 system-view Sysname interface gigabitethernet 1/0/1 Sysname-GigabitEthernet1/0/1 arp rate-limit rate 50 drop 1.2 源MAC地址固定的ARP攻击检测配置命令 1.2.1 arp anti-attack source-mac 【命令】 arp anti-attack source-
6、mac filter | monitor undo arp anti-attack source-mac filter | monitor 【视图】 系统视图 【缺省级别】 2:系统级 【参数】 filter:检测到攻击后,打印 Log 信息,同时对该源 MAC 地址对应的 ARP 报文进行过滤。 1-2 monitor:检测到攻击后,只打印 Log 信息,不对该源 MAC 地址对应的 ARP 报文进行过滤。 【描述】 arp anti-attack source-mac 命令用来使能源 MAC 地址固定的 ARP 攻击检测功能,并选择检查模 式。undo arp anti-attack so
7、urce-mac 命令用来恢复缺省情况。 缺省情况下,源 MAC 地址固定的 ARP 攻击检测功能处于关闭状态。 使能源 MAC 地址固定的 ARP 攻击检测之后,该特性会对上送 CPU 的 ARP 报文按照源 MAC 地址 和 VLAN 进行统计。 当在一定时间 (5 秒) 内收到某固定源 MAC 地址的 ARP 报文超过设定的阈值, 不同模式的处理方式存在差异:在 filter 模式下会打印 Log 信息并对该源 MAC 地址对应的 ARP 报 文进行过滤;在 monitor 模式下只打印 Log 信息,不过滤 ARP 报文。 需要注意的是,如果 undo 命令中没有指定检查模式,则关闭任
8、意检查模式的源 MAC 地址固定的 ARP 攻击检测功能。 【举例】 # 使能源 MAC 地址固定的 ARP 攻击检测功能,并选择 filter 检查模式。 system-view Sysname arp anti-attack source-mac filter 1.2.2 arp anti-attack source-mac aging-time 【命令】 arp anti-attack source-mac aging-time time undo arp anti-attack source-mac aging-time 【视图】 系统视图 【缺省级别】 2:系统级 【参数】 time
9、:源 MAC 地址固定的 ARP 攻击检测表项的老化时间,取值范围为 606000,单位为秒。 【描述】 arp anti-attack source-mac aging-time 命令用来配置源 MAC 地址固定的 ARP 攻击检测表项的 老化时间。undo arp anti-attack source-mac aging-time 命令用来恢复缺省情况。 缺省情况下,源 MAC 地址固定的 ARP 攻击检测表项的老化时间为 300 秒,即 5 分钟。 【举例】 # 配置源 MAC 地址固定的 ARP 攻击检测表项的老化时间为 60 秒。 system-view Sysname arp an
10、ti-attack source-mac aging-time 60 1.2.3 arp anti-attack source-mac exclude-mac 【命令】 arp anti-attack source-mac exclude-mac mac-address& undo arp anti-attack source-mac exclude-mac mac-address& 【视图】 系统视图 【缺省级别】 1-3 2:系统级 【参数】 mac-address&:MAC 地址列表。其中,mac-address 表示配置的保护 MAC 地址,格式为 H-H-H。&表示每次最多可以配置的
11、保护 MAC 地址个数。 【描述】 arp anti-attack source-mac exclude-mac 命令用来配置保护 MAC 地址。当配置了保护 MAC 地 址之后,即使该 ARP 报文中的 MAC 地址存在攻击也不会被检测过滤。undo arp anti-attack source-mac exclude-mac 命令用来取消配置的保护 MAC 地址。 缺省情况下,没有配置任何保护 MAC 地址。 需要注意的是,如果 undo 命令中没有指定 MAC 地址,则取消所有配置的保护 MAC 地址。 【举例】 # 配置源 MAC 地址固定的 ARP 攻击检查的保护 MAC 地址为 2
12、-2-2。 system-view Sysname arp anti-attack source-mac exclude-mac 2-2-2 1.2.4 arp anti-attack source-mac threshold 【命令】 arp anti-attack source-mac threshold threshold-value undo arp anti-attack source-mac threshold 【视图】 系统视图 【缺省级别】 2:系统级 【参数】 threshold-value:固定时间内源 MAC 地址固定的 ARP 报文攻击检测的阈值,单位为报文个数,取 值
13、范围为 10100。 【描述】 arp anti-attack source-mac threshold命令用来配置源MAC地址固定的ARP报文攻击检测阈值, 当在固定的时间 (5 秒) 内收到源 MAC 地址固定的 ARP 报文超过该阈值则认为存在攻击。 undo arp anti-attack source-mac threshold 命令用来恢复缺省情况。 缺省情况下,源 MAC 固定 ARP 报文攻击检测阈值为 50。 【举例】 # 配置源 MAC 地址固定的 ARP 报文攻击检测阈值为 30 个。 system-view Sysname arp anti-attack source-
14、mac threshold 30 1.2.5 display arp anti-attack source-mac 【命令】 display arp anti-attack source-mac slot slot-number | interface interface-type interface-number | begin | exclude | include regular-expression 【视图】 任意视图 1-4 【缺省级别】 1:监控级 【参数】 interface interface-type interface-number:显示指定接口检测到的源 MAC 地址固定
15、的 ARP 攻击 检测表项。 slot slot-number:显示 IRF 系统中指定设备上检测到的源 MAC 地址固定的 ARP 攻击检测表项。 slot-number 表示 IRF 中设备的成员编号,取值范围取决于当前 IRF 中的成员数量和编号情况,可 使用 display irf 命令查看。如果未形成 IRF,则 slot-number 为当前设备编号。 |:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中 的“CLI”。 begin:从包含指定正则表达式的行开始显示。 exclude:只显示不包含指定正则表达式的行。 include:只显示包含指
16、定正则表达式的行。 regular-expression:表示正则表达式,为 1256 个字符的字符串,区分大小写。 【描述】 display arp anti-attack source-mac 命令用来显示检测到的源 MAC 地址固定的 ARP 攻击检测表 项。 【举例】 # 显示检测到的源 MAC 地址固定的 ARP 攻击检测表项。 display arp anti-attack source-mac slot 1 Source-MAC VLAN ID Interface Aging-time 23f3-1122-3344 4094 GE1/0/1 10 23f3-1122-3355 4
17、094 GE1/0/2 30 23f3-1122-33ff 4094 GE1/0/3 25 23f3-1122-33ad 4094 GE1/0/4 30 23f3-1122-33ce 4094 GE1/0/5 2 表1-1 display arp anti-attack source-mac 命令显示信息描述表 字段 描述 Source-MAC 检测到攻击的源 MAC 地址 VLAN ID 检测到攻击的 VLAN ID Interface 攻击来源的接口索引 Aging-time ARP 防攻击策略表项老化剩余时间 1.3 ARP报文源MAC地址一致性检查配置命令 1.3.1 arp anti
18、-attack valid-check enable 【命令】 arp anti-attack valid-check enable undo arp anti-attack valid-check enable 【视图】 系统视图 1-5 【缺省级别】 2:系统级 【参数】 无 【描述】 arp anti-attack valid-check enable 命令用来在网关设备上使能 ARP 报文源 MAC 地址一致性检 查功能。网关使能此功能时,会对接收的 ARP 报文进行检查,如果以太网数据帧首部中的源 MAC 地址和 ARP 报文中的源 MAC 地址不同, 则丢弃该报文。 undo ar
19、p anti-attack valid-check enable 命令用来恢复缺省情况。 缺省情况下,ARP 报文源 MAC 地址一致性检查功能处于关闭状态。 【举例】 # 使能 ARP 报文源 MAC 地址一致性检查功能。 system-view Sysname arp anti-attack valid-check enable 1.4 ARP主动确认配置命令 1.4.1 arp anti-attack active-ack enable 【命令】 arp anti-attack active-ack enable undo arp anti-attack active-ack enabl
20、e 【视图】 系统视图 【缺省级别】 2:系统级 【参数】 无 【描述】 arp anti-attack active-ack enable 命令用来使能 ARP 主动确认功能。undo arp anti-attack active-ack enable 命令用来恢复缺省情况。 缺省情况下,ARP 主动确认功能处于关闭状态。 ARP 的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。 【举例】 # 使能 ARP 主动确认功能。 system-view Sysname arp anti-attack active-ack enable 1.5 ARP Detection配置命令
21、 1.5.1 arp detection enable 【命令】 arp detection enable 1-6 undo arp detection enable 【视图】 VLAN 视图 【缺省级别】 2:系统级 【参数】 无 【描述】 arp detection enable 命令用来使能 ARP Detection 功能,即对 ARP 报文进行用户合法性检查。 undo arp detection enable 命令用来恢复缺省情况。 缺省情况下,ARP Detection 功能处于关闭状态。 【举例】 # 使能 ARP Detection 功能。 system-view Sysna
22、me vlan 1 Sysname-Vlan1 arp detection enable 1.5.2 arp detection trust 【命令】 arp detection trust undo arp detection trust 【视图】 二层以太网端口视图/二层聚合接口视图 【缺省级别】 2:系统级 【参数】 无 【描述】 arp detection trust 命令用来配置端口为 ARP 信任端口。undo arp detection trust 命令用来恢复 缺省情况。 缺省情况下,端口为 ARP 非信任端口。 【举例】 # 配置二层以太网端口 GigabitEthernet
23、1/0/1 为 ARP 信任端口。 system-view Sysname interface gigabitethernet 1/0/1 Sysname-GigabitEthernet1/0/1 arp detection trust 1.5.3 arp detection validate 【命令】 arp detection validate dst-mac | ip | src-mac * undo arp detection validate dst-mac | ip | src-mac * 1-7 【视图】 系统视图 【缺省级别】 2:系统级 【参数】 dst-mac:检查 ARP
24、 应答报文中的目的 MAC 地址,是否为全 0 或者全 1,是否和以太网报文头中 的目的 MAC 地址一致。全 0、全 1、不一致的报文都是无效的,无效的报文需要被丢弃。 ip:检查 ARP 报文源 IP 和目的 IP 地址,全 0、全 1、或者组播 IP 地址都是不合法的,需要丢弃。 对于 ARP 应答报文,源 IP 和目的 IP 地址都进行检查;对于 ARP 请求报文,只检查源 IP 地址。 src-mac:检查 ARP 报文中的源 MAC 地址和以太网报文头中的源 MAC 地址是否一致,一致认为 有效,否则丢弃。 【描述】 arp detection validate 命令用来使能对 A
25、RP 报文的目的或源 MAC 地址、IP 地址的有效性检查。 使能有效性检查时可以指定某一种检查方式也可以配置成多种检查方式的组合。undo arp detection validate 命令用来关闭对 ARP 报文的有效性检查。 关闭时可以指定关闭某一种或多种检 查,在不指定检查方式时,表示关闭所有有效性检查。 缺省情况下,ARP 报文有效性检查功能处于关闭状态。 【举例】 # 使能对 ARP 报文的 MAC 地址和 IP 地址的有效性检查。 system-view Sysname arp detection validate dst-mac src-mac ip 1.5.4 arp res
26、tricted-forwarding enable 【命令】 arp restricted-forwarding enable undo arp restricted-forwarding enable 【视图】 VLAN 视图 【缺省级别】 2:系统级 【参数】 无 【描述】 arp restricted-forwarding enable 命 令 用 来 使 能 ARP 报 文 强 制 转 发 功 能 。 undo arp restricted-forwarding enable 命令用来关闭 ARP 报文强制转发功能。 缺省情况下,ARP 报文强制转发功能处于关闭状态。 【举例】 # 使
27、能 VLAN 1 的 ARP 报文强制转发功能。 system-view Sysname vlan 1 Sysname-vlan1 arp restricted-forwarding enable 1-8 1.5.5 display arp detection 【命令】 display arp detection | begin | exclude | include regular-expression 【视图】 任意视图 【缺省级别】 1:监控级 【参数】 |:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中 的“CLI”。 begin:从包含指定正则表
28、达式的行开始显示。 exclude:只显示不包含指定正则表达式的行。 include:只显示包含指定正则表达式的行。 regular-expression:表示正则表达式,为 1256 个字符的字符串,区分大小写。 【描述】 display arp detection 命令用来显示使能了 ARP Detection 功能的 VLAN。 相关配置可参考 arp detection enable。 【举例】 # 显示所有使能了 ARP Detection 功能的 VLAN。 display arp detection ARP detection is enabled in the followin
29、g VLANs: 1, 2, 4-5 表1-2 display arp detection 命令显示信息描述表 字段 描述 ARP detection is enabled in the following VLANs 使能了 ARP Detection 功能的 VLAN 1.5.6 display arp detection statistics 【命令】 display arp detection statistics interface interface-type interface-number | begin | exclude | include regular-expressi
30、on 【视图】 任意视图 【缺省级别】 1:监控级 【参数】 interface interface-type interface-number : 显 示 指 定 接 口 的 统 计 信 息 。 interface-type interface-number 用来指定接口类型和编号。 |:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中 的“CLI”。 1-9 begin:从包含指定正则表达式的行开始显示。 exclude:只显示不包含指定正则表达式的行。 include:只显示包含指定正则表达式的行。 regular-expression:表示正则表达式
31、,为 1256 个字符的字符串,区分大小写。 【描述】 display arp detection statistics 命令用来显示 ARP Detection 功能报文检查的丢弃计数的统计信 息。按端口显示用户合法性检查,报文有效性检查和 ARP 报文上送限速的统计情况,只显示丢弃 的情况。不指定端口时,显示所有端口的统计信息。 【举例】 # 显示 ARP Detection 功能报文检查的丢弃计数的统计信息。 display arp detection statistics State: U-Untrusted T-Trusted ARP packets dropped by ARP i
32、nspect checking: Interface(State) IP Src-MAC Dst-MAC Inspect GE1/0/1(U) 40 0 0 78 GE1/0/2(U) 0 0 0 0 GE1/0/3(T) 0 0 0 0 GE1/0/4(U) 0 0 30 0 表1-3 display arp detection statistics 命令显示信息描述表 字段 描述 Interface(State) ARP 报文入接口,State 表示该接口的信任状态 IP ARP 报文源和目的 IP 地址检查不通过丢弃的报文计数 Src-MAC ARP 报文源 MAC 地址检查不通过丢弃的
33、报文计数 Dst-MAC ARP 报文目的 MAC 地址检查不通过丢弃的报文计数 Inspect ARP 报文结合用户合法性检查不通过丢弃的报文计数 1.5.7 reset arp detection statistics 【命令】 reset arp detection statistics interface interface-type interface-number 【视图】 用户视图 【缺省级别】 2:系统级 【参数】 interface interface-type interface-number:表示清除指定接口下的统计信息。interface-type interface-
34、number 用来指定接口类型和编号。 【描述】 reset arp detection statistics 命令用来清除 ARP Detection 的统计信息。不指定接口时,清除所 有的 ARP Detection 统计信息。 【举例】 # 清除所有的 ARP Detection 统计信息。 1-10 reset arp detection statistics 1.6 ARP网关保护配置命令 1.6.1 arp filter source 【命令】 arp filter source ip-address undo arp filter source ip-address 【视图】 二
35、层以太网端口视图/二层聚合接口视图 【缺省级别】 2:系统级 【参数】 ip-address:被保护的网关 IP 地址。 【描述】 arp filter source 命令用来开启 ARP 网关保护功能,配置被保护的网关 IP 地址。undo arp filter source 命令用来删除已配置的被保护网关 IP 地址。 缺省情况下,ARP 网关保护功能处于关闭状态。 需要注意的是: ? 每个端口最多支持配置 8 个被保护的网关 IP 地址。 ? 不能在同一端口下同时配置命令 arp filter source 和 arp filter binding。 【举例】 # 在 GigabitEt
36、hernet1/0/1 下开启 ARP 网关保护功能,被保护的网关 IP 地址为 1.1.1.1。 system-view Sysname interface gigabitethernet 1/0/1 Sysname-GigabitEthernet1/0/1 arp filter source 1.1.1.1 1.7 ARP过滤保护配置命令 1.7.1 arp filter binding 【命令】 arp filter binding ip-address mac-address undo arp filter binding ip-address 【视图】 二层以太网端口视图/二层聚合接
37、口视图 【缺省级别】 2:系统级 【参数】 ip-address:允许通过的 ARP 报文的源 IP 地址。 mac-address:允许通过的 ARP 报文的源 MAC 地址。 【描述】 1-11 arp filter binding命令用来开启ARP过滤保护功能, 限制只有特定源IP地址和源MAC地址的ARP 报文才允许通过。undo arp filter binding 命令用来删除已配置的被允许通过的 ARP 报文的源 IP 地址和源 MAC 地址。 缺省情况下,ARP 过滤保护功能处于关闭状态。 需要注意的是: ? 每个端口最多支持配置 8 组允许通过的 ARP 报文的源 IP 地址和源 MAC 地址。 ? 不能在同一端口下同时配置命令 arp filter source 和 arp filter binding。 【举例】 # 在 GigabitEthernet1/0/1 下开启 ARP 过滤保护功能,允许源 IP 地址为 1.1.1.1、源 MAC 地址为 2-2-2 的 ARP 报文通过。 system-view Sysname interface gigabitethernet 1/0/1 Sysname-GigabitEthernet1/0/1 arp filter binding 1.1.1.1 2-2-2