目  录

1 ARP攻击防御

1.1 ARP防止IP报文攻击配置命令

1.1.1 arp resolving-route enable

1.1.2 arp resolving-route probe-count

1.1.3 arp resolving-route probe-interval

1.1.4 arp source-suppression enable

1.1.5 arp source-suppression limit

1.1.6 display arp source-suppression

1.2 源MAC地址固定的ARP攻击检测配置命令

1.2.1 arp source-mac

1.2.2 arp source-mac aging-time

1.2.3 arp source-mac exclude-mac

1.2.4 arp source-mac threshold

1.2.5 display arp source-mac

1.2.6 display arp source-mac statistics

1.2.7 reset arp source-mac statistics

1.3 ARP报文源MAC地址一致性检查配置命令

1.3.1 arp valid-check enable

1.3.2 display arp valid-check statistics

1.3.3 reset arp valid-check statistics

1.4 ARP主动确认配置命令

1.4.1 arp active-ack enable

1.5 授权ARP配置命令

1.5.1 arp authorized enable

1.6 ARP自动扫描、固化配置命令

1.6.1 arp fixup

1.6.2 arp scan

 

1 ARP攻击防御

1.1  ARP防止IP报文攻击配置命令

1.1.1  arp resolving-route enable

arp resolving-route enable命令用来开启ARP黑洞路由功能。

undo arp resolving-route enable命令用来关闭ARP黑洞路由功能。

【命令】

arp resolving-route enable

undo arp resolving-route enable

【缺省情况】

缺省情况下，ARP黑洞路由功能为开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

建议在网关设备上开启本功能。

【举例】

# 开启ARP黑洞路由功能。

<Sysname> system-view

[Sysname] arp resolving-route enable

【相关命令】

·     arp resolving-route probe-count

·     arp resolving-route probe-interval

1.1.2  arp resolving-route probe-count

arp resolving-route probe-count命令用来配置发送ARP请求报文的次数。

undo arp resolving-route probe-count命令用来恢复缺省情况。

【命令】

arp resolving-route probe-count count

undo arp resolving-route probe-count

【缺省情况】

发送ARP请求报文的次数为3次。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

count：发送ARP请求报文的次数，取值范围为1～25。

【举例】

# 配置发送ARP请求报文的次数为5次。

<Sysname> system-view

[Sysname] arp resolving-route probe-count 5

【相关命令】

·     arp resolving-route enable

·     arp resolving-route probe-interval

1.1.3  arp resolving-route probe-interval

arp resolving-route probe-interval命令用来配置发送ARP请求报文的时间间隔。

undo arp resolving-route probe-interval命令用来恢复缺省情况。

【命令】

arp resolving-route probe-interval interval

undo arp resolving-route probe-interval

【缺省情况】

发送ARP请求报文的时间间隔是1秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interval：发送ARP请求报文的时间间隔，取值范围为1～5，单位为秒。

【举例】

# 配置发送ARP请求报文的时间间隔为3秒。

<Sysname> system-view

[Sysname] arp resolving-route probe-interval 3

【相关命令】

·     arp resolving-route enable

·     arp resolving-route probe-count

1.1.4  arp source-suppression enable

arp source-suppression enable命令用来开启ARP源地址抑制功能。

undo arp source-suppression enable命令用来关闭ARP源地址抑制功能。

【命令】

arp source-suppression enable

undo arp source-suppression enable

【缺省情况】

ARP源地址抑制功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

建议在网关设备上开启本功能。

【举例】

# 开启ARP源地址抑制功能。

<Sysname> system-view

[Sysname] arp source-suppression enable

【相关命令】

·     display arp source-suppression

1.1.5  arp source-suppression limit

arp source-suppression limit命令用来配置ARP源抑制的阈值。

undo arp source-suppression limit命令用来恢复缺省情况。

【命令】

arp source-suppression limit limit-value

undo arp source-suppression limit

【缺省情况】

ARP源抑制的阈值为10。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

limit-value：ARP源抑制的阈值，即设备在5秒间隔内可以处理的源IP相同，但目的IP地址不能解析的IP报文的最大数目，取值范围为2～1024。

【使用指导】

如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值，则设备将不再处理由此IP地址发出的IP报文直至该5秒结束，从而避免了恶意攻击所造成的危害。

【举例】

# 配置ARP源抑制的阈值为100。

<Sysname> system-view

[Sysname] arp source-suppression limit 100

【相关命令】

·     display arp source-suppression

1.1.6  display arp source-suppression

display arp source-suppression命令用来显示当前ARP源抑制的配置信息。

【命令】

display arp source-suppression

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示当前ARP源抑制的配置信息。

<Sysname> display arp source-suppression

 ARP source suppression is enabled

 Current suppression limit: 100

表1-1 display arp source-suppression显示信息描述表

字段	描述
ARP source suppression is enabled	ARP源抑制功能处于开启状态
Current suppression limit	设备在5秒时间间隔内可以接收到的源IP相同，但目的IP地址不能解析的IP报文的最大数目

 

1.2  源MAC地址固定的ARP攻击检测配置命令

1.2.1  arp source-mac

arp source-mac命令用来开启源MAC地址固定的ARP攻击检测功能，并选择检查模式。

undo arp source-mac命令用来关闭源MAC地址固定的ARP攻击检测功能。

【命令】

arp source-mac { filter | monitor }

undo arp source-mac [ filter | monitor ]

【缺省情况】

源MAC地址固定的ARP攻击检测功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

filter：配置检查方式为过滤模式。

monitor：配置检查方式为监控模式。

【使用指导】

建议在网关设备上开启本功能。

本特性根据ARP报文的源MAC地址对上送CPU的ARP报文进行统计，在5秒内，如果收到同一源MAC地址（源MAC地址固定）的ARP报文超过一定的阈值，则认为存在攻击，系统会将此MAC地址添加到攻击检测表项中。当开启了ARP日志信息功能（配置arp check log enable命令），且在该攻击检测表项老化之前，如果设置的检查模式为过滤模式，则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉；如果设置的检查模式为监控模式，则只打印日志信息，不会将该源MAC地址发送的ARP报文过滤掉。关于ARP日志信息功能的详细描述，请参见“三层技术-IP业务配置指导”中的“ARP”。

如果undo arp source-mac命令中未指定检查模式，则关闭任意检查模式的源MAC地址固定的ARP攻击检测功能。

【举例】

# 开启源MAC地址固定的ARP攻击检测功能，并选择filter检查模式。

<Sysname> system-view

[Sysname] arp source-mac filter

1.2.2  arp source-mac aging-time

arp source-mac aging-time命令用来配置源MAC地址固定的ARP攻击检测表项的老化时间。

undo arp source-mac aging-time命令用来恢复缺省情况。

【命令】

arp source-mac aging-time time

undo arp source-mac aging-time

【缺省情况】

源MAC地址固定的ARP攻击检测表项的老化时间为300秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

time：源MAC地址固定的ARP攻击检测表项的老化时间，取值范围为60～6000，单位为秒。

【举例】

# 配置源MAC地址固定的ARP攻击检测表项的老化时间为60秒。

<Sysname> system-view

[Sysname] arp source-mac aging-time 60

1.2.3  arp source-mac exclude-mac

arp source-mac exclude-mac命令用来配置保护MAC地址。当配置了保护MAC地址之后，即使该ARP报文中的MAC地址存在攻击也不会被检测过滤。

undo arp source-mac exclude-mac命令用来取消配置的保护MAC地址。

【命令】

arp source-mac exclude-mac mac-address&<1-n>

undo arp source-mac exclude-mac [ mac-address&<1-n> ]

【缺省情况】

未配置任何保护MAC地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

mac-address&<1-n>：MAC地址列表。其中，mac-address表示配置的保护MAC地址，格式为H-H-H。&<1-n>表示每次最多可以配置的保护MAC地址个数。n的取值范围为2～10。

【使用指导】

如果undo命令中未指定MAC地址，则取消所有已配置的保护MAC地址。

【举例】

# 配置源MAC地址固定的ARP攻击检查的保护MAC地址为001e-1200-0213。

<Sysname> system-view

[Sysname] arp source-mac exclude-mac 001e-1200-0213

1.2.4  arp source-mac threshold

arp source-mac threshold命令用来配置源MAC地址固定的ARP报文攻击检测阈值，当在固定的时间（5秒）内收到源MAC地址固定的ARP报文超过该阈值则认为存在ARP报文攻击。

undo arp source-mac threshold命令用来恢复缺省情况。

【命令】

arp source-mac threshold threshold-value

undo arp source-mac threshold

【缺省情况】

源MAC地址固定的ARP报文攻击检测的阈值为30。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

threshold-value：固定时间内源MAC地址固定的ARP报文攻击检测的阈值，单位为报文个数。取值范围为1～5000。

【举例】

# 配置源MAC地址固定的ARP报文攻击检测阈值为30个。

<Sysname> system-view

[Sysname] arp source-mac threshold 30

1.2.5  display arp source-mac

display arp source-mac命令用来显示检测到的源MAC地址固定的ARP攻击检测表项。

【命令】

display arp source-mac { interface interface-type interface-number [ slot slot-number ] | slot slot-number [ count ] }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number：显示指定接口检测到的源MAC地址固定的ARP攻击检测表项，interface-type interface-number表示指定接口的类型和编号。

slot slot-number：显示虚拟接口包含的指定成员设备上的物理口检测到的源MAC地址固定的ARP攻击检测表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数，则显示的是虚拟接口在主设备上的物理口检测到的源MAC地址固定的ARP攻击检测表项。

slot slot-number：显示指定成员设备检测到的源MAC地址固定的ARP攻击检测表项。slot-number表示设备在IRF中的成员编号。如果未指定本参数，则显示主设备上检测到的源MAC地址固定的ARP攻击检测表项。

count：指定本参数后，只显示检测到的源MAC地址固定的ARP攻击检测表项的数目。如果未指定本参数，则显示的是检测到的源MAC地址固定的ARP攻击检测表项。

【使用指导】

显示虚拟接口检测到的源MAC地址固定的ARP攻击检测表项时，才支持输入slot参数；显示物理口检测到的源MAC地址固定的ARP攻击检测表项时，不支持输入slot参数。

虚拟接口支持三层聚合接口、三层聚合子接口、VXLAN中的VSI虚接口、EVB中的VSI接口和EVB中的聚合VSI接口。

如果未指定任何参数，则显示所有检测到的源MAC地址固定的ARP攻击检测表项。

【举例】

# 显示接口GigabitEthernet1/0/1检测到的源MAC地址固定的ARP攻击检测表项。

<Sysname> display arp source-mac interface gigabitethernet 1/0/1

Source-MAC          VLAN ID  Interface                Aging-time

23f3-1122-3344      4094     GE1/0/1                  10

# 显示检测到的源MAC地址固定的ARP攻击检测表项的数目。

<Sysname> display arp source-mac count

Total source MAC-based ARP attack detection entries: 1

表1-2 display arp source-mac命令显示信息描述表

字段	描述
Source-MAC	检测到攻击的源MAC地址
VLAN ID	检测到攻击的VLAN ID
Interface	攻击来源的接口
Aging-time	ARP防攻击策略表项老化剩余时间
Total source MAC-based ARP attack detection entries	源MAC地址固定的ARP攻击检测表项的数目

 

1.2.6  display arp source-mac statistics

display arp source-mac statistics命令用来显示ARP攻击检测功能丢弃的源MAC地址固定的ARP攻击报文计数统计信息。

【命令】

display arp source-mac statistics slot slot-number

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number：显示指定成员设备的计数统计信息。slot-number表示设备在IRF中的成员编号。

【举例】

# 显示slot 1上ARP攻击检测功能丢弃的源MAC地址固定的ARP攻击报文计数统计信息。

<Sysname> display arp source-mac statistics slot 1

Dropped ARP packets:123321

表1-3 display arp source-mac statistics命令显示信息描述表

字段	描述
Dropped ARP packets	被丢弃的源MAC固定的ARP攻击报文数

 

【相关命令】

·     arp source-mac

1.2.7  reset arp source-mac statistics

reset arp source-mac statistics命令用来清除ARP攻击检测功能丢弃的源MAC地址固定的ARP攻击报文计数统计信息。

【命令】

reset arp source-mac statistics { all | slot slot-number }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

all：清除所有的计数统计信息。

slot slot-number：清除指定成员设备的计数统计信息。slot-number表示设备在IRF中的成员编号。

【举例】

# 清除设备上所有ARP攻击检测功能丢弃的源MAC地址固定的ARP攻击报文计数统计信息。

<Sysname> reset arp source-mac statistics all

【相关命令】

·     display arp source-mac statistics

1.3  ARP报文源MAC地址一致性检查配置命令

1.3.1  arp valid-check enable

arp valid-check enable命令用来开启ARP报文源MAC地址一致性检查功能。

undo arp valid-check enable命令用来关闭ARP报文源MAC地址一致性检查功能。

【命令】

arp valid-check enable

undo arp valid-check enable

【缺省情况】

ARP报文源MAC地址一致性检查功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

ARP报文源MAC地址一致性检查功能主要应用于网关设备。

开启ARP报文源MAC地址一致性检查功能后，设备会对接收的ARP报文进行检查，如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同，则丢弃该报文。

【举例】

# 开启ARP报文源MAC地址一致性检查功能。

<Sysname> system-view

[Sysname] arp valid-check enable

1.3.2  display arp valid-check statistics

display arp valid-check statistics命令用来显示ARP报文源MAC地址一致性检查功能丢弃的ARP报文计数统计信息。

【命令】

display arp valid-check statistics slot slot-number

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number：显示指定成员设备的计数统计信息。slot-number表示设备在IRF中的成员编号。

【举例】

# 显示slot 1上ARP报文源MAC地址一致性检查功能丢弃的ARP报文计数统计信息。

<Sysname> display arp valid-check statistics slot 1

Dropped ARP packets:123321

表1-4 display arp valid-check statistics命令显示信息描述表

字段	描述
Dropped ARP packets	源MAC地址一致性检查不通过而丢弃的ARP报文数

 

【相关命令】

·     arp valid-check enable

1.3.3  reset arp valid-check statistics

reset arp valid-check statistics命令用来清除ARP报文源MAC地址一致性检查功能丢弃的ARP报文计数统计信息。

【命令】

reset arp valid-check statistics { all | slot slot-number }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

all：清除所有的计数统计信息。

slot slot-number：清除指定成员设备的计数统计信息。slot-number表示设备在IRF中的成员编号。

【举例】

# 清除设备上所有ARP报文源MAC地址一致性检查功能丢弃的ARP报文计数统计信息。

<Sysname> reset arp valid-check statistics all

【相关命令】

·     display arp valid-check statistics

1.4  ARP主动确认配置命令