1、目 录 1 ARP 攻击防御配置命令 .1-1 1.1 ARP 报文限速配置命令.1-1 1.1.1 arp rate-limit.1-1 1.2 源 MAC 地址固定的 ARP 攻击检测配置命令.1-1 1.2.1 arp anti-attacksource-mac.1-1 1.2.2 arp anti-attack source-mac aging-time.1-2 1.2.3 arp anti-attack source-mac exclude-mac.1-2 1.2.4 arp anti-attack source-mac threshold.1-3 1.2.5 display arp
2、 anti-attack source-mac.1-3 1.3 ARP 报文源 MAC 地址一致性检查配置命令.1-4 1.3.1 arp anti-attack valid-check enable.1-4 1.4 ARP 主动确认配置命令.1-5 1.4.1 arp anti-attack active-ack enable.1-5 1.5 ARPDetection 配置命令.1-5 1.5.1 arp detection enable.1-5 1.5.2 arp detection trust.1-6 1.5.3 arp detection validate.1-6 1.5.4 arp
3、restricted-forwarding enable.1-7 1.5.5 display arp detection .1-8 1.5.6 display arp detection statistics.1-8 1.5.7 resetarp detection statistics.1-9 1.6 ARP 网关保护配置命令.1-10 1.6.1 arp filtersource.1-10 1.7 ARP 过滤保护配置命令.1-10 1.7.1 arp filterbinding.1-10 i 1 ARP 攻击防御配置命令 1.1 ARP 报文限速配置命令 1.1.1 arp rate-l
4、imit 【命令】 arp rate-limit disable | rateppsdrop undo arp rate-limit 【视图】 二层以太网端口视图/二层聚合接口视图 【缺省级别】 2:系统级 【参数】 disable:不进行限速。 ratepps:ARP限速速率,单位为包每秒(pps),取值范围为 5100。 drop:丢弃超出限速部分的报文。 【描述】 arp rate-limit 命令用来开启 ARP 报文限速功能,可以配置端口 ARP 报文限速速率,配置对超速 ARP报文的处理,或者配置取消 ARP报文限速。undo arp rate-limit命令用来恢复缺省情况。 缺
5、省情况下,ARP报文限速功能处于关闭状态。 【举例】 #配置二层以太网端口 GigabitEthernet1/0/1端口 ARP报文限速为 50pps,超过限速部分的报文丢 弃。 system-view Sysname interface gigabitethernet 1/0/1 Sysname-GigabitEthernet1/0/1 arp rate-limit rate 50 drop 1.2 源 MAC 地址固定的 ARP 攻击检测配置命令 1.2.1 arp anti-attack source-mac 【命令】 arp anti-attack source-mac filter
6、| monitor undo arp anti-attack source-mac filter | monitor 【视图】 系统视图 【缺省级别】 2:系统级 【参数】 filter:检测到攻击后,打印 Log信息,同时对该源 MAC地址对应的 ARP报文进行过滤。 1-1 monitor:检测到攻击后,只打印 Log信息,不对该源 MAC地址对应的 ARP报文进行过滤。 【描述】 arpanti-attacksource-mac命令用来使能源 MAC地址固定的 ARP攻击检测功能,并选择检查模 式。undo arp anti-attack source-mac命令用来恢复缺省情况。 缺省
7、情况下,源 MAC地址固定的 ARP攻击检测功能处于关闭状态。 使能源 MAC地址固定的 ARP攻击检测之后,该特性会对上送 CPU的 ARP报文按照源 MAC地址 和 VLAN进行统计。当在一定时间(5秒)内收到某固定源 MAC地址的 ARP报文超过设定的阈值, 不同模式的处理方式存在差异:在 filter模式下会打印 Log信息并对该源 MAC地址对应的 ARP报 文进行过滤;在 monitor模式下只打印 Log信息,不过滤 ARP报文。 需要注意的是,如果 undo 命令中没有指定检查模式,则关闭任意检查模式的源 MAC 地址固定的 ARP攻击检测功能。 【举例】 # 使能源 MAC地
8、址固定的 ARP攻击检测功能,并选择 filter检查模式。 system-view Sysname arp anti-attack source-mac filter 1.2.2 arp anti-attack source-mac aging-time 【命令】 arp anti-attack source-mac aging-timetime undo arp anti-attack source-mac aging-time 【视图】 系统视图 【缺省级别】 2:系统级 【参数】 time:源 MAC地址固定的 ARP攻击检测表项的老化时间,取值范围为 606000,单位为秒。 【描述
9、】 arp anti-attack source-mac aging-time命令用来配置源 MAC地址固定的 ARP攻击检测表项的 老化时间。undo arp anti-attack source-mac aging-time命令用来恢复缺省情况。 缺省情况下,源 MAC地址固定的 ARP攻击检测表项的老化时间为 300秒,即 5分钟。 【举例】 # 配置源 MAC地址固定的 ARP攻击检测表项的老化时间为 60秒。 system-view Sysname arp anti-attack source-mac aging-time 60 1.2.3 arp anti-attack sourc
10、e-mac exclude-mac 【命令】 arp anti-attack source-mac exclude-macmac-address& undo arp anti-attack source-mac exclude-mac mac-address& 【视图】 系统视图 【缺省级别】 1-2 2:系统级 【参数】 mac-address&:MAC地址列表。其中,mac-address表示配置的保护 MAC地址,格式为 H-H-H。&表示每次最多可以配置的保护 MAC地址个数。 【描述】 arp anti-attack source-mac exclude-mac命令用来配置保护 MA
11、C地址。当配置了保护 MAC地 址之后,即使该 ARP 报文中的 MAC 地址存在攻击也不会被检测过滤。undo arp anti-attack source-mac exclude-mac命令用来取消配置的保护 MAC地址。 缺省情况下,没有配置任何保护 MAC地址。 需要注意的是,如果 undo命令中没有指定 MAC地址,则取消所有配置的保护 MAC地址。 【举例】 # 配置源 MAC地址固定的 ARP攻击检查的保护 MAC地址为 2-2-2。 system-view Sysname arp anti-attack source-mac exclude-mac 2-2-2 1.2.4 ar
12、p anti-attack source-mac threshold 【命令】 arp anti-attack source-mac thresholdthreshold-value undo arp anti-attack source-mac threshold 【视图】 系统视图 【缺省级别】 2:系统级 【参数】 threshold-value:固定时间内源 MAC地址固定的 ARP报文攻击检测的阈值,单位为报文个数,取 值范围为 10100。 【描述】 arpanti-attacksource-macthreshold 命令用来配置源 MAC 地址固定的 ARP 报文攻击检测阈值,
13、当在固定的时间(5秒)内收到源 MAC地址固定的 ARP报文超过该阈值则认为存在攻击。undoarp anti-attack source-mac threshold命令用来恢复缺省情况。 缺省情况下,源 MAC固定 ARP报文攻击检测阈值为 50。 【举例】 # 配置源 MAC地址固定的 ARP报文攻击检测阈值为 30个。 system-view Sysname arp anti-attack source-mac threshold 30 1.2.5 display arp anti-attack source-mac 【命令】 displayarpanti-attacksource-ma
14、cslotslot-number|interfaceinterface-type interface-number | begin | exclude | include regular-expression 【视图】 任意视图 1-3 【缺省级别】 1:监控级 【参数】 interfaceinterface-type interface-number:显示指定接口检测到的源 MAC地址固定的 ARP攻击 检测表项。 slotslot-number:显示 IRF系统中指定设备上检测到的源 MAC地址固定的 ARP攻击检测表项。 slot-number表示 IRF中设备的成员编号,取值范围取决于
15、当前 IRF中的成员数量和编号情况,可 使用 display irf命令查看。如果未形成 IRF,则slot-number为当前设备编号。 |:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中 的“CLI”。 begin:从包含指定正则表达式的行开始显示。 exclude:只显示不包含指定正则表达式的行。 include:只显示包含指定正则表达式的行。 regular-expression:表示正则表达式,为 1256个字符的字符串,区分大小写。 【描述】 displayarp anti-attack source-mac命令用来显示检测到的源 MAC地址固
16、定的 ARP攻击检测表 项。 【举例】 # 显示检测到的源 MAC地址固定的 ARP攻击检测表项。 display arp anti-attack source-mac slot 1 Source-MACVLAN IDInterfaceAging-time 23f3-1122-33444094GE1/0/110 23f3-1122-33554094GE1/0/230 23f3-1122-33ff4094GE1/0/325 23f3-1122-33ad4094GE1/0/430 23f3-1122-33ce4094GE1/0/52 表 1-1 display arp anti-attack so
17、urce-mac命令显示信息描述表 字段描述 Source-MAC检测到攻击的源 MAC地址 VLANID检测到攻击的 VLANID Interface攻击来源的接口索引 Aging-timeARP防攻击策略表项老化剩余时间 1.3 ARP 报文源 MAC 地址一致性检查配置命令 1.3.1 arp anti-attack valid-check enable 【命令】 arp anti-attack valid-check enable undo arp anti-attack valid-check enable 【视图】 系统视图 1-4 【缺省级别】 2:系统级 【参数】 无 【描述】
18、 arp anti-attack valid-check enable命令用来在网关设备上使能 ARP报文源 MAC地址一致性检 查功能。网关使能此功能时,会对接收的 ARP报文进行检查,如果以太网数据帧首部中的源 MAC 地址和 ARP报文中的源 MAC地址不同,则丢弃该报文。undoarpanti-attackvalid-checkenable 命令用来恢复缺省情况。 缺省情况下,ARP报文源 MAC地址一致性检查功能处于关闭状态。 【举例】 # 使能 ARP报文源 MAC地址一致性检查功能。 system-view Sysname arp anti-attack valid-check
19、enable 1.4 ARP 主动确认配置命令 1.4.1 arp anti-attack active-ack enable 【命令】 arp anti-attack active-ack enable undo arp anti-attack active-ack enable 【视图】 系统视图 【缺省级别】 2:系统级 【参数】 无 【描述】 arp anti-attack active-ack enable 命令用来使能 ARP 主动确认功能。undo arp anti-attack active-ack enable命令用来恢复缺省情况。 缺省情况下,ARP主动确认功能处于关闭状态
20、。 ARP的主动确认功能主要应用于网关设备上,防止攻击者仿冒用户欺骗网关设备。 【举例】 # 使能 ARP主动确认功能。 system-view Sysname arp anti-attack active-ack enable 1.5 ARP Detection 配置命令 1.5.1 arp detection enable 【命令】 arp detection enable 1-5 undo arp detection enable 【视图】 VLAN视图 【缺省级别】 2:系统级 【参数】 无 【描述】 arp detection enable命令用来使能 ARP Detection功能
21、,即对 ARP报文进行用户合法性检查。 undo arp detection enable命令用来恢复缺省情况。 缺省情况下,ARP Detection功能处于关闭状态。 【举例】 # 使能 ARPDetection功能。 system-view Sysname vlan 1 Sysname-Vlan1 arp detection enable 1.5.2 arp detection trust 【命令】 arp detection trust undo arp detection trust 【视图】 二层以太网端口视图/二层聚合接口视图 【缺省级别】 2:系统级 【参数】 无 【描述】 a
22、rpdetectiontrust命令用来配置端口为 ARP信任端口。undoarpdetectiontrust命令用来恢复 缺省情况。 缺省情况下,端口为 ARP非信任端口。 【举例】 # 配置二层以太网端口 GigabitEthernet1/0/1为 ARP信任端口。 system-view Sysname interface gigabitethernet 1/0/1 Sysname-GigabitEthernet1/0/1 arp detection trust 1.5.3 arp detection validate 【命令】 arp detection validate dst-ma
23、c | ip | src-mac * undo arp detection validate dst-mac | ip | src-mac * 1-6 【视图】 系统视图 【缺省级别】 2:系统级 【参数】 dst-mac:检查 ARP应答报文中的目的 MAC地址,是否为全 0或者全 1,是否和以太网报文头中 的目的 MAC地址一致。全 0、全 1、不一致的报文都是无效的,无效的报文需要被丢弃。 ip:检查 ARP报文源 IP和目的 IP地址,全 0、全 1、或者组播 IP地址都是不合法的,需要丢弃。 对于 ARP应答报文,源 IP和目的 IP地址都进行检查;对于 ARP请求报文,只检查源 I
24、P地址。 src-mac:检查 ARP报文中的源 MAC地址和以太网报文头中的源 MAC地址是否一致,一致认为 有效,否则丢弃。 【描述】 arp detection validate命令用来使能对 ARP报文的目的或源 MAC地址、IP地址的有效性检查。 使能有效性检查时可以指定某一种检查方式也可以配置成多种检查方式的组合。undo arp detectionvalidate命令用来关闭对 ARP报文的有效性检查。关闭时可以指定关闭某一种或多种检 查,在不指定检查方式时,表示关闭所有有效性检查。 缺省情况下,ARP报文有效性检查功能处于关闭状态。 【举例】 #使能对 ARP报文的 MAC地址
25、和 IP地址的有效性检查。 system-view Sysname arp detection validate dst-mac src-mac ip 1.5.4 arp restricted-forwarding enable 【命令】 arp restricted-forwarding enable undo arp restricted-forwarding enable 【视图】 VLAN视图 【缺省级别】 2:系统级 【参数】 无 【描述】 arp restricted-forwarding enable 命 令 用 来 使 能 ARP 报 文 强 制 转 发 功 能 。 undo
26、arp restricted-forwarding enable命令用来关闭 ARP报文强制转发功能。 缺省情况下,ARP报文强制转发功能处于关闭状态。 【举例】 # 使能 VLAN1的 ARP报文强制转发功能。 system-view Sysname vlan 1 Sysname-vlan1 arp restricted-forwarding enable 1-7 1.5.5 display arp detection 【命令】 displayarp detection | begin | exclude | include regular-expression 【视图】 任意视图 【缺省级
27、别】 1:监控级 【参数】 |:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中 的“CLI”。 begin:从包含指定正则表达式的行开始显示。 exclude:只显示不包含指定正则表达式的行。 include:只显示包含指定正则表达式的行。 regular-expression:表示正则表达式,为 1256个字符的字符串,区分大小写。 【描述】 displayarp detection命令用来显示使能了 ARPDetection功能的 VLAN。 相关配置可参考 arp detection enable。 【举例】 # 显示所有使能了 ARP Detect
28、ion功能的 VLAN。 display arp detection ARP detection is enabled in the following VLANs: 1, 2, 4-5 表 1-2 display arp detection命令显示信息描述表 字段描述 ARPdetectionis enabledinthe followingVLANs使能了 ARP Detection功能的 VLAN 1.5.6 display arp detection statistics 【命令】 displayarpdetectionstatisticsinterfaceinterface-type
29、 interface-number|begin|exclude | include regular-expression 【视图】 任意视图 【缺省级别】 1:监控级 【参数】 interfaceinterface-typeinterface-number: 显 示 指 定 接 口 的 统 计 信 息 。interface-type interface-number用来指定接口类型和编号。 |:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中 的“CLI”。 1-8 begin:从包含指定正则表达式的行开始显示。 exclude:只显示不包含指定正则表达式的
30、行。 include:只显示包含指定正则表达式的行。 regular-expression:表示正则表达式,为 1256个字符的字符串,区分大小写。 【描述】 display arp detection statistics命令用来显示 ARP Detection功能报文检查的丢弃计数的统计信 息。按端口显示用户合法性检查,报文有效性检查和 ARP 报文上送限速的统计情况,只显示丢弃 的情况。不指定端口时,显示所有端口的统计信息。 【举例】 # 显示 ARPDetection功能报文检查的丢弃计数的统计信息。 display arp detection statistics State: U-
31、UntrustedT-Trusted ARP packets dropped by ARP inspect checking: Interface(State)IPSrc-MACDst-MACInspect GE1/0/1(U)400078 GE1/0/2(U)0000 GE1/0/3(T)0000 GE1/0/4(U)00300 表 1-3 display arp detection statistics命令显示信息描述表 字段描述 Interface(State)ARP报文入接口,State表示该接口的信任状态 IPARP报文源和目的 IP地址检查不通过丢弃的报文计数 Src-MACARP
32、报文源 MAC地址检查不通过丢弃的报文计数 Dst-MACARP报文目的 MAC地址检查不通过丢弃的报文计数 InspectARP报文结合用户合法性检查不通过丢弃的报文计数 1.5.7 reset arp detection statistics 【命令】 reset arp detection statistics interfaceinterface-type interface-number 【视图】 用户视图 【缺省级别】 2:系统级 【参数】 interfaceinterface-type interface-number:表示清除指定接口下的统计信息。interface-type
33、interface-number用来指定接口类型和编号。 【描述】 reset arp detection statistics命令用来清除 ARPDetection的统计信息。不指定接口时,清除所 有的 ARP Detection统计信息。 【举例】 # 清除所有的 ARP Detection统计信息。 1-9 reset arp detection statistics 1.6 ARP 网关保护配置命令 1.6.1 arp filter source 【命令】 arp filter sourceip-address undo arp filter sourceip-address 【视图】
34、 二层以太网端口视图/二层聚合接口视图 【缺省级别】 2:系统级 【参数】 ip-address:被保护的网关 IP地址。 【描述】 arp filter source命令用来开启 ARP网关保护功能,配置被保护的网关 IP地址。undo arp filter source命令用来删除已配置的被保护网关 IP地址。 缺省情况下,ARP网关保护功能处于关闭状态。 需要注意的是: z每个端口最多支持配置 8个被保护的网关 IP地址。 z不能在同一端口下同时配置命令 arp filter source和 arp filter binding。 【举例】 # 在 GigabitEthernet1/0/
35、1下开启 ARP网关保护功能,被保护的网关 IP地址为 1.1.1.1。 system-view Sysname interface gigabitethernet 1/0/1 Sysname-GigabitEthernet1/0/1 arp filter source 1.1.1.1 1.7 ARP 过滤保护配置命令 1.7.1 arp filter binding 【命令】 arp filter bindingip-address mac-address undo arp filter bindingip-address 【视图】 二层以太网端口视图/二层聚合接口视图 【缺省级别】 2:系
36、统级 【参数】 ip-address:允许通过的 ARP报文的源 IP地址。 mac-address:允许通过的 ARP报文的源 MAC地址。 【描述】 1-10 arpfilterbinding 命令用来开启ARP 过滤保护功能,限制只有特定源IP 地址和源MAC 地址的ARP 报文才允许通过。undo arp filter binding命令用来删除已配置的被允许通过的 ARP报文的源 IP 地址和源 MAC地址。 缺省情况下,ARP过滤保护功能处于关闭状态。 需要注意的是: z每个端口最多支持配置 8组允许通过的 ARP报文的源 IP地址和源 MAC地址。 z不能在同一端口下同时配置命令 arp filter source和 arp filter binding。 【举例】 # 在 GigabitEthernet1/0/1下开启 ARP过滤保护功能,允许源 IP地址为 1.1.1.1、源 MAC地址为 2-2-2的 ARP报文通过。 system-view Sysname interface gigabitethernet 1/0/1 Sysname-GigabitEthernet1/0/1 arp filter binding 1.1.1.1 2-2-2 1-11