华为9306ARP策略_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
华为9306ARP策略
你可能喜欢他的最新文章
他的热门文章
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)华为配置指南-S5700_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
华为配置指南-S5700
阅读已结束，下载本文需要
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，同时保存到云知识，更方便管理
还剩161页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢&|&&|&&|&&|&&
当前位置： >
华为S9300核心交换机ARP安全配置
作者：互联网 & 来源：转载 &
华为S9300核心交换机ARP安全配置（二） http://luciffer.blog.51cto.com/195具体的配置一、应用环境：
在以太城域网中，存在着很多针对ARP表项的攻击，因此需要在网络的接入层或者汇聚层配置防止对ARP表项的攻击，以保护网络的安全性。二、配置严格学习ARP 表项操作步骤步骤1 执行命令system-view，进入系统视图。步骤2 执行命
&华为S9300核心交换机ARP安全配置（二）
http://luciffer.blog.51cto.com/195
具体的配置
一、应用环境：
&&&& 在以太城域网中，存在着很多针对ARP 表项的攻击，因此需要在网络的接入层或者汇 聚层配置防止对ARP 表项的攻击，以保护网络的安全性。
二、配置严格学习ARP&表项
1&执行命令
system-view，进入系统视图。
2&执行命令
arp learning strict，配置严格学习ARP 表项。
缺省情况下，S9300 未使能严格学习ARP 表项功能。
三、配置基于接口的
ARP&表项限制
1&执行命令
system-view，进入系统视图。
2&执行命令
interface&
interface-type interface-number，进入接口视图。
这里的接口可以是GE 接口、Eth-Trunk 接口或VLANIF 接口。
3&执行命令
arp-limit&[&
vlan-id&[&
vlan-id2&]]&
maximum，配置基于接口的
ARP 表项限制。
vlan&选项只能在GE 接口或Eth-Trunk 接口视图下配置。
四、配置防止
ARP&地址欺骗
1&执行命令
system-view，进入系统视图。
2&执行命令
arp anti-attack entry-check&{&
fixed-mac&|&
fixed-all&|&
send-ack&}&
enable，使能ARP
地址防欺骗功能。
只能同时使能一种ARP 地址防欺骗方式。如果原来使能了另外一种方式，则新配置的
方式覆盖原来配置的方式。缺省情况下，S9300 未使能ARP 地址防欺骗功能。
五、配置防止
ARP&网关冲突
1&执行命令
system-view，进入系统视图。
2&执行命令
arp anti-attack gateway-duplicate enable，使能ARP 网关冲突防攻击功能。
ARP&报文源抑制功能
为防止大量的ARP 报文增加CPU 的负荷，以及占用大量的ARP 表项，可以配置ARP
报文速率抑制，将上送主控板处理的ARP 报文速率限制在一个合理的范围内。
考虑到某些特定的用户有特别的需求，对于该用户的IP 地址可以配置不同于其他IP 地
址的ARP 报文抑制速率。
1&执行命令
system-view，进入系统视图。
2&执行命令
arp speed-limit source-ip maximum&
maximum，配置ARP 报文源抑制速率。
3&（可选）执行命令
arp speed-limit source-ip&
ip-address&
maximum，配置指定
source-ip&用户的ARP 报文源抑制速率。
完成上述配置后，对指定了
source-ip&的用户，ARP 报文源抑制速率为步骤3 中配置的
maximum&值；其它IP 地址的ARP 报文源抑制速率为步骤2 中配置的
maximum&值。
如果将速率配置为0，则表示不作ARP 报文源抑制。缺省情况下，所有IP 地址的ARP
报文源抑制速率为500pps。
ARP Miss&消息源抑制功能
为防止主机发送大量目标IP 地址不能解析的IP 报文来攻击设备，可以配置ARP Miss
源抑制功能，对攻击者的报文进行丢弃处理。
考虑到某些特定的用户有特别的需求，对于该用户的IP 地址可以配置不同于其他IP 地
址的ARP Miss 抑制速率。
1&执行命令
system-view，进入系统视图。
2&执行命令
arp-miss speed-limit source-ip maximum&
maximum，配置ARP Miss 消息源抑
3&（可选）执行命令
arp-miss speed-limit source-ip&
ip-address&
maximum，配置指
source-ip&用户的ARP Miss 源抑制速率。
完成上述配置后，对指定了
source-ip&的用户，ARP Miss 源抑制速率为步骤3 中配置的
maximum&值；其它IP 地址的ARP Miss 源抑制速率为步骤2 中配置的
maximum&值。
如果将速率配置为0，则表示不作ARP Miss 源抑制。缺省情况下，所有IP 地址的ARP
Miss 源抑制速率为500pps。
八、配置对潜在的ARP 攻击行为写日志和发送告警
1&执行命令
system-view，进入系统视图。
2&执行命令
arp anti-attack log-trap-timer&
time，配置对潜在的攻击行为写日志和发送告
time&为写ARP 日志和发送告警时间间隔。缺省情况下该值为0，表示未使能写ARP 日
志和发送告警功能。
九、配置检查配置结果
已完成ARP 防攻击配置。
display arp learning strict&查看ARP 表项严格学习限制。
display arp anti-attack configuration&{&
entry-check&|&
gateway-duplicate&|
log-trap-timer&|&
arp-speed-limit&|&
arpmiss-speed-limit&|&
all&}查看当前ARP 防攻击配
display arp-limit&[&
interface&
interface-type interface-number&] [&
查看接口或VLAN 下配置的ARP 表项限制数目。
display arp anti-attack gateway-duplicate item&查看当前网络中存在的网
关地址冲突攻击信息。
版权所有 IT知识库 CopyRight (C)
IT知识库 IT610.com , All Rights Reserved.}