最佳答案
arp detection enable命令用来使能ARP Detection功能,即对ARP报文进行用户合法性检查。
undo arp detection enable命令用来恢复缺省情况。
ARP Detection功能处于关闭状态,即不进行用户合法性检查。
VLAN视图
# 使能ARP Detection功能。
[Sysname] vlan 2
[Sysname-vlan2] arp detection enable
【相关命令】
· arp detection port-match-ignore
使用场景:
ARP Detection功能主要应用于接入设备上,对于合法用户的ARP报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的攻击。
ARP Detection包含三个功能:用户合法性检查、ARP报文有效性检查、ARP报文强制转发。
具体可参考官网介绍:
H3C S5830V2[S5820V2]系列以太网交换机 配置指导-Release 243x-6W100_安全配置指导_ARP攻击防御配置-新华三集团-H3C
(1)
arp detecS3100-EI系列交换机ARP入侵检测与ARP报文限速功能的配置
一、 组网需求:
如下图所示,Switch A(S3100-EI)的端口Ethernet1/0/1连接DHCP服务器,端口Ethernet1/0/2和Ethernet1/0/3分别连接Client A和Client B,且三个端口都属于VLAN 1。
(1)开启交换机的DHCP Snooping功能,并设置端口Ethernet1/0/1为DHCP Snooping信任端口。
(2)为防止ARP中间人攻击,配置VLAN 1的ARP入侵检测功能,设置Switch的端口Ethernet1/0/1为ARP信任端口。
(3)开启端口Ethernet1/0/2和Ethernet1/0/3上的ARP报文限速功能,防止来自Client A和Client B的ARP报文流量攻击。
(4)开启Switch A上的端口状态自动恢复功能,设置恢复时间间隔为200秒。
二、 组网图:
三、 配置步骤:
# 开启交换机DHCP Snooping功能。
<SwitchA> system-view
[SwitchA] dhcp-snooping
# 设置端口Ethernet1/0/1为DHCP Snooping信任端口,ARP信任端口。
[SwitchA] interface Ethernet1/0/1
[SwitchA-Ethernet1/0/1] dhcp-snooping trust
[SwitchA-Ethernet1/0/1] arp detection trust
[SwitchA-Ethernet1/0/1] quit
# 开启VLAN 1内所有端口的ARP入侵检测功能。
[SwitchA] vlan 1
[SwitchA-vlan1] arp detection enable
# 开启端口Ethernet1/0/2上的ARP报文限速功能,设置ARP报文通过的最大速率为20pps。
[SwitchA] interface Ethernet1/0/2
[SwitchA-Ethernet1/0/2] arp rate-limit enable
[SwitchA-Ethernet1/0/2] arp rate-limit 20
[SwitchA-Ethernet1/0/2] quit
# 开启端口Ethernet1/0/3上ARP报文限速功能,设置ARP报文通过的最大速率为50pps。
[SwitchA] interface Ethernet1/0/3
[SwitchA-Ethernet1/0/3] arp rate-limit enable
[SwitchA-Ethernet1/0/3] arp rate-limit 50
[SwitchA-Ethernet1/0/3] quit
# 配置端口状态自动恢复功能,恢复时间间隔为200秒。
[SwitchA] arp protective-down recover enable
[SwitchA] arp protective-down recover interval 200
(1)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论