• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

09-安全命令参考

目录

17-ARP攻击防御命令

本章节下载 17-ARP攻击防御命令  (480.93 KB)

17-ARP攻击防御命令

  录

1 ARP攻击防御

1.1 ARP防止IP报文攻击配置命令

1.1.1 arp resolving-route enable

1.1.2 arp resolving-route probe-count

1.1.3 arp resolving-route probe-interval

1.1.4 arp source-suppression enable

1.1.5 arp source-suppression limit

1.1.6 display arp source-suppression

1.1.7 display arp source-suppression cache

1.2 ARP报文限速配置命令

1.2.1 arp rate-limit

1.2.2 arp rate-limit log enable

1.2.3 arp rate-limit log interval

1.3 ARP模块的告警功能配置命令

1.3.1 snmp-agent trap enable arp

1.4 指定源MAC地址的ARP报文限速配置命令

1.4.1 arp rate-limit source-mac

1.5 源MAC地址固定的ARP攻击检测配置命令

1.5.1 arp source-mac

1.5.2 arp source-mac aging-time

1.5.3 arp source-mac exclude-mac

1.5.4 arp source-mac log enable

1.5.5 arp source-mac threshold

1.5.6 display arp source-mac

1.6 ARP报文源MAC地址一致性检查配置命令

1.6.1 arp valid-check enable

1.7 ARP主动确认配置命令

1.7.1 arp active-ack enable

1.8 授权ARP配置命令

1.8.1 arp authorized enable

1.9 ARP Detection配置命令

1.9.1 arp detection enable

1.9.2 arp detection log enable

1.9.3 arp detection port-match-ignore

1.9.4 arp detection rule

1.9.5 arp detection trust

1.9.6 arp detection validate

1.9.7 arp restricted-forwarding enable

1.9.8 display arp detection

1.9.9 display arp detection statistics attack-source

1.9.10 display arp detection statistics packet-drop

1.9.11 reset arp detection statistics attack-source

1.9.12 reset arp detection statistics packet-drop

1.10 ARP自动扫描、固化配置命令

1.10.1 arp fixup

1.10.2 arp scan

1.10.3 arp scan auto enable

1.10.4 arp scan auto send-rate

1.11 ARP的Keepalive表项扫描

1.11.1 arp scan keepalive aging-time

1.11.2 arp scan keepalive enable

1.11.3 arp scan keepalive send-rate

1.11.4 display arp scan keepalive entry

1.11.5 display arp scan keepalive statistics

1.11.6 reset arp scan keepalive statistics

1.12 ARP网关保护配置命令

1.12.1 arp filter source

1.13 ARP过滤保护配置命令

1.13.1 arp filter binding

1.14 ARP报文源IP地址检查功能配置命令

1.14.1 arp sender-ip-range

1.15 ARP表项固化功能配置命令

1.15.1 arp anti-attack entry-fixing enable

 


1 ARP攻击防御

1.1  ARP防止IP报文攻击配置命令

1.1.1  arp resolving-route enable

arp resolving-route enable命令用来开启ARP黑洞路由功能。

undo arp resolving-route enable命令用来关闭ARP黑洞路由功能。

【命令】

arp resolving-route enable

undo arp resolving-route enable

【缺省情况】

缺省情况下,ARP黑洞路由功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

建议在网关设备上开启本功能。

【举例】

# 开启ARP黑洞路由功能。

<Sysname> system-view

[Sysname] arp resolving-route enable

【相关命令】

·     arp resolving-route probe-count

·     arp resolving-route probe-interval

1.1.2  arp resolving-route probe-count

arp resolving-route probe-count命令用来配置发送ARP请求报文的次数。

undo arp resolving-route probe-count命令用来恢复缺省情况。

【命令】

arp resolving-route probe-count count

undo arp resolving-route probe-count

【缺省情况】

发送ARP请求报文的次数为3次。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

count:发送ARP请求报文的次数,取值范围为1~25。

【举例】

# 配置发送ARP请求报文的次数为5次。

<Sysname> system-view

[Sysname] arp resolving-route probe-count 5

【相关命令】

·     arp resolving-route enable

·     arp resolving-route probe-interval

1.1.3  arp resolving-route probe-interval

arp resolving-route probe-interval命令用来配置发送ARP请求报文的时间间隔。

undo arp resolving-route probe-interval命令用来恢复缺省情况。

【命令】

arp resolving-route probe-interval interval

undo arp resolving-route probe-interval

【缺省情况】

发送ARP请求报文的时间间隔是1秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interval:发送ARP请求报文的时间间隔,取值范围为1~5,单位为秒。

【举例】

# 配置发送ARP请求报文的时间间隔为3秒。

<Sysname> system-view

[Sysname] arp resolving-route probe-interval 3

【相关命令】

·     arp resolving-route enable

·     arp resolving-route probe-count

1.1.4  arp source-suppression enable

arp source-suppression enable命令用来开启ARP源地址抑制功能。

undo arp source-suppression enable命令用来关闭ARP源地址抑制功能。

【命令】

arp source-suppression enable

undo arp source-suppression enable

【缺省情况】

ARP源地址抑制功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

建议在网关设备上开启本功能。

【举例】

# 开启ARP源地址抑制功能。

<Sysname> system-view

[Sysname] arp source-suppression enable

【相关命令】

·     display arp source-suppression

1.1.5  arp source-suppression limit

arp source-suppression limit命令用来配置ARP源抑制的阈值。

undo arp source-suppression limit命令用来恢复缺省情况。

【命令】

arp source-suppression limit limit-value

undo arp source-suppression limit

【缺省情况】

ARP源抑制的阈值为10。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

limit-value:ARP源抑制的阈值,即设备在5秒间隔内可以处理的源IP相同,但目的IP地址不能解析的IP报文的最大数目,取值范围为2~1024。

【使用指导】

如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。

【举例】

# 配置ARP源抑制的阈值为100。

<Sysname> system-view

[Sysname] arp source-suppression limit 100

【相关命令】

·     display arp source-suppression

1.1.6  display arp source-suppression

display arp source-suppression命令用来显示当前ARP源抑制的配置信息。

【命令】

display arp source-suppression

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示当前ARP源抑制的配置信息。

<Sysname> display arp source-suppression

 ARP source suppression is enabled

 Current suppression limit: 100

表1-1 display arp source-suppression显示信息描述表

字段

描述

ARP source suppression is enabled

ARP源抑制功能处于开启状态

Current suppression limit

设备在5秒时间间隔内可以接收到的源IP相同,但目的IP地址不能解析的IP报文的最大数目

 

1.1.7  display arp source-suppression cache

display arp source-suppression cache命令用来显示ARP源抑制表项。

【命令】

display arp source-suppression cache [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number:显示指定成员设备的源抑制表项,slot-number表示设备在IRF中的成员编号。

【举例】

# 显示ARP源抑制表项。

<Sysname> display arp source-suppression cache

Interface                IP address      Attack Time         Block Time          Try times

XGE1/0/1                 100.1.1.10      2021-11-09 11:05:20 2021-11-09 11:05:48 10

XGE1/0/2                 100.1.4.10      2021-11-09 11:28:02 2021-11-09 11:28:37 5

表1-2 display arp source-suppression cache命令显示信息描述表

字段

描述

Interface

接口名称

IP address

源抑制表项的IP地址信息

Attack Time

表项创建的时间

Block Time

表项达到阈值的时间

Try times

解析未知IP地址的次数

 

1.2  ARP报文限速配置命令

1.2.1  arp rate-limit

arp rate-limit命令用来开启ARP报文限速功能,并设置ARP报文限速速率。

undo arp rate-limit命令用来关闭ARP报文限速功能。

【命令】

arp rate-limit [ pps ]

undo arp rate-limit

【缺省情况】

ARP报文限速功能处于开启状态。

【视图】

二层以太网接口视图

二层聚合接口视图

三层以太网接口视图

三层聚合接口视图

【缺省用户角色】

network-admin

【参数】

pps:ARP限速速率,单位为包每秒(pps),取值范围为1~600。如果未指定本参数,则用来恢复设备缺省ARP限速速率。

【使用指导】

不指定限速速率时,设备使用缺省限速速率,超过限速部分的报文会被丢弃。

以太网接口视图下的配置只对当前端口生效;聚合接口视图下的配置只对当前接口生效;聚合成员端口上的配置,只有当成员端口退出聚合组后才能生效。

【举例】

# 在二层以太网接口Ten-GigabitEthernet1/0/1上开启ARP报文限速功能,并设置ARP报文限速速率为50pps。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] arp rate-limit 50

【相关命令】

·     arp rate-limit source-mac

1.2.2  arp rate-limit log enable

arp rate-limit log enable命令用来开启ARP报文限速日志功能。

undo arp rate-limit log enable命令用来关闭ARP报文限速日志功能。

【命令】

arp rate-limit log enable

undo arp rate-limit log enable

【缺省情况】

设备的ARP报文限速日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

当开启了ARP限速日志功能后,设备将这个时间间隔内的超速峰值作为日志的速率值发送到设备的信息中心,通过设置信息中心的参数,最终决定日志报文的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的设置请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 开启ARP报文限速日志功能。

<Sysname> system-view

[Sysname] arp rate-limit log enable

1.2.3  arp rate-limit log interval

arp rate-limit log interval命令用来配置当设备收到的ARP报文速率超过用户设定的限速值时,设备发送告警和日志的时间间隔。

undo arp rate-limit log interval命令用来恢复缺省情况。

【命令】

arp rate-limit log interval interval

undo arp rate-limit log interval

【缺省情况】

当设备收到的ARP报文速率超过用户设定的限速值时,设备发送告警和日志的时间间隔为60秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interval:当端口上的ARP报文速率超过用户设定的限速值时,设备发送告警和日志的时间间隔。取值范围为1~86400,单位为秒。

【使用指导】

用户需要先开启发送告警或日志功能,然后配置此命令指定设备发送告警和日志的时间间隔,同时本命令必须和端口下的arp rate-limit命令配合使用,单独配置本命令无效。

【举例】

# 当设备收到的ARP报文速率超过用户设定的限速值时,配置设备发送告警和日志的时间间隔为120秒。

<Sysname> system-view

[Sysname] arp rate-limit log interval 120

【相关命令】

·     arp rate-limit

·     arp rate-limit log enable

·     snmp-agent trap enable arp

1.3  ARP模块的告警功能配置命令

1.3.1  snmp-agent trap enable arp

snmp-agent trap enable arp命令用来开启ARP模块的告警功能。

undo snmp-agent trap enable arp命令用来关闭ARP模块的告警功能。

【命令】

snmp-agent trap enable arp [ active-ack | arp-miss | detection-drop | entry-check | entry-limit | gateway-check | local-conflict | mac-mismatch | packet-check | rate-limit | user-ip-conflict | user-move ] *

undo snmp-agent trap enable arp [ active-ack | arp-miss | detection-drop | entry-check | entry-limit | gateway-check | local-conflict | mac-mismatch | packet-check | rate-limit | user-ip-conflict | user-move ] *

【缺省情况】

ARP模块的告警功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

active-ack:开启触发ARP主动确认的告警功能。

arp-miss:开启ARP Miss消息和ARP报文发送限速的告警功能。

detection-drop:开启ARP Detection丢包的告警功能。

entry-check:开启ARP表项被修改的告警功能。

entry-limit:开启ARP表项达到最大个数的告警功能。

gateway-check:开启ARP模块网关保护的告警功能。

local-conflict:开启ARP模块终端与本机IP地址冲突的告警功能。

mac-mismatch:开启ARP MAC地址不一致的告警功能。

packet-check开启非法ARP报文检查的告警功能。

rate-limit:开启ARP报文限速的告警功能。

user-ip-conflict:开启ARP模块终端用户间IP地址冲突的告警功能。

user-move:开启ARP终端用户端口迁移的告警功能。

【使用指导】

用户可根据业务需求开启指定功能的ARP模块的告警:

·     开启了触发ARP主动确认的告警功能后,如果设备由于主动确认功能而没有建立ARP表项,设备会将收到的ARP报文的发送端IP地址和收到ARP报文的接口信息作为告警信息发送到设备的SNMP模块。

·     开启了ARP Miss消息和ARP报文发送限速的告警功能后,如果设备每秒发送的ARP Miss消息或ARP报文的个数超过了设备定制的阈值,设备会将超速峰值作为告警信息发送到设备的SNMP模块。

·     开启了ARP Detection丢包的告警功能后,设备会将ARP Detection丢包的VLAN ID、Service ID、VSI、丢包类型等信息作为告警信息发送到设备的SNMP模块。

·     开启了ARP表项被修改的告警功能后,当设备检测到用户在设备上的ARP表项可能被刷新成攻击者的ARP表项时,设备会将ARP欺骗攻击报文的IP地址、MAC地址等信息作为告警信息发送到设备的SNMP模块。

·     开启了ARP表项达到最大个数的告警功能后,如果当前全局ARP表项的数量超过了告警阈值,设备会将当前ARP表项的数目作为告警信息发送到设备的SNMP模块。

·     当开启了ARP网关保护的告警功能后,当设备受到仿冒网关攻击时,设备会将因网关保护功能丢弃的ARP攻击报文的发送端IP地址、发送端MAC地址、收到ARP攻击报文的接口索引等作为告警信息发送到设备的SNMP模块。当同一发送端IP地址的ARP报文3分钟内再次触发告警,则认为此次告警恢复,同时发送告警恢复信息到设备的SNMP模块。

·     开启了ARP模块终端与本机冲突的告警功能后,设备会将冲突报文的发送端IP地址和MAC地址、目标IP地址和MAC地址等信息作为告警信息发送到设备的SNMP模块。

·     开启了ARP MAC地址不一致的告警功能后,当设备上配置的静态ARP表项的MAC地址和用户实际的MAC地址不一致时,设备会将该ARP表项的IP地址、VRF、MAC地址等信息作为告警信息发送到设备的SNMP模块。

·     非法ARP报文指报文中的硬件类型、协议类型、硬件地址长度、协议地址长度、操作类型或VLAN等信息存在非法值的ARP报文。比如当ARP报文的操作类型不是请求或响应时,操作类型为非法值,此ARP报文非法。当开启了非法ARP报文检查的告警功能后,设备将接收到的非法ARP报文的接口名、发送端MAC地址、发送端IP地址、用户VLAN ID、服务提供商VLAN ID作为告警信息发送出去,生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。

·     开启了ARP报文限速的告警功能后,如果某接口上的ARP报文速率超过用户设定的限速值,设备会将超速峰值作为告警信息发送到设备的SNMP模块。有关ARP报文限速的配置请参见“ARP报文限速配置命令”。

·     开启了ARP模块终端用户间IP地址冲突的告警功能后,设备会将冲突报文的发送端IP地址和MAC地址、发生冲突的本地表项的MAC地址等信息作为告警信息发送到设备的SNMP模块。有关开启ARP记录终端用户间IP地址冲突功能请参见“三层技术-IP业务配置指导”中的“ARP”。

·     开启了ARP模块终端用户端口迁移的告警功能后,设备会将发生了端口迁移的用户的IP地址、MAC地址、迁移前后的端口名称等信息作为告警信息发送到设备的SNMP模块。有关开启ARP记录终端用户端口迁移功能请参见“三层技术-IP业务配置指导”中的“ARP”。

本命令如果不指定任何参数,则表示打开ARP模块的所有告警功能。

可以通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。有关告警信息的详细描述,请参见“网络管理和监控配置指导”中的“SNMP”。

【举例】

# 开启ARP报文限速的告警功能。

<Sysname> system-view

[Sysname] snmp-agent trap enable arp rate-limit

1.4  指定源MAC地址的ARP报文限速配置命令

1.4.1  arp rate-limit source-mac

arp rate-limit source-mac命令用来开启指定源MAC地址的ARP报文限速功能,并设置限速速率。

undo arp rate-limit source-mac命令用来关闭指定源MAC地址的ARP报文限速功能。

【命令】

arp rate-limit source-mac [ mac-address ] pps

undo arp rate-limit source-mac [ mac-address ]

【缺省情况】

指定源MAC地址的ARP报文限速功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

mac-address:ARP报文的源MAC地址,格式为H-H-H。如果未指定本参数,则对所有ARP报文进行限速。

pps:ARP限速速率,单位为包每秒(pps),取值范围为1~500。

【使用指导】

应用场景

网络中可能存在某些特定的客户端发送大量ARP请求报文的情况,如果网关设备性能较低,收到大量ARP请求报文后,会导致CPU负担过重,从而造成其他功能无法正常运行甚至设备瘫痪等问题。为了解决该问题,用户可以配置指定源MAC地址的ARP报文限速功能,避免设备的大量资源浪费在处理ARP报文上,保证业务的正常运行。

工作机制

执行undo命令时,如果未指定mac-address参数,则关闭对所有ARP报文的限速功能,如果指定mac-address参数,则关闭对应源MAC地址的ARP报文的限速功能。

若要开启本功能,未指定mac-address参数的命令行和指定mac-address参数的命令行可以同时配置。当两条命令行限速不一致时,对于源MAC地址为指定mac-address的ARP报文,限速值取两条命令中配置较小的值此时若执行不指定mac-address参数的undo命令行关闭对所有ARP报文的限速功能,不会关闭指定了源MAC地址的ARP报文的限速功能的配置

注意事项

如果开启了指定源MAC地址的ARP报文限速功能,且通过arp rate-limit命令配置了端口下的ARP报文限速功能,则实际生效的限速值为所有接收到该源MAC的ARP报文的端口上实际生效的限速值之和与arp rate-limit source-mac命令配置的限速值中的较小值。需要注意,端口上实际生效的限速值是端口上通过arp rate-limit配置的限速值与端口上实际接收的ARP报文流量之间的较小值。

【举例】

# 开启指定源MAC地址为0300-1602-00e0的ARP报文限速功能,并设置限速速率为50pps。

<Sysname> system-view

[Sysname] arp rate-limit source-mac 0300-1602-00e0 50

【相关命令】

·     arp rate-limit

1.5  源MAC地址固定的ARP攻击检测配置命令

1.5.1  arp source-mac

arp source-mac命令用来开启源MAC地址固定的ARP攻击检测功能,并选择检查模式。

undo arp source-mac命令用来关闭源MAC地址固定的ARP攻击检测功能。

【命令】

arp source-mac { filter | monitor }

undo arp source-mac [ filter | monitor ]

【缺省情况】

源MAC地址固定的ARP攻击检测功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

filter:配置检查方式为过滤模式。

monitor:配置检查方式为监控模式。

【使用指导】

本特性在以下接口不起作用。

·     三层以太网接口

·     三层以太网子接口

·     三层聚合接口

·     三层聚合子接口

建议在网关设备上开启本功能。

本特性根据ARP报文的源MAC地址对上送CPU的ARP报文进行统计,在5秒内,如果收到同一源MAC地址(源MAC地址固定)的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。当开启了ARP日志信息功能(配置arp check log enable命令),且在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉,同时还会将源/目的MAC地址为该MAC地址的数据报文也过滤掉;如果设置的检查模式为监控模式,则只打印日志信息,不会过滤报文。关于ARP日志信息功能的详细描述,请参见“三层技术-IP业务配置指导”中的“ARP”。

如果undo arp source-mac命令中未指定检查模式,则关闭任意检查模式的源MAC地址固定的ARP攻击检测功能。

【举例】

# 开启源MAC地址固定的ARP攻击检测功能,并选择filter检查模式。

<Sysname> system-view

[Sysname] arp source-mac filter

1.5.2  arp source-mac aging-time

arp source-mac aging-time命令用来配置源MAC地址固定的ARP攻击检测表项的老化时间。

undo arp source-mac aging-time命令用来恢复缺省情况。

【命令】

arp source-mac aging-time time

undo arp source-mac aging-time

【缺省情况】

源MAC地址固定的ARP攻击检测表项的老化时间为300秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

time:源MAC地址固定的ARP攻击检测表项的老化时间,取值范围为60~6000,单位为秒。

【使用指导】

本特性在以下接口不起作用。

·     三层以太网接口

·     三层以太网子接口

·     三层聚合接口

·     三层聚合子接口

【举例】

# 配置源MAC地址固定的ARP攻击检测表项的老化时间为60秒。

<Sysname> system-view

[Sysname] arp source-mac aging-time 60

1.5.3  arp source-mac exclude-mac

arp source-mac exclude-mac命令用来配置保护MAC地址。当配置了保护MAC地址之后,即使该ARP报文中的MAC地址存在攻击也不会被检测过滤。

undo arp source-mac exclude-mac命令用来取消配置的保护MAC地址。

【命令】

arp source-mac exclude-mac mac-address&<1-10>

undo arp source-mac exclude-mac [ mac-address&<1-10> ]

【缺省情况】

未配置任何保护MAC地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

mac-address&<1-10>:MAC地址列表。其中,mac-address表示配置的保护MAC地址,格式为H-H-H。&<1-10>表示每次最多可以配置的10个保护MAC地址。

【使用指导】

如果undo命令中未指定MAC地址,则取消所有已配置的保护MAC地址。

本命令支持重复配置,设备上最多可以配置64个保护MAC地址。

【举例】

# 配置源MAC地址固定的ARP攻击检查的保护MAC地址为001e-1200-0213。

<Sysname> system-view

[Sysname] arp source-mac exclude-mac 001e-1200-0213

1.5.4  arp source-mac log enable

arp source-mac log enable命令用来开启源MAC地址固定的ARP攻击检测日志信息功能。

undo arp source-mac log enable命令用来关闭源MAC地址固定的ARP攻击检测日志信息功能。

【命令】

arp source-mac log enable

undo arp source-mac log enable

【缺省情况】

源MAC地址固定的ARP攻击检测日志信息功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

当设备判断网络中存在源MAC地址固定的ARP攻击时,会生成源MAC地址固定的ARP攻击检测的日志信息,并将该日志信息交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

网络管理员可以根据日志信息定位问题和解决问题。

【举例】

# 开启源MAC地址固定的ARP攻击检测日志信息功能。

<Sysname> system-view

[Sysname] arp source-mac log enable

1.5.5  arp source-mac threshold

arp source-mac threshold命令用来配置源MAC地址固定的ARP报文攻击检测阈值,当在固定的时间(5秒)内收到源MAC地址固定的ARP报文超过该阈值则认为存在ARP报文攻击。

undo arp source-mac threshold命令用来恢复缺省情况。

当设备同时配置arp source-mac threshold命令和arp source-mac filter命令时,设备接收到源MAC固定的ARP报文超过该阈值时,会通过arp source-mac filter命令配置生成源MAC固定的报文丢弃表项,当源MAC固定的报文丢弃表项到达老化时间后,设备再次接收到表项中的报文时,即使不达到阈值也会重新刷新表象 。

【命令】

arp source-mac threshold threshold-value

undo arp source-mac threshold

【缺省情况】

源MAC地址固定的ARP报文攻击检测的阈值为30。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

threshold-value:固定时间内源MAC地址固定的ARP报文攻击检测的阈值,单位为报文个数,取值范围为1~5000

【使用指导】

本特性在以下接口不起作用。

·     三层以太网接口

·     三层以太网子接口

·     三层聚合接口

·     三层聚合子接口

【举例】

# 配置源MAC地址固定的ARP报文攻击检测阈值为30个。

<Sysname> system-view

[Sysname] arp source-mac threshold 30

1.5.6  display arp source-mac

display arp source-mac命令用来显示检测到的源MAC地址固定的ARP攻击检测表项。

【命令】

display arp source-mac { interface interface-type interface-number [ slot slot-number ] | slot slot-number }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:显示指定接口检测到的源MAC地址固定的ARP攻击检测表项,interface-type interface-number表示指定接口的类型和编号。

slot slot-number:显示虚拟接口包含的指定成员设备上的物理口检测到的源MAC地址固定的ARP攻击检测表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示的是虚拟接口在主设备上的物理口检测到的源MAC地址固定的ARP攻击检测表项。

slot slot-number:显示指定成员设备检测到的源MAC地址固定的ARP攻击检测表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上检测到的源MAC地址固定的ARP攻击检测表项。

【使用指导】

显示虚拟接口检测到的源MAC地址固定的ARP攻击检测表项时,才支持输入slot参数;显示物理口检测到的源MAC地址固定的ARP攻击检测表项时,不支持输入slot参数。

虚拟接口支持二层聚合接口、三层聚合接口。

【举例】

# 显示接口Ten-GigabitEthernet1/0/1检测到的源MAC地址固定的ARP攻击检测表项。

<Sysname> display arp source-mac interface ten-gigabitethernet 1/0/1

Source-MAC       VLAN/VSI name     Interface                Aging-time (sec)

23f3-1122-3344   4094              XGE1/0/1                 10

表1-3 display arp source-mac命令显示信息描述表

字段

描述

Source-MAC

检测到攻击的源MAC地址

VLAN/VSI name

检测到攻击的VLAN的编号或VSI名称,如果检测到的攻击不属于任何VLAN,则显示为“N/A”

Interface

攻击来源的接口

Aging-time (sec)

ARP防攻击策略表项老化剩余时间,单位为秒

 

1.6  ARP报文源MAC地址一致性检查配置命令

1.6.1  arp valid-check enable

arp valid-check enable命令用来开启ARP报文源MAC地址一致性检查功能。

undo arp valid-check enable命令用来关闭ARP报文源MAC地址一致性检查功能。

【命令】

arp valid-check enable

undo arp valid-check enable

【缺省情况】

ARP报文源MAC地址一致性检查功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

ARP报文源MAC地址一致性检查功能主要应用于网关设备。

开启ARP报文源MAC地址一致性检查功能后,设备会对接收的ARP报文进行检查,如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则丢弃该报文。

【举例】

# 开启ARP报文源MAC地址一致性检查功能。

<Sysname> system-view

[Sysname] arp valid-check enable

1.7  ARP主动确认配置命令

1.7.1  arp active-ack enable

arp active-ack enable命令用来开启ARP主动确认功能。

undo arp active-ack enable命令用来关闭ARP主动确认功能。

【命令】

arp active-ack [ strict ] enable

undo arp active-ack [ strict ] enable

【缺省情况】

ARP主动确认功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

strict:ARP主动确认功能的严格模式。

【使用指导】

ARP的主动确认功能主要应用于网关设备,防止攻击者仿冒用户欺骗网关设备。

【举例】

# 开启ARP主动确认功能。

<Sysname> system-view

[Sysname] arp active-ack enable

1.8  授权ARP配置命令

1.8.1  arp authorized enable

arp authorized enable命令用来开启接口下的授权ARP功能。

undo arp authorized enable命令用来关闭接口下的授权ARP功能。

【命令】

arp authorized enable

undo arp authorized enable

【缺省情况】

接口下的授权ARP功能处于关闭状态。

【视图】

三层以太网接口视图

三层以太网子接口视图

三层聚合接口视图

三层聚合子接口视图

VLAN接口视图

【缺省用户角色】

network-admin

【举例】

# 开启Vlan-interface200接口下授权ARP功能。

<Sysname> system-view

[Sysname] interface vlan-interface 200

[Sysname-Vlan-interface200] arp authorized enable

1.9  ARP Detection配置命令

1.9.1  arp detection enable

arp detection enable命令用来开启ARP Detection功能,即对ARP报文进行用户合法性检查。

undo arp detection enable命令用来关闭ARP Detection功能。

【命令】

arp detection enable

undo arp detection enable

【缺省情况】

ARP Detection功能处于关闭状态,即不进行用户合法性检查。

【视图】

VLAN视图

VSI视图

【缺省用户角色】

network-admin

【举例】

# 在VLAN 2下开启ARP Detection功能。

<Sysname> system-view

[Sysname] vlan 2

[Sysname-vlan2] arp detection enable

# 在VSI vsi1下开启ARP Detection功能。

<Sysname> system-view

[Sysname] vsi vsi1

[Sysname-vsi-vsi1] arp detection enable

【相关命令】

·     arp detection rule

·     display arp detection

·     display arp detection statistics attack-source

·     reset arp detection statistics attack-source

1.9.2  arp detection log enable

arp detection log enable命令用来开启ARP Detection日志功能。

undo arp detection log enable命令用来关闭ARP Detection日志功能。

【命令】

arp detection log enable [ interval interval | number number  | threshold threshold-value ] *

undo arp detection log enable

【缺省情况】

ARP Detection日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interval interval:ARP Detection日志信息输出周期,interval的取值范围为0、10~3600,单位为秒,缺省值为60。当interval取值为0时,表示立即输出日志信息。

number number:每个输出周期输出的ARP Detection日志最大数量,number的取值范围为1~128,缺省值为128。

threshold threshold-value:同一目的地址的ARP攻击报文数,threshold-value的取值范围为1~128,缺省值为1。

【使用指导】

ARP Detection日志可以方便管理员定位问题和解决问题。设备生成的ARP Detection日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

当设备输出大量ARP Detection日志信息时,会降低设备性能。这时用户可以关闭ARP Detection日志功能,使设备不再输出ARP Detection日志信息。

大量的日志信息不仅影响设备性能,还影响管理员查看日志和定位问题。用户可以设置每个输出周期输出的ARP Detection日志数量,超过指定的日志数量的日志信息不会被显示。用户还可以配置针对单个地址收到的攻击报文数的阈值,当设备收到某个地址对应的攻击报文时,开始计数,当收到的单个地址对应的攻击报文大于或等于阈值时,生成对应的ARP Detection日志。

对于单个成员设备,最多支持同时输出128条ARP Detection日志信息。

【举例】

# 开启ARP Detection日志功能。

<Sysname> system-view

[Sysname] arp detection log enable

1.9.3  arp detection port-match-ignore

arp detection port-match-ignore命令用来开启ARP Detection忽略端口匹配检查功能。

undo arp detection port-match-ignore命令用来关闭ARP Detection忽略端口匹配检查功能。

【命令】

arp detection port-match-ignore

undo arp detection port-match-ignore

【缺省情况】

ARP Detection忽略端口匹配检查功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启ARP Detection忽略端口匹配检查功能后,ARP Detection在进行各类安全表项检查时,忽略ARP报文入端口和表项中的端口是否匹配的检查。

【举例】

# 开启ARP Detection忽略端口匹配检查功能。

<Sysname> system-view

[Sysname] arp detection port-match-ignore

【相关命令】

·     arp detection enable

1.9.4  arp detection rule

arp detection rule命令用来配置用户合法性检查规则。

undo arp detection rule命令用来删除用户合法性检查规则。

【命令】

arp detection rule rule-id { deny | permit } ip { ip-address [ mask ] | any } mac { mac-address [ mask ] | any } [ vlan vlan-id | vsi vsi-name ]

undo arp detection rule [ rule-id ]

【缺省情况】

未配置用户合法性检查规则。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

rule-id:用户合法性规则编号,取值范围为0~511,数值越小表示该用户合法性规则优先级越高。

deny:丢弃指定范围内的ARP报文。

permit:转发指定范围内的ARP报文。

ip { ip-address [ mask ] | any }:指定报文的源IP地址范围。

·     ip-address:表示报文的源IP地址,为点分十进制形式。

·     mask:表示源IP地址的掩码,为点分十进制形式。如果未指定该参数,则ip-address表示主机地址。

·     any:表示任意源IP地址。

mac { mac-address [ mask ] | any }:指定报文的源MAC地址范围。

·     mac-address:表示报文的源MAC地址,格式为H-H-H。

·     mask:表示源MAC地址的掩码,格式为H-H-H。如果未指定该参数,则mac-address表示主机MAC地址。

·     any:表示任意源MAC地址。

vlan vlan-id:指定规则中匹配的VLAN,vlan-id的取值范围为1~4094。如果未指定该参数,则不对报文中的VLAN进行匹配检查。

vsi vsi-name:指定规则中匹配的VSI。vsi-name表示VSI的名称,为1~31个字符的字符串,区分大小写。如果未指定该参数,则不对报文所属的VSI进行匹配检查。

【使用指导】

只有配置了arp detection enable命令后,通过命令arp detection rule配置的规则才生效。

使用undo arp detection rule命令时,如果未指定rule-id,则会删除设备上所有已配置的用户合法性规则。

要使规则中匹配的VSI生效,需要执行l2vpn enable命令开启L2VPN功能。

【举例】

# 配置用户合法性规则,规则编号为0,规则内容为转发源地址为10.1.1.1、掩码为255.255.0.0、源MAC地址为0001-0203-0405、掩码为ffff-ffff-0000的ARP报文。并在VLAN2中开启用户合法性检查功能。

<Sysname> system-view

[Sysname] arp detection rule 0 permit ip 10.1.1.1 255.255.0.0 mac 0001-0203-0405 ffff-ffff-0000

[Sysname] vlan 2

[Sysname-vlan2] arp detection enable

# 配置用户合法性规则,规则编号为1,规则内容为转发源地址为10.1.1.2、掩码为255.255.0.0、源MAC地址为0001-0203-0406、掩码为ffff-ffff-0000、所属VSI为vpna的ARP报文。并在VSI vpna下开启用户合法性检查功能。

<Sysname> system-view

[Sysname] arp detection rule 1 permit ip 10.1.1.2 255.255.0.0 mac 0001-0203-0406 ffff-ffff-0000 vsi vpna

[Sysname] vsi vpna

[Sysname-vsi-vpna] arp detection enable

【相关命令】

·     arp detection enable

1.9.5  arp detection trust

arp detection trust命令用来配置接口为ARP信任接口。

undo arp detection trust命令用来恢复缺省情况。

【命令】

arp detection trust

undo arp detection trust

【缺省情况】

接口为ARP非信任接口。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【举例】

# 配置二层以太网接口Ten-GigabitEthernet1/0/1为ARP信任接口。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] arp detection trust

1.9.6  arp detection validate

arp detection validate命令用来开启对ARP报文的目的MAC地址或源MAC地址、IP地址的有效性检查。

undo arp detection validate命令用来关闭对ARP报文的有效性检查。

【命令】

arp detection validate { dst-mac | ip | src-mac } *

undo arp detection validate [ dst-mac | ip | src-mac ] *

【缺省情况】

ARP报文有效性检查功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

dst-mac:检查ARP应答报文中的目的MAC地址,是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,无效的报文需要被丢弃。

ip:检查ARP报文源IP和目的IP地址,全1或者组播IP地址都是不合法的,需要丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。

src-mac:检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致认为有效,否则丢弃。

【使用指导】

开启有效性检查时可以指定某一种检查方式也可以配置成多种检查方式的组合。

关闭时可以指定关闭某一种或多种检查,在不指定检查方式时,表示关闭所有有效性检查。

【举例】

# 开启对ARP报文的MAC地址和IP地址的有效性检查。

<Sysname> system-view

[Sysname] arp detection validate dst-mac ip src-mac

1.9.7  arp restricted-forwarding enable

arp restricted-forwarding enable命令用来开启ARP报文强制转发功能。

undo arp restricted-forwarding enable命令用来关闭ARP报文强制转发功能。

【命令】

arp restricted-forwarding enable

undo arp restricted-forwarding enable

【缺省情况】

ARP报文强制转发功能处于关闭状态。

【视图】

VLAN视图

【缺省用户角色】

network-admin

【举例】

# 开启VLAN 2的ARP报文强制转发功能。

<Sysname> system-view

[Sysname] vlan 2

[Sysname-vlan2] arp restricted-forwarding enable

1.9.8  display arp detection

display arp detection命令用来显示配置了ARP Detection功能的VLAN和VSI。

【命令】

display arp detection

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示所有配置了ARP Detection功能的VLAN和VSI。

<Sysname> display arp detection

 ARP detection is enabled in the following VLANs:

 1-2, 4-5

 ARP detection is enabled in the following VSIs:

 vpna

 vsi-0000-0000-0031

 vpnb

 vpnc-vsi-0000-0000-00aa

表1-4 display arp detection命令显示信息描述表

字段

描述

ARP detection is enabled in the following VLANs

配置了ARP Detection功能的VLAN信息,如果不存在配置了ARP Detection功能的VLAN,则显示“ARP detection is not enabled in any VLANs.”

ARP detection is enabled in the following VSIs

配置了ARP Detection功能的VSI信息,如果不存在配置了ARP Detection功能的VSI,则显示“ARP detection is not enabled in any VSIs.”

 

【相关命令】

·     arp detection enable

1.9.9  display arp detection statistics attack-source

display arp detection statistics attack-source命令用来显示ARP Detection攻击源统计信息。

【命令】

display arp detection statistics attack-source slot slot-number

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number:显示指定成员设备的ARP Detection攻击源统计信息。slot-number表示设备在IRF中的成员编号。

【使用指导】

执行本命令最多显示1024条信息。前1023条是有效的ARP Detection攻击源统计信息,第1024条是一条统计标识信息。当攻击源统计信息少于1024条时,不会显示统计标识信息。

当设备学习到第1024条表项时,会使用最新学习到的表项覆盖最老的表项,同时生成第1024条统计标识信息。第1024条表项中各字段的取值为:

·     Interface、VLAN、MAC address和IP address字段取值为空。

·     Number字段为被覆盖表项的Number字段的取值。

·     Time字段取值为生成第1024条表项的时间。

后续,设备再学习到新的表项,同样是使用最新学习到的表项覆盖最老的表项,并更新第1024条统计标识信息:

·     Number字段取值累加被覆盖表项的Number字段取值。

·     Time字段更新为更新本表项的时间。

【举例】

# 显示Slot 1所有的ARP Detection攻击源统计信息。

<Sysname> display arp detection statistics attack-source slot 1

Interface              VLAN  MAC address    IP address      Number     Time

XGE1/0/1               1     0005-0001-0001 10.1.1.14       24         17:09:56

03-27-2017

表1-5 display arp detection attack statistics attack-source命令显示信息描述表

字段

描述

Interface

ARP Detection攻击报文的入接口

VLAN

ARP Detection攻击报文所属VLAN

MAC address

ARP Detection攻击报文中的源MAC地址

IP address

ARP Detection攻击报文中的源IP地址

Number

ARP Detection攻击报文被拦截的次数

Time

最近一次拦截该ARP Detection攻击报文的时间

 

【相关命令】

·     arp detection enable

1.9.10  display arp detection statistics packet-drop

display arp detection statistics packet-drop命令用来显示ARP Detection丢弃报文的统计信息。

【命令】

display arp detection statistics packet-drop [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:显示指定接口的ARP Detection丢弃报文的统计信息。interface-type interface-number用来指定接口类型和编号。如果未指定本参数,则显示所有接口的ARP Detection丢弃报文的统计信息。

【使用指导】

按接口显示用户合法性检查和报文有效性检查的统计情况,只显示ARP Detection功能报文的丢弃情况。

【举例】

# 显示ARP Detection丢弃报文的统计信息。

<Sysname> display arp detection statistics packet-drop

State: U-Untrusted  T-Trusted

ARP packets dropped by ARP inspect checking:

Interface/AC(State)         IP        Src-MAC   Dst-MAC   Inspect

XGE1/0/1(U)                 40        0         0         78

XGE1/0/2(U)                 0         0         0         0

XGE1/0/3(T)                 0         0         0         0

XGE1/0/4(U)                 0         0         30        0

XGE1/0/5-srv1(U)            0         10        20        0

XGE1/0/5-srv2(T)            10        0         20        22

表1-6 display arp detection statistics packet-drop命令显示信息描述表

字段

描述

State

接口状态:

·     U:ARP非信任接口

·     T:ARP信任接口

Interface/AC(State)

ARP报文入接口,State表示该接口的信任状态

IP

ARP报文源和目的IP地址检查不通过丢弃的报文计数

Src-MAC

ARP报文源MAC地址检查不通过丢弃的报文计数

Dst-MAC

ARP报文目的MAC地址检查不通过丢弃的报文计数

Inspect

ARP报文结合用户合法性检查不通过丢弃的报文计数

 

【相关命令】

·     reset arp detection statistics packet-drop

1.9.11  reset arp detection statistics attack-source

reset arp detection statistics attack-source命令用来清除ARP Detection攻击源统计信息。

【命令】

reset arp detection statistics attack-source [ slot slot-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

slot slot-number:清除指定成员设备的ARP Detection攻击源统计信息。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则清除所有成员设备上的ARP Detection攻击源统计信息。

【举例】

# 清除所有的ARP Detection攻击源统计信息。

<Sysname> reset arp detection statistics attack-source

【相关命令】

·     arp detection enable

·     display arp detection statistics attack-source

1.9.12  reset arp detection statistics packet-drop

reset arp detection statistics packet-drop命令用来清除ARP Detection的报文丢弃统计信息。

【命令】

reset arp detection statistics packet-drop [ interface interface-type interface-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:表示清除指定接口下的ARP Detection的报文丢弃统计信息。interface-type interface-number用来指定接口类型和编号。如果未指定本参数,则清除所有接口下的ARP Detection报文丢弃统计信息。

【举例】

# 清除所有的ARP Detection的报文丢弃统计信息。

<Sysname> reset arp detection statistics packet-drop

【相关命令】

·     display arp detection statistics packet-drop

1.10  ARP自动扫描、固化配置命令

1.10.1  arp fixup

arp fixup命令用来将设备上的动态ARP表项转化成静态ARP表项。

undo arp fixup命令用来将设备上有效静态ARP表项转化为动态ARP表项,将无效静态ARP表项删除。

【命令】

arp fixup

undo arp fixup

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

本命令将当前的动态ARP表项转换为静态ARP表项,后续学习到的动态ARP表项可以通过再次执行arp fixup命令进行固化。

固化后的静态ARP表项与配置产生的静态ARP表项相同。

固化生成的静态ARP表项数量同样受到设备可以支持的静态ARP表项数目的限制,由于静态ARP表项数量的限制可能导致只有部分动态ARP表项被固化。

如果用户执行固化前有D个动态ARP表项,S个静态ARP表项,由于固化过程中存在动态ARP表项的老化或者新建动态ARP表项的情况,所以固化后的静态ARP表项可能为(D+S+M-N)个。其中,M为固化过程中新建的动态ARP表项个数,N为固化过程中老化的动态ARP表项个数。

通过固化生成的静态ARP表项,可以通过命令行undo arp ip-address [ vpn-instance-name ]逐条删除,也可以通过命令行reset arp allreset arp static全部删除。

【举例】

# 将设备上的动态ARP表项转化成静态ARP表项。

<Sysname> system-view

[Sysname] arp fixup

This command will convert existing dynamic ARP entries to static ARP entries. Continue? [Y/N]:Y

Fixup ARP. Please wait...

Fixup is complete.

1.10.2  arp scan

arp scan命令用来开启ARP自动扫描功能。

【命令】

arp scan [ start-ip-address to end-ip-address ] [ send-rate { ppm ppm | pps } ]

【视图】

三层以太网接口视图

三层以太网子接口视图

三层聚合接口视图

三层聚合子接口视图

VLAN接口视图

【缺省用户角色】

network-admin

【参数】

start-ip-address:ARP扫描区间的起始IP地址。起始IP地址必须小于等于终止IP地址。

end-ip-address:ARP扫描区间的终止IP地址。

send-rate ppm ppm:接口发送ARP报文的速率,单位为包每分钟。ppm的取值范围为10~600,且配置需要设置为10的整数倍,否则设备会提示配置错误。

send-rate pps:接口发送ARP报文的速率,单位为包每秒。pps的取值范围为10~1000,且需要设置为10的整数倍,否则设备会提示配置错误。

【使用指导】

注意

扫描操作可能比较耗时,且会占用较大的设备资源和网络负载。可以通过<Ctrl_C>来终止扫描(在终止扫描时,对于已经收到的邻居应答,会建立该邻居的动态ARP表项)。

 

ARP自动扫描功能可以对接口下指定地址范围内的邻居进行扫描,对于已存在ARP表项的IP地址不进行扫描。

如果用户知道局域网内邻居分配的IP地址范围,指定了ARP扫描区间,则对该范围内的邻居进行扫描,减少扫描等待的时间。如果指定的扫描区间同时在接口下多个IP地址的网段内,则发送的ARP请求报文的源IP地址选择网段范围较小的接口IP地址。

如果用户不指定ARP扫描区间的起始IP地址和终止IP地址,则仅对接口下的主IP地址网段内的邻居进行扫描。其中,发送的ARP请求报文的源IP地址就是接口的主IP地址。

ARP扫描区间的起始IP地址和终止IP地址必须与接口的IP地址(主IP地址或手工配置的从IP地址)在同一网段。

接口上开启了ARP自动扫描功能后,会向扫描区间的所有IP地址同时发送ARP请求报文,这会造成设备瞬间CPU利用率过高、网络负载过大的问题。用户可以通过设置接口发送ARP报文的速率解决此问题。

当发送ARP报文的速率配置为较大值时,为避免影响设备性能,设备实际发送ARP报文的速率可能会小于该配置值。

如果未指定send-rate ppm ppmsend-rate pps参数,则接口会向扫描区间的所有IP地址同时发送ARP请求报文。

【举例】

# 对接口Vlan-interface2下的主IP地址网段内的邻居进行扫描。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] arp scan

# 对接口Vlan-interface2下指定地址范围内的邻居进行扫描。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] arp scan 1.1.1.1 to 1.1.1.20

# 对VLAN接口2下指定地址范围内的邻居进行扫描,并设置接口发送ARP报文的速率为10pps。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] arp scan 1.1.1.1 to 1.1.1.20 send-rate 10

1.10.3  arp scan auto enable

arp scan auto enable命令用来在接口上开启ARP周期性自动扫描功能,并指定扫描范围。

undo arp scan auto enable命令用来在接口上关闭ARP周期性自动扫描功能。

【命令】

arp scan auto enable [ start-ip-address to end-ip-address ]

undo arp scan auto enable

【缺省情况】

接口上的ARP周期性自动扫描功能处于关闭状态。

【视图】

三层以太网接口视图

三层以太网子接口视图

三层聚合接口视图

三层聚合子接口视图

VLAN接口视图

VSI接口视图

【缺省用户角色】

network-admin

【参数】

start-ip-address:ARP自动扫描区间的起始IP地址。起始IP地址必须小于等于终止IP地址。

end-ip-address:ARP自动扫描区间的终止IP地址。起始IP地址和终止IP地址之间的地址个数不能超过65535。

【使用指导】

接口上开启了ARP周期自动扫描功能后,会定时向接口指定范围内的所有不存在ARP表项的IP地址发送ARP请求报文。通过在接口上开启本功能,解决了接口ARP表项无法及时刷新的问题。

接口发送ARP请求报文时使用的源IP地址由配置决定:

·     如果开启本功能时指定了扫描区间:

¡     若待扫描的IP地址分布在接口下多个IP地址网段内,则选择网段范围较小的接口IP地址。

¡     若待扫描的IP地址全部在接口下同一个IP地址网段内,则选择此IP地址。

·     如果开启本功能时未指定扫描区间,则扫描和接口主IP地址同网段的所有IP地址,发送请求报文的源IP地址为接口主IP地址。

需要注意的是接口上开启了ARP周期自动扫描功能后,会按照扫描速率向扫描区间的所有IP地址发送ARP请求报文,设备发送ARP报文的速率可在系统视图下通过arp scan auto send-rate命令设置。

如果接口下同时配置了本命令和arp scan命令,则两个功能可以同时生效。通常,仅建议在网络中用户频繁上下线的环境下开启本功能。

【举例】

# 对接口Vlan-interface2下的主IP地址网段内的邻居进行扫描。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] arp scan auto enable

【相关命令】

·     arp scan auto send-rate

1.10.4  arp scan auto send-rate

arp scan auto send-rate命令用来设置ARP周期自动扫描速率。

undo arp scan auto send-rate命令用来恢复缺省情况。

【命令】

arp scan auto send-rate { ppm ppm |  pps pps }

undo arp scan auto send-rate

【缺省情况】

ARP周期自动扫描速率为48pps。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ppm ppm:接口发送ARP报文的速率,单位为包每分钟。ppm的取值范围为10~600,且配置需要设置为10的整数倍。

pps pps:接口发送ARP报文的速率,单位为包每秒。pps的取值范围为10~1000,且需要设置为10的整数倍。

【使用指导】

接口下开启了ARP周期自动扫描功能的情况下,为避免大量ARP报文的发送对设备性能造成影响,可通过本命令调整设备发送的ARP报文的速率。

当发送ARP报文的速率配置为较大值时,为避免影响设备性能,设备实际发送ARP报文的速率可能会小于该配置值。

【举例】

# 配置ARP周期自动扫描速率为10pps。

<Sysname> system-view

[Sysname] arp scan auto send-rate pps 10

【相关命令】

·     arp scan auto enable

1.11  ARP的Keepalive表项扫描

1.11.1  arp scan keepalive aging-time

arp scan keepalive aging-time命令用来配置ARP的Keepalive表项的老化时间。

undo arp scan keepalive aging-time命令用来恢复缺省情况。

【命令】

arp scan keepalive aging-time time

undo arp scan keepalive aging-time

【缺省情况】

系统视图下,ARP的Keepalive表项的老化时间为60分钟。

接口视图下,ARP的Keepalive表项的老化时间采用系统视图下的配置。

【视图】

系统视图

三层以太网接口视图

三层以太网子接口视图

三层聚合接口视图

三层聚合子接口视图

VSI虚接口视图

VLAN接口视图

【缺省用户角色】

network-admin

【参数】

time:ARP的Keepalive表项的老化时间,单位为分钟,取值范围为1~1440。

【使用指导】

ARP的Keepalive表项的老化时间可以在系统视图和接口视图下同时配置,优先使用接口视图下的配置,如果接口视图下为缺省配置则使用系统视图下的配置。

在接口上通过arp scan keepalive enable命令开启ARP的Keepalive表项扫描功能后,用户上线时系统会建立对应的状态为在线的Keepalive表项。用户下线时,对应的Keepalive表项状态被置为离线,如果用户重新上线则状态会再次被置为在线。处于离线状态的Keepalive表项在老化时间内没有变为在线便会被删除。

如果配置的老化时间过短,可能会导致异常下线的设备来不及通过ARP请求报文恢复;如果配置的老化时间过长,会导致正常下线的设备对应的Keepalive表项长时间存在,即造成表项的冗余。

【举例】

# 配置ARP的Keepalive表项的老化时间为10分钟。

<Sysname> system-view

[Sysname] arp scan keepalive aging-time 10

# 在VLAN接口100上配置ARP的Keepalive表项的老化时间为100分钟。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname-Vlan-interface100] arp scan keepalive aging-time 100

【相关命令】

·     arp scan keepalive enable

1.11.2  arp scan keepalive enable

arp scan keepalive enable命令用来在接口上开启ARP的Keepalive表项扫描功能。

undo arp scan keepalive enable命令用来在接口上关闭ARP的Keepalive表项扫描功能。

【命令】

arp scan keepalive enable

undo arp scan keepalive enable

【缺省情况】

接口上的ARP的Keepalive表项扫描功能处于关闭状态。

【视图】

三层以太网接口视图

三层以太网子接口视图

三层聚合接口视图

三层聚合子接口视图

VSI虚接口视图

VLAN接口视图

【缺省用户角色】

network-admin

【使用指导】

在规模较大的组网环境中(比如园区网络),使用ARP周期性扫描功能后,如果指定的扫描范围过大,会导致需要较长的时间才能扫描到异常下线的主机。开启本功能后系统可以通过Keepalive表项快速定位异常下线的主机,并在老化时间内对异常下线主机的状态进行监测。

用户上线后,系统会生成动态ARP表项和IP Source Guard绑定表项。开启本功能后,系统会根据这些表项建立状态为在线的Keepalive表项。用户下线后其ARP表项会被删除,对应的Keepalive表项的状态被置为离线。设备每隔一段时间会向处于离线状态的Keepalive表项对应的IP发送ARP请求报文,直到Keepalive表项的状态恢复成在线。对于某处于离线状态的Keepalive表项,设备发送ARP请求报文的间隔时间由已经向此Keepalive表项对应的IP地址发送的ARP请求报文的个数决定:个数小于等于50时间隔时间为30秒,个数大于50且小于等于100时间隔时间为45秒,个数大于100时间隔时间为60秒。管理员可以通过display arp scan keepalive entry命令查看Keepalive表项。关于IP Source Guard的详细介绍,请参见“安全配置指导”中的“IP Source Guard”。

可以通过arp scan keepalive aging-time命令配置Keepalive表项的老化时间,处于离线状态的Keepalive表项在老化时间内没有恢复为在线便会被删除。

【举例】

# 在VLAN接口100上开启ARP扫描探测命令开关。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname-Vlan-interface100] arp scan keepalive enable

【相关命令】

·     arp scan keepalive aging-time

·     arp scan keepalive send-rate

·     display arp scan keepalive entry

1.11.3  arp scan keepalive send-rate

arp scan keepalive send-rate命令用来设置ARP的Keepalive表项扫描速率。

undo arp scan keepalive send-rate命令用来恢复缺省情况。

【命令】

arp scan keepalive send-rate pps

undo arp scan keepalive send-rate

【缺省情况】

ARP的Keepalive表项扫描速率为每秒发送48个ARP请求报文。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

pps:接口发送ARP报文的速率,取值范围为10~1000,单位为包每秒,为10的整数倍。

【使用指导】

接口下开启Keepalive表项扫描功能后,如果Keepalive表项的状态被置为离线,接口会按照指定的速率向离线表项对应的IP地址发送ARP请求报文。为避免接口发送的ARP请求报文对设备性能造成影响,可通过本命令调整接口发送ARP请求报文的速率。

如果一个Keepalive表项的状态被置为离线,且此Keepalive表项没有在等待发送ARP请求报文的间隔时间结束,则此Keepalive表项是一个待扫描Keepalive表项。接口每秒会分别向不同的待扫描Keepalive表项对应的IP地址发送一个ARP请求报文。ARP的Keepalive表项扫描速率为每秒扫描的待扫描Keepalive表项的最大个数。如果待扫描Keepalive表项的个数小于扫描速率的值,则设备会在一秒内扫描所有的待扫描Keepalive表项;如果待扫描Keepalive表项的个数大于扫描速率的值,则设备在一秒内扫描的待扫描Keepalive表项的个数为扫描速率的值,且在下一秒继续扫描。

当发送ARP报文的速率配置为较大值时,为避免影响设备性能,设备实际发送ARP报文的速率可能会小于该配置值。

【举例】

# 配置设备每秒最多能够发送10个ARP请求报文。

<Sysname> system-view

[Sysname] arp scan keepalive send-rate 10

【相关命令】

·     arp scan keepalive enable

1.11.4  display arp scan keepalive entry

display arp scan keepalive entry命令用来显示ARP的Keepalive表项信息。

【命令】

display arp scan keepalive entry [ interface interface-type interface-number ] [ count ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:显示指定接口Keepalive表项信息。interface-type interface-number表示指定接口的类型和编号。不指定则显示所有接口类型。

count:指定该参数则只显示Keepalive表项数量。

【举例】

<Sysname> display arp scan keepalive entry

Interface: XGE1/0/1

IPv4 address: 192.168.56.1        MAC address: 08-00-27-00-50-38

VLANID: 1                         SECVLANID: 1

Port interface: --                VPN instance: --

Scan status: 1                    Probe count: 10

Scan time: 08:01:01

表1-7 display arp scan keepalive entry 命令显示信息描述表

字段

描述

Interface

三层接口名称

IPv4 address

表项IPv4地址

MAC address

表项MAC地址

VLANID

Primary VLAN编号

SECVLANID

Secondary VLAN编号

Port interface

ARP报文的二层入接口

VPN instance

VPN实例

Scan status

扫描状态,“0”表示离线,“1”表示在线

Probe count

扫描计数

Scan time

Keepalive表项变为离线状态的时间

 

1.11.5  display arp scan keepalive statistics

display arp scan keepalive statistics命令用来显示接口向异常状态的Keepalive表项发送的ARP请求报文个数。

【命令】

display arp scan keepalive statistics [ slot slot-number [ cpu cpu-number ] ] [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:显示指定接口向异常状态的Keepalive表项发送的ARP请求报文的个数。interface-type 为指定的接口类型,interface-number为指定的接口编号。如果未指定本参数,则显示所有接口向异常状态的Keepalive表项发送的ARP请求报文的个数。

slot slot-number:显示指定成员设备向异常状态的Keepalive表项发送的ARP请求报文的个数。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示所有成员设备向异常状态的Keepalive表项发送的ARP请求报文的个数。

【使用指导】

通过本命令可以分别查看最近5秒、1分钟、5分钟接口向离线状态的Keepalive表项源MAC地址对应的终端发送的ARP请求报文的个数。如果接口向离线状态的Keepalive表项源MAC地址对应的终端发送的ARP请求报文的个数多,则代表处于离线状态的Keepalive表项较多或某些处于离线状态的Keepalive表项长时间没有恢复为在线状态,反之亦然。用户可以通过display arp scan keepalive entry命令查看处于离线状态的Keepalive表项的个数,从而对情况进行判断。如果是处于离线状态的Keepalive表项较多,可能是由于设置了过长的表项老化时间,也可能是网络中存在大量异常下线的情况,这时需要网络管理员检查配置及网络情况;如果是某些处于离线状态的Keepalive表项长时间没有恢复为在线状态,可能是由于ARP请求报文无法解决异常下线问题,这时需要网络管理员根据离线状态表项定位问题。

【举例】

# 显示Slot1上接口向异常状态的Keepalive表项发送的ARP请求报文的个数。

<Sysname> display arp scan keepalive statistics slot 1

Scanning statistics for slot 1:

     Total ARP requests: 1000 packets

     Start time for statistics: 12:20:30

Interface                     5 secs   1 min    5 mins 

Ten-GigabitEthernet1/0/1            123      200      230

Ten-GigabitEthernet1/0/2            0        0         0

Ten-GigabitEthernet1/0/3            0        0         0

Ten-GigabitEthernet1/0/4            0        0         0

Ten-GigabitEthernet1/0/5            0        0         0

Ten-GigabitEthernet1/0/6            0        0         0

表1-8 display arp scan keepalive statistics命令显示信息描述表

字段

描述

Total ARP requests

向异常状态的Keepalive表项发送的ARP请求报文的总数

Start time for statistics

设备开始对向异常状态的Keepalive表项发送的ARP请求报文的个数进行计数的时间

Interface

接口名

5 secs

接口最近5秒内向异常状态的Keepalive表项发送的ARP请求报文的个数

1 min

接口最近1分钟内向异常状态的Keepalive表项发送的ARP请求报文的个数

5 mins

接口最近5分钟内向异常状态的Keepalive表项发送的ARP请求报文的个数

 

【相关命令】

·     reset arp scan keepalive statistics

1.11.6  reset arp scan keepalive statistics

reset arp scan keepalive statistics命令用来清除接口向异常状态的Keepalive表项发送的ARP请求报文的计数信息。

【命令】

reset arp scan keepalive statistics [ slot slot-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

slot slot-number:表示清除指定成员设备向异常状态的Keepalive表项发送的ARP请求报文的计数信息。slot-number表示设备在IRF中的成员编号。如果未指定本参数,则清除主设备上向异常状态的Keepalive表项发送的ARP请求报文的计数信息。

【使用指导】

通过本命令可以重新统计接口向异常状态的Keepalive表项发送的ARP请求报文的计数信息。即执行display arp scan keepalive statistics命令显示的是执行本命令后接口向异常状态的Keepalive表项发送的ARP请求报文的个数,且开始计数的时间为执行本命令后设备第一次向异常状态的Keepalive表项发送的ARP请求报文的时间。

【举例】

# 清除Slot1向异常状态的Keepalive表项发送的ARP请求报文的计数信息。

<Sysname> reset arp scan keepalive statistics slot 1

【相关命令】

·     display arp scan keepalive statistics

1.12  ARP网关保护配置命令

1.12.1  arp filter source

arp filter source命令用来开启ARP网关保护功能,配置受保护的网关IP地址。

undo arp filter source命令用来关闭ARP网关保护功能,并删除已配置的受保护网关IP地址。

【命令】

arp filter source ip-address

undo arp filter source ip-address

【缺省情况】

ARP网关保护功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

以太网服务实例视图

【缺省用户角色】

network-admin

【参数】

ip-address:受保护的网关IP地址。

【使用指导】

在接口视图下和以太网服务实例视图下,分别最多支持配置8个受保护的网关IP地址。

不能在同一接口下同时配置命令arp filter sourcearp filter binding。接口下的arp filter binding命令与以太网服务实例视图下的arp filter source命令可同时配置。

【举例】

# 在Ten-GigabitEthernet1/0/1下开启ARP网关保护功能,受保护的网关IP地址为1.1.1.1。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] arp filter source 1.1.1.1

# 开启Ten-GigabitEthernet1/0/1下的以太网服务实例1的 ARP网关保护功能,受保护的网关IP地址为1.1.1.1。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[SysnameTen-GigabitEthernet1/0/1] service-instance 1

[Sysname-Ten-GigabitEthernet1/0/1-srv1] arp filter source 1.1.1.1

1.13  ARP过滤保护配置命令

1.13.1  arp filter binding

arp filter binding命令用来开启ARP过滤保护功能并配置ARP过滤保护表项。

undo arp filter binding命令用来删除ARP过滤保护表项。

【命令】

arp filter binding ip-address mac-address

undo arp filter binding ip-address

【缺省情况】

ARP过滤保护功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

ip-address:允许通过的ARP报文的源IP地址。

mac-address:允许通过的ARP报文的源MAC地址。

【使用指导】

ARP过滤保护表项可以限制只有特定源IP地址和源MAC地址的ARP报文才允许通过。

每个接口最多支持配置8组允许通过的ARP报文的源IP地址和源MAC地址。

不能在同一接口下同时配置命令arp filter sourcearp filter binding

【举例】

# 在Ten-GigabitEthernet1/0/1下开启ARP过滤保护功能,允许源IP地址为1.1.1.1、源MAC地址为0e10-0213-1023的ARP报文通过。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] arp filter binding 1.1.1.1 0e10-0213-1023

1.14  ARP报文源IP地址检查功能配置命令

1.14.1  arp sender-ip-range

arp sender-ip-range命令用来配置可接受的ARP报文中sender IP的地址范围。

undo arp sender-ip-range命令用来恢复缺省情况。

【命令】

arp sender-ip-range start-ip-address end-ip-address

undo arp sender-ip-range

【缺省情况】

未限制ARP报文中sender IP的地址范围。

【视图】

VLAN视图

【缺省用户角色】

network-admin

【参数】

start-ip-address:起始IP地址。

end-ip-address:终止IP地址,必须大于等于起始IP地址。

【使用指导】

如果设备收到的VLAN内ARP报文的sender IP不在指定地址范围内,则将该ARP报文丢弃。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 在VLAN 2内配置可接受的ARP报文中sender IP的地址范围为1.1.1.1~1.1.1.20。

<Sysname> system-view

[Sysname] vlan 2

[Sysname–vlan2] arp sender-ip-range 1.1.1.1 1.1.1.20

1.15  ARP表项固化功能配置命令

1.15.1  arp anti-attack entry-fixing enable

arp anti-attack entry-fixing enable命令用来开启ARP表项固化功能。

undo arp anti-attack entry-fixing enable命令用来关闭ARP表项固化功能。

【命令】

arp anti-attack entry-fixing { all | mac } enable

undo arp anti-attack entry-fixing enable

【缺省情况】

未配置ARP表项固化功能。

【视图】

系统视图

三层以太网接口视图

三层以太网子接口视图

三层聚合接口视图

三层聚合子接口视图

VXLAN中的VSI虚接口视图

VLAN接口视图

【缺省用户角色】

network-admin

【参数】

all:对ARP表项的所有信息(MAC地址、端口、VLAN信息)进行固化。

mac:仅对ARP表项中的MAC地址信息进行固化。

【使用指导】

应用场景

设备收到用户的第一个ARP报文后,会在ARP表中添加一条动态ARP表项,后续如果再收到该用户的ARP报文,会根据新的ARP报文动态刷新ARP表项。为了避免网络攻击者通过发送伪造的ARP报文篡改合法用户的ARP表项,导致合法用户的业务中断,可以通过本命令开启ARP表项固化功能。

工作机制

ARP表项固化功能支持两种模式:

·     all:对ARP表项的所有信息进行固化。设备收到IP地址相同的ARP报文时:

¡     如果该报文中的MAC地址、端口、VLAN信息和设备上ARP表项中的MAC地址、端口、VLAN信息不匹配,则直接丢弃该报文,不更新ARP表项。

¡     如果该报文中的MAC地址、端口、VLAN信息和设备上ARP表项中的MAC地址、端口、VLAN信息匹配,则更新该ARP表项的老化时间。

本参数适用于用户MAC地址和接入位置固定的场景。

·     mac:仅对ARP表项的MAC地址信息进行固化。设备收到IP地址相同的ARP报文时:

¡     如果该报文中的MAC地址和设备上ARP表项中的MAC地址不匹配,则直接丢弃该报文,不更新ARP表项。

¡     如果该报文中的MAC地址和设备上ARP表项中的MAC地址匹配,则更新该ARP表项的端口、VLAN信息和老化时间。

本参数适用于用户MAC地址固定,但在设备上的接入位置频繁变动的场景。

全局的ARP表项固化功能对所有接口生效。

【举例】

# 开启全局的ARP表项固化功能,固化模式为对ARP表项的所有信息进行固化。

<Sysname> system-view

[Sysname] arp anti-attack entry-fixing all enable

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们