登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

16-安全命令参考

目录

21-ND攻击防御命令

本章节下载 21-ND攻击防御命令  (167.43 KB)

21-ND攻击防御命令

  录

1 ND攻击防御

1.1 ND协议报文源MAC地址一致性检查命令

1.1.1 ipv6 nd check log enable

1.1.2 ipv6 nd mac-check enable

1.2 ND Detection配置命令

1.2.1 display ipv6 nd detection statistics

1.2.2 ipv6 nd detection enable

1.2.3 ipv6 nd detection log enable

1.2.4 ipv6 nd detection trust

1.2.5 reset ipv6 nd detection statistics

 

1 ND攻击防御

1.1  ND协议报文源MAC地址一致性检查命令

1.1.1  ipv6 nd check log enable

ipv6 nd check log enable命令用来开启ND日志信息功能。

undo ipv6 nd check log enable命令用来关闭ND日志信息功能。

【命令】

ipv6 nd check log enable

undo ipv6 nd check log enable

【缺省情况】

ND日志信息功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。

为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。

【举例】

# 开启ND日志信息功能。

<Sysname> system-view

[Sysname] ipv6 nd check log enable

1.1.2  ipv6 nd mac-check enable

ipv6 nd mac-check enable命令用来开启ND协议报文源MAC地址一致性检查功能。

undo ipv6 nd mac-check enable命令用来关闭ND协议报文源MAC地址一致性检查功能。

【命令】

ipv6 nd mac-check enable

undo ipv6 nd mac-check enable

【缺省情况】

ND协议报文源MAC地址一致性检查功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

网关设备开启该功能后,会对接收到的ND协议报文进行检查,如果ND报文中的源MAC地址和以太网数据帧首部的源MAC地址不一致,则丢弃该报文。

【举例】

# 开启ND协议报文源MAC地址一致性检查功能。

<Sysname> system-view

[Sysname] ipv6 nd mac-check enable

1.2  ND Detection配置命令

1.2.1  display ipv6 nd detection statistics

display ipv6 nd detection statistics命令用来显示ND Detection丢弃ND报文的统计信息。

【命令】

display ipv6 nd detection statistics [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:显示指定接口ND Detection丢弃ND报文的统计信息。interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则显示所有接口的ND Detection功能丢弃ND报文的统计信息。

【举例】

# 显示ND Detection丢弃报文的统计信息。

<Sysname> display ipv6 nd detection statistics

ND packets dropped by ND detection:

Interface/AC         Packets dropped

GE1/0/1               78

GE1/0/2               0

GE1/0/3               0

GE1/0/4               0

表1-1 display ipv6 nd detection statistics命令显示信息描述表

字段

描述

ND packets dropped by ND detection:

根据ND Detection丢弃的ND报文

Interface/AC

ND报文入接口/AC链路

Packets dropped

丢弃的报文数目

 

1.2.2  ipv6 nd detection enable

ipv6 nd detection enable命令用来开启ND Detection功能,即对ND报文进行合法性检查。

undo ipv6 nd detection enable命令用来关闭ND Detection功能。

【命令】

ipv6 nd detection enable

undo ipv6 nd detection enable

【缺省情况】

ND Detection功能处于关闭状态。

【视图】

VLAN视图

【缺省用户角色】

network-admin

【举例】

# 在VLAN 10内开启ND Detection功能。

<Sysname> system-view

[Sysname] vlan 10

[Sysname-vlan10] ipv6 nd detection enable

1.2.3  ipv6 nd detection log enable

ipv6 nd detection log enable命令用来开启ND Detection日志功能。

undo ipv6 nd detection log enable命令用来关闭ND Detection日志功能。

【命令】

ipv6 nd detection log enable

undo ipv6 nd detection log enable

【缺省情况】

ND Detection日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

ND Detection日志可以方便管理员定位问题和解决问题。设备生成的ND Detection日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。

当设备输出大量ND Detection日志信息时,会降低设备性能。这时用户可以关闭ND Detection日志功能,使设备不再输出ND Detection日志信息。

【举例】

# 开启ND Detection日志功能。

<Sysname> system-view

[Sysname] ipv6 nd detection log enable

1.2.4  ipv6 nd detection trust

ipv6 nd detection trust命令用来配置接口为ND信任接口。

undo ipv6 nd detection trust命令用来恢复缺省情况。

【命令】

ipv6 nd detection trust

undo ipv6 nd detection trust

【缺省情况】

接口为ND非信任接口,AC为ND非信任AC。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【举例】

# 配置二层以太网接口GigabitEthernet1/0/1为ND信任接口。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ipv6 nd detection trust

# 配置二层聚合接口Bridge-Aggregation1为ND信任接口。

<Sysname> system-view

[Sysname] interface bridge-aggregation 1

[Sysname-Bridge-Aggregation1] ipv6 nd detection trust

1.2.5  reset ipv6 nd detection statistics

reset ipv6 nd detection statistics命令用来清除ND Detection的统计信息。

【命令】

reset ipv6 nd detection statistics [ interface interface-type interface-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:表示清除指定接口的ND Detection的统计信息。interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则清除所有接口ND Detection的统计信息。

【举例】

# 清除所有的ND Detection统计信息。

<Sysname> reset ipv6 nd detection statistics

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们