• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-安全命令参考

目录

17-ND攻击防御命令

本章节下载 17-ND攻击防御命令  (232.89 KB)

17-ND攻击防御命令


1 ND攻击防御

1.1  ND协议报文源MAC地址一致性检查命令

1.1.1  ipv6 nd check log enable

ipv6 nd check log enable命令用来开启ND日志信息功能。

undo ipv6 nd check log enable命令用来关闭ND日志信息功能。

【命令】

ipv6 nd check log enable

undo ipv6 nd check log enable

【缺省情况】

ND日志信息功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。

【举例】

# 开启ND日志信息功能。

<Sysname> system-view

[Sysname] ipv6 nd check log enable

1.1.2  ipv6 nd mac-check enable

ipv6 nd mac-check enable命令用来开启ND协议报文源MAC地址一致性检查功能。

undo ipv6 nd mac-check enable命令用来关闭ND协议报文源MAC地址一致性检查功能。

【命令】

ipv6 nd mac-check enable

undo ipv6 nd mac-check enable

【缺省情况】

ND协议报文源MAC地址一致性检查功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

网关设备开启该功能后,会对接收到的ND协议报文进行检查,如果ND报文中的源MAC地址和以太网数据帧首部的源MAC地址不一致,则丢弃该报文。

【举例】

# 开启ND协议报文源MAC地址一致性检查功能。

<Sysname> system-view

[Sysname] ipv6 nd mac-check enable

1.2  ND Detection配置命令

1.2.1  display ipv6 nd detection statistics

display ipv6 nd detection statistics命令用来显示ND Detection丢弃ND报文的统计信息。

【命令】

display ipv6 nd detection statistics [ interface interface-type interface-number [ service-instance instance-id ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

interface interface-type interface-number:显示指定接口ND Detection丢弃ND报文的统计信息。interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则显示所有接口的ND Detection功能丢弃ND报文的统计信息。

service-instance instance-id:显示指定以太网服务实例的ND Detection丢弃ND报文的统计信息。instance-id用来指定服务实例编号,取值范围为1~4096。如果未指定本参数,则显示指定接口下所有以太网服务实例的ND Detection丢弃ND报文的统计信息。

【举例】

# 显示ND Detection丢弃报文的统计信息。

<Sysname> display ipv6 nd detection statistics

ND packets dropped by ND detection:

Interface/AC         Packets dropped

XGE1/0/1              78

XGE1/0/2              0

XGE1/0/3              0

XGE1/0/4              0

XGE1/0/5-srv1        0

XGE1/0/5-srv2        10

表1-1 display ipv6 nd detection statistics命令显示信息描述表

字段

描述

ND packets dropped by ND detection:

根据ND Detection丢弃的ND报文

Interface/AC

ND报文入接口/AC链路

Packets dropped

丢弃的报文数目

 

1.2.2  ipv6 nd detection enable

ipv6 nd detection enable命令用来开启ND Detection功能,即对ND报文进行合法性检查。

undo ipv6 nd detection enable命令用来关闭ND Detection功能。

【命令】

ipv6 nd detection enable

undo ipv6 nd detection enable

【缺省情况】

ND Detection功能处于关闭状态。

【视图】

VLAN视图

VSI视图

【缺省用户角色】

network-admin

mdc-admin

【举例】

# 在VLAN 10内开启ND Detection功能。

<Sysname> system-view

[Sysname] vlan 10

[Sysname-vlan10] ipv6 nd detection enable

# 在VSI vsi1下开启ND Detection功能。

<Sysname> system-view

[Sysname] vsi vsi1

[Sysname-vsi-vsi1] ipv6 nd detection enable

1.2.3  ipv6 nd detection log enable

ipv6 nd detection log enable命令用来开启ND Detection日志功能。

undo ipv6 nd detection log enable命令用来关闭ND Detection日志功能。

【命令】

ipv6 nd detection log enable

undo ipv6 nd detection log enable

【缺省情况】

ND Detection日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

ND Detection日志可以方便管理员定位问题和解决问题。设备生成的ND Detection日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

当设备输出大量ND Detection日志信息时,会降低设备性能。这时用户可以关闭ND Detection日志功能,使设备不再输出ND Detection日志信息。

【举例】

# 开启ND Detection日志功能。

<Sysname> system-view

[Sysname] ipv6 nd detection log enable

1.2.4  ipv6 nd detection port-match-ignore

ipv6 nd detection port-match-ignore命令用来开启ND Detection忽略端口匹配检查功能。

undo ipv6 nd detection port-match-ignore命令用来关闭ND Detection忽略端口匹配检查功能。

【命令】

ipv6 nd detection port-match-ignore

undo ipv6 nd detection port-match-ignore

【缺省情况】

系统视图

【视图】

ND Detection忽略端口匹配检查功能处于关闭状态。

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

开启ND Detection忽略端口匹配检查功能后,ND Detection在进行各类安全表项检查时,不进行ND报文入端口和表项中的端口是否匹配的检查。

【举例】

# 开启ND Detection忽略端口匹配检查功能。

<Sysname> system-view

[Sysname] ipv6 nd detection port-match-ignore

1.2.5  ipv6 nd detection trust

ipv6 nd detection trust命令用来配置接口为ND信任接口。

undo ipv6 nd detection trust命令用来恢复缺省情况。

【命令】

ipv6 nd detection trust

undo ipv6 nd detection trust

【缺省情况】

接口为ND非信任接口,AC为ND非信任AC。

【视图】

二层以太网接口视图

二层聚合接口视图

以太网服务实例视图(AC)

【缺省用户角色】

network-admin

mdc-admin

【举例】

# 配置二层以太网接口Ten-GigabitEthernet1/0/1为ND信任接口。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] ipv6 nd detection trust

# 配置二层聚合接口Bridge-Aggregation1为ND信任接口。

<Sysname> system-view

[Sysname] interface bridge-aggregation 1

[Sysname-Bridge-Aggregation1] ipv6 nd detection trust

# 配置二层以太网接口Ten-GigabitEthernet1/0/1下的以太网服务实例1为ND信任的AC。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] service-instance 1

[Sysname-Ten-GigabitEthernet1/0/1-srv1] ipv6 nd detection trust

1.2.6  reset ipv6 nd detection statistics

reset ipv6 nd detection statistics命令用来清除ND Detection的统计信息。

【命令】

reset ipv6 nd detection statistics [ interface interface-type interface-number [ service-instance instance-id ] ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:表示清除指定接口的ND Detection的统计信息。interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则清除所有接口ND Detection的统计信息。

service-instance instance-id:表示清除指定以太网服务实例的ND Detection的ND报文丢弃统计信息。instance-id用来指定服务实例编号,取值范围为1~4096。如果未指定本参数,则清除指定接口下所有以太网服务实例的ND Detection的ND报文丢弃统计信息。

【举例】

# 清除所有的ND Detection统计信息。

<Sysname> reset ipv6 nd detection statistics

1.3  RA Guard配置命令

1.3.1  display ipv6 nd raguard policy

display ipv6 nd raguard policy命令用来显示RA Guard策略信息。

【命令】

display ipv6 nd raguard policy [ policy-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

policy-name:RA Guard策略名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示所有RA Guard策略信息。

【举例】

# 显示RA Guard策略信息。

<Sysname> display ipv6 nd raguard policy

Total number of policies: 2

RA Guard policy: policy1

  if-match ACL 2001

  if-match autoconfig managed-address-flag on

  if-match autoconfig other-flag off

  if-match hop-limit maximum 128

  if-match hop-limit minimum 100

  if-match prefix ACL name aa

  if-match router-preference medium

  applied to VLAN 1-3 7

RA Guard policy: policy2

  if-match ACL name zdd

  if-match prefix ACL 2200

表1-2 display ipv6 nd raguard policy命令显示信息描述表

字段

描述

Total number of policies

策略总数

RA Guard policy:

RA Guard策略名称

if-match ACL

匹配的ACL编号

if-match ACL name

匹配的ACL名称

if-match autoconfig managed-address-flag

匹配的被管理地址标记位。其取值:

·     on:表示匹配被管理地址标志位置为1

·     off:表示匹配被管理地址标志位置为0

if-match autoconfig other-flag

匹配的其他信息配置标记位。其取值:

·     on:表示匹配的其他信息配置标志位置为1

·     off:表示匹配的其他信息配置标志位置为0

if-match hop-limit maximum

匹配的最大跳数值

if-match hop-limit minimum

匹配的最小跳数值

if-match prefix ACL

匹配的前缀ACL编号

if-match prefix ACL name

匹配的前缀ACL名称

applied to VLAN

策略应用的VLAN

 

【相关命令】

·     ipv6 nd raguard policy

1.3.2  display ipv6 nd raguard statistics

display ipv6 nd raguard statistics命令用来显示RA Guard的报文统计信息。

【命令】

display ipv6 nd raguard statistics [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

mdc-admin

mdc-operator

【参数】

interface interface-type interface-number:显示指定接口的RA Guard的报文统计信息。interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则显示所有接口的RA Guard的报文统计信息。

【举例】

# 显示RA Guard的报文统计信息。

<Sysname> display ipv6 nd raguard statistics

RA messages dropped by RA guard:

Interface     Dropped

XGE1/0/1      78

XGE1/0/2      0

XGE1/0/3      32

XGE1/0/4      0

表1-3 display ipv6 nd raguard statistics命令显示信息描述表

字段

描述

Interface

RA报文的入接口

Dropped

丢弃的RA报文的数目

 

【相关命令】

·     ipv6 nd raguard log enable

·     reset ipv6 nd raguard statistics

1.3.3  if-match acl

if-match acl命令用来配置ACL匹配规则。

undo if-match acl命令用来删除ACL匹配规则。

【命令】

if-match acl { ipv6-acl-number | name ipv6-acl-name }

undo if-match acl

【缺省情况】

未配置ACL匹配规则。

【视图】

RA Guard策略视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6-acl-number:IPv6基本ACL的编号,取值范围为2000~2999。

name ipv6-acl-name:IPv6基本ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用all。

【使用指导】

RA Guard策略将ACL匹配规则与RA报文中的发送方IP地址进行匹配。如果匹配成功,则说明RA报文通过了ACL匹配规则的检查。

若RA Guard策略中引用的ACL不存在或ACL中未定义规则的情况下,则ACL规则匹配检查不生效。

【举例】

# 在RA Guard策略policy1中,配置ACL匹配规则,引用的规则编号为2001。

<Sysname> system-view

[Sysname] ipv6 nd raguard policy policy1

[Sysname-raguard-policy-policy1] if-match acl 2001

1.3.4  if-match autoconfig managed-address-flag

if-match autoconfig managed-address-flag命令用来配置被管理地址标志位匹配规则。

undo if-match autoconfig managed-address-flag命令用来删除被管理地址标志位匹配规则。

【命令】

if-match autoconfig managed-address-flag { off | on }

undo if-match autoconfig managed-address-flag

【缺省情况】

未配置被管理地址标志位匹配规则。

【视图】

RA Guard策略视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

off:匹配被管理地址标志位置为0。

on:匹配被管理地址标志位置为1。

【使用指导】

RA报文中的被管理地址标志位用于确定用户是否采用有状态自动配置获取IPv6地址。如果该标志位置为1,则用户将通过有状态自动配置(例如DHCPv6服务器)来获取IPv6地址;否则,将通过无状态自动配置获取IPv6地址,即根据路由器发布的前缀信息和自己的链路层地址生成IPv6地址。

【举例】

# 在RA Guard策略policy1中,配置被管理地址标志位匹配规则,设置被管理地址标志位为1。

<Sysname> system-view

[Sysname] ipv6 nd raguard policy policy1

[Sysname-raguard-policy-policy1] if-match autoconfig managed-address-flag on

1.3.5  if-match autoconfig other-flag

if-match autoconfig other-flag命令用来配置其他信息配置标志位匹配规则。

undo if-match autoconfig other-flag命令用来删除其他信息配置标志位匹配规则。

【命令】

if-match autoconfig other-flag { off | on }

undo if-match autoconfig other-flag

【缺省情况】

未配置其他信息配置标志位匹配规则。

【视图】

RA Guard策略视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

off:匹配的其他信息标志位置为0。

on:匹配的其他信息标志位置为1。

【使用指导】

RA报文中的其他信息标志位用于确定主机是否采用有状态自动配置获取除IPv6地址外的其他信息。如果该标志位置为1,主机将通过有状态自动配置(例如DHCPv6服务器)来获取除IPv6地址外的其他信息;否则,将通过无状态自动配置获取其他信息。

【举例】

# 在RA Guard策略policy1中,配置其他信息标志位匹配规则,设置其他信息标志位为1。

<Sysname> system-view

[Sysname] ipv6 nd raguard policy policy1

[Sysname-raguard-policy-policy1] if-match autoconfig other-flag on

1.3.6  if-match hop-limit

if-match hop-limit命令用来配置RA报文跳数最大值或最小值匹配规则。

undo if-match hop-limit命令用来删除RA报文跳数最大值或最小值匹配规则。

【命令】

if-match hop-limit { maximum | minimum } limit

undo if-match hop-limit { maximum | minimum }

【缺省情况】

不存在RA报文跳数最大值或最小值匹配规则。

【视图】

RA Guard策略视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

maximum:RA报文跳数最大值。

minimum:RA报文跳数最小值。

limit:RA报文的跳数取值,取值范围为1~255。

【使用指导】

如果RA报文里current hop limit位为0(代表未指定RA报文跳数值),但该报文匹配的策略中配置了RA报文跳数最大值或最小值匹配规则,则系统会丢弃该报文。

【举例】

# 在RA Guard策略policy1中,配置RA报文内跳数匹配规则,设置RA报文跳数最大值为128。

<Sysname> system-view

[Sysname] ipv6 nd raguard policy policy1

[Sysname-raguard-policy-policy1] if-match hop-limit maximum 128

1.3.7  if-match prefix

if-match prefix命令用来配置前缀匹配规则。

undo if-match prefix命令用来删除前缀匹配规则。

【命令】

if-match prefix acl { ipv6-acl-number | name ipv6-acl-name }

undo if-match prefix acl

【缺省情况】

未配置前缀匹配规则。

【视图】

RA Guard策略视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

ipv6-acl-number:IPv6基本ACL的编号,取值范围为2000~2999。

name ipv6-acl-name:IPv6基本ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用all。

【使用指导】

如果RA报文中携带的前缀与前缀ACL匹配,则该RA报文通过前缀匹配规则检查。

若RA Guard策略中引用的前缀ACL不存在或前缀ACL中未定义规则,则前缀匹配规则检查不生效。

【举例】

# 在RA Guard策略policy1中,配置前缀匹配规则,引用ACL规则编号为2000。在编号为2000的IPv6基本ACL中,仅允许1001::/64或3124:1123::/64网段的报文通过,而拒绝来自所有其它网段的报文通过。

<Sysname> system-view

[Sysname] acl ipv6 basic 2000

[Sysname-acl-ipv6-basic-2000] rule permit source 1001:: 64

[Sysname-acl-ipv6-basic-2000] rule permit source 3124:1123:: 64

[Sysname-acl-ipv6-basic-2000] rule deny source any

[Sysname-acl-ipv6-basic-2000] quit

[Sysname] ipv6 nd raguard policy policy1

[Sysname-raguard-policy-policy1] if-match prefix acl 2000

1.3.8  if-match router-preference

if-match router-preference maximum命令用来配置路由最高优先级匹配规则。

undo if-match router-preference maximum命令用来删除路由最高优先级匹配规则。

【命令】

if-match router-preference maximum { high | low | medium }

undo if-match router-preference maximum

【缺省情况】

未配置路由最高优先级匹配规则。

【视图】

RA Guard策略视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

high:策略中匹配的路由器最高优先级为高级。

low:策略中匹配的路由器最高优先级为低级。

medium:策略中匹配的路由器最高优先级为中级。

【使用指导】

主机根据接收到的RA消息中的路由器优先级,可以选择优先级最高的路由器作为默认网关。

在路由器的优先级相同的情况下,遵循“先来先用”的原则,优先选择先接收到的RA消息对应的发送路由器作为默认网关。

如果接收RA报文的接口未配置接口角色,且RA报文中未定义路由优先级,但该报文匹配的策略中定义了路由最高优先级匹配规则,则系统会丢弃该报文。

【举例】

# 在RA Guard策略policy1中,配置匹配的路由器最高优先级为中级。

<Sysname> system-view

[Sysname] ipv6 nd raguard policy policy1

[Sysname-raguard-policy-policy1] if-match router-preference maximum medium

1.3.9  ipv6 nd raguard apply policy

ipv6 nd raguard apply policy命令用来应用RA Guard策略。

undo ipv6 nd raguard apply policy命令用来取消对RA Guard策略的应用。

【命令】

ipv6 nd raguard apply policy [ policy-name ]

undo ipv6 nd raguard apply policy

【缺省情况】

未应用RA Guard策略。

【视图】

VLAN视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

policy-name:指定的RA Guard策略名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,配置该策略的VLAN中除了配置为路由器角色的接口外,其他接口都会直接丢弃RA报文。

【使用指导】

当一个接口收到的RA报文存在多层VLAN标签时,只会根据最外层VLAN标签对应的VLAN下的策略对RA报文进行匹配检查。

如果指定的策略名称policy-name的策略不存在,则该配置无效。

【举例】

# 在VLAN 100下应用RA Guard策略policy1。

<Sysname> system-view

[Sysname] vlan 100

[Sysname-vlan100] ipv6 nd raguard apply policy policy1

【相关命令】

·     ipv6 nd raguard policy

1.3.10  ipv6 nd raguard log enable

ipv6 nd raguard log enable命令用来开启RA Guard日志功能。

undo ipv6 nd raguard log enable命令用来关闭RA Guard 日志功能。

【命令】

ipv6 nd raguard log enable

undo ipv6 nd raguard log enable

【缺省情况】

RA Guard日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【使用指导】

RA Guard日志可以方便管理员定位问题和解决问题,对处理RA报文的信息进行的记录。开启RA Guard日志功能后,设备在检测到非法RA报文时将生成检测日志,日志内容包括:受到攻击的接口名称、RA报文的源IP地址和丢弃的RA报文总数。

设备生成的RA Guard日志会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 开启RA Guard日志功能。

<Sysname> system-view

[Sysname] ipv6 nd raguard log enable

【相关命令】

·     display ipv6 nd raguard statistics

·     reset ipv6 nd raguard statistics

1.3.11  ipv6 nd raguard policy

ipv6 nd raguard policy命令用来创建RA Guard策略,并进入RA Guard策略视图。如果指定的RA Guard策略已经存在,则直接进入RA Guard策略视图。

undo ipv6 nd raguard policy命令用来删除已创建的RA Guard策略。

【命令】

ipv6 nd raguard policy policy-name

undo ipv6 nd raguard policy policy-name

【缺省情况】

不存在任何RA Guard策略。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

policy-name:RA Guard策略名称,用来唯一标识一个RA Guard策略,为1~31个字符的字符串,区分大小写。

【举例】

# 创建RA Guard策略policy1,并进入RA Guard策略视图。

<Sysname> system-view

[Sysname] ipv6 nd raguard policy policy1

[Sysname-raguard-policy-policy1]

【相关命令】

·     display ipv6 nd raguard policy

·     ipv6 nd raguard apply policy

1.3.12  ipv6 nd raguard role

ipv6 nd raguard role用来配置接口角色。

undo ipv6 nd raguard role用来删除接口角色。

【命令】

ipv6 nd raguard role { host | router }

undo ipv6 nd raguard role

【缺省情况】

未配置接口角色。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

host:指定接口角色为用户,该角色的接口直接丢弃收到的RA报文。

router:指定接口角色为路由器,该角色的接口直接转发收到的RA报文。

【使用指导】

用户可根据接口在组网中的位置来配置接口的角色。如果确认接口连得是用户主机,可以配置成用户角色,如果确定接口连得是路由器,可配置成路由器角色。

【举例】

# 配置接口Ten-GigabitEthernet1/0/1的接口角色为用户。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] ipv6 nd raguard role host

1.3.13  reset ipv6 nd raguard statistics

reset ipv6 nd raguard statistics命令用来清除RA Guard的报文统计信息。

【命令】

reset ipv6 nd raguard statistics [ interface interface-type interface-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interface interface-type interface-number:清除指定接口的RA Guard的统计信息。interface-type interface-number表示接口类型和接口编号。若未指定本参数,则清除所有接口的RA Guard的统计信息。

【举例】

# 清除所有接口的RA Guard的报文统计信息。

<Sysname> reset ipv6 nd raguard statistics

【相关命令】

·     display ipv6 nd raguard statistics

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们