- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
20-ND攻击防御命令
本章节下载: 20-ND攻击防御命令 (409.66 KB)
目 录
1.1.2 ipv6 nd rate-limit log enable
1.1.3 ipv6 nd rate-limit log interval
1.2.1 ipv6 nd check log enable
1.2.2 ipv6 nd mac-check enable
1.3.1 display ipv6 nd detection statistics
1.3.2 ipv6 nd detection enable
1.3.3 ipv6 nd detection log enable
1.3.4 ipv6 nd detection port-match-ignore
1.3.6 reset ipv6 nd detection statistics
1.4.1 display ipv6 nd raguard policy
1.4.2 display ipv6 nd raguard statistics
1.4.4 if-match autoconfig managed-address-flag
1.4.5 if-match autoconfig other-flag
1.4.8 if-match router-preference
1.4.9 ipv6 nd raguard apply policy
1.4.10 ipv6 nd raguard log enable
1.4.13 reset ipv6 nd raguard statistics
1.5 IPv6 Destination Guard配置命令
1.5.1 display ipv6 destination-guard
1.5.3 ipv6 destination-guard global enable
1.6.1 display ipv6 nd scan keepalive entry
1.6.2 display ipv6 nd scan keepalive statistics
1.6.3 ipv6 nd scan keepalive aging-time
1.6.4 ipv6 nd scan keepalive enable
1.6.5 ipv6 nd scan keepalive send-rate
1.6.6 reset ipv6 nd scan keepalive statistics
1.7.1 display ipv6 nd source-mac
1.7.3 ipv6 nd source-mac aging-time
1.7.4 ipv6 nd source-mac exclude-mac
1.7.5 ipv6 nd source-mac log enable
1.7.6 ipv6 nd source-mac threshold
1.8.1 snmp-agent trap enable nd
1.9.1 ipv6 nd resolving-route enable
ipv6 nd rate-limit命令用来开启ND报文限速功能,并设置ND报文限速速率。
undo ipv6 nd rate-limit命令用来关闭ND报文限速功能。
【命令】
ipv6 nd rate-limit [ pps ]
undo ipv6 nd rate-limit
【缺省情况】
ND报文限速功能处于开启状态。
【视图】
二层以太网接口视图
二层聚合接口视图
三层以太网接口视图
三层聚合接口视图
【缺省用户角色】
network-admin
【参数】
pps:ND限速速率,单位为包每秒(pps),取值范围为5~2000。如果未指定本参数,则用来恢复设备缺省ND限速速率,超出限速部分的报文会被丢弃,ND限速速率的缺省值为2000。
【举例】
# 在二层以太网接口Twenty-FiveGigE1/0/1上开启ND报文限速功能,并设置ND报文限速速率为50pps。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] ipv6 nd rate-limit 50
ipv6 nd rate-limit log enable命令用来开启ND报文限速日志功能。
undo ipv6 nd rate-limit log enable命令用来关闭ND报文限速日志功能。
【命令】
ipv6 nd rate-limit log enable
undo ipv6 nd rate-limit log enable
【缺省情况】
设备的ND报文限速日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启ND报文限速日志功能后,设备记录该时间间隔内的超速峰值速率,并生成日志信息发送给信息中心。通过设置信息中心的参数,最终决定日志报文的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 开启ND报文限速日志功能。
<Sysname> system-view
[Sysname] ipv6 nd rate-limit log enable
【相关命令】
· ipv6 nd rate-limit log interval
ipv6 nd rate-limit log interval命令用来配置当设备收到的ND报文速率超过用户设定的限速值时,发送日志的时间间隔。
undo ipv6 nd rate-limit log interval命令用来恢复缺省情况。
【命令】
ipv6 nd rate-limit log interval interval
undo ipv6 nd rate-limit log interval
【缺省情况】
当设备收到的ND报文速率超过用户设定的限速值时,发送日志的时间间隔为60秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interval:当端口上的ND报文速率超过用户设定的限速值时,发送日志的时间间隔。取值范围为1~86400,单位为秒。
【使用指导】
请先开启发送日志功能,然后再指定设备发送日志的时间间隔。
本功能必须和ipv6 nd rate-limit配合使用,单独开启不生效。
【举例】
# 配置当设备收到的ND报文速率超过用户设定的限速值时,设备发送日志的时间间隔为120秒。
<Sysname> system-view
[Sysname] ipv6 nd rate-limit log interval 120
【相关命令】
· ipv6 nd rate-limit log enable
ipv6 nd check log enable命令用来开启ND日志信息功能。
undo ipv6 nd check log enable命令用来关闭ND日志信息功能。
【命令】
ipv6 nd check log enable
undo ipv6 nd check log enable
【缺省情况】
ND日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
为了防止设备输出过多的ND日志信息,一般情况下建议不要开启此功能。
【举例】
# 开启ND日志信息功能。
<Sysname> system-view
[Sysname] ipv6 nd check log enable
ipv6 nd mac-check enable命令用来开启ND协议报文源MAC地址一致性检查功能。
undo ipv6 nd mac-check enable命令用来关闭ND协议报文源MAC地址一致性检查功能。
【命令】
ipv6 nd mac-check enable
undo ipv6 nd mac-check enable
【缺省情况】
ND协议报文源MAC地址一致性检查功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
网关设备开启该功能后,会对接收到的ND协议报文进行检查,如果ND报文中的源MAC地址和以太网数据帧首部的源MAC地址不一致,则丢弃该报文。
【举例】
# 开启ND协议报文源MAC地址一致性检查功能。
<Sysname> system-view
[Sysname] ipv6 nd mac-check enable
display ipv6 nd detection statistics命令用来显示ND Detection丢弃ND报文的统计信息。
【命令】
display ipv6 nd detection statistics [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口ND Detection丢弃ND报文的统计信息。interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则显示所有接口的ND Detection功能丢弃ND报文的统计信息。
【举例】
# 显示ND Detection丢弃报文的统计信息。
<Sysname> display ipv6 nd detection statistics
ND packets dropped by ND detection:
Interface/AC Packets dropped
WGE1/0/1 78
WGE1/0/2 0
WGE1/0/3 0
WGE1/0/4 0
表1-1 display ipv6 nd detection statistics命令显示信息描述表
|
字段 |
描述 |
|
ND packets dropped by ND detection: |
根据ND Detection丢弃的ND报文 |
|
Interface/AC |
ND报文入接口 |
|
Packets dropped |
丢弃的报文数目 |
ipv6 nd detection enable命令用来开启ND Detection功能,即对ND报文进行合法性检查。
undo ipv6 nd detection enable命令用来关闭ND Detection功能。
【命令】
VLAN视图:
ipv6 nd detection enable [ dhcpv6-relay | nd-ra-prefix ]
undo ipv6 nd detection enable
【缺省情况】
ND Detection功能处于关闭状态。
【视图】
VLAN视图
【缺省用户角色】
network-admin
【参数】
dhcpv6-relay:指定通过匹配DHCPv6中继用户表项来进行用户合法性检查。
nd-ra-prefix:指定通过匹配ND RA Prefix类型的IP Source Guard绑定表项来进行用户合法性检查。
【使用指导】
ND Detection功能用来检查用户的合法性,主要应用于接入设备上。通过配置ND Detection功能,可以丢弃非法用户的ND报文,从而防止仿冒用户、仿冒网关的攻击。
开启ND Detection功能后,设备会对ND报文进行用户合法性检查:
· 当未指定dhcpv6-relay参数和nd-ra-prefix参数时,设备会将ND报文中源IPv6地址和源MAC地址与设备上的IPv6 Source Guard静态绑定表项、ND Snooping表项和DHCPv6 Snooping安全表项进行匹配。如果设备上存在与报文源IPv6地址和源MAC地址匹配的任意一种表项,则认为该ND报文合法,进行转发。否则,认为该报文非法,直接丢弃。
· 当指定了dhcpv6-relay参数时,设备会将ND报文中源IPv6地址和源MAC地址与设备上的IPv6 Source Guard静态绑定表项、ND Snooping表项、DHCPv6 Snooping安全表项和DHCPv6中继用户表项进行匹配。如果设备上存在与报文源IPv6地址和源MAC地址匹配的任意一种表项,则认为该ND报文合法,进行转发。否则,认为该报文非法,直接丢弃。
· 当指定了nd-ra-prefix参数时,设备会将ND报文中源IPv6地址与设备上的IPv6 Source Guard静态绑定表项、ND Snooping表项、DHCPv6 Snooping安全表项和ND RA Prefix类型的IP Source Guard绑定表项进行匹配。如果设备上存在与报文源IPv6地址匹配的任意一种表项,则认为该ND报文合法,进行转发。否则,认为该报文非法,直接丢弃。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在VLAN 10内开启ND Detection功能。
<Sysname> system-view
[Sysname] vlan 10
[Sysname-vlan10] ipv6 nd detection enable
# 在VLAN 1内开启ND Detection功能,并指定通过匹配DHCPv6中继用户表项来进行用户合法性检查。
<Sysname> system-view
[Sysname] vlan 1
[Sysname-vlan-1] ipv6 nd detection enable dhcpv6-relay
# 在VLAN 1内开启ND Detection功能,并指定通过匹配ND RA Prefix类型的IP Source Guard绑定表项来进行用户合法性检查。
<Sysname> system-view
[Sysname] vlan 1
[Sysname-vlan-1] ipv6 nd detection enable nd-ra-prefix
ipv6 nd detection log enable命令用来开启ND Detection日志功能。
undo ipv6 nd detection log enable命令用来关闭ND Detection日志功能。
【命令】
ipv6 nd detection log enable
undo ipv6 nd detection log enable
【缺省情况】
ND Detection日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
ND Detection日志可以方便管理员定位问题和解决问题。设备生成的ND Detection日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
当设备输出大量ND Detection日志信息时,会降低设备性能。这时用户可以关闭ND Detection日志功能,使设备不再输出ND Detection日志信息。
【举例】
# 开启ND Detection日志功能。
<Sysname> system-view
[Sysname] ipv6 nd detection log enable
ipv6 nd detection port-match-ignore命令用来开启ND Detection忽略端口匹配检查功能。
undo ipv6 nd detection port-match-ignore命令用来关闭ND Detection忽略端口匹配检查功能。
【命令】
ipv6 nd detection port-match-ignore
undo ipv6 nd detection port-match-ignore
【缺省情况】
ND Detection忽略端口匹配检查功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启ND Detection忽略端口匹配检查功能后,ND Detection在进行各类安全表项检查时,不进行ND报文入端口和表项中的端口是否匹配的检查。
【举例】
# 开启ND Detection忽略端口匹配检查功能。
<Sysname> system-view
[Sysname] ipv6 nd detection port-match-ignore
ipv6 nd detection trust命令用来配置接口为ND信任接口。
undo ipv6 nd detection trust命令用来恢复缺省情况。
【命令】
ipv6 nd detection trust
undo ipv6 nd detection trust
【缺省情况】
接口为ND非信任接口。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【举例】
# 配置二层以太网接口Twenty-FiveGigE1/0/1为ND信任接口。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] ipv6 nd detection trust
# 配置二层聚合接口Bridge-Aggregation1为ND信任接口。
<Sysname> system-view
[Sysname] interface bridge-aggregation 1
[Sysname-Bridge-Aggregation1] ipv6 nd detection trust
reset ipv6 nd detection statistics命令用来清除ND Detection的统计信息。
【命令】
reset ipv6 nd detection statistics [ interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示清除指定接口的ND Detection的统计信息。interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则清除所有接口ND Detection的统计信息。
【举例】
# 清除所有的ND Detection统计信息。
<Sysname> reset ipv6 nd detection statistics
display ipv6 nd raguard policy命令用来显示RA Guard策略信息。
【命令】
display ipv6 nd raguard policy [ policy-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
policy-name:RA Guard策略名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则显示所有RA Guard策略信息。
【使用指导】
引用ACL时,需要注意的是:
· 若引用的ACL不存在,或者ACL中未定义规则的情况下,则显示所有ACL规则的RA Guard策略信息。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
【举例】
# 显示RA Guard策略信息。
<Sysname> display ipv6 nd raguard policy
Total number of policies: 2
RA Guard policy: policy1
if-match ACL 2001
if-match autoconfig managed-address-flag on
if-match autoconfig other-flag off
if-match hop-limit maximum 128
if-match hop-limit minimum 100
if-match prefix ACL name aa
if-match router-preference medium
applied to VLAN 1-3 7
RA Guard policy: policy2
if-match ACL name zdd
if-match prefix ACL 2200
表1-2 display ipv6 nd raguard policy命令显示信息描述表
|
字段 |
描述 |
|
Total number of policies |
策略总数 |
|
RA Guard policy: |
RA Guard策略名称 |
|
if-match ACL |
匹配的ACL编号 |
|
if-match ACL name |
匹配的ACL名称 |
|
if-match autoconfig managed-address-flag |
匹配的被管理地址标记位。其取值: · on:表示匹配被管理地址标志位置为1 · off:表示匹配被管理地址标志位置为0 |
|
if-match autoconfig other-flag |
匹配的其他信息配置标记位。其取值: · on:表示匹配的其他信息配置标志位置为1 · off:表示匹配的其他信息配置标志位置为0 |
|
if-match hop-limit maximum |
匹配的最大跳数值 |
|
if-match hop-limit minimum |
匹配的最小跳数值 |
|
if-match prefix ACL |
匹配的前缀ACL编号 |
|
if-match prefix ACL name |
匹配的前缀ACL名称 |
|
applied to VLAN |
策略应用的VLAN |
【相关命令】
· ipv6 nd raguard policy
display ipv6 nd raguard statistics命令用来显示RA Guard的报文统计信息。
【命令】
display ipv6 nd raguard statistics [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的RA Guard的报文统计信息。interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则显示所有接口的RA Guard的报文统计信息。
【举例】
# 显示RA Guard的报文统计信息。
<Sysname> display ipv6 nd raguard statistics
RA messages dropped by RA guard:
Interface Dropped
WGE1/0/1 78
WGE1/0/2 0
WGE1/0/3 32
WGE1/0/4 0
表1-3 display ipv6 nd raguard statistics命令显示信息描述表
|
字段 |
描述 |
|
Interface |
RA报文的入接口 |
|
Dropped |
丢弃的RA报文的数目 |
【相关命令】
· ipv6 nd raguard log enable
· reset ipv6 nd raguard statistics
if-match acl命令用来配置ACL匹配规则。
undo if-match acl命令用来删除ACL匹配规则。
【命令】
if-match acl { ipv6-acl-number | name ipv6-acl-name }
undo if-match acl
【缺省情况】
未配置ACL匹配规则。
【视图】
RA Guard策略视图
【缺省用户角色】
network-admin
【参数】
ipv6-acl-number:IPv6基本ACL的编号,取值范围为2000~2999。
name ipv6-acl-name:IPv6基本ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用all。
【使用指导】
RA Guard策略将ACL匹配规则与RA报文中的发送方IP地址进行匹配。如果匹配成功,则说明RA报文通过了ACL匹配规则的检查。
引用ACL时,需要注意的是:
· 若引用的ACL不存在,或者ACL中未定义规则的情况下,则ACL规则匹配检查不生效。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
【举例】
# 在RA Guard策略policy1中,配置ACL匹配规则,引用的规则编号为2001。
<Sysname> system-view
[Sysname] ipv6 nd raguard policy policy1
[Sysname-raguard-policy-policy1] if-match acl 2001
if-match autoconfig managed-address-flag命令用来配置被管理地址标志位匹配规则。
undo if-match autoconfig managed-address-flag命令用来删除被管理地址标志位匹配规则。
【命令】
if-match autoconfig managed-address-flag { off | on }
undo if-match autoconfig managed-address-flag
【缺省情况】
未配置被管理地址标志位匹配规则。
【视图】
RA Guard策略视图
【缺省用户角色】
network-admin
【参数】
off:匹配被管理地址标志位置为0。
on:匹配被管理地址标志位置为1。
【使用指导】
RA报文中的被管理地址标志位用于确定用户是否采用有状态自动配置获取IPv6地址。如果该标志位置为1,则用户将通过有状态自动配置(例如DHCPv6服务器)来获取IPv6地址;否则,将通过无状态自动配置获取IPv6地址,即根据路由器发布的前缀信息和自己的链路层地址生成IPv6地址。
【举例】
# 在RA Guard策略policy1中,配置被管理地址标志位匹配规则,设置被管理地址标志位为1。
<Sysname> system-view
[Sysname] ipv6 nd raguard policy policy1
[Sysname-raguard-policy-policy1] if-match autoconfig managed-address-flag on
if-match autoconfig other-flag命令用来配置其他信息配置标志位匹配规则。
undo if-match autoconfig other-flag命令用来删除其他信息配置标志位匹配规则。
【命令】
if-match autoconfig other-flag { off | on }
undo if-match autoconfig other-flag
【缺省情况】
未配置其他信息配置标志位匹配规则。
【视图】
RA Guard策略视图
【缺省用户角色】
network-admin
【参数】
off:匹配的其他信息标志位置为0。
on:匹配的其他信息标志位置为1。
【使用指导】
RA报文中的其他信息标志位用于确定主机是否采用有状态自动配置获取除IPv6地址外的其他信息。如果该标志位置为1,主机将通过有状态自动配置(例如DHCPv6服务器)来获取除IPv6地址外的其他信息;否则,将通过无状态自动配置获取其他信息。
【举例】
# 在RA Guard策略policy1中,配置其他信息标志位匹配规则,设置其他信息标志位为1。
<Sysname> system-view
[Sysname] ipv6 nd raguard policy policy1
[Sysname-raguard-policy-policy1] if-match autoconfig other-flag on
if-match hop-limit命令用来配置RA报文跳数最大值或最小值匹配规则。
undo if-match hop-limit命令用来删除RA报文跳数最大值或最小值匹配规则。
【命令】
if-match hop-limit { maximum | minimum } limit
undo if-match hop-limit { maximum | minimum }
【缺省情况】
不存在RA报文跳数最大值或最小值匹配规则。
【视图】
RA Guard策略视图
【缺省用户角色】
network-admin
【参数】
maximum:RA报文跳数最大值。
minimum:RA报文跳数最小值。
limit:RA报文的跳数取值,取值范围为1~255。
【使用指导】
如果RA报文里current hop limit位为0(代表未指定RA报文跳数值),但该报文匹配的策略中配置了RA报文跳数最大值或最小值匹配规则,则系统会丢弃该报文。
【举例】
# 在RA Guard策略policy1中,配置RA报文内跳数匹配规则,设置RA报文跳数最大值为128。
<Sysname> system-view
[Sysname] ipv6 nd raguard policy policy1
[Sysname-raguard-policy-policy1] if-match hop-limit maximum 128
if-match prefix命令用来配置前缀匹配规则。
undo if-match prefix命令用来删除前缀匹配规则。
【命令】
if-match prefix acl { ipv6-acl-number | name ipv6-acl-name }
undo if-match prefix acl
【缺省情况】
未配置前缀匹配规则。
【视图】
RA Guard策略视图
【缺省用户角色】
network-admin
【参数】
ipv6-acl-number:IPv6基本ACL的编号,取值范围为2000~2999。
name ipv6-acl-name:IPv6基本ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用all。
【使用指导】
如果RA报文中携带的前缀与前缀ACL匹配,则该RA报文通过前缀匹配规则检查。
引用ACL时,需要注意的是:
· 若RA Guard策略中引用的前缀ACL不存在,或者ACL中未定义规则,则前缀匹配规则检查不生效。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
【举例】
# 在RA Guard策略policy1中,配置前缀匹配规则,引用ACL规则编号为2000。在编号为2000的IPv6基本ACL中,仅允许1001::/64或3124:1123::/64网段的报文通过,而拒绝来自所有其它网段的报文通过。
<Sysname> system-view
[Sysname] acl ipv6 basic 2000
[Sysname-acl-ipv6-basic-2000] rule permit source 1001:: 64
[Sysname-acl-ipv6-basic-2000] rule permit source 3124:1123:: 64
[Sysname-acl-ipv6-basic-2000] rule deny source any
[Sysname-acl-ipv6-basic-2000] quit
[Sysname] ipv6 nd raguard policy policy1
[Sysname-raguard-policy-policy1] if-match prefix acl 2000
if-match router-preference maximum命令用来配置路由最高优先级匹配规则。
undo if-match router-preference maximum命令用来删除路由最高优先级匹配规则。
【命令】
if-match router-preference maximum { high | low | medium }
undo if-match router-preference maximum
【缺省情况】
未配置路由最高优先级匹配规则。
【视图】
RA Guard策略视图
【缺省用户角色】
network-admin
【参数】
high:策略中匹配的路由器最高优先级为高级。
low:策略中匹配的路由器最高优先级为低级。
medium:策略中匹配的路由器最高优先级为中级。
【使用指导】
主机根据接收到的RA消息中的路由器优先级,可以选择优先级最高的路由器作为默认网关。
在路由器的优先级相同的情况下,遵循“先来先用”的原则,优先选择先接收到的RA消息对应的发送路由器作为默认网关。
如果接收RA报文的接口未配置接口角色,且RA报文中未定义路由优先级,但该报文匹配的策略中定义了路由最高优先级匹配规则,则系统会丢弃该报文。
【举例】
# 在RA Guard策略policy1中,配置匹配的路由器最高优先级为中级。
<Sysname> system-view
[Sysname] ipv6 nd raguard policy policy1
[Sysname-raguard-policy-policy1] if-match router-preference maximum medium
ipv6 nd raguard apply policy命令用来应用RA Guard策略。
undo ipv6 nd raguard apply policy命令用来取消对RA Guard策略的应用。
【命令】
ipv6 nd raguard apply policy [ policy-name ]
undo ipv6 nd raguard apply policy
【缺省情况】
未应用RA Guard策略。
【视图】
VLAN视图
【缺省用户角色】
network-admin
【参数】
policy-name:指定的RA Guard策略名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,配置该策略的VLAN中除了配置为路由器角色的接口外,其他接口都会直接丢弃RA报文。
【使用指导】
当一个接口收到的RA报文存在多层VLAN标签时,只会根据最外层VLAN标签对应的VLAN下的策略对RA报文进行匹配检查。
如果指定的策略名称policy-name的策略不存在,则该配置无效。
【举例】
# 在VLAN 100下应用RA Guard策略policy1。
<Sysname> system-view
[Sysname] vlan 100
[Sysname-vlan100] ipv6 nd raguard apply policy policy1
【相关命令】
· ipv6 nd raguard policy
ipv6 nd raguard log enable命令用来开启RA Guard日志功能。
undo ipv6 nd raguard log enable命令用来关闭RA Guard 日志功能。
【命令】
ipv6 nd raguard log enable
undo ipv6 nd raguard log enable
【缺省情况】
RA Guard日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
RA Guard日志可以方便管理员定位问题和解决问题,对处理RA报文的信息进行的记录。开启RA Guard日志功能后,设备在检测到非法RA报文时将生成检测日志,日志内容包括:受到攻击的接口名称、RA报文的源IP地址和丢弃的RA报文总数。
设备生成的RA Guard日志会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 开启RA Guard日志功能。
<Sysname> system-view
[Sysname] ipv6 nd raguard log enable
【相关命令】
· display ipv6 nd raguard statistics
· reset ipv6 nd raguard statistics
ipv6 nd raguard policy命令用来创建RA Guard策略,并进入RA Guard策略视图。如果指定的RA Guard策略已经存在,则直接进入RA Guard策略视图。
undo ipv6 nd raguard policy命令用来删除已创建的RA Guard策略。
【命令】
ipv6 nd raguard policy policy-name
undo ipv6 nd raguard policy policy-name
【缺省情况】
不存在任何RA Guard策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
policy-name:RA Guard策略名称,用来唯一标识一个RA Guard策略,为1~31个字符的字符串,区分大小写。
【举例】
# 创建RA Guard策略policy1,并进入RA Guard策略视图。
<Sysname> system-view
[Sysname] ipv6 nd raguard policy policy1
[Sysname-raguard-policy-policy1]
【相关命令】
· display ipv6 nd raguard policy
· ipv6 nd raguard apply policy
ipv6 nd raguard role用来配置接口角色。
undo ipv6 nd raguard role用来删除接口角色。
【命令】
ipv6 nd raguard role { host | router }
undo ipv6 nd raguard role
【缺省情况】
未配置接口角色。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
host:指定接口角色为用户,该角色的接口直接丢弃收到的RA报文。
router:指定接口角色为路由器,该角色的接口直接转发收到的RA报文。
【使用指导】
用户可根据接口在组网中的位置来配置接口的角色。如果确认接口连得是用户主机,可以配置成用户角色,如果确定接口连得是路由器,可配置成路由器角色。
【举例】
# 配置接口Twenty-FiveGigE1/0/1的接口角色为用户。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] ipv6 nd raguard role host
reset ipv6 nd raguard statistics命令用来清除RA Guard的报文统计信息。
【命令】
reset ipv6 nd raguard statistics [ interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:清除指定接口的RA Guard的统计信息。interface-type interface-number表示接口类型和接口编号。若未指定本参数,则清除所有接口的RA Guard的统计信息。
【举例】
# 清除所有接口的RA Guard的报文统计信息。
<Sysname> reset ipv6 nd raguard statistics
【相关命令】
· display ipv6 nd raguard statistics
display ipv6 destination-guard命令用来显示IPv6 Destination Guard功能的状态信息。
【命令】
display ipv6 destination-guard [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的IPv6 Destination Guard功能的状态信息。interface-type interface-number表示接口类型和接口编号。如果未指定本参数,则显示全局和所有接口的IPv6 Destination Guard功能的状态信息。
【举例】
# 显示全局和所有接口的IPv6 Destination Guard功能的状态信息。
<Sysname> display ipv6 destination-guard
Global IPv6 destination-guard status: Enabled (Stressed)
Interface Status
WGE1/0/1 Enabled (Stressed)
WGE1/0/2 Disabled
表1-4 display ipv6 destination-guard 命令显示信息描述表
|
字段 |
描述 |
|
Global IPv6 destination-guard status |
全局IPv6 Destination Guard功能的状态,取值包括: · Disabled:关闭状态 · Enabled:开启状态 Stressed表示在压力模式下开启全局IPv6 Destination Guard功能 |
|
Interface |
接口名称 |
|
Status |
接口IPv6 Destination Guard功能的状态,取值包括: · Disabled:关闭状态 · Enabled:开启状态 Stressed表示在压力模式下开启接口IPv6 Destination Guard功能 |
【相关命令】
· ipv6 destination-guard
· ipv6 destination-guard global enable
ipv6 destination-guard enable命令用来开启接口IPv6 Destination Guard功能。
ipv6 destination-guard disable命令用来关闭接口IPv6 Destination Guard功能。
undo ipv6 destination-guard命令用来将接口IPv6 Destination Guard功能恢复成当前全局IPv6 Destination Guard功能的状态。
【命令】
ipv6 destination-guard { disable | enable [ stressed ] }
undo ipv6 destination-guard
【缺省情况】
接口IPv6 Destination Guard功能的状态与全局IPv6 Destination Guard功能的状态保持一致。
【视图】
三层以太网接口视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
stressed:表示仅在压力模式下开启接口的IPv6 Destination Guard功能。如果未指定本参数,则表示设备立即开启接口IPv6 Destination Guard功能。
【使用指导】
如果接口上配置了IPv6 Destination Guard功能,接口IPv6 Destination Guard功能的状态以接口的配置为准,不受全局IPv6 Destination Guard功能的影响。如果接口上未配置IPv6 Destination Guard功能,接口IPv6 Destination Guard功能的状态以全局的配置为准。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在VLAN接口2上开启IPv6 Destination Guard功能。
<Sysname> system-view
[Sysname] interface vlan-interface 2
[Sysname-Vlan-interface2] ipv6 destination-guard enable
【相关命令】
· display ipv6 destination-guard
· ipv6 destination-guard global enable
ipv6 destination-guard global enable命令用来开启全局IPv6 Destination Guard功能。
undo ipv6 destination-guard global enable命令用来关闭全局IPv6 Destination Guard功能。
【命令】
ipv6 destination-guard global enable [ stressed ]
undo ipv6 destination-guard global enable
【缺省情况】
全局IPv6 Destination Guard功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
stressed:表示仅在压力模式下开启设备的全局IPv6 Destination Guard功能。如果未指定本参数,则表示设备立即开启全局IPv6 Destination Guard功能。
【使用指导】
如果接口上开启了IPv6 Destination Guard功能,接口IPv6 Destination Guard功能的状态以接口的配置为准,不受全局IPv6 Destination Guard功能的影响。如果接口上未开启IPv6 Destination Guard功能,接口IPv6 Destination Guard功能的状态以全局的配置为准。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 开启全局IPv6 Destination Guard功能。
<Sysname> system-view
[Sysname] ipv6 destination-guard global enable
【相关命令】
· display ipv6 destination-guard
· ipv6 destination-guard
display ipv6 nd scan keepalive entry命令用来显示ND的Keepalive表项信息。
【命令】
display ipv6 nd scan keepalive entry [ interface interface-type interface-number ] [ count ]
【视图】
所有视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number :显示指定接口Keepalive表项信息。interface-type interface-number表示指定接口的类型和编号。不指定则显示所有接口类型。
count:指定该参数则只显示Keepalive表项数量。
【举例】
<Sysname> display ipv6 nd scan keepalive entry
Interface: WGE1/0/1
IPv6 address: 1::23 MAC address: 08-00-27-00-50-38
VLANID: 1 SECVLANID: 1
Port interface: -- VPN instance: --
Scan status: 1 Probe count: 10
Scan time: 08:01:01
表1-5 display ipv6 nd scan keepalive entry命令显示信息描述表
|
字段 |
描述 |
|
Interface |
三层接口名称 |
|
IPv6 address |
表项IPv6地址 |
|
MAC address |
表项MAC地址 |
|
VLANID |
Primary VLAN编号 |
|
SECVLANID |
Secondary VLAN编号 |
|
Port interface |
ND报文的二层入接口 |
|
VPN instance |
VPN实例 |
|
Scan status |
扫描状态,“0”表示离线,“1”表示在线 |
|
Probe count |
扫描计数 |
|
Scan time |
Keepalive表项变为离线状态的时间,格式为时:分:秒 |
display ipv6 nd scan keepalive statistics命令用来显示接口向异常状态的Keepalive表项发送的NS报文个数。
【命令】
display ipv6 nd scan keepalive statistics [ slot slot-number ] [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口向异常状态的Keepalive表项发送的NS报文的个数。interface-type为指定的接口类型,interface-number为指定的接口编号。如果未指定本参数,则显示所有接口向异常状态的Keepalive表项发送的NS报文的个数。
slot slot-number:显示指定成员设备向异常状态的Keepalive表项发送的NS报文的个数。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示所有成员设备向异常状态的Keepalive表项发送的NS报文的个数。
【使用指导】
通过本命令可以分别查看最近5秒、1分钟、5分钟接口向离线状态的Keepalive表项源MAC地址对应的终端发送的NS报文的个数。如果接口向离线状态的Keepalive表项源MAC地址对应的终端发送的NS报文的个数多,则代表处于离线状态的Keepalive表项较多或某些处于离线状态的Keepalive表项长时间没有恢复为在线状态,反之亦然。用户可以通过display ipv6 nd scan keepalive entry命令查看处于离线状态的Keepalive表项的个数,从而对情况进行判断。如果是处于离线状态的Keepalive表项较多,可能是由于设置了过长的表项老化时间,也可能是网络中存在大量异常下线的情况,这时需要网络管理员检查配置及网络情况;如果是某些处于离线状态的Keepalive表项长时间没有恢复为在线状态,可能是由于ND请求报文无法解决异常下线问题,这时需要网络管理员根据离线状态表项定位问题。
【举例】
# 显示Slot1上接口向异常状态的Keepalive表项发送的NS报文的个数。
<Sysname> display ipv6 nd scan keepalive statistics slot 1
Scanning statistics for slot 1:
Total NS packets: 1000 packets
Start time for statistics: 12:20:30
Interface 5 secs 1 min 5 mins
Twenty-FiveGigE1/0/1 123 200 230
Twenty-FiveGigE1/0/2 0 0 0
Twenty-FiveGigE1/0/3 0 0 0
Twenty-FiveGigE1/0/4 0 0 0
Twenty-FiveGigE1/0/5 0 0 0
Twenty-FiveGigE1/0/6 0 0 0
表1-6 display ipv6 nd scan keepalive statistics命令显示信息描述表
|
字段 |
描述 |
|
Total NS packets |
向异常状态的Keepalive表项发送的NS报文的总数 |
|
Start time for statistics |
设备开始对向异常状态的Keepalive表项发送的NS报文的个数进行计数的时间 |
|
Interface |
接口名 |
|
5 secs |
接口最近5秒内向异常状态的Keepalive表项发送的NS报文的个数 |
|
1 min |
接口最近1分钟内向异常状态的Keepalive表项发送的NS报文的个数 |
|
5 mins |
接口最近5分钟内向异常状态的Keepalive表项发送的NS报文的个数 |
【相关命令】
· reset ipv6 nd scan keepalive statistics
ipv6 nd scan keepalive aging-time命令用来配置ND的Keepalive表项的老化时间。
undo ipv6 nd scan keepalive aging-time命令用来恢复缺省情况
【命令】
ipv6 nd scan keepalive aging-time time
undo ipv6 nd scan keepalive aging-time
【缺省情况】
系统视图下,ND的Keepalive表项的老化时间为60分钟。
接口视图下,ND的Keepalive表项的老化时间采用系统视图下的配置。
【视图】
系统视图
三层以太网接口视图
三层以太网子接口视图
三层聚合接口视图
三层聚合子接口视图
VSI虚接口视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
time:ND的Keepalive表项的老化时间,单位为分钟,取值范围为1~1440。
【使用指导】
ND的Keepalive表项的老化时间可以在系统视图和接口视图下同时配置,优先使用接口视图下的配置,如果接口视图下为缺省配置则使用系统视图下的配置。
在接口上通过ipv6 nd scan keepalive enable命令开启ND的Keepalive表项扫描功能后,用户上线时系统会建立对应的状态正常的Keepalive表项。用户异常下线会使对应的Keepalive表项的状态被置为异常,处于异常状态的Keepalive表项在老化时间内没有恢复正常便会被删除。关于ND的Keepalive表项扫描功能的详细介绍,请参见“安全配置指导”中的“ND攻击防御”。
【举例】
# 配置ND的Keepalive表项的老化时间为10分钟。
<Sysname> system-view
[Sysname] ipv6 nd scan keepalive aging-time 10
# 在VLAN接口100上配置ND的Keepalive表项的老化时间为100分钟。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] ipv6 nd scan keepalive aging-time 100
【相关命令】
· ipv6 nd scan keepalive enable
ipv6 nd scan keepalive enable命令用来在接口上开启ND的Keepalive表项扫描功能。
undo ipv6 nd scan keepalive enable命令用来在接口上关闭ND的Keepalive表项扫描功能。
【命令】
ipv6 nd scan keepalive enable
undo ipv6 nd scan keepalive enable
【缺省情况】
接口上的ND的Keepalive表项扫描功能处于关闭状态。
【视图】
三层以太网接口视图
三层以太网子接口视图
三层聚合接口视图
三层聚合子接口视图
VSI虚接口视图
VLAN接口视图
【缺省用户角色】
network-admin
【使用指导】
在规模较大的组网环境中(比如园区网络),使用ND周期性扫描功能后,如果指定的扫描范围过大,会导致需要较长的时间才能扫描到异常下线的主机。开启本功能后系统可以通过Keepalive表项快速定位异常下线的主机,并在老化时间内对异常下线主机的状态进行监测。
用户上线后,系统会生成ND表项和IP Source Guard绑定表项。开启本功能后,系统会根据这些表项建立状态为在线的Keepalive表项。用户下线后其ND表项会被删除,对应的Keepalive表项的状态被置为离线。设备每隔一段时间会向处于离线状态的Keepalive表项对应的IPv6地址发送NS报文,直到Keepalive表项的状态恢复成在线。对于某处于离线状态的Keepalive表项,设备发送NS报文的间隔时间由已经向此Keepalive表项对应的IPv6地址发送的NS报文的个数决定:个数小于等于50时间隔时间为30秒,个数大于50且小于等于100时间隔时间为45秒,个数大于100时间隔时间为60秒。管理员可以通过display ipv6 nd scan keepalive entry命令查看Keepalive表项。关于IP Source Guard的详细介绍,请参见“安全配置指导”中的“IP Source Guard”。
Keepalive表项的老化时间为60分钟,处于离线状态的Keepalive表项在老化时间内没有恢复为在线便会被删除。
【举例】
# 在VLAN接口100上开启ND扫描探测命令开关。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] ipv6 nd scan keepalive enable
【相关命令】
· display ipv6 nd scan keepalive entry
· ipv6 nd scan keepalive send-rate
ipv6 nd scan keepalive send-rate命令用来设置ND的Keepalive表项扫描速率。
undo ipv6 nd scan keepalive send-rate命令用来恢复缺省情况
【命令】
ipv6 nd scan keepalive send-rate pps
undo ipv6 nd scan keepalive send-rate
【缺省情况】
ND的Keepalive表项扫描速率为每秒发送48个包。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
pps:接口发送ND报文的速率,取值范围为10~1000,单位为包每秒,为10的整数倍。当pps不是10的整数倍时设备会提示配置错误。
【使用指导】
接口下开启Keepalive表项扫描功能后,如果Keepalive表项的状态被置为离线,接口会按照指定的速率向离线表项对应的IPv6地址发送NS报文。为避免接口发送的NS报文对设备性能造成影响,可通过本命令调整接口发送NS报文的速率。
如果一个Keepalive表项的状态被置为离线,且此Keepalive表项没有在等待发送NS报文的间隔时间结束,则此Keepalive表项是一个待扫描Keepalive表项。接口每秒会分别向不同的待扫描Keepalive表项对应的IPv6地址发送一个NS报文。ND的Keepalive表项扫描速率为每秒扫描的待扫描Keepalive表项的最大个数。如果待扫描Keepalive表项的个数小于扫描速率的值,则设备会在一秒内扫描所有的待扫描Keepalive表项;如果待扫描Keepalive表项的个数大于扫描速率的值,则设备在一秒内扫描的待扫描Keepalive表项的个数为扫描速率的值,且在下一秒继续扫描。
当发送NS报文的速率配置为较大值时,为避免影响设备性能,设备实际发送NS报文的速率可能会小于该配置值。
【举例】
# ND表项周期自动扫描速率为每秒10个NS报文。
<Sysname> system-view
[Sysname] ipv6 nd scan keepalive send-rate 10
【相关命令】
· ipv6 nd scan keepalive enable
reset ipv6 nd scan keepalive statistics命令用来清除接口向异常状态的Keepalive表项发送的NS报文的计数信息。
【命令】
reset ipv6 nd scan keepalive statistics [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:表示清除指定成员设备向异常状态的Keepalive表项发送的NS报文的计数信息。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则清除主设备上向异常状态的Keepalive表项发送的NS报文的计数信息。
【使用指导】
通过本命令可以重新统计接口向异常状态的Keepalive表项发送的NS报文的计数信息,并且重置设备开始对向异常状态的Keepalive表项发送的NS报文的个数进行计数的时间。即执行display ipv6 nd scan keepalive statistics命令显示的是执行本命令后接口向异常状态的Keepalive表项发送的NS报文的个数,且开始计数的时间为执行本命令后设备第一次向异常状态的Keepalive表项发送的NS报文的时间。
【举例】
# 清除接口向异常状态的Keepalive表项发送的NS报文的计数信息。
<Sysname> reset ipv6 nd scan keepalive statistics
【相关命令】
· display ipv6 nd scan keepalive statistics
display ipv6 nd source-mac命令用来显示检测到的源MAC地址固定的ND攻击检测表项。
【命令】
display ipv6 nd source-mac { interface interface-type interface-number [ slot slot-number ] | slot slot-number }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口检测到的源MAC地址固定的ND攻击检测表项,interface-type interface-number表示指定接口的类型和编号。
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。
【使用指导】
如果未指定任何参数,则显示所有检测到的源MAC地址固定的ND攻击检测表项。
【举例】
# 显示接口Twenty-FiveGigE1/0/1上检测到的源MAC地址固定的ND攻击检测表项。
<Sysname> display ipv6 nd source-mac interface twenty-fivegige 1/0/1
Source-MAC VLAN/VSI name Interface Aging-time (sec)
0001-0001-0001-0001 N/A WGE1/0/1 30
表1-7 display ipv6 nd source-mac命令显示信息描述表
|
字段 |
描述 |
|
Source-MAC |
检测到ND攻击的源MAC地址 |
|
VLAN/VSI name |
检测到ND攻击报文所属的VLAN ID或VSI名称,如果检测到的ND攻击不属于任何VLAN和VSI,则显示为“N/A” |
|
Interface |
检测到ND攻击的接口 |
|
Aging-time (sec) |
源MAC地址固定的ND攻击检测表项的剩余老化时间,单位为秒 |
【相关命令】
· ipv6 nd source-mac
ipv6 nd source-mac命令用来开启源MAC地址固定的ND攻击检测功能,并选择检查模式。
undo ipv6 nd source-mac命令用来关闭源MAC地址固定的ND攻击检测功能。
【命令】
ipv6 nd source-mac { filter | monitor }
undo ipv6 nd source-mac
【缺省情况】
源MAC地址固定的ND攻击检测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
filter:配置检查方式为过滤模式。
monitor:配置检查方式为监控模式。
【使用指导】
设备处理大量源MAC地址固定的ND报文会造成CPU繁忙,影响正常的业务处理。为了避免这种问题,可以在设备上开启源MAC地址固定的ND攻击检测功能。
本特性根据ND报文的源MAC地址对上送CPU的ND报文进行统计,在固定时间(5秒)内,如果收到同一源MAC地址(源MAC地址固定)的ND报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。
在开启了ND日志信息功能的情况下(配置ipv6 nd check log enable命令),系统会根据设置的检查模式对源MAC地址存在于攻击检测表项中的ND报文有如下处理:
· 如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ND报文过滤掉;
· 如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ND报文过滤掉。
根据ND报文的源MAC地址对上送CPU的ND报文进行统计时,设备支持如下两种统计方式:
· 基于接口的统计方式:每个接口单独进行报文统计计数。在固定时间(5秒)内,如果某接口收到同一源MAC地址(源MAC地址固定)的ND报文超过一定的阈值,则认为存在攻击。
· 基于slot的统计方式:slot上所有接口的报文进行统一计数。在固定时间(5秒)内,如果某slot收到同一源MAC地址(源MAC地址固定)的ND报文超过一定的阈值,则认为存在攻击。
成员设备采取的统计方式与成员设备的型号有关,请以设备的实际情况为准。
建议在网关设备上开启本功能。
切换源MAC地址固定的ND攻击检查模式时,如果从监控模式切换到过滤模式,则过滤模式立即生效;如果从过滤模式切换到监控模式,已生成的攻击检测表项在老化之前会继续按照过滤模式处理,新增的攻击检测表项会按照监控模式处理。
【举例】
# 开启源MAC地址固定的ND攻击检测功能,配置检查方式为监控模式。
<Sysname> system-view
[Sysname] ipv6 nd source-mac monitor
【相关命令】
· display ipv6 nd source-mac
· ipv6 nd source-mac threshold
ipv6 nd source-mac aging-time命令用来配置源MAC地址固定的ND报文攻击检测表项的老化时间。
undo ipv6 nd source-mac aging-time命令用来恢复缺省情况。
【命令】
ipv6 nd source-mac aging-time time
undo ipv6 nd source-mac aging-time
【缺省情况】
源MAC地址固定的ND报文攻击检测表项的老化时间为300秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time:ND报文攻击检测表项的老化时间,取值范围为60~6000,单位为秒。
【使用指导】
配置源MAC地址固定的ND攻击检测表项的老化时间越小,设备会更加频繁地创建、销毁ND攻击检测表项,从而影响系统性能。
在网络环境安全性较差时,建议增大源MAC地址固定的ND攻击检测表项的老化时间。
【举例】
# 配置源MAC地址固定的ND报文攻击检测表项的老化时间为100秒。
<Sysname> system-view
[Sysname] ipv6 nd source-mac aging-time 100
【相关命令】
· ipv6 nd source-mac
ipv6 nd source-mac exclude-mac命令用来配置ND攻击检测的保护MAC地址。
undo ipv6 nd source-mac exclude-mac命令用来删除已配置的ND攻击检测的保护MAC地址。
【命令】
ipv6 nd source-mac exclude-mac mac-address&<1-10>
undo ipv6 nd source-mac exclude-mac [ mac-address&<1-10> ]
【缺省情况】
未配置任何ND攻击检测的保护MAC地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
mac-address&<1-10>:ND攻击检测的保护MAC地址列表,其中,mac-address表示配置的ND攻击检测的保护MAC地址,格式为H-H-H。&<1-10>表示前面的参数最多可以输入10次。
【使用指导】
对于网关或一些重要的服务器,可能会发送大量ND报文,可以将这类设备的MAC地址配置成ND攻击检测的保护MAC地址。
当设备上配置了ND攻击检测的保护MAC地址之后,即使在固定的时间(5秒)内收到源MAC地址为保护MAC地址的ND报文个数超过一定的阈值,系统也不会将这些保护MAC地址添加到ND攻击检测表项中。
如果undo ipv6 nd source-mac exclude-mac命令中未指定MAC地址,则删除所有已配置的ND攻击检测的保护MAC地址。
【举例】
# 配置源MAC地址固定的ND报文攻击检查的保护MAC地址为001e-1200-0213。
<Sysname> system-view
[Sysname] ipv6 nd source-mac exclude-mac 001e-1200-0213
ipv6 nd source-mac log enable命令用来开启源MAC地址固定的ND攻击检测日志信息功能。
undo ipv6 nd source-mac log enable命令用来关闭源MAC地址固定的ND攻击检测日志信息功能。
【命令】
ipv6 nd source-mac log enable
undo ipv6 nd source-mac log enable
【缺省情况】
源MAC地址固定的ND攻击检测日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,当设备判断网络中存在源MAC地址固定的ND攻击时,会生成源MAC地址固定的ND攻击检测的日志信息,并将该日志信息交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
网络管理员可以根据日志信息定位源MAC地址固定的ND报文攻击问题。
【举例】
# 开启源MAC地址固定的ND攻击检测日志信息功能。
<Sysname> system-view
[Sysname] ipv6 nd source-mac log enable
【相关命令】
· ipv6 nd source-mac
ipv6 nd source-mac threshold命令用来配置源MAC地址固定的ND报文攻击检测阈值。
undo ipv6 nd source-mac threshold命令用来恢复缺省情况。
【命令】
ipv6 nd source-mac threshold threshold-value
undo ipv6 nd source-mac threshold
【缺省情况】
源MAC地址固定的ND报文攻击检测表项的阈值为30个报文。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold-value:固定时间(5秒)内源MAC地址固定的ND报文攻击检测的阈值,取值范围为1~5000,单位为报文个数。
【使用指导】
在固定的时间(5秒)内,如果某个接口收到的同一源MAC地址(源MAC固定)的ND报文个数超过阈值,则认为该接口受到源MAC地址固定的ND报文攻击。
【举例】
# 配置源MAC地址固定的ND报文攻击检测阈值为100个报文。
<Sysname> system-view
[Sysname] ipv6 nd source-mac threshold 100
【相关命令】
· ipv6 nd source-mac
snmp-agent trap enable nd命令用来开启ND模块的告警功能。
undo snmp-agent trap enable nd命令用来关闭ND模块的告警功能。
【命令】
snmp-agent trap enable nd [ entry-limit | local-conflict | nd-miss | pkt-threshold | rate-limit | user-ip-conflict ] *
undo snmp-agent trap enable nd [ entry-limit | local-conflict | nd-miss | pkt-threshold | rate-limit | user-ip-conflict ] *
【缺省情况】
ND模块的告警功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
entry-limit:开启邻居表项达到阈值的告警功能。
local-conflict:开启ND模块终端与本机冲突的告警功能。
nd-miss:开启ND Miss消息和ND报文发送限速的告警功能。
pkt-threshold:开启ND报文队列缓存报文数量超过阈值的告警功能。
rate-limit:开启ND报文限速的告警功能。
user-ip-conflict:开启ND模块终端用户间IPv6地址冲突的告警功能。
【使用指导】
用户可根据业务需求开启指定功能的ND模块的告警:
· 当开启了ND模块邻居表项达到阈值的告警功能后,设备会将当前的邻居表项信息记录在告警信息中,生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。
· 当开启了ND模块终端与本机冲突的告警功能后,设备将冲突报文的IPv6地址、MAC地址等信息作为告警信息发送出去,生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。
· 当开启了ND模块ND Miss消息限速的告警功能后,设备将报文速率信息作为告警信息发送出去,生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。当设备收到目标IP地址不能解析的IP报文时,会向CPU上送ND Miss消息。
· 开启了ND报文队列缓存报文数量超过阈值的告警功能后,当设备的ND报文缓存队列中缓存的报文数量超过队列容量上限的80%时,设备会将当前队列中缓存的报文数量作为告警信息发送到设备的SNMP模块。
· 开启了ND报文发送限速的告警功能后,如果设备每秒发送的ND报文的个数超过了设备定制的阈值,设备会将超速峰值作为告警信息发送出去,生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。
· 开启了ND模块终端用户间IPv6地址冲突的告警功能后,设备会将冲突报文的发送端IPv6地址和MAC地址、发生冲突的本地表项的MAC地址等信息作为告警信息发送到设备的SNMP模块。
本命令如果不指定任何参数,则表示打开ND模块的所有告警功能。
可以通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。有关告警信息的详细描述,请参见“网络管理和监控配置指导”中的“SNMP”。
【举例】
# 开启ND模块终端与本机冲突的告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable nd local-conflict
ipv6 nd resolving-route enable命令用来开启ND黑洞路由功能。
undo ipv6 nd resolving-route enable命令用来关闭ND黑洞路由功能。
【命令】
ipv6 nd resolving-route enable
undo ipv6 nd resolving-route enable
【缺省情况】
ND黑洞路由功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
当网络中的主机向设备发送大量目标IPv6地址不能解析的IPv6数据报文时,设备会频繁发送NS请求报文并反复解析目标IPv6地址,从而导致设备CPU负担加重。建议用户开启ND黑洞路由功能以解决此问题。
开启本功能后,一旦接收到目标IPv6地址不能解析的IPv6数据报文,设备立即产生一个黑洞路由,并同时向该IPv6地址发送NS请求报文,如果在黑洞路由老化时间内ND解析成功,则设备马上删除此黑洞路由并开始转发去往该地址的报文,否则设备直接丢弃该报文。在删除黑洞路由之前,后续去往该地址的IPv6数据报文都将被直接丢弃。
建议在网关设备上开启本功能。
【举例】
# 开启ND黑洞路由功能。
<Sysname> system-view
[Sysname] ipv6 nd resolving-route enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
