- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
22-ND攻击防御命令
本章节下载: 22-ND攻击防御命令 (264.95 KB)
目 录
1.1.1 display ipv6 nd source-mac
1.1.2 display ipv6 nd source-mac configuration
1.1.4 ipv6 nd source-mac threshold
1.1.5 reset ipv6 nd source-mac
1.2.1 display ipv6 nd attack-suppression configuration
1.2.2 display ipv6 nd attack-suppression per-interface
1.2.3 display ipv6 nd attack-suppression per-interface inteface
1.2.4 ipv6 nd attack-suppression enable per-interface
1.2.5 ipv6 nd attack-suppression threshold
1.2.6 reset ipv6 nd attack-suppression per-interface
1.2.7 reset ipv6 nd attack-suppression per-interface statistics
1.3.1 ipv6 nd check log enable
1.3.2 ipv6 nd mac-check enable
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
系列 |
型号 |
说明 |
|
F50X0系列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI系列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V系列 |
F5000-V30 |
支持 |
|
F1000-AI系列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L系列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0系列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V系列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE系列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK系列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW系列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
display ipv6 nd source-mac命令用来显示源MAC地址固定的ND攻击检测表项。
【命令】
display ipv6 nd source-mac interface interface-type interface-number [ slot slot-number ] [ verbose ]
display ipv6 nd source-mac { mac mac-address | vlan vlan-id } slot slot-number [ verbose ]
display ipv6 nd source-mac slot slot-number [ count | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
【参数】
interface interface-type interface-number:显示指定接口上的源MAC地址固定的ND攻击检测表项,interface-type interface-number表示指定接口的类型和编号。
mac mac-address:显示指定源MAC对应的源MAC地址固定的ND攻击检测表项。mac-address格式为H-H-H。
vlan vlan-id:显示指定VLAN内检测到的源MAC地址固定的ND攻击检测表项。vlan-id的取值范围为1~4094。
slot slot-number:显示虚拟接口包含的指定成员设备上的物理口检测到的源MAC地址固定的ND攻击检测表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示的是虚拟接口在主设备上的物理口检测到的源MAC地址固定的ND攻击检测表项。
slot slot-number:显示指定成员设备上的源MAC地址固定的ND攻击检测表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的源MAC地址固定的ND攻击检测表项。
verbose:显示检测到的源MAC地址固定的ND攻击检测表项的详细信息。如果未指定本参数,则显示检测到的源MAC地址固定的ND攻击检测表项的简要信息。
count:只显示检测到的源MAC地址固定的ND攻击检测表项的数目。如果未指定本参数,则显示检测到的源MAC地址固定的ND攻击检测表项。
【使用指导】
显示虚拟接口检测到的源MAC地址固定的ND攻击检测表项时,才支持输入slot参数;显示物理口检测到的源MAC地址固定的ND攻击检测表项时,不支持输入slot参数。
虚拟接口支持二层聚合接口、三层聚合接口、三层聚合子接口和VXLAN中的VSI虚接口。
如果未指定任何参数,则显示所有检测到的源MAC地址固定的ND攻击检测表项。
【举例】
# 显示接口GigabitEthernet1/0/1检测到的源MAC地址固定的ND攻击检测表项。
<Sysname> display ipv6 nd source-mac interface gigabitethernet 1/0/1
Source MAC VLAN ID Interface Aging time (sec) Packets dropped
23f3-1122-3344 4094 GE1/0/1 10 84467
# 显示检测到的源MAC地址固定的ND攻击检测表项个数。
<Sysname> display ipv6 nd source-mac slot 1 count
Total source MAC-based ND attack detection entries: 1
# 显示接口GigabitEthernet1/0/1检测到的源MAC地址固定的ND攻击检测表项的详细信息。
<Sysname> display ipv6 nd source-mac interface gigabitethernet 1/0/1 verbose
Source MAC: 0001-0001-0001
VLAN ID: 4094
Hardware status: Succeeded
Aging time: 10 seconds
Interface: GigabitEthernet1/0/1
Attack time: 2019/06/04 15:53:34
Packets dropped: 84467
表1-1 display ipv6 nd source-mac命令显示信息描述表
|
字段 |
描述 |
|
Source MAC |
检测到攻击的源MAC地址 |
|
VLAN ID |
检测到攻击的VLAN ID |
|
Interface |
攻击来源的接口 |
|
Aging time |
源MAC地址固定的ND攻击检测表项的剩余老化时间,单位为秒 |
|
Packets dropped |
丢包总个数,如果是二层以太网接口,则不支持统计丢包总个数,显示为“0” |
|
Total source MAC-based ND attack detection entries |
源MAC地址固定的ND攻击检测表项个数 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not supported:不支持 · Not enough resources:资源不足 |
|
Attack time |
检测到攻击的时间(显示方式如2019/06/04 15:53:34) |
【相关命令】
· reset ipv6 nd source-mac
display ipv6 nd source-mac configuration命令用来显示源MAC地址固定的ND攻击检测功能的配置信息。
【命令】
display ipv6 nd source-mac configuration
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
【举例】
# 显示源MAC固定的ND攻击检测功能的配置信息。
<Sysname> display ipv6 nd source-mac configuration
IPv6 ND source-mac is enabled.
Mode: Filter Threshold: 20
表1-2 display ipv6 nd source-mac configuration命令显示信息描述表
|
字段 |
描述 |
|
IPv6 ND source-mac is enabled. |
源MAC地址固定的ND攻击检测功能处于开启状态 |
|
IPv6 ND source-mac is disabled. |
源MAC地址固定的ND攻击检测功能处于关闭状态 |
|
Mode |
源MAC地址固定的ND攻击检测模式,取值包括: · Filter:过滤模式 · Moniter:监控模式 |
|
Threshold |
源MAC地址固定的ND攻击检测的阈值 |
【相关命令】
· ipv6 nd source-mac
· ipv6 nd source-mac threshold
ipv6 nd source-mac命令用来开启源MAC地址固定的ND攻击检测功能,并选择检查模式。
undo ipv6 nd source-mac命令用来关闭源MAC地址固定的ND攻击检测功能。
【命令】
ipv6 nd source-mac { filter | monitor }
undo ipv6 nd source-mac
【缺省情况】
源MAC地址固定的ND攻击检测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
filter:过滤模式。
monitor:监控模式。
【使用指导】
建议在网关设备上开启本功能。
本功能用于防止源MAC地址固定的ND报文攻击。在5秒内,如果收到同一源MAC地址的ND报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在开启了ND日志信息功能的情况下(配置ipv6 nd check log enable命令),系统会根据设置的检查模式对存在于攻击检测表项中的MAC地址有如下处理:
· 如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ND报文过滤掉;
· 如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ND报文过滤掉。
对于已添加到源MAC地址固定的ND攻击检测表项中的MAC地址,如果老化时间(固定值300秒)内丢弃的ND报文个数大于或等于一个特定值((阈值/5)×300),则设备会重置该表项的老化时间;如果小于该特定值,则设备删除该源MAC地址固定的ND攻击表项,MAC地址会重新恢复成普通MAC地址。
切换源MAC地址固定的ND攻击检查模式时,如果从监控模式切换到过滤模式,过滤模式马上生效;如果从过滤模式切换到监控模式,已生成的攻击检测表项,到表项老化前还会继续按照过滤模式处理。
【举例】
# 开启源MAC地址固定的ND攻击检测功能,配置检查方式为监控模式。
<Sysname> system-view
[Sysname] ipv6 nd source-mac monitor
ipv6 nd source-mac threshold命令用来配置源MAC地址固定的ND报文攻击检测阈值。
undo ipv6 nd source-mac threshold命令用来恢复缺省情况。
【命令】
ipv6 nd source-mac threshold threshold-value
undo ipv6 nd source-mac threshold
【缺省情况】
源MAC地址固定的ND报文攻击检测表项的阈值为30个报文。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
threshold-value:5秒内源MAC地址固定的ND报文攻击检测的阈值,取值范围为1~5000,单位为报文个数。
【使用指导】
在5秒内,如果某个接口收到的源MAC地址固定的ND报文个数超过阈值,则认为该接口受到源MAC地址固定的ND报文攻击。
【举例】
# 配置源MAC地址固定的ND报文攻击检测阈值为100个报文。
<Sysname> system-view
[Sysname] ipv6 nd source-mac threshold 100
reset ipv6 nd source-mac命令用来清除源MAC地址固定的ND攻击表项。
【命令】
reset ipv6 nd source-mac [ interface interface-type interface-number | mac mac-address | vlan vlan-id ] [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
interface interface-type interface-number:清除指定接口上的源MAC地址固定的ND攻击检测表项。interface-type interface-number表示接口类型和接口编号。
mac mac-address:清除指定MAC地址对应的源MAC地址固定的ND攻击检测表项。mac-address格式为H-H-H。
vlan vlan-id:清除指定VLAN内的源MAC地址固定的ND攻击检测表项。vlan-id的取值范围为1~4094。
slot slot-number:清除指定成员设备的源MAC地址固定的ND攻击检测表项。slot-number表示设备在IRF中的成员编号。
【使用指导】
如果未指定任何参数,则表示清除设备上所有源MAC地址固定的ND攻击检测表项。
【举例】
# 清除设备上所有的源MAC地址固定的ND攻击检测表项。
<Sysname> reset ipv6 nd source-mac
【相关命令】
· display ipv6 nd source-mac
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
系列 |
型号 |
说明 |
|
F50X0系列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI系列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V系列 |
F5000-V30 |
支持 |
|
F1000-AI系列 |
F1000-AI-03、F1000-AI-05、 F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L系列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0系列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V系列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE系列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK系列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW系列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
display ipv6 nd attack-suppression configuration命令用来显示ND接口攻击抑制功能的配置信息。
【命令】
display ipv6 nd attack-suppression configuration
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
【举例】
# 显示ND接口攻击抑制功能的配置信息。
<Sysname> display ipv6 nd attack-suppression configuration
IPv6 ND attack-suppression per-interface is enabled.
Threshold: 3000
表1-3 display ipv6 nd source-mac configuration命令显示信息描述表
|
字段 |
描述 |
|
IPv6 ND attack-suppression per-interface is enabled. |
ND接口攻击抑制功能处于开启状态 |
|
IPv6 ND attack-suppression per-interface is disabled. |
ND接口攻击抑制功能处于关闭状态 |
|
Threshold |
ND接口攻击抑制功能的检测阈值 |
【相关命令】
· ipv6 nd attack-suppression enable per-interface
display ipv6 nd attack-suppression per-interface命令用来显示ND接口攻击抑制表项。
【命令】
display ipv6 nd attack-suppression per-interface slot slot-number [ count | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
【参数】
verbose:显示ND接口攻击抑制检测表项的详细信息。如果未指定本参数,则显示ND接口攻击抑制检测表项的简要信息。
slot slot-number:显示指定成员设备的ND接口攻击抑制表项。slot-number表示设备在IRF中的成员编号。
count:只显示ND接口攻击抑制表项个数。如果未指定本参数,则显示ND接口攻击抑制表项。
【使用指导】
如果未指定任何参数,则显示设备上所有的ND接口攻击抑制表项的简要信息。
【举例】
# 显示Slot1上的ND接口攻击抑制表项。
<Sysname> display ipv6 nd attack-suppression per-interface slot 1
Interface Suppression time (second) Packets dropped
GE1/0/1 200 84467
GE1/0/2 140 38293
# 显示Slot1上的ND接口攻击抑制表项个数。
<Sysname> display ipv6 nd attack-suppression per-interface slot 1 count
Total ND attack suppression entries: 2
# 显示Slot1上的ND接口攻击抑制表项的详细信息。
<Sysname> display ipv6 nd attack-suppression per-interface interface slot 1 verbose
Interface: GigabitEthernet1/0/1
Suppression time: 200 seconds
Hardware status: Succeeded
Attack time: 2019/06/04 15:53:34
Packets dropped: 84467
Interface: GigabitEthernet1/0/2
Suppression time: 140 seconds
Hardware status: Succeeded
Attack time: 2019/06/04 14:53:34
Packets dropped: 38293
表1-2 display ipv6 nd attack-suppression per-interface命令显示信息描述表
|
字段 |
描述 |
|
Interface |
受到ND攻击的接口 |
|
Suppression time (second) |
抑制接口接收ND报文的时间,单位为秒 |
|
Packets dropped |
丢包总个数 |
|
Total ND attack suppression entries |
ND接口攻击抑制表项个数 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not supported:不支持 · Not enough resources:资源不足 |
|
Suppression time |
剩余抑制时间,单位为秒 |
|
Attack time |
检测到攻击的时间(显示方式如2019/06/04 15:53:34) |
【相关命令】
· reset ipv6 nd attack-suppression per-interface
· reset ipv6 nd attack-suppression per-interface statistics
display ipv6 nd attack-suppression per-interface interface命令用来显示指定接口的ND接口攻击抑制表项。
【命令】
display ipv6 nd attack-suppression per-interface interface interface-type interface-number [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
【参数】
interface-type interface-number:指定接口的接口类型和接口编号。
verbose:显示指定接口的ND接口攻击抑制表项的详细信息。如果未指定本参数,则显示ND接口攻击抑制表项的简要信息。
【举例】
# 显示接口GigabitEthernet1/0/1上的ND接口攻击抑制表项。
<Sysname> display ipv6 nd attack-suppression per-interface interface gigabitethernet 1/0/1
Interface Suppression time (second) Packets dropped
GE1/0/1 200 84467
# 显示接口GigabitEthernet1/0/1上的ND接口攻击抑制表项的详细信息。
<Sysname> display ipv6 nd attack-suppression per-interface interface gigabitethernet 1/0/1 verbose
Interface: GigabitEthernet1/0/1
Suppression time: 200 seconds
Hardware status: Succeeded
Attack time: 2019/06/04 15:53:34
Packets dropped: 84467
表1-2 display ipv6 nd attack-suppression per-interface inteface命令显示信息描述表
|
字段 |
描述 |
|
Interface |
受到ND攻击的接口 |
|
Suppression time (second) |
抑制接口接收ND报文的时间,单位为秒 |
|
Packets dropped |
丢包总个数 |
|
Hardware status |
表项下硬件状态,取值包括: · Succeeded:成功 · Failed:失败 · Not supported:不支持 · Not enough resources:资源不足 |
|
Suppression time |
剩余抑制时间,单位为秒 |
|
Attack time |
检测到攻击的时间(显示方式如2019/06/04 15:53:34) |
【相关命令】
· reset ipv6 nd attack-suppression per-interface
· reset ipv6 nd attack-suppression per-interface statistics
ipv6 nd attack-suppression enable per-interface命令用来开启ND接口攻击抑制功能。
undo ipv6 nd attack-suppression enable per-interface命令用来关闭ND接口攻击抑制功能。
【命令】
ipv6 nd attack-suppression enable per-interface
undo ipv6 nd attack-suppression enable per-interface
【缺省情况】
ND接口攻击抑制功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
ND接口攻击抑制功能基于接口限制ND请求速率,以防止非法用户构造大量ND请求报文对设备进行ND攻击。本功能只统计设备的三层接口上收到的ND请求报文,在5秒内,如果单个接口收到的ND请求报文个数超过配置的ND接口攻击抑制阈值,则认为该接口受到ND攻击。确定受到ND攻击后,设备会生成ND接口攻击抑制表项,在ND接口攻击抑制表项的抑制时间(固定值300秒)清零之前设备直接丢弃表项对应接口接收的所有ND报文,防止ND攻击报文持续冲击CPU。
ND接口攻击抑制表项的抑制时间清零后,如果抑制时间内丢弃的ND报文个数大于或等于一个特定值((阈值/5)×300),则设备会将ND接口攻击抑制表项抑制时间重置;如果小于该特定值,则设备删除该ND接口攻击抑制表项。
建议在网关设备上开启本功能。
【举例】
# 开启ND接口攻击抑制功能。
<Sysname> system-view
[Sysname] ipv6 nd attack-suppression enable per-interface
【相关命令】
· display ipv6 nd attack-suppression per-interface
· ipv6 nd attack-suppression threshold
ipv6 nd attack-suppression threshold命令用来配置ND接口攻击抑制阈值。
undo ipv6 nd attack-suppression threshold命令用来恢复缺省情况。
【命令】
ipv6 nd attack-suppression threshold threshold-value
undo ipv6 nd attack-suppression threshold
【缺省情况】
ND接口攻击抑制阈值为1000。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
threshold-value:ND接口攻击抑制阈值,即5秒内可接收ND请求报文的个数,取值范围为1~5000。
【使用指导】
在5秒内,如果某个接口收到的ND请求报文个数超过阈值,则认为该接口受到ND报文攻击。
【举例】
# 配置ND接口攻击抑制阈值为500,即当某个接口上在5秒内收到的ND请求报文个数超过500个,则认为该接口受到ND报文攻击。
<Sysname> system-view
[Sysname] ipv6 nd attack-suppression threshold 500
【相关命令】
· display ipv6 nd attack-suppression per-interface
· ipv6 nd attack-suppression enable per-interface
reset ipv6 nd attack-suppression per-interface命令用来清除ND接口攻击抑制表项。
【命令】
reset ipv6 nd attack-suppression per-interface [ interface interface-type interface-number ] [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
interface interface-type interface-number:清除指定接口上的ND接口攻击抑制表项。interface-type interface-number表示接口类型和接口编号。
slot slot-number:清除指定成员设备的ND接口攻击抑制表项。slot-number表示设备在IRF中的成员编号。
【使用指导】
如果未指定任何参数,则表示清除设备上所有的ND接口攻击抑制表项。
【举例】
# 清除所有的ND接口攻击抑制表项。
<Sysname> reset ipv6 nd attack-interface per-interface
【相关命令】
· display ipv6 nd attack-suppression per-interface
reset ipv6 nd attack-suppression per-interface statistics命令用来清除ND接口攻击抑制功能丢弃的ND攻击报文计数统计信息。
【命令】
reset ipv6 nd attack-suppression per-interface statistics [ interface interface-type interface-number ] [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
interface interface-type interface-number:清除指定接口上ND接口攻击抑制功能丢弃的ND攻击报文计数统计信息。interface-type interface-number表示接口类型和接口编号。
slot slot-number:清除指定成员设备上ND接口攻击抑制功能丢弃的ND攻击报文计数统计信息。slot-number表示设备在IRF中的成员编号。
【使用指导】
执行本命令后,display ipv6 nd attack-suppression per-interface命令显示信息中的Packets dropped信息会被清空。
如果未指定任何参数,则表示清除设备上所有的ND接口攻击抑制功能丢弃的ND攻击报文计数统计信息。
【举例】
# 清除ND接口攻击抑制功能丢弃的ND攻击报文计数统计信息。
<Sysname> reset ipv6 nd attack-interface per-interface statistics
【相关命令】
· display ipv6 nd attack-suppression per-interface
ipv6 nd check log enable命令用来开启ND日志信息功能。
undo ipv6 nd check log enable命令用来关闭ND日志信息功能。
【命令】
ipv6 nd check log enable
undo ipv6 nd check log enable
【缺省情况】
ND日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。
【举例】
# 开启ND日志信息功能。
<Sysname> system-view
[Sysname] ipv6 nd check log enable
ipv6 nd mac-check enable命令用来开启ND协议报文源MAC地址一致性检查功能。
undo ipv6 nd mac-check enable命令用来关闭ND协议报文源MAC地址一致性检查功能。
【命令】
ipv6 nd mac-check enable
undo ipv6 nd mac-check enable
【缺省情况】
ND协议报文源MAC地址一致性检查功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
网关设备开启该功能后,会对接收到的ND协议报文进行检查,如果ND报文中的源MAC地址和以太网数据帧首部的源MAC地址不一致,则丢弃该报文。
【举例】
# 开启ND协议报文源MAC地址一致性检查功能。
<Sysname> system-view
[Sysname] ipv6 nd mac-check enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
