限制接入设备发送arp广播
- 0关注
- 1收藏,986浏览
问题描述:
网关在核心交换机,下联接入设备,二层互联,放通相应vlan,现在核心设备上面有arp攻击告警和arp miss消息过多告警,,我想问一下可以在接入交换机(华三5130)上对arp进行一个限速吗?
- 2022-05-20提问
- 举报
-
(0)
您好,参考
1.4 配置ARP报文限速功能
1.4.1 ARP报文限速功能简介
ARP报文限速功能是指对上送CPU的ARP报文进行限速,可以防止大量ARP报文对CPU进行冲击。例如,在配置了ARP Detection功能后,设备会将收到的ARP报文重定向到CPU进行检查,这样引入了新的问题:如果攻击者恶意构造大量ARP报文发往设备,会导致设备的CPU负担过重,从而造成其他功能无法正常运行甚至设备瘫痪,这个时候可以启用ARP报文限速功能来控制上送CPU的ARP报文的速率。
推荐用户在配置了ARP Detection、ARP Snooping,或者发现有ARP泛洪攻击的情况下,使用ARP报文限速功能。
1.4.2 配置ARP报文限速功能
使能ARP报文限速功能后,当端口上收到的ARP报文速率超过用户设定的限速值时,设备就会发送ARP超速的Trap和Log信息。为防止过多的Trap和Log信息干扰用户工作,用户可以设定信息的发送时间间隔。当用户设定的时间间隔超时时,设备将这个时间间隔内的超速峰值作为Trap和Log的速率值打印出来。
需要注意的是,只有开启了ARP报文限速的Trap功能后,才会生成Trap报文。
生成的Trap和Log报文将被发送到设备的信息中心,通过设置信息中心的参数,最终决定Trap和Log报文的输出规则(即是否允许输出以及输出方向)。(有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。)
表1-5 配置ARP报文限速功能
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
开启ARP报文限速Trap功能 | snmp-agent trap enable arp rate-limit | 可选 缺省情况下,ARP报文限速Trap功能处于开启状态 |
配置当端口上的ARP报文速率超过用户设定的限速值时,设备发送Trap和Log的时间间隔 | arp rate-limit information interval seconds | 可选 缺省情况下,设备发送ARP超速Trap和Log的时间间隔为60秒 |
进入二层以太网端口/二层聚合接口视图 | interface interface-type interface-number | - |
配置ARP报文限速功能 | arp rate-limit { disable | rate pps drop } | 必选 缺省情况下,ARP报文限速功能处于关闭状态 |
· 如果在二层聚合接口上配置了ARP报文限速功能,则只要聚合成员端口上的ARP报文速率超过用户设定的限速值,就会发送Trap和Log信息。
· snmp-agent trap enable arp rate-limit命令的详细介绍请参见“网络管理和监控命令参考/SNMP”中的snmp-agent trap enable命令。
- 2022-05-20回答
- 评论(4)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
我想问一下,这个是不是需要在网关设备上配置?
是的
那能不能直接从接入设备上进行限速呢
接入可以使用arp绑定进行规避