华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置基于接口的ARP表项限制
配置基于接口的ARP表项限制
背景信息
为了防止当一个接口所接入的某一用户主机发起ARP攻击时导致整个设备的ARP表资源都被耗尽,可以在指定接口下配置接口能够学习到的最大动态ARP表项数目。当指定接口下的动态ARP表项达到允许学习的最大数目后,将不允许新增动态ARP表项。
建议在网关设备上进行如下配置。
操作步骤
- 配置二层接口的ARP表项限制
- 执行命令system-view,进入系统视图。
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令arp-limit vlan vlan-id1 [ to vlan-id2 ] maximum maximum,配置基于二层接口的ARP表项限制。
缺省情况下,在规格范围内,设备对接口能够学习到的最大动态ARP表项数目没有限制。
- 配置三层接口或以太网子接口的ARP表项限制
- 执行命令system-view,进入系统视图。
- 执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或以太网子接口视图。
- (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。
缺省情况下,以太网接口处于二层模式。
![]()
说明: 仅S5720EI、S5720HI、S5730HI、S6720EI、S6720HI和S6720S-EI支持二层模式与三层模式切换。
- 执行命令arp-limit maximum maximum,配置基于三层接口或以太网子接口的ARP表项限制。
缺省情况下,在规格范围内,设备对接口能够学习到的最大动态ARP表项数目没有限制。
![]()
说明: 仅S5720EI、S5720HI、S5730HI、S6720EI、S6720HI和S6720S-EI支持子接口。
上一页
