所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S9300, S9300E, S9300X V200R010C00 配置指南-IP业务

本文档介绍了IP业务的配置,具体包括IP地址配置、ARP配置、DHCP配置、DNS配置、mDNS网关配置、mDNS中继配置、UDP Helper配置、IP性能优化配置、IPv6基础配置、DHCPv6配置、IPv6 DNS配置、IPv6 over IPv4隧道配置和IPv4 over IPv6隧道配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置接口转发定向广播报文

配置接口转发定向广播报文

背景信息

定向广播报文是指发送给特定网络的广播报文,该报文的目的IP地址中网络号码字段为特定网络的网络号,主机号码字段为全1。

黑客利用定向广播报文来攻击网络,给网络安全带来了很大隐患,因此,在正常情况下,定向广播报文会被三层交换机隔离。但在某些应用环境下,设备需要接收或转发这类定向广播报文,如对PC做网络唤醒Wake on LAN(Wake on LAN是指让已经进入休眠状态或关机状态的PC,透过网络另一端对其发令,使其从休眠状态唤醒、恢复成运作状态,或从关机状态转成开机状态)服务,这时可以通过配置该命令来使能接口转发定向广播报文。

图8-1所示,Switch A的GE1/0/1与PC A在一个网段,GE1/0/2与WOL server在另外一个网段。WOL server使用定向广播报文远程唤醒PC A,正常情况下,WOL server发出的定向广播报文跨网段会被Switch A所隔离,通过在Switch A的GE1/0/1接口上配置ip forward-broadcast命令使能接口转发定向广播报文后,PC A可以收到WOL server发出的定向广播报文。

图8-1  Wake on LAN场景下配置定向广播报文转发组网图
说明:

缺省情况下,由于设备已使能畸形报文的攻击防范功能,设备会识别定向广播报文为畸形报文,并将该报文拦截丢弃,导致设备接口无法转发定向广播报文。

请在以下解决方法中任选一种:

  • 此时需要先配置anti-attack abnormal disable命令去使能畸形报文攻击防范功能,但是需要注意的是,配置该命令后,其他畸形报文也不会被拦截丢弃,存在一定的安全风险,请用户谨慎使用。

  • 此时需要先配置anti-attack disable命令去使能所有攻击防范功能,但是需要注意的是,配置该命令后,不仅畸形报文不会被拦截丢弃,分片攻击报文、tcp-syn攻击报文、udp-flood攻击报文、icmp-flood攻击报文也将不被拦截丢弃,存在一定的安全风险,请用户谨慎使用。

设备同时也支持基于ACL对某一类定向广播报文使能接收和转发,以基本ACL规则为例,用户可以先执行acl(系统视图)rule(基本ACL视图)命令将需要接收和转发的定向广播报文定义为permit,然后再执行ip forward-broadcast命令绑定该ACL规则。

操作步骤

  1. 配置基本或高级ACL,详细配置过程请参见S9300, S9300E, S9300X V200R010C00 配置指南-安全》 ACL配置 中的“配置并应用基本ACL”或“配置并应用高级ACL”。
  2. 执行命令system-view,进入系统视图。
  3. 执行命令interface interface-type interface-number,进入接口视图。
  4. (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。

    缺省情况下,以太网接口处于二层模式。

  5. 执行命令ip forward-broadcast [ acl acl-number ],配置接口转发定向广播报文。

    缺省情况下,接口不转发定向广播报文。

    对ACL识别为permit的报文进行广播转发,识别为deny或者未匹配上ACL规则的报文不进行广播转发。

翻译
下载文档
更新时间:2019-04-17

文档编号:EDOC1000141518

浏览量:13888

下载量:292

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页