欢迎user
63-ND防护典型配置举例
本章节下载: 63-ND防护典型配置举例 (226.68 KB)
ND协议是 IPv6 协议中的一个关键协议,但是,由于ND 协议并未提供认证机制,导致网络中的节点不可信,也使攻击者有机可乘,可针对ND 协议发起一系列攻击。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
必须保证设备间通信数据经过设备转发。
如图1所示,公司内网有多台服务器设备,防止服务器被局域网内PC进行ND欺骗造成服务器无法正常访问。
图1 ND防护典型组网图
(1) 开启防ND欺骗功能。
(2) 开启防止ND Flood攻击。
本举例是在R6614版本上进行配置和验证的。
(1) 开启防ND欺骗
如图2所示,进入“策略配置>安全设置>安全防护>ARP/ND攻击防护>防ND欺骗”;关闭ND学习,开启ND反向查询,设置每MAC地址IP数检查,开启接口主动保护,点击<提交>按钮提交配置。
图2 启用防ND欺骗
(2) 配置IP-MAC绑定
如图3所示,进入“策略配置>安全设置>安全防护>ARP/ND攻击防护>IP-MAC绑定”;绑定被保护服务器的IPMAC地址,勾选唯一性,点击<提交>按钮提交配置。
(3) 配置ARP/ND Flood攻击
如图4所示,进入“策略配置>安全设置>安全防护>ARP/ND攻击防护>ARP/ND Flood攻击”;设置阈值和抑制时长,点击<提交>按钮提交配置。
图4 配置ND Flood攻击防护
如图5所示,进入>“数据中心>安全日志>安全防护日志”,进入安全防护日志显示页面。
图5 防ND欺骗日志
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!