所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
ARP安全配置命令

ARP安全配置命令

arp anti-attack check user-bind check-item

命令功能

arp anti-attack check user-bind check-item命令用来配置ARP报文绑定表匹配检查的检查项。

undo arp anti-attack check user-bind check-item命令用来恢复ARP报文绑定表匹配检查项为缺省值。

缺省情况下,对ARP报文的IP地址、MAC地址和接口信息均进行绑定表匹配检查。

说明:
CE6880EI不支持此命令。

命令格式

arp anti-attack check user-bind check-item { ip-address | mac-address | interface } *

undo arp anti-attack check user-bind check-item

参数说明

参数 参数说明 取值
ip-address 指定ARP报文绑定表匹配检查项为检查IP地址。 -
mac-address 指定ARP报文绑定表匹配检查项为检查MAC地址。 -
interface 指定ARP报文绑定表匹配检查项为检查接口信息。 -

视图

VLAN视图、VLAN-Range视图

缺省级别

2:配置级

使用指南

应用场景

使能动态ARP检测功能后,设备会将ARP报文对应的源IP、源MAC及接口信息和绑定表中的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。

如果希望仅匹配绑定表某一项或某两项内容的特殊ARP报文也能够通过,则可以配置对ARP报文进行绑定表匹配检查时只检查某一项或某两项内容。

前置条件

配置本命令前,需要先执行arp anti-attack check user-bind enable命令使能动态ARP检测功能。

注意事项

指定ARP报文绑定表匹配检查项对配置了静态绑定表的用户不起作用,即设备仍然按照静态绑定表的内容对ARP报文进行绑定表匹配检查。

使用实例

# 配置VLAN100下ARP报文绑定表匹配检查时只检查IP地址。

<HUAWEI> system-view
[~HUAWEI] vlan 100
[*HUAWEI-vlan100] arp anti-attack check user-bind enable
[*HUAWEI-vlan100] arp anti-attack check user-bind check-item ip-address

arp anti-attack check user-bind enable

命令功能

arp anti-attack check user-bind enable命令用来使能动态ARP检测(DAI)功能,即对ARP报文进行绑定表匹配检查功能。

undo arp anti-attack check user-bind enable命令用来去使能动态ARP检测功能。

缺省情况下,未使能动态ARP检测功能。

说明:
CE6880EI不支持此命令。

命令格式

arp anti-attack check user-bind enable

undo arp anti-attack check user-bind enable

参数说明

视图

VLAN视图、VLAN-Range视图

缺省级别

2:配置级

使用指南

应用场景

为了防御中间人攻击,避免合法用户的数据被中间人窃取,可以执行本命令使能动态ARP检测功能。设备会将ARP报文对应的源IP、源MAC、接口和绑定表中的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。

后续任务

配置本命令后,可以执行arp anti-attack check user-bind check-item命令配置ARP报文绑定表匹配检查的检查项。

注意事项

当在VLAN下同时使能DAI和VLAN内协议报文透传功能时,VLAN内协议报文透传功能不生效。

使用实例

# 使能VLAN100下的动态ARP检测功能。
<HUAWEI> system-view
[~HUAWEI] vlan 100
[*HUAWEI-vlan100] arp anti-attack check user-bind enable

arp anti-attack entry-check enable

命令功能

arp anti-attack entry-check enable命令用来使能ARP表项固化功能。

undo arp anti-attack entry-check enable命令用来去使能ARP表项固化功能。

缺省情况下,未使能ARP表项固化功能。

命令格式

arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable

undo arp anti-attack entry-check [ fixed-mac | fixed-all | send-ack ] enable

参数说明

参数 参数说明 取值
fixed-mac

指定按照固定MAC方式运行ARP表项固化功能。

即如果设备收到的ARP报文中的MAC地址与ARP表中对应条目的MAC地址不匹配,则直接丢弃该ARP报文;如果匹配,但是收到报文的接口或VLAN信息与对应ARP条目不匹配,则可以更新对应ARP条目中的接口和VLAN信息。

-
fixed-all

指定按照固定所有参数的方式运行ARP表项固化功能。

即只有当ARP报文对应的MAC地址、接口、VLAN信息和ARP表项中的信息完全匹配时,设备才可以更新ARP表项的其他内容。

-
send-ack

指定按照查询确认方式运行ARP表项固化功能。

即设备收到一个涉及MAC地址、VLAN、接口修改的ARP报文时,不会立即更新ARP表项,而是先记录这个请求修改ARP表项的报文信息,并向待更新的ARP表项现有MAC地址对应的用户发送一个单播的ARP请求报文进行确认,根据确认结果再决定是否更新ARP表项中的MAC地址、VLAN和接口信息,然后再将请求修改ARP表项的报文信息删除。

-

视图

系统视图、端口组视图、VLANIF接口视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

为了防止ARP地址欺骗攻击,可以使能ARP表项固化功能。三种ARP表项固化模式适用于不同的应用场景,且是互斥关系。
  • fixed-mac方式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。当用户从不同接口接入设备时,设备上该用户对应的ARP表项中的接口信息可以及时更新。
  • fixed-all方式适用于用户MAC地址固定,并且用户接入位置相对固定的场景。
  • send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。

注意事项

在系统视图下执行本命令,则所有接口都使能ARP表项固化功能;在接口视图下执行本命令,则只有指定接口使能ARP表项固化功能。

当全局和接口下同时配置了该功能时,接口下的配置优先生效。

使用实例

# 使能ARP表项固化功能,指定固定模式为固化MAC方式。
<HUAWEI> system-view
[~HUAWEI] arp anti-attack entry-check fixed-mac enable
# 使能接口10GE1/0/1的ARP表项固化功能,指定固定模式为固化MAC方式。
<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1 
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] arp anti-attack entry-check fixed-mac enable

arp anti-attack gateway-duplicate enable

命令功能

arp anti-attack gateway-duplicate enable命令用来使能ARP防网关冲突攻击功能。

undo arp anti-attack gateway-duplicate enable命令用来去使能ARP防网关冲突攻击功能。

缺省情况下,未使能ARP防网关冲突攻击功能。

命令格式

arp anti-attack gateway-duplicate [ check-all ] enable

undo arp anti-attack gateway-duplicate [ check-all ] enable

说明:

仅CE6850HI、CE6850U-HI、CE6851HI、CE6855HI、CE6856HI、CE6860EI、CE6870EI、CE7850EI、CE7855EI、CE8850EI和CE8860EI设备支持配置check-all参数。

参数说明

参数 参数说明 取值
check-all

当配置check-all参数后,ARP防网关冲突攻击功能比不配置该参数时更强,此时当检测到网关被仿冒后,网关会产生告警,并立即发送免费ARP报文,使用户主机重新刷新正确的ARP表项。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

如果有攻击者仿冒网关,在局域网内部发送源IP地址是网关IP地址的ARP报文,会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。这样其他用户主机就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到用户发送的数据内容,并且最终会造成这些用户主机无法访问网络。为了防范攻击者仿冒网关,当用户主机直接接入网关时,可以在网关设备上使能ARP防网关冲突攻击功能。

如果未配置check-all参数,当同时满足如下条件:
  • 收到报文的接口是VLANIF接口或VBDIF接口。
  • 收到的报文的源IP地址与报文入接口的IP地址相同。
  • 收到的报文的以太报文头的源MAC以及ARP报文内的源MAC都与接口MAC不同。
  • 收到的报文源MAC地址不是VRRP虚MAC。
设备就认为该ARP报文是与网关地址冲突的ARP报文,设备将生成ARP防攻击表项(虚MAC场景不生成ARP防攻击表项),并在后续一段时间内丢弃该接口收到的同VLAN或者同BD的同源MAC地址的报文,这样可以防止与网关地址冲突的ARP报文在VLAN内或者BD内广播。

如果配置check-all参数,当设备收到ARP报文的源IP地址和本机的IP地址相同,设备就认为该ARP报文是与网关地址冲突的ARP报文。

当配置check-all参数后,ARP防网关冲突攻击功能比不配置该参数时更强,此时当检测到网关被仿冒后,网关会产生告警,并立即发送免费ARP报文,使用户主机重新刷新正确的ARP表项。

注意事项

如果未配置check-all参数,设备同一时间最多维护100条ARP防网关冲突攻击表项,超过这个数量的网关冲突攻击将无法防止。

在VXLAN集中式网关场景中,不支持配置check-all参数。

在VXLAN分布式网关场景中,配置check-all参数后,只会检测用户侧ARP报文。

使用实例

# 使能ARP防网关冲突攻击功能。

<HUAWEI> system-view
[~HUAWEI] arp anti-attack gateway-duplicate enable

arp anti-attack gratuitous-arp drop

命令功能

arp anti-attack gratuitous-arp drop命令用来使能免费ARP报文主动丢弃功能。

undo arp anti-attack gratuitous-arp drop命令用来去使能免费ARP报文主动丢弃功能。

缺省情况下,未使能免费ARP报文主动丢弃功能。

命令格式

arp anti-attack gratuitous-arp drop

undo arp anti-attack gratuitous-arp drop

参数说明

视图

系统视图、端口组视图、VLANIF接口视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

由于发送免费ARP报文的用户主机并不需要经过身份验证,任何一个用户主机都可以发送免费ARP报文,这样就引入了两个问题:
  • 如果网络中出现大量的免费ARP报文,设备会因为处理这些报文而导致CPU负荷过重,从而不能正常处理合法的ARP报文。
  • 如果设备处理的免费ARP报文是攻击者伪造的,会造成设备错误地更新ARP表项,导致合法用户的通信流量发生中断。

参考以上问题描述,在确认攻击来自免费ARP报文之后,可以在网关设备上执行本命令使能免费ARP报文主动丢弃功能,使网关设备直接丢弃免费ARP报文。

注意事项

如果当前接口为二层口,需要先执行命令undo portswitch,配置接口切换到三层接口。

全局下使能该功能将对所有三层接口生效;接口下使能该功能则只对该三层接口生效。

使用实例

# 全局使能免费ARP报文主动丢弃功能。

<HUAWEI> system-view
[~HUAWEI] arp anti-attack gratuitous-arp drop

# 使能接口VLANIF10的免费ARP报文主动丢弃功能。

<HUAWEI> system-view
[~HUAWEI] vlan 10
[*HUAWEI-vlan10] quit
[*HUAWEI] interface vlanif 10
[*HUAWEI-Vlanif10] arp anti-attack gratuitous-arp drop
# 使能接口10GE1/0/1的免费ARP报文主动丢弃功能。
<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1 
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] arp anti-attack gratuitous-arp drop

arp anti-attack log-trap-timer

命令功能

arp anti-attack log-trap-timer命令用来配置对潜在的ARP攻击行为记录ARP日志和发送ARP告警的时间间隔。

undo arp anti-attack log-trap-timer命令用来恢复设备记录ARP日志和发送ARP告警的时间间隔为缺省值。

缺省情况下,设备记录ARP日志和发送ARP告警时间间隔为0,即设备不记录ARP日志和不发送ARP告警信息。

命令格式

arp anti-attack log-trap-timer time

undo arp anti-attack log-trap-timer

参数说明

参数 参数说明 取值
time 指定设备记录ARP日志和发送告警的时间间隔。 整数形式,取值范围是0~1200,单位为秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在使能了ARP报文限速或者ARP Miss限速之后,在一定的时间内,如果设备收到的ARP报文或者ARP Miss消息超过了设定的阈值,超出部分的ARP报文或者ARP Miss消息将被丢弃。此时设备认为这是一种潜在的攻击行为,会针对这种攻击行为发送记录ARP日志并向网管系统发送ARP告警,实时记录ARP运行的异常情况。

为了避免网络在遭受ARP攻击时产生海量日志和告警,用户可以配置设备记录ARP日志和发送ARP告警的时间间隔,减少日志和告警的产生数量。

注意事项

在容易造成攻击的环境中,建议增大记录ARP日志和发送告警的时间间隔,避免产生海量日志和告警信息对用户排除故障造成障碍。在相对安全的环境中,建议减小记录ARP日志和发送告警的时间间隔,保证设备的日志和告警能及时被处理,方便用户及时排除设备异常。

配置发送告警的时间间隔后,在两次记录ARP日志和发送告警的时间间隔内,设备会将该时间段内记录的ARP日志和产生的告警丢弃,导致部分异常无法及时处理。

使用实例

# 配置记录日志和发送ARP告警的时间间隔为20秒。

<HUAWEI> system-view
[~HUAWEI] arp anti-attack log-trap-timer 20

arp anti-attack rate-limit

命令功能

arp anti-attack rate-limit命令用来在全局、VLAN或接口下配置ARP报文的限速值。

undo arp anti-attack rate-limit命令用来将全局、VLAN或接口下配置的ARP报文的限速值恢复为缺省值。

缺省情况下,CE5800系列交换机对全局的ARP报文速率限制为128pps,即在1秒内设备最多允许128个ARP报文通过,其余设备对全局的ARP报文速率限制为0,即不针对全局进行ARP报文限速;设备对VLAN或接口的ARP报文速率限制为0,即不针对VLAN和接口进行ARP报文限速。

命令格式

系统视图、VLAN视图、VLAN-Range视图

arp anti-attack rate-limit limit

undo arp anti-attack rate-limit

接口视图:

arp anti-attack rate-limit limit

undo arp anti-attack rate-limit [ limit ]

说明:

CE6870EI不支持在接口视图配置该命令。

参数说明

参数

参数说明

取值

limit

指定ARP报文的限速值,即每秒允许通过的ARP报文的个数。

整数形式,取值范围0~65536。

视图

系统视图、VLAN视图、Eth-Trunk接口视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、端口组视图、VLAN-Range视图

缺省级别

2:配置级

使用指南

应用场景

使能ARP报文限速功能后,可以执行本命令配置ARP报文的限速值。如果每秒收到的ARP报文数目超过ARP报文限速值,设备会丢弃超出限速值的ARP报文。

注意事项

  • 当同时在全局、VLAN和接口下配置ARP报文的限速值时,设备会先按照接口进行限速,再按照VLAN进行限速,最后按照全局进行限速。
  • 配置针对接口的ARP限速后,设备仅针对从该接口上送CPU处理的ARP广播报文进行限速,不对ARP单播报文和转发的ARP报文进行限速。
  • 当全局的ARP报文限速值很低时,如果设备遇到大量的ARP报文攻击导致用户telnet登录失败,此时用户可以从console口登录设备,将全局的ARP报文限速值调到合理范围。

使用实例

# 配置VLAN100下每秒最多允许200个ARP报文通过。
<HUAWEI> system-view
[~HUAWEI] vlan 100
[*HUAWEI-vlan100] arp anti-attack rate-limit 200

arp anti-attack rate-limit interface

命令功能

arp anti-attack rate-limit interface命令用来配置所有接口上ARP报文的限速值。

undo arp anti-attack rate-limit interface命令用来取消对所有接口上ARP报文的限速值的配置。

缺省情况下,对所有接口的ARP报文速率限制为0,即不针对所有接口进行ARP报文限速。

说明:

CE6870EI不支持该命令。

命令格式

arp anti-attack rate-limit interface limit

undo arp anti-attack rate-limit interface [ limit ]

参数说明

参数

参数说明

取值

limit

指定所有接口上ARP报文的限速值,即每秒允许通过的ARP报文的个数。

整数形式,取值范围0~65536。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

如果设备对收到的大量ARP报文全部进行处理,可能导致CPU负荷过重而无法处理其他业务。因此,在处理之前,设备需要对ARP报文进行限速,以保护CPU资源。

使能ARP报文限速功能后,可以在系统视图下执行arp anti-attack rate-limit interface命令,配置设备上所有接口的ARP报文的限速值。如果某接口每秒收到的ARP报文数目超过ARP报文限速值,设备会丢弃超出限速值的ARP报文。

注意事项

  • 在系统视图下配置所有接口的ARP限速后,设备仅针对从接口上送CPU处理的ARP广播报文进行限速,不对ARP单播报文和转发的ARP报文进行限速。

  • 当系统视图下配置的所有接口的ARP报文限速值很低时,如果设备遇到大量的ARP报文攻击导致用户telnet登录失败,此时用户可以从console口登录设备,将系统下所有接口的ARP报文限速值调到合理范围。

  • 如果接口视图下配置了arp anti-attack rate-limit命令,同时系统视图下配置了arp anti-attack rate-limit interface命令,则接口视图下的命令优先级较高。

  • 如果系统视图下配置了arp anti-attack rate-limit命令,表示设备上所有接口的ARP报文数量总和的上限为该命令所配置的ARP报文限速值;如果系统视图下配置了arp anti-attack rate-limit interface命令,表示所有接口的ARP报文数量的上限均为该命令所配置的ARP报文限速值。

  • 配置了基于所有接口的ARP报文限速功能后,基于端口的ARP本机自动机防攻击功能不生效。

使用实例

# 配置所有接口ARP报文的限速值均为200。
<HUAWEI> system-view
[~HUAWEI] arp anti-attack rate-limit interface 200

arp gratuitous-arp send disable

命令功能

arp gratuitous-arp send disable命令用来去使能接口定期发送免费ARP报文的功能。

undo arp gratuitous-arp send disable命令用来恢复接口定期发送免费ARP报文的功能采用全局的配置策略。

缺省情况下,接口定期发送免费ARP报文的功能采用全局的配置策略:
  • 如果全局使能了免费ARP报文定期发送功能,接口下的免费ARP报文定期发送功能也使能。
  • 如果全局未使能免费ARP报文定期发送功能,接口下的免费ARP报文定期发送功能也未使能。

命令格式

arp gratuitous-arp send disable

undo arp gratuitous-arp send disable

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

如果设备上接口数量较大,接口的状态均为UP,且接口都配置了IP地址的情况下,使能设备全局定期发送免费ARP报文的功能,可能会导致设备不停发送免费ARP报文,占用过多的CPU资源,对业务造成影响。为了降低CPU过载对业务造成影响,用户可以在指定的接口视图下执行该命令,关闭接口定期发送免费ARP报文的功能。

注意事项

用户在指定的接口视图下执行该命令去使能接口定期发送免费ARP报文的功能之后,如果想重新使能该接口定期发送免费ARP报文的功能,可以在该接口下执行undo arp gratuitous-arp send disable命令或者arp gratuitous-arp send enable命令,两者的区别如下:
  • 执行undo arp gratuitous-arp send disable命令后,该接口定期发送免费ARP报文的功能采用全局的配置策略,即采用在系统视图下执行arp gratuitous-arp send enable命令配置的定期发送免费ARP报文的功能。如果未在系统视图下配置定期发送免费ARP报文的功能,则不能执行本命令进行恢复。
  • 执行arp gratuitous-arp send enable命令后,该接口定期发送免费ARP报文的功能采用接口下的配置策略。

使用实例

# 去使能指定接口定期发送免费ARP报文的功能。

<HUAWEI> system-view
[~HUAWEI] interface vlanif 10
[~HUAWEI-Vlanif10] arp gratuitous-arp send disable

arp gratuitous-arp send enable

命令功能

arp gratuitous-arp send enable命令用来使能发送免费ARP报文的功能。

undo arp gratuitous-arp send enable命令用来去使能发送免费ARP报文的功能。

缺省情况下,未使能发送免费ARP报文功能。

命令格式

arp gratuitous-arp send enable

undo arp gratuitous-arp send enable

参数说明

视图

系统视图、接口视图

缺省级别

2:配置级

使用指南

应用场景

如果有攻击者向其他用户发送仿冒网关的ARP报文,会导致其他用户的ARP表中记录错误的网关地址映射关系,造成其他用户的正常数据不能被网关接收。此时可以在网关设备上使能发送免费ARP报文的功能,用来定期更新合法用户的ARP表项,使得合法用户ARP表项中记录的是正确的网关地址映射关系。

缺省情况下,使能发送免费ARP报文功能后,设备每隔60秒发送一次免费ARP报文。如果希望自定义间隔时间,可以使用arp gratuitous-arp send interval命令进行设置。

注意事项

在系统视图下执行arp gratuitous-arp send enable命令后,所有接口下发送免费ARP报文的功能将被打开。

在系统视图下执行undo arp gratuitous-arp send enable命令后,所有接口下发送免费ARP报文的功能将被关闭。

系统视图下使能发送免费ARP报文的功能之后,执行arp gratuitous-arp send disable命令可以用来去使能接口定期发送免费ARP报文的功能。

免费ARP报文定期发送功能的匹配采用最精匹配原则:
  • 当全局和接口同时使能了免费ARP报文定期发送的功能时,采用接口的配置策略。
  • 当接口没有使能免费ARP报文定期发送的功能,但是全局使能了该功能时,采用全局的配置策略。
  • 当全局没有使能免费ARP报文定期发送的功能,但是接口使能了该功能时,采用接口的配置策略。

使用实例

# 在接口VLANIF10下使能发送免费ARP报文的功能。

<HUAWEI> system-view
[~HUAWEI] interface vlanif 10
[*HUAWEI-Vlanif10] arp gratuitous-arp send enable

arp gratuitous-arp send interval

命令功能

arp gratuitous-arp send interval命令用来配置发送免费ARP报文的时间间隔。

undo arp gratuitous-arp send interval命令用来将发送免费ARP报文的时间间隔恢复为缺省值。

缺省情况下,发送免费ARP报文的时间间隔为60秒。

命令格式

arp gratuitous-arp send interval interval-time

undo arp gratuitous-arp send interval [ interval-time ]

参数说明

参数

参数说明

取值

interval-time

指定发送免费ARP报文的时间间隔。

整数形式,取值范围1~86400,单位是秒。

视图

系统视图、接口视图

缺省级别

2:配置级

使用指南

应用场景

缺省情况下,使能发送免费ARP报文功能后,设备每隔60秒发送一次免费ARP报文。如果希望自定义间隔时间,可以使用本命令进行设置。

  • 如果用户在系统视图下配置了设备定期发送免费ARP报文的时间间隔,则该配置在所有接口下均生效。
  • 如果用户在系统视图和接口视图下同时配置了定期发送免费ARP报文的时间间隔,则接口视图下的配置优先生效。

前置条件

在执行本命令前需要先使用命令arp gratuitous-arp send enable使能发送免费ARP报文功能。

使用实例

# 在接口VLANIF10下配置发送免费ARP报文的时间间隔为100秒。

<HUAWEI> system-view
[~HUAWEI] interface vlanif 10
[*HUAWEI-Vlanif10] arp gratuitous-arp send enable
[*HUAWEI-Vlanif10] arp gratuitous-arp send interval 100

arp learning disable

命令功能

arp learning disable命令用来禁止接口学习动态ARP表项。

undo arp learning disable命令用来恢复接口学习动态ARP表项的功能。

缺省情况下,接口下的动态ARP表项学习功能处于使能状态。

命令格式

arp learning disable

undo arp learning disable

参数说明

视图

端口组视图、接口视图

缺省级别

2:配置级

使用指南

应用场景

出于安全或管理上的考虑,用户可以根据需要,使能或禁止接口的动态ARP表项学习功能,配合arp learning strict(系统视图)arp learning strict(接口视图)命令可以对接口下动态ARP的学习做比较细致的控制。

注意事项

禁止接口下的动态ARP学习能力,可能会造成网络中断。

禁止动态ARP学习前,如果接口上已经有动态学习到的ARP表项,系统并不会自动删除这些表项。用户可以根据需要,手动删除或保留这些已经学习到的动态ARP表项(通过命令reset arp删除)。

使用实例

# 禁止接口VLANIF2学习动态ARP表项。

<HUAWEI> system-view
[~HUAWEI] vlan 2
[*HUAWEI-vlan2] quit
[*HUAWEI] interface vlanif 2
[*HUAWEI-Vlanif2] arp learning disable

# 禁止接口10GE1/0/1学习动态ARP表项。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] arp learning disable

arp learning strict(接口视图)

命令功能

arp learning strict命令用来配置接口的ARP表项严格学习功能。

undo arp learning strict命令用来将接口的ARP严格学习功能恢复为与全局配置保持一致。

缺省情况下,未使能ARP表项严格学习功能。

命令格式

arp learning strict { force-enable | force-disable | trust }

undo arp learning strict

参数说明

参数 参数说明 取值
force-enable 使能ARP表项严格学习功能。 -
force-disable 去使能ARP表项严格学习功能。 -
trust ARP表项严格学习功能与全局配置保持一致。
说明:

配置trust参数与配置undo arp learning strict命令的功能效果一致。

-

视图

端口组视图、接口视图

缺省级别

2:配置级

使用指南

应用场景

如果大量用户在同一时间段内向设备发送大量ARP报文,或者攻击者伪造正常用户的ARP报文发送给设备,则会造成如下危害:
  • 设备因处理大量ARP报文而导致CPU负荷过重,同时设备学习大量的ARP报文可能导致设备ARP表项资源被无效的ARP条目耗尽,造成合法用户的ARP报文不能继续生成ARP条目,导致用户无法正常通信。
  • 伪造的ARP报文将错误地更新设备ARP表项,导致合法用户无法正常通信。

为避免上述危害,可以在网关设备上使能ARP表项严格学习功能。只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP,这样,可以拒绝大部分的ARP报文攻击。

注意事项

接口下配置的优先级高于全局配置的优先级。

当设备的大量接口存在ARP表项攻击时,为了简化配置,可以执行命令arp learning strict(系统视图)配置全局的ARP表项严格学习功能。

使用实例

# 使能接口VLANIF100的ARP表项严格学习功能。
<HUAWEI> system-view
[~HUAWEI] vlan 100
[*HUAWEI-vlan100] quit
[*HUAWEI] interface vlanif 100
[*HUAWEI-Vlanif100] arp learning strict force-enable
# 使能接口10GE1/0/1的ARP表项严格学习功能。
<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] arp learning strict force-enable

arp learning strict(系统视图)

命令功能

arp learning strict命令用来配置ARP表项严格学习功能。

undo arp learning strict命令用来将ARP表项严格学习功能恢复为默认值。

缺省情况下,未使能ARP表项严格学习功能。

命令格式

arp learning strict

undo arp learning strict

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

如果大量用户在同一时间段内向设备发送大量ARP报文,或者攻击者伪造正常用户的ARP报文发送给设备,则会造成下面的危害:
  • 设备因处理大量ARP报文而导致CPU负荷过重,同时设备学习大量的ARP报文可能导致设备ARP表项资源被无效的ARP条目耗尽,造成合法用户的ARP报文不能继续生成ARP条目,导致用户无法正常通信。
  • 伪造的ARP报文将错误地更新设备ARP表项,导致合法用户无法正常通信。

为避免上述危害,可以在网关设备上使能ARP表项严格学习功能。只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP,这样,可以拒绝大部分的ARP报文攻击。

注意事项

使能ARP表项严格学习功能后,设备上所有的接口都将按照严格学习ARP表项的模式更新或添加ARP表项。当网络设备变更频繁时,比如初始环境搭建时,使能全局的ARP表项严格学习,会造成ARP表项的刷新缓慢,影响用户使用网络的效率。为了精细化的管理,提升用户使用网络的效率,用户可以根据实际情况选择在指定接口上执行命令arp learning strict force-enable对某一个接口使能ARP表项严格学习功能。

接口下配置的优先级高于全局配置的优先级。

使用实例

# 使能ARP表项严格学习功能。

<HUAWEI> system-view
[~HUAWEI] arp learning strict

arp anti-attack rate-limit destination-ip

命令功能

arp anti-attack rate-limit destination-ip命令用来配置根据目的IP地址对ARP报文进行限速的限速值。

undo arp anti-attack rate-limit destination-ip命令用来将根据目的IP地址进行ARP报文限速的配置恢复为缺省配置。

缺省情况下,设备对每一个目的IP地址的ARP报文速率限制为500,即设备在1秒内最多允许同一个目的IP地址的500个ARP报文通过。

命令格式

arp anti-attack rate-limit destination-ip maximum maximum

undo arp anti-attack rate-limit destination-ip

参数说明

参数 参数说明 取值
maximum maximum

指定根据目的IP地址进行ARP报文限速的限速值。

整数形式,取值范围为0~65536,单位是pps。如果取值为0,表示不根据目的IP地址进行ARP报文限速。

视图

系统视图

缺省级别

2:配置级

使用指南

如果设备需要处理大量目的IP地址相同的ARP报文,则会造成CPU进程繁忙,影响到正常业务的处理。为了避免此问题,可以配置设备根据目的IP地址进行ARP报文限速。

执行本命令后,设备会对上送CPU的ARP报文根据目的IP地址进行统计,如果在1秒内收到的同一个目的IP地址的ARP报文超过设定阈值(ARP报文限速值),设备则丢弃超出阈值部分的ARP报文。

使用实例

# 配置设备每秒最多只允许同一个目的IP地址的300个ARP报文通过。

<HUAWEI> system-view
[~HUAWEI] arp anti-attack rate-limit destination-ip maximum 300

arp anti-attack rate-limit source-mac

命令功能

arp anti-attack rate-limit source-mac命令用来配置根据源MAC地址进行ARP限速的限速值。

undo arp anti-attack rate-limit source-mac命令用来将根据源MAC地址进行ARP限速的配置恢复为缺省配置。

缺省情况下,设备对每一个源MAC地址的ARP报文速率限制为0,即不根据源MAC地址进行ARP报文限速。

命令格式

arp anti-attack rate-limit source-mac [ mac-address ] maximum maximum

undo arp anti-attack rate-limit source-mac [ mac-address ]

参数说明

参数 参数说明 取值
mac-address

指定源MAC地址。如果指定该参数,表示对特定MAC地址用户的ARP报文按照限速值进行限速。

如果不指定源MAC地址,则针对每一个MAC地址的ARP报文按照限速值进行限速。

格式为H-H-H,其中H为4位的十六进制数。

maximum maximum

指定根据源MAC地址进行ARP报文限速的限速值。

整数形式,取值范围为0~65536,单位是pps。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备处理大量源MAC地址相对固定的ARP报文会造成CPU繁忙,并且如果ARP报文的源IP地址同时不断变化,还会导致设备的ARP表资源被耗尽。为了避免此问题,可以配置设备根据源MAC地址进行ARP报文限速。

执行本命令后,设备会对上送CPU的ARP报文根据源MAC地址进行统计,如果在1秒内收到的同一个源MAC地址的ARP报文超过设定阈值(ARP报文限速值),设备则丢弃超出阈值部分的ARP报文。

注意事项

不建议对所有MAC地址的ARP报文进行限速,最好通过搜集报文统计信息的方法,判断攻击源,进行指定MAC地址的ARP报文限速。

使用实例

# 配置对每一个MAC地址的ARP报文进行限速,每秒最多只允许同一个源MAC地址的100个ARP报文通过。

<HUAWEI> system-view
[~HUAWEI] arp anti-attack rate-limit source-mac maximum 100

# 配置对MAC地址为0-0-1的用户进行ARP报文限速,每秒最多只允许该MAC地址的50个ARP报文通过。

<HUAWEI> system-view
[~HUAWEI] arp anti-attack rate-limit source-mac 0-0-1 maximum 50

arp anti-attack rate-limit source-ip

命令功能

arp anti-attack rate-limit source-ip命令用来配置根据源IP地址进行ARP报文限速的限速值。

undo arp anti-attack rate-limit source-ip命令用来将根据源IP地址进行ARP报文限速的配置恢复为缺省配置。

缺省情况下,设备允许1秒内最多只能有同一个源IP地址的30个ARP报文通过。

命令格式

arp anti-attack rate-limit source-ip [ ip-address ] maximum maximum

undo arp anti-attack rate-limit source-ip [ ip-address ]

参数说明

参数 参数说明 取值
ip-address

指定源IP地址。如果指定该参数,表示对特定IP地址用户的ARP报文按照限速值进行限速。

如果不指定源IP地址,则对每一个IP地址的ARP报文按照限速值进行限速。

点分十进制格式。
maximum maximum

指定根据源IP地址进行ARP报文限速的限速值。

说明:

如果是针对每一个IP地址的ARP报文按照限速值进行限速,建议在不影响系统性能的情况下,将限速值适当调大,防止设备丢弃可能的正常报文;如果确定某指定IP地址的ARP报文是攻击报文,则可以将针对该IP地址的限速值适当调小。

整数形式,取值范围为0~65536,单位是pps。如果取值为0,表示不根据源IP地址进行ARP报文限速。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备处理大量源IP地址相对固定的ARP报文(例如同一个源IP地址的ARP报文对应的MAC地址或出接口信息不断发生跳变),会造成CPU繁忙,影响到正常业务的处理。为了避免此问题,可以配置设备根据源IP地址进行ARP报文限速。

执行本命令后,设备会对上送CPU的ARP报文根据源IP地址进行统计,如果在1秒内收到的同一个源IP地址的ARP报文超过设定阈值(ARP报文限速值),设备则丢弃超出阈值部分的ARP报文。

注意事项

不建议对所有IP地址的ARP报文进行限速,最好通过搜集报文统计信息的方法,判断攻击源,进行指定源IP地址的ARP报文限速。

使用实例

# 配置对每一个源IP地址的ARP报文进行限速,每秒最多只允许同一个源IP地址的100个ARP报文通过。

<HUAWEI> system-view
[~HUAWEI] arp anti-attack rate-limit source-ip maximum 100

# 配置对IP地址为10.0.0.1的用户进行ARP报文限速,每秒最多只允许该IP地址的50个ARP报文通过。

<HUAWEI> system-view
[~HUAWEI] arp anti-attack rate-limit source-ip 10.0.0.1 maximum 50

arp validate(接口视图)

命令功能

arp validate命令用来在接口下使能ARP报文内MAC地址一致性检查功能,即对以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址进行一致性检查的功能。

undo arp validate命令用来在接口下去使能ARP报文内MAC地址一致性检查功能。

缺省情况下,设备不对以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址进行一致性检查。

命令格式

arp validate { source-mac | destination-mac } *

undo arp validate { source-mac | destination-mac } *

参数说明

参数 参数说明 取值
source-mac 指定接口收到ARP报文时,对以太网数据帧首部中的源MAC地址和ARP报文数据区中的源MAC地址进行一致性检查。 -
destination-mac 指定接口收到ARP报文时,对以太网数据帧首部中的目的MAC地址和ARP报文数据区中的目的MAC地址进行一致性检查。 -

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、VBDIF接口视图、端口组视图

缺省级别

2:配置级

使用指南

ARP报文内MAC地址一致性检查功能主要应用于网关设备上,可以防御以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址不同的ARP攻击。

执行本命令后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。

执行本命令时:
  • 选择参数source-mac
    • 当接口收到ARP请求报文时,只对报文中的源MAC地址进行一致性检查。
    • 当接口收到ARP应答报文时,只对报文中的源MAC地址进行一致性检查。
  • 选择参数destination-mac
    • 当接口收到ARP请求报文时,不对报文进行一致性检查。因为ARP请求报文是广播报文,故无需检查。

    • 当接口收到ARP应答报文时,对报文中的目的MAC地址进行一致性检查。
  • 选择参数source-macdestination-mac
    • 当接口收到ARP请求报文时,只对报文中的源MAC地址进行一致性检查。
    • 当接口收到ARP应答报文时,对报文中的源/目的MAC地址都进行一致性检查。

使用实例

# 在接口10GE1/0/1上使能对以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址进行一致性检查的功能。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] arp validate source-mac destination-mac
# 在三层接口10GE1/0/1上使能对以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址进行一致性检查的功能。
<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1 
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] arp validate source-mac destination-mac

arp validate(系统视图)

命令功能

arp validate命令用来全局使能ARP报文内MAC地址一致性检查功能,即对以太网数据帧首部中的源MAC地址和ARP报文数据区中的源MAC地址进行一致性检查的功能。

undo arp validate命令用来全局去使能ARP报文内MAC地址一致性检查功能。

缺省情况下,设备不对以太网数据帧首部中的源MAC地址和ARP报文数据区中的源MAC地址进行一致性检查。

命令格式

arp validate source-mac

undo arp validate source-mac

参数说明

参数 参数说明 取值
source-mac 指定设备收到ARP报文时,对以太网数据帧首部中的源MAC地址和ARP报文数据区中的源MAC地址进行一致性检查。 -

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

ARP报文内MAC地址一致性检查功能可以防御以太网数据帧首部中的源MAC地址和ARP报文数据区中的源MAC地址不同的ARP攻击。

执行本命令后,设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文数据区中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。

注意事项

除了可以全局使能设备收到ARP报文时对源MAC地址进行一致性检查功能之外,用户也可以在接口视图下执行arp validate命令使能指定接口收到ARP报文时对源/目的MAC地址进行一致性检查。两者功能的实现是相互叠加的,即如果用户在全局和接口下分别配置arp validate source-mac命令和arp validate destination-mac命令,设备的指定接口会对ARP报文的源/目的MAC地址均进行一致性检查,其余所有接口均只对收到的ARP报文的源MAC地址进行一致性检查。

使用实例

# 全局使能ARP报文内MAC地址一致性检查功能。

<HUAWEI> system-view
[~HUAWEI] arp validate source-mac

arp fake timeout

命令功能

arp fake timeout命令用来配置临时ARP表项的老化时间。

undo arp fake timeout命令用来恢复临时ARP表项的老化时间为缺省值。

缺省情况下,临时ARP表项的老化时间为5秒。

命令格式

arp fake timeout expire-time

undo arp fake timeout

参数说明

参数 参数说明 取值
expire-time 临时ARP表项的老化时间。 整数形式,取值范围是1~36000,单位是秒。

视图

端口组视图、接口视图

缺省级别

2:配置级

使用指南

当IP报文触发ARP Miss消息时,设备会根据ARP Miss消息生成临时ARP表项,并且向目的网段发送ARP请求报文。
  • 在临时ARP表项老化时间范围内:
    • 设备收到ARP应答报文前,匹配临时ARP表项的IP报文将被丢弃并且不会触发ARP Miss消息。
    • 设备收到ARP应答报文后,则生成正确的ARP表项来替换临时ARP表项。
  • 当老化时间超时后,设备会清除临时ARP表项。此时如果设备转发IP报文匹配不到对应的ARP表项,则会重新触发ARP Miss消息并生成临时ARP表项,如此循环重复。

当判断设备受到攻击时,可以执行本命令增大临时ARP表项的老化时间,减小设备ARP Miss消息的触发频率,从而减小攻击对设备的影响。

使用实例

# 配置接口VLANIF10的临时ARP表项超时时间为10秒。
<HUAWEI> system-view
[~HUAWEI] vlan 10
[*HUAWEI-vlan10] quit
[*HUAWEI] interface vlanif 10
[*HUAWEI-Vlanif10] arp fake timeout 10
# 配置接口10GE1/0/1的临时ARP表项超时时间为10秒。
<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] arp fake timeout 10

arp limit

命令功能

arp limit命令用来配置限制接口能够学习到的最大动态ARP表项数目。

undo arp limit命令用来删除该配置。

缺省情况下,在规格范围内,设备对接口能够学习到的最大动态ARP表项数目没有限制。

命令格式

在三层以太网接口、VBDIF接口和VLANIF接口上:

arp limit maximum

undo arp limit

在二层以太网接口:

arp limit vlan vlan-id1 [ to vlan-id2 ] maximum

undo arp limit vlan vlan-id1 [ to vlan-id2 ]

在端口组上:

arp limit [ vlan vlan-id1 [ to vlan-id2 ] ] maximum

undo arp limit [ vlan vlan-id1 [ to vlan-id2 ] ]

参数说明

参数

参数说明

取值

vlan vlan-id1 [ to vlan-id2 ]

指定VLAN编号,限制接口从该VLAN内能够学习到的最大动态ARP表项数目。

其中:
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于vlan-id1的取值,它和vlan-id1共同确定一个范围。如果不指定to vlan-id2参数,则只限制接口从编号为vlan-id1的VLAN内能够学习到的最大动态ARP表项数目;如果指定to vlan-id2参数,则限制接口从vlan-id1vlan-id2的每个VLAN内均能够学习到的最大动态ARP表项数目。
整数形式,vlan-id1vlan-id2取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外
maximum 指定接口能够学习到的最大动态ARP表项数目。 整数形式,取值范围为1~1048576

视图

端口组视图、接口视图

缺省级别

2:配置级

使用指南

应用场景

为了防止当一个接口所接入的某一用户主机发起ARP攻击时导致整个设备的ARP表资源都被耗尽,可以在指定接口下配置接口能够学习到的最大动态ARP表项数目。当指定接口下的动态ARP表项达到允许学习的最大数目后,将不允许新增动态ARP表项。

注意事项

如果接口已经学习到的ARP表项数目超过本命令的配置值,设备不再学习新的ARP表项,但不会清除已经学习到的ARP表项,会提示用户删除超出的ARP表项。

GE接口、10GE接口、40GE接口、Eth-Trunk既可以是三层接口也可以是二层接口。作为三层接口时,不能配置vlan-id。作为二层接口时,必须配置vlan-id

多次配置arp limit vlan vlan-id1 [ to vlan-id2 ] maximum命令时:
  • 如果maximum相同,则配置结果按多次累加生效。例如先配置arp limit vlan 10 to 30 200,再配置arp limit vlan 35 to 40 200,则二者同时生效。并且如果定义的VLAN号段正好是连续的,则系统会自动进行合并,例如先配置arp limit vlan 50 to 80 200,再配置arp limit vlan 70 to 100 200,则二者同时生效,并且系统自动合并为arp limit vlan 50 to 100 200
  • 如果maximum不同,则同一个VLAN号段仅后一次配置生效。例如先配置arp limit vlan 10 to 30 200,再配置arp limit vlan 15 to 25 300,则系统自动拆分成arp limit vlan 10 to 14 200arp limit vlan 15 to 25 300arp limit vlan 26 to 30 200这三条命令。

使用实例

# 配置接口VLANIF10最多可以学习到20个动态ARP表项。
<HUAWEI> system-view
[~HUAWEI] vlan 10
[*HUAWEI-vlan10] quit
[*HUAWEI] interface vlanif 10
[*HUAWEI-Vlanif10] arp limit 20
# 配置接口10GE1/0/1最多可以学习到20个动态ARP表项。
<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] arp limit 20
# 配置接口10GE1/0/1最多可以学习到20个VLAN10对应的动态ARP表项。
<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] arp limit vlan 10 20
相关主题

arp limit alarm-threshold

命令功能

arp limit alarm-threshold命令用来配置接口能够学习到的最大动态ARP表项数目的告警阈值。

undo arp limit alarm-threshold命令用来取消配置接口能够学习到的最大动态ARP表项数目的告警阈值。

缺省情况下,如果接口上未配置arp limit命令,则不限制该接口能够学习到的最大动态ARP表项数目。如果配置了arp limit命令,则告警阈值是80%。

说明:
CE6850HI、CE6850U-HI、CE6851HI、CE6855HI、CE6856HI、CE6860EI、CE6870EI、CE6880EI、CE7850EI、CE7855EI、CE8850EI和CE8860EI设备支持配置arp limit alarm-threshold命令。

命令格式

arp limit alarm-threshold threshold-value

undo arp limit alarm-threshold [ threshold-value ]

参数说明

参数 参数说明 取值
threshold-value 指定接口能够学习到的最大动态ARP表项数目的告警阈值。当接口实际学习的ARP表项数目与接口能够学习到的最大动态ARP表项数目(通过arp limit命令设置)之比达到该阈值时,设备发送告警。 整数形式,取值范围是60~100,单位是百分比。

视图

VBDIF接口视图

缺省级别

2:配置级

使用指南

应用场景

非法用户发送大量ARP攻击报文攻击目标设备时,会导致设备在短时间内学习到大量的ARP表项,导致ARP表项溢出,影响合法用户使用网络。为了解决该问题,用户可以通过执行arp limit命令,限制接口上学习到的最大动态ARP表项数目,有效地防止ARP表项溢出,保证设备的正常运行。而arp limit alarm-threshold命令是在此基础上进一步设置告警阈值,当接口学习到的ARP表项达到设置的告警阈值时,设备发送告警,提醒用户及时介入,删除多余的动态ARP表项。

注意事项

arp limit alarm-threshold命令需要与arp limit命令配合使用。

  • 如果没有配置arp limit命令,则无法配置arp limit alarm-threshold命令。
  • 如果已经配置arp limit命令,但是没有配置arp limit alarm-threshold命令,则接口下会默认配置arp limit alarm-threshold,且默认阈值为80%。

使用实例

# 配置VBDIF接口能够学习到的最大动态ARP表项数目告警阈值为90%。

<HUAWEI> system-view
[~HUAWEI] bridge-domain 60
[*HUAWEI-bd60] quit
[*HUAWEI] interface vbdif 60
[*HUAWEI-Vbdif60] arp limit 300
[*HUAWEI-Vbdif60] arp limit alarm-threshold 90

arp miss anti-attack rate-limit

命令功能

arp miss anti-attack rate-limit命令用来在全局、VLAN或接口下配置ARP Miss消息限速的限速值。

undo arp miss anti-attack rate-limit命令用来将在全局、VLAN或接口下配置的ARP Miss消息的限速值恢复为缺省值。

缺省情况下,针对全局,设备在1秒内最多允许处理3000个ARP Miss消息;针对VLAN或接口,设备在1秒内处理0个ARP Miss消息,即设备上未使能ARP Miss消息限速功能。

命令格式

arp miss anti-attack rate-limit limit

undo arp miss anti-attack rate-limit

参数说明

参数

参数说明

取值

limit

指定ARP Miss消息的限速值,即每秒允许处理的ARP Miss消息个数。

整数形式,取值范围0~65536。

视图

系统视图、VLAN视图、VLAN-Range视图、接口视图

缺省级别

2:配置级

使用指南

应用场景

使能ARP Miss消息限速功能后,可以执行本命令配置ARP Miss消息的限速值。如果每秒收到的IP报文触发的ARP Miss消息数目超过ARP Miss消息限速值,设备将忽略处理超出限速值的ARP Miss消息,并丢弃超出限速值的触发ARP Miss消息的IP报文(即ARP Miss报文)。

注意事项

当同时在全局、VLAN或接口下配置ARP Miss消息限速时,设备会先按照接口进行限速,再按照VLAN进行限速,最后按照全局进行限速。

使用实例

# 全局配置设备每秒最多允许处理200个ARP Miss消息。
<HUAWEI> system-view
[~HUAWEI] arp miss anti-attack rate-limit 200 
# 配置设备每秒最多允许处理200个从三层接口10GE1/0/1上送的IP报文触发的ARP Miss消息。
<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] arp miss anti-attack rate-limit 200

arp miss anti-attack rate-limit source-ip

命令功能

arp miss anti-attack rate-limit source-ip命令用来配置根据源IP地址进行ARP Miss消息限速的限速值。

undo arp miss anti-attack rate-limit source-ip命令用来将根据源IP地址进行ARP Miss消息限速的配置恢复为缺省配置。

缺省情况下,设备允许每秒最多处理同一个源IP地址触发的30个ARP Miss消息。

命令格式

arp miss anti-attack rate-limit source-ip ip-address [ mask { mask-length | mask } ] maximum maximum

undo arp miss anti-attack rate-limit source-ip ip-address [ mask { mask-length | mask } ]

arp miss anti-attack rate-limit source-ip maximum maximum

undo arp miss anti-attack rate-limit source-ip

参数说明

参数 参数说明 取值
ip-address

指定源IP地址。如果指定该参数,表示对特定IP地址用户的ARP Miss消息进行限速。

如果不指定IP地址,则针对每一个IP地址的ARP Miss消息根据限速值进行限速。

点分十进制格式。
mask 指定源IP地址+掩码对ARP Miss消息进行限速。 -
mask-length 指定源IP地址的掩码长度。 整数形式,取值范围是1~32。
mask 指定源IP地址的掩码。 点分十进制格式。
maximum maximum

指定基于源IP地址的ARP Miss消息限速值。

说明:

如果是针对每一个IP地址的ARP Miss消息根据限速值进行限速,建议在不影响系统性能的情况下,将限速值适当调大,防止设备丢弃可能的正常报文。

如果确定某指定IP地址的报文是攻击报文,则可以将针对该IP地址的限速值适当调小。

整数形式,取值范围为0~65536。如果取值为0,表示不根据源IP地址进行ARP Miss消息限速。

视图

系统视图

缺省级别

2:配置级

使用指南

当设备检测到某一源IP地址的IP报文在1秒内触发的ARP Miss消息数量超过了限速值,就认为此源IP地址存在攻击。管理员可以根据实际网络环境,通过本命令对ARP Miss消息的限速值进行调整,限制设备在一定时间内只处理指定数目的ARP Miss消息,避免设备的资源浪费在处理ARP Miss消息上,保证用户的其他业务能够正常运行。

使用实例

# 配置对每一个源IP地址的ARP Miss消息进行限速,允许设备每秒最多处理同一个源IP地址触发的60个ARP Miss消息。

<HUAWEI> system-view
[~HUAWEI] arp miss anti-attack rate-limit source-ip maximum 60

# 配置对IP地址为10.0.0.1的ARP Miss消息进行限速,允许设备每秒最多处理该IP地址触发的100个ARP Miss消息;对于其他IP地址,允许设备每秒最多处理同一个源IP地址触发的60个ARP Miss消息。

<HUAWEI> system-view
[~HUAWEI] arp miss anti-attack rate-limit source-ip maximum 60
[*HUAWEI] arp miss anti-attack rate-limit source-ip 10.0.0.1 maximum 100

display arp anti-attack

命令功能

display arp anti-attack命令用来查看ARP防攻击配置。

命令格式

display arp anti-attack { rate-limit | entry-check }

参数说明

参数 参数说明 取值
rate-limit

显示ARP报文限速的配置信息。

-
entry-check

显示ARP表项固化模式的配置信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

当配置完各项ARP防攻击功能后,如果需要查看配置是否正确,可以通过本命令进行查看。

使用实例

# 查看ARP报文限速的配置信息。

<HUAWEI> display arp anti-attack rate-limit
Global ARP packet rate limit (pps)        : --                                  
Suppress Rate of each destination IP (pps): 2                                   
                                                                                
Total number of rate-limit configuration for VLAN : 1                           
VLAN               Suppress Rate(pps)                                           
------------------------------------------------------------------------------- 
100                              200                                            
------------------------------------------------------------------------------- 
Total number of rate-limit configuration for source IP Address : 1              
Source IP          Suppress Rate(pps)                                           
------------------------------------------------------------------------------- 
10.9.9.2                          10                                            
------------------------------------------------------------------------------- 
Total number of rate-limit configuration for MAC Address : 1                    
Source MAC         Suppress Rate(pps)                                           
------------------------------------------------------------------------------- 
0000-0000-0001                    10                                            
------------------------------------------------------------------------------- 
表16-72  display arp anti-attack rate-limit命令输出信息描述

项目

描述

Global ARP packet rate limit (pps)

全局配置的ARP报文限速的限速值。

该功能可通过arp anti-attack rate-limit命令配置。

VLAN

针对VLAN的ARP报文进行限速。

该功能可通过arp anti-attack rate-limit命令配置。

Suppress Rate of each destination IP (pps)

根据目的IP地址对ARP报文进行限速。

该功能可通过arp anti-attack rate-limit destination-ip命令配置。

Source IP

根据源IP地址对ARP报文进行限速。

该功能可通过arp anti-attack rate-limit source-ip命令配置。

Source MAC

根据源MAC地址对ARP报文进行限速。

该功能可通过arp anti-attack rate-limit source-mac命令配置。

Suppress Rate(pps)

ARP报文限速的限速值。

# 查看ARP表项固化模式的配置信息。
<HUAWEI> display arp anti-attack entry-check
Interface           Mode  
-------------------------------------------------------------------------------  
10GE4/0/2           fix-mac                 
Other               fix-mac                
-------------------------------------------------------------------------------  
表16-73  display arp anti-attack entry-check命令输出信息描述

项目

描述

Interface

配置ARP表项固化的接口。

Mode

ARP表项固化的模式。
  • fix-all:指定对ARP表项的所有信息都进行固化。
  • fix-mac:指定对ARP表项的MAC地址信息进行固化。
  • send-ack:指定通过确认机制更新ARP表项。
  • no-fix:未使能ARP表项固化功能。

该功能可通过arp anti-attack entry-check enable命令配置。

display arp anti-attack record

命令功能

display arp anti-attack record命令用来查看由于ARP报文限速导致丢弃的ARP报文的详细信息。

命令格式

display arp anti-attack record

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

当用户配置了ARP报文限速功能后,设备会对单位时间内收到的ARP报文进行数量统计,如果ARP报文数量超出了配置的阈值,超出部分的ARP报文将被丢弃。为了方便用户进行故障定位,设备会将这些丢弃的ARP报文的详细信息记录下来供用户查看。

执行该命令,可以查看设备记录的丢弃的ARP报文的详细信息。

使用实例

# 查看设备记录的丢弃的ARP报文的详细信息。

<HUAWEI> display arp anti-attack record
Source IP       Destination IP  Interface                 Attack Time           
---------------------------------------------------------------------------     
10.1.115.234    10.1.1.1        298                       09-10 15:53:34  
10.1.115.235    10.1.1.1        298                       09-10 15:53:34  
10.1.115.236    10.1.1.1        298                       09-10 15:53:34  
10.1.115.237    10.1.1.1        298                       09-10 15:53:34  
10.1.115.238    10.1.1.1        298                       09-10 15:53:34  
10.1.115.239    10.1.1.1        298                       09-10 15:53:34  
---------------------------------------------------------------------------     
There are 6 records in ARP table          
表16-74  display arp anti-attack record命令输出信息描述

项目

描述

Source IP

设备丢弃的ARP报文的源IP地址。

Destination IP

设备丢弃的ARP报文的目的IP地址。

Interface

设备丢弃的ARP报文所属的接口。

Attack Time

ARP报文的攻击时间。

说明:
单位时间内设备收到ARP报文的数量超过配置的阈值的开始时间是ARP报文的攻击时间。

display arp anti-attack gateway-duplicate item

命令功能

display arp anti-attack gateway-duplicate item命令用来查看ARP防网关冲突攻击表项。

命令格式

display arp anti-attack gateway-duplicate item

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

设备使能了ARP防网关冲突功能后,可通过本命令查看ARP防网关冲突攻击表项。

使用实例

# 查看ARP防网关冲突攻击表项。

<HUAWEI> display arp anti-attack gateway-duplicate item
 Interface                      IP address      MAC address      Bridge type    Bridge id   Aging time                                                           
-----------------------------------------------------------------------------------------------------                                                           
 10GE1/0/1                      1.1.1.1         0019-7459-3303   VLAN           1           180                                                                  
-----------------------------------------------------------------------------------------------------                                                           
The number of record(s) in gateway conflict table is  1        
表16-75  display arp anti-attack gateway-duplicate item命令显示信息说明

项目

描述

Interface

ARP报文入接口。

IP address

网关IP地址。

MAC address

ARP报文源MAC地址。

Bridge type

广播域类型,包括:
  • VLAN。
  • BD。

Bridge id

ARP报文对应的广播域编号。

Aging time

表项老化时间。

display arp anti-attack gateway-duplicate information

命令功能

display arp anti-attack gateway-duplicate information命令用来查看ARP防网关冲突攻击表项的信息。

命令格式

display arp anti-attack gateway-duplicate information

说明:

仅CE6850HI、CE6850U-HI、CE6851HI、CE6855HI、CE6856HI、CE6860EI、CE6870EI、CE7850EI、CE7855EI、CE8850EI和CE8860EI设备支持该命令。

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

设备使能了ARP防网关冲突功能并配置了check-all后,可通过本命令查看ARP防网关冲突攻击表项。

使用实例

# 查看ARP防网关冲突攻击表项。

<HUAWEI> display arp anti-attack gateway-duplicate information
Attack info on slot 1 :                                                                                                             
-------------------------------------------------------------------------------                                                     
Interface              IP Address        Attack Number        Expire Time(M)                                                        
-------------------------------------------------------------------------------                                                     
10GE1/0/5              10.1.1.1                  42762                 30                                                           
-------------------------------------------------------------------------------                                                     
Statistics(packets) on slot 1 :                                                                                                     
-------------------------------------------------------------------------------                                                     
PacketType               Total Passed        Total Dropped  Last Dropping Time                                                      
                    Last 5 Min Passed   Last 5 Min Dropped                                                                          
-------------------------------------------------------------------------------                                                     
ARP                          22977642          58447767448  2016-12-02 01:42:15                                                     
                               292370            796359099                                                                          
-------------------------------------------------------------------------------
表16-76  display arp anti-attack gateway-duplicate information命令显示信息说明

项目

描述

Attack info on slot 1

设备的受到攻击的信息。

Interface

收到仿冒报文的三层接口。

IP Address

收到仿冒报文的三层接口的IP地址。

Attack Number

收到仿冒报文的数目。

Expire Time(M)

ARP表项的老化时间。

Statistics(packets) on slot 1

报文上送到队列的统计信息。

PacketType

报文类型。

Total Passed

通过的总报文数。

Last 5 Min Passed

最后5分钟通过的报文数。

Total Dropped

丢弃的总报文数。

Last 5 Min Dropped

最后5分钟丢弃的报文数。

Last Dropping Time

最后一次丢弃报文的时间。

display arp learning strict

命令功能

display arp learning strict命令用来查看全局和所有接口上的ARP表项严格学习情况。

命令格式

display arp learning strict

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

当配置完ARP表项严格学习功能后,如果需要查看配置是否正确,可以通过本命令进行查看。

使用实例

# 查看全局和所有接口上的ARP表项严格学习情况。

<HUAWEI> display arp learning strict
 The global arp learning strict state:enable
 Interface                           LearningStrictState
------------------------------------------------------------
 Vlanif100                           force-disable
 Vlanif200                           force-enable
------------------------------------------------------------
 Total:2     Force-enable:1     Force-disable:1
表16-77  display arp learning strict命令输出信息描述

项目

描述

The global arp learning strict state

全局的ARP表项严格学习状态。

  • enable:已使能ARP表项严格学习功能
  • disable:去使能ARP表项严格学习功能

该功能可通过arp learning strict(系统视图)命令配置。

Interface

接口名称。

LearningStrictState

ARP表项严格学习状态。
  • force-enable:已使能ARP表项严格学习功能
  • force-disable:去使能ARP表项严格学习功能

该参数可通过arp learning strict(接口视图)命令配置。

Total

应用ARP表项严格学习策略的接口总数。

Force-enable

使能ARP表项严格学习的接口数目。

Force-disable

去使能ARP表项严格学习的接口数目。

display arp packet statistics

命令功能

display arp packet statistics命令用来查看ARP处理的报文统计数据。

命令格式

display arp packet statistics [ interface [ interface-type interface-number ] ]

参数说明

参数 参数说明 取值
interface 显示指定三层接口的ARP报文统计数据。

如果未指定interface参数,则显示所有ARP报文统计数据。

-
interface-type interface-number 指定接口类型和接口编号。其中:
  • interface-type表示接口类型。

  • interface-number表示接口编号。

如果未指定interface-type interface-number参数,则显示所有三层接口的ARP报文统计数据。

-

视图

所有视图

缺省级别

1:监控级

使用指南

用户在定位和排查ARP故障时,可以通过执行该命令查看ARP处理报文的统计数据。

使用实例

# 查看ARP处理的报文统计数据。

<HUAWEI> display arp packet statistics
ARP Packets Received
  Total:                       10989
  Learnt Count:                    0
  Discard For Entry Limit:         0
  Discard For Speed Limit:         0
  Discard For Proxy Suppress:      0
  Discard For Other:           10989
  MAC Invalid Count:            0
ARP Packets Sent 
  Total:                           0
  Request:                         0
  Reply:                           0
  Gratuitous ARP:                  0
ARP-Miss Message Received  
  Total:                           0
  Discard For Speed Limit:         0
  Discard For Other:               0
表16-78  display arp packet statistics命令输出信息描述

项目

描述

ARP Packets Received Total

设备接收到的ARP报文数目

ARP Packets Received Learnt Count

设备学习到的ARP表项数目

ARP Packets Received Discard For Entry Limit

ARP限制丢弃的报文数目

ARP Packets Received Discard For Speed Limit

时间戳抑制丢弃的报文数目

ARP Packets Received Discard For Proxy Suppress

ARP代理抑制丢弃的报文数目

ARP Packets Received Discard For Other

其他原因丢弃的报文数目

ARP Packets Received MAC Invalid Count

MAC地址不一致的报文数目

ARP Packets Sent Total

设备发送的ARP报文总数目

ARP Packets Sent Request

设备发送的ARP请求报文数目

ARP Packets Sent Reply

设备发送的ARP应答报文数目

ARP Packets Sent Gratuitous ARP

设备发送的免费ARP报文数目

ARP-Miss Message Received Total

设备接收到的ARP Miss消息数目

ARP-Miss Message Received Discard For Speed Limit

时间戳抑制丢弃的ARP Miss消息数目

ARP-Miss Message Received Discard For Other

其他原因丢弃的ARP Miss消息数目

# 查看设备上所有统计到ARP报文计数的接口及其统计数据。
<HUAWEI> display arp packet statistics interface
Interface            R-request   R-reply  R-gratis  S-request   S-reply S-gratis
--------------------------------------------------------------------------------
10GE1/0/1                    5         0         3          0          0       0
Vlanif2                    100         0       100          0          5       5
Eth-Trunk2                 400       200       400         400       200     100
表16-79  display arp packet statistics interface命令输出信息描述

项目

描述

Interface

收发ARP报文的接口

R-request

接收到的ARP请求报文的数量

R-reply

接收到的ARP应答报文的数量

R-gratis

接收到的免费ARP报文的数量

S-request

发送的ARP请求报文的数量

S-reply

发送的ARP应答报文的数量

S-gratis

发送的免费ARP报文的数量
# 查看设备收发ARP报文的详细统计数据。
<HUAWEI> display arp packet statistics interface 10ge 1/0/1
ARP Packets Received                                                            
  Request:                              22                                       
  Reply:                                0                                       
  Gratuitous ARP:                       6                                       
ARP Packets Sent                                                                
  Request:                              3                                       
  Reply:                                0                                       
  Gratuitous ARP:                       3                                       
ARP-Miss Message Received                                                       
  Total:                                0                                       
  Discard For Invalid Table:            0                                       
  Discard For Speed Limit:              0                                       
  Discard For Other:                    0
表16-80  display arp packet statistics interface 10ge 1/0/1命令输出信息描述

项目

描述

ARP Packets Received

接收的ARP报文的数量:
  • Request:ARP请求报文的数量
  • Reply:ARP应答报文的数量
  • Gratuitous ARP:免费ARP报文的数量

ARP Packets Sent

发送的ARP报文的数量:
  • Request:ARP请求报文的数量
  • Reply:ARP应答报文的数量
  • Gratuitous ARP:免费ARP报文的数量

ARP-Miss Message Received

接收的ARP Miss消息的数量:
  • Total:ARP Miss消息的总数
  • Discard For Invalid Table:配置了无效静态ARP表项导致丢弃的ARP Miss消息的数量
  • Discard For Speed Limit:ARP Miss消息限速导致丢弃的ARP Miss消息数量
  • Discard For Other:其他原因导致丢弃的ARP Miss消息数量

display arp limit

命令功能

display arp limit命令用来查看接口可以学习到的动态ARP表项数目的最大值。

命令格式

display arp limit [ interface interface-type interface-number ] [ vlan vlan-id ]

参数说明

参数

参数说明

取值

interface interface-type interface-number

指定接口类型和接口编号。其中:
  • interface-type表示接口类型。

  • interface-number表示接口编号。

-

vlan vlan-id

指定VLAN编号。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外

视图

所有视图

缺省级别

1:监控级

使用指南

当配置完接口可以学习到的动态ARP表项数目的最大值限制后,如果需要查看配置是否正确,可以通过本命令进行查看。

如果指定了interface interface-type interface-numbervlan vlan-id参数,表示查看指定接口在指定VLAN内可以学习到的动态ARP表项数目的最大值;如果不指定interface interface-type interface-numbervlan vlan-id参数,则表示查看各接口可以学习到的动态ARP表项数目最大值。

使用实例

# 查看各接口可以学习到的动态ARP表项数目最大值的配置。

<HUAWEI> display arp limit
 Interface                         VLAN       Limit      Learnt                                                                     
---------------------------------------------------------------------------  
 Vlanif100                            0        1000           0     
 10GE1/0/1                        16384          10           0 
---------------------------------------------------------------------------
 Total:2  
表16-81  display arp limit命令输出信息描述

项目

描述

Interface

接口名称。

VLAN

接口加入VLAN的VLAN编号。

Limit

接口可以学习到的动态ARP表项的最大数目。

Learnt

接口已经学习到的动态ARP表项数目。

相关主题

display arp miss anti-attack

命令功能

display arp miss anti-attack命令用来查看ARP Miss防攻击的配置信息。

命令格式

display arp miss anti-attack rate-limit

参数说明

参数 参数说明 取值
rate-limit 显示ARP Miss消息限速的配置信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

当用户完成ARP Miss消息限速的配置之后,为了检查配置的正确性,可以执行该命令,查看ARP Miss消息限速的配置信息。

使用实例

# 查看ARP Miss消息限速的配置信息。

<HUAWEI> display arp miss anti-attack rate-limit
Global ARP miss rate limit (pps)          : --                                                                                      

Total number of rate-limit configuration for VLAN : 1                           
VLAN               Suppress Rate(pps)                                           
-------------------------------------------------------------------------------                                                     
2                                500                                            
------------------------------------------------------------------------------- 
                                                                                
Total number of rate-limit configuration for source IP Address : 1              
Source IP          Suppress Rate(pps)                                           
------------------------------------------------------------------------------- 
10.4.4.4/32                      700                                            
------------------------------------------------------------------------------- 
表16-82  display arp miss anti-attack rate-limit命令输出信息描述

项目

描述

Global ARP miss rate limit (pps)

全局配置的ARP Miss消息限速的限速值。

该功能可通过arp miss anti-attack rate-limit命令配置。

VLAN

针对VLAN的ARP Miss消息进行限速。

该功能可通过arp miss anti-attack rate-limit命令配置。

Source IP

根据源IP地址对ARP Miss消息进行限速。

该功能可通过arp miss anti-attack rate-limit source-ip命令配置。

Suppress Rate(pps)

ARP Miss消息限速的限速值。

display arp miss anti-attack record

命令功能

display arp miss anti-attack record命令用来查看由于ARP Miss消息限速导致丢弃的ARP Miss消息的详细信息。

命令格式

display arp miss anti-attack record

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

当用户配置了ARP Miss消息限速功能后,设备会对单位时间内收到的ARP Miss消息进行数量统计,如果ARP Miss消息的数量超出了配置的阈值,超出部分的ARP Miss消息将被丢弃。为了方便用户进行故障定位,设备会将这些丢弃的ARP Miss消息的详细信息记录下来供用户查看。

执行该命令,可以查看设备记录的丢弃的ARP Miss消息的详细信息。

使用实例

# 查看设备记录的丢弃的ARP Miss消息的详细信息。

<HUAWEI> display arp miss anti-attack record
Source IP       Destination IP  Interface                 Attack Time   
--------------------------------------------------------------------------------
10.1.1.2        10.1.2.247      10GE1/0/1                 09-10 16:06:04   
--------------------------------------------------------------------------------
There are 6 records in ARP miss table
表16-83  display arp miss anti-attack record命令输出信息描述

项目

描述

Source IP

设备丢弃的ARP Miss消息的源IP地址。

Destination IP

设备丢弃的ARP Miss消息的目的IP地址。

Interface

设备丢弃的ARP Miss消息所属的接口。

Attack Time

ARP Miss消息的攻击时间。

说明:
单位时间内设备收到ARP Miss消息的数量超过配置的阈值的开始时间是ARP Miss消息的攻击时间。

reset arp anti-attack record

命令功能

reset arp anti-attack record命令用来清除由于ARP报文限速导致丢弃的ARP报文的详细信息。

命令格式

reset arp anti-attack record

参数说明

视图

用户视图

缺省级别

2:配置级

使用指南

当用户配置了ARP报文限速功能后,设备会对单位时间内收到的ARP报文进行数量统计,如果ARP报文数量超出了配置的阈值,超出部分的ARP报文将被丢弃。为了方便用户进行故障定位,设备会将这些丢弃的ARP报文的详细信息记录下来供用户查看。

当用户希望清除设备记录的丢弃的ARP报文的详细信息,释放系统的存储资源时,可以执行该命令。

使用实例

# 清除设备记录的丢弃的ARP报文的详细信息。

<HUAWEI> reset arp anti-attack record

reset arp packet statistics

命令功能

reset arp packet statistics命令用来清除ARP报文统计数据。

命令格式

reset arp packet statistics [ interface [ interface-type interface-number ] ]

参数说明

参数 参数说明 取值
interface 清除指定三层接口的ARP报文统计数据。

如果未指定interface参数,则表示清除所有ARP报文统计数据。

-
interface-type interface-number 指定接口类型和接口编号。其中:
  • interface-type表示接口类型。

  • interface-number表示接口编号。

如果未指定interface-type interface-number参数,则表示清除所有三层接口的ARP报文统计数据。

-

视图

用户视图

缺省级别

2:配置级

使用指南

通过执行display arp packet statistics命令查看ARP报文的统计信息时,为了获取准确的统计信息,需要先执行本命令清除已有的统计信息。

使用实例

# 清除所有ARP报文统计数据。

<HUAWEI> reset arp packet statistics

reset arp miss anti-attack record

命令功能

reset arp miss anti-attack record命令用来清除由于ARP Miss消息限速导致丢弃的ARP Miss信息。

命令格式

reset arp miss anti-attack record

参数说明

视图

用户视图

缺省级别

2:配置级

使用指南

用户配置了ARP Miss消息限速功能后,设备会对单位时间内收到的ARP Miss消息进行数量统计,如果ARP Miss消息的数量超出了配置的阈值,超出部分的ARP Miss消息将被丢弃。为了方便用户进行故障定位,设备会将这些丢弃的ARP Miss信息记录下来供用户查看。

当用户希望清除设备记录的丢弃的ARP Miss信息,释放系统的存储资源时,可以执行该命令。

使用实例

# 清除设备记录的丢弃的ARP Miss信息。

<HUAWEI> reset arp miss anti-attack record
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:16341

下载量:407

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页