所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
ARP安全配置命令

ARP安全配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

arp anti-attack check user-bind alarm enable

命令功能

arp anti-attack check user-bind alarm enable命令用来使能动态ARP检测丢弃报文告警功能。

undo arp anti-attack check user-bind alarm enable命令用来去使能动态ARP检测丢弃报文告警功能。

缺省情况下,未使能动态ARP检测丢弃报文告警功能。

命令格式

arp anti-attack check user-bind alarm enable

undo arp anti-attack check user-bind alarm enable

参数说明

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、端口组视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

使能动态ARP检测功能后,如果希望设备在丢弃不匹配绑定表的ARP报文数量较多时,能够以告警的方式提醒网络管理员,则可以执行本命令使能动态ARP检测丢弃报文告警功能。当丢弃的ARP报文数超过告警阈值时,设备将产生告警。

告警阈值可以通过arp anti-attack check user-bind alarm threshold命令进行配置。

前置条件

在执行该命令前需要先使用命令arp anti-attack check user-bind enable使能接口下的动态ARP检测功能。

使用实例

# 使能接口GE1/0/1下动态ARP检测丢弃报文告警功能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind enable
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind alarm enable

arp anti-attack check user-bind alarm threshold

命令功能

arp anti-attack check user-bind alarm threshold命令用来配置动态ARP检测丢弃报文告警阈值。

undo arp anti-attack check user-bind alarm threshold命令用来恢复动态ARP检测丢弃报文告警阈值为缺省值。

缺省情况下,动态ARP检测丢弃报文告警阈值为100个报文。

命令格式

arp anti-attack check user-bind alarm threshold threshold

undo arp anti-attack check user-bind alarm threshold

参数说明

参数 参数说明 取值
threshold 指定动态ARP检测丢弃报文告警阈值。 整数形式,取值范围是1~1000,单位是报文数。

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、端口组视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

通过本命令可以配置动态ARP检测丢弃报文告警阈值,当设备丢弃因不匹配绑定表的ARP报文数超过告警阈值时,设备将以告警的方式通知网络管理员。

前置条件

在接口视图下执行本命令前需要先使用命令arp anti-attack check user-bind enable使能动态ARP检测功能,以及使用命令arp anti-attack check user-bind alarm enable使能动态ARP检测丢弃报文告警功能。

注意事项

在系统视图下配置本命令时生效的前提是接口上已使能动态ARP检测功能以及动态ARP检测丢弃报文告警功能,全局的配置值在所有已使能这两个功能的接口上都有效。

接口视图下配置的优先级高于全局配置的优先级,如果不进行接口配置,则接口的告警阈值和全局配置保持一致。

使用实例

# 配置接口GE1/0/1下的动态ARP检测丢弃报文告警阈值为200个报文。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind enable
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind alarm enable
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind alarm threshold 200

arp anti-attack check user-bind check-item(接口视图)

命令功能

arp anti-attack check user-bind check-item命令用来配置接口下ARP报文绑定表匹配检查的检查项。

undo arp anti-attack check user-bind check-item命令用来恢复ARP报文绑定表匹配检查项为缺省值。

缺省情况下,对ARP报文对应的IP地址、MAC地址和VLAN信息均进行绑定表匹配检查。

命令格式

arp anti-attack check user-bind check-item { ip-address | mac-address | vlan } *

undo arp anti-attack check user-bind check-item

参数说明

参数 参数说明 取值
ip-address 指定ARP报文绑定表匹配检查时检查IP地址。 -
mac-address 指定ARP报文绑定表匹配检查时检查MAC地址。 -
vlan 指定ARP报文绑定表匹配检查时检查VLAN信息。 -

视图

GE接口视图、40GE接口视图、XGE接口视图、100GE接口视图、端口组视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

接口下使能动态ARP检测功能后,设备会将ARP报文对应的源IP、源MAC以及VLAN信息和绑定表中的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。

如果希望仅匹配绑定表某一项或某两项内容的特殊ARP报文也能够通过,则可以通过本命令配置接口下ARP报文绑定表匹配检查时只检查某一项或某两项内容。

前置条件

配置本命令前,需要先执行arp anti-attack check user-bind enable命令使能接口下的动态ARP检测功能。

注意事项

指定ARP报文绑定表匹配检查项对配置了静态绑定表的用户不起作用,即设备仍然按照静态绑定表的内容对ARP报文进行绑定表匹配检查。

使用实例

# 配置GE1/0/1接口下ARP报文绑定表匹配检查时只检查IP地址。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind enable
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind check-item ip-address

arp anti-attack check user-bind check-item(VLAN视图)

命令功能

arp anti-attack check user-bind check-item命令用来配置VLAN下ARP报文绑定表匹配检查的检查项。

undo arp anti-attack check user-bind check-item命令用来恢复ARP报文绑定表匹配检查项为缺省值。

缺省情况下,对ARP报文的IP地址、MAC地址和接口信息均进行绑定表匹配检查。

命令格式

arp anti-attack check user-bind check-item { ip-address | mac-address | interface } *

undo arp anti-attack check user-bind check-item

参数说明

参数 参数说明 取值
ip-address 指定ARP报文绑定表匹配检查项为检查IP地址。 -
mac-address 指定ARP报文绑定表匹配检查时为检查MAC地址。 -
interface 指定ARP报文绑定表匹配检查时为检查接口信息。 -

视图

VLAN视图

缺省级别

2:配置级

使用指南

应用场景

VLAN下使能动态ARP检测功能后,设备会将ARP报文对应的源IP、源MAC及接口信息和绑定表中的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。

如果希望仅匹配绑定表某一项或某两项内容的特殊ARP报文也能够通过,则可以配置对ARP报文进行绑定表匹配检查时只检查某一项或某两项内容。

前置条件

配置本命令前,需要先执行arp anti-attack check user-bind enable命令使能VLAN下的动态ARP检测功能。

注意事项

指定ARP报文绑定表匹配检查项对配置了静态绑定表的用户不起作用,即设备仍然按照静态绑定表的内容对ARP报文进行绑定表匹配检查。

使用实例

# 配置VLAN100下ARP报文绑定表匹配检查时只检查IP地址。

<HUAWEI> system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] arp anti-attack check user-bind enable
[HUAWEI-vlan100] arp anti-attack check user-bind check-item ip-address

arp anti-attack check user-bind enable

命令功能

arp anti-attack check user-bind enable命令用来使能接口或VLAN下动态ARP检测(DAI)功能,即对ARP报文进行绑定表匹配检查功能。

undo arp anti-attack check user-bind enable命令用来去使能接口或VLAN下动态ARP检测功能。

缺省情况下,接口和VLAN下未使能动态ARP检测功能。

命令格式

arp anti-attack check user-bind enable

undo arp anti-attack check user-bind enable

参数说明

视图

GE接口视图、40GE接口视图、XGE接口视图、100GE接口视图、端口组视图、Eth-Trunk接口视图、VLAN视图

缺省级别

2:配置级

使用指南

应用场景

为了防御中间人攻击,避免合法用户的数据被中间人窃取,可以执行本命令使能动态ARP检测功能。设备会将ARP报文对应的源IP、源MAC、接口、VLAN信息和绑定表中的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。

可在接口视图或VLAN视图下使能动态ARP检测功能。在接口视图下使能时,则对该接口收到的所有ARP报文进行绑定表匹配检查;在VLAN视图下使能时,则对加入该VLAN的接口收到的属于该VLAN的ARP报文进行绑定表匹配检查。

后续任务

配置本命令后,可以执行arp anti-attack check user-bind check-item(接口视图)命令或arp anti-attack check user-bind check-item(VLAN视图)命令配置ARP报文绑定表匹配检查的检查项。

使用实例

# 使能接口GE1/0/1下的动态ARP检测功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack check user-bind enable
# 使能VLAN100下的动态ARP检测功能。
<HUAWEI> system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] arp anti-attack check user-bind enable

arp anti-attack entry-check enable

命令功能

arp anti-attack entry-check enable命令用来使能ARP表项固化功能。

undo arp anti-attack entry-check enable命令用来去使能ARP表项固化功能。

缺省情况下,未使能ARP表项固化功能。

命令格式

arp anti-attack entry-check { fixed-mac | fixed-all | send-ack } enable

undo arp anti-attack entry-check [ fixed-mac | fixed-all | send-ack ] enable

参数说明

参数 参数说明 取值
fixed-mac

指定按照固定MAC方式运行ARP表项固化功能。

即如果设备收到的ARP报文中的MAC地址与ARP表中对应条目的MAC地址不匹配,则直接丢弃该ARP报文;如果匹配,但是收到报文的接口或VLAN信息与对应ARP条目不匹配,则可以更新对应ARP条目中的接口和VLAN信息。

-
fixed-all

指定按照固定所有参数的方式运行ARP表项固化功能。

即只有当ARP报文对应的MAC地址、接口、VLAN信息和ARP表项中的信息完全匹配时,设备才可以更新ARP表项的其他内容。

-
send-ack

指定按照查询确认方式运行ARP表项固化功能。

即设备收到一个涉及MAC地址、VLAN、接口修改的ARP报文时,不会立即更新ARP表项,而是先记录这个请求修改ARP表项的报文信息,并向待更新的ARP表项现有MAC地址对应的用户发送一个单播的ARP请求报文进行确认,根据确认结果再决定是否更新ARP表项中的MAC地址、VLAN和接口信息,然后再将请求修改ARP表项的报文信息删除。

-

视图

系统视图、VLANIF接口视图

缺省级别

2:配置级

使用指南

应用场景

为了防止ARP地址欺骗攻击,可以使能ARP表项固化功能。三种ARP表项固化模式适用于不同的应用场景,且是互斥关系。
  • fixed-mac方式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。当用户从不同接口接入设备时,设备上该用户对应的ARP表项中的接口信息可以及时更新。
  • fixed-all方式适用于用户MAC地址固定,并且用户接入位置相对固定的场景。
  • send-ack方式适用于用户的MAC地址和接入位置均频繁变动的场景。

注意事项

使能ARP表项固化功能后会导致mac-address update arp 命令提供的MAC地址刷新触发ARP表项刷新的功能失效。

send-ack模式下,设备同时最多记录100个请求修改ARP表项的报文信息。

在系统视图下执行本命令,则所有接口都使能ARP表项固化功能;在接口视图下执行本命令,则只有指定接口使能ARP表项固化功能。

当全局和VLANIF接口下同时配置了该功能时,VLANIF接口下的配置优先生效。

使用实例

# 使能ARP表项固化功能,指定固定模式为固化MAC方式。
<HUAWEI> system-view
[HUAWEI] arp anti-attack entry-check fixed-mac enable

arp anti-attack gateway-duplicate enable

命令功能

arp anti-attack gateway-duplicate enable命令用来使能ARP防网关冲突攻击功能。

undo arp anti-attack gateway-duplicate enable命令用来去使能ARP防网关冲突攻击功能。

缺省情况下,未使能ARP防网关冲突攻击功能。

命令格式

arp anti-attack gateway-duplicate enable

undo arp anti-attack gateway-duplicate enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

如果有攻击者仿冒网关,在局域网内部发送源IP地址是网关IP地址的ARP报文,会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。这样其他用户主机就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到他们发送的数据内容,并且最终会造成这些用户主机无法访问网络。

为了防范攻击者仿冒网关,当用户主机直接接入网关时,可以在网关设备上执行本命令使能ARP防网关冲突攻击功能。当设备收到的ARP报文存在下列情况之一:
  • ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP地址相同
  • ARP报文的源IP地址是入接口的虚拟IP地址,但ARP报文源MAC地址不是VRRP虚MAC
设备就认为该ARP报文是与网关地址冲突的ARP报文,设备将生成ARP防攻击表项,并在后续一段时间内丢弃该接口收到的同VLAN以及同源MAC地址的ARP报文,这样就可以防止与网关地址冲突的ARP报文在VLAN内广播。

注意事项

设备同一时间最多维护100条ARP防网关冲突攻击表项,超过这个数量的网关冲突攻击将无法防止。

使用实例

# 使能ARP防网关冲突攻击功能。

<HUAWEI> system-view
[HUAWEI] arp anti-attack gateway-duplicate enable

arp anti-attack gratuitous-arp drop

命令功能

arp anti-attack gratuitous-arp drop命令用来使能免费ARP报文主动丢弃功能。

undo arp anti-attack gratuitous-arp drop命令用来去使能免费ARP报文主动丢弃功能。

缺省情况下,未使能免费ARP报文主动丢弃功能。

命令格式

arp anti-attack gratuitous-arp drop

undo arp anti-attack gratuitous-arp drop

参数说明

视图

系统视图、VLANIF接口视图

缺省级别

2:配置级

使用指南

应用场景

由于发送免费ARP报文的用户主机并不需要经过身份验证,任何一个用户主机都可以发送免费ARP报文,这样就引入了两个问题:
  • 如果网络中出现大量的免费ARP报文,设备会因为处理这些报文而导致CPU负荷过重,从而不能正常处理合法的ARP报文。
  • 如果设备处理的免费ARP报文是攻击者伪造的,会造成设备错误地更新ARP表项,导致合法用户的通信流量发生中断。

参考以上问题描述,在确认攻击来自免费ARP报文之后,可以在网关设备上执行本命令使能免费ARP报文主动丢弃功能,使网关设备直接丢弃免费ARP报文。

注意事项

全局下使能该功能将对所有接口生效;VLANIF接口下使能该功能则只对该接口生效。

使用实例

# 全局使能免费ARP报文主动丢弃功能。

<HUAWEI> system-view
[HUAWEI] arp anti-attack gratuitous-arp drop

# 使能接口VLANIF10的免费ARP报文主动丢弃功能。

<HUAWEI> system-view
[HUAWEI] vlan 10
[HUAWEI-vlan10] quit
[HUAWEI] interface vlanif 10
[HUAWEI-Vlanif10] arp anti-attack gratuitous-arp drop

arp anti-attack log-trap-timer

命令功能

arp anti-attack log-trap-timer命令用来配置对潜在的ARP攻击行为发送ARP告警的时间间隔。

undo arp anti-attack log-trap-timer命令用来恢复发送ARP告警的时间间隔为缺省值。

缺省情况下,发送ARP告警时间间隔为0,即设备不发送ARP告警信息。

命令格式

arp anti-attack log-trap-timer time

undo arp anti-attack log-trap-timer

参数说明

参数 参数说明 取值
time 指定发送告警的时间间隔。 整数形式,取值范围是0~1200,单位为秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在使能了根据源IP地址进行ARP报文限速功能后,在1秒内如果设备收到的ARP报文超过了设定的阈值,超出部分的ARP报文将被丢弃。此时设备认为这是一种潜在的攻击行为,会针对这种攻击行为向网管系统发送ARP告警,实时记录ARP运行的异常情况。通过配置发送告警的时间间隔,可以减少告警发送的数量,以避免ARP攻击时造成海量告警信息。

注意事项

在容易造成攻击的环境中,建议增大发送告警的时间间隔,避免产生海量告警信息对用户排除故障造成障碍。在相对安全的环境中,建议减小发送告警的时间间隔,保证设备的告警能及时被处理,方便用户及时排除设备异常。

配置发送告警的时间间隔后,在两次发送告警的时间间隔内,设备会将该时间段内产生的告警丢弃,导致部分异常无法及时处理。

该命令仅对arp speed-limit source-ip命令对应的根据源IP地址进行ARP报文限速功能的告警有效,对ARP安全特性的其他告警无效,其他告警均是固定每5分钟发送一次。

使用实例

# 配置发送ARP告警的时间间隔为20秒。

<HUAWEI> system-view
[HUAWEI] arp anti-attack log-trap-timer 20

arp anti-attack packet-check

命令功能

arp anti-attack packet-check命令用来使能ARP报文合法性检查功能,并指定ARP报文合法性检查项。

undo arp anti-attack packet-check命令用来去使能ARP报文合法性检查功能。

缺省情况下,未使能ARP报文合法性检查功能。

命令格式

arp anti-attack packet-check { ip | dst-mac | sender-mac } *

undo arp anti-attack packet-check [ ip | dst-mac | sender-mac ] *

参数说明

参数 参数说明 取值
ip 指定ARP报文合法性检查时检查IP地址。 -
dst-mac 指定ARP报文合法性检查时检查目的MAC地址。 -
sender-mac 指定ARP报文合法性检查时检查源MAC地址。 -

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为了防止非法ARP报文的攻击,可以在接入设备或网关设备上执行本命令配置ARP报文合法性检查功能,用来对MAC地址和IP地址不合法的ARP报文进行过滤。设备提供以下三种可以任意组合的检查项配置:

  • IP地址检查:设备会检查ARP报文中的源IP和目的IP地址,全0、全1、或者组播IP地址都是不合法的,需要丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。

  • 源MAC地址检查:设备会检查ARP报文中的源MAC地址和以太网数据帧首部中的源MAC地址是否一致,一致则认为合法,否则丢弃报文。

  • 目的MAC地址检查:设备会检查ARP应答报文中的目的MAC地址是否和以太网数据帧首部中的目的MAC地址一致,一致则认为合法,否则丢弃报文。

注意事项

通常,ARP报文中源MAC地址和以太网数据帧首部中的源MAC地址不一致的ARP报文,以及目的MAC地址和以太网数据帧首部中的目的MAC地址不一致的ARP应答报文均是ARP协议允许的ARP报文。因此,只有在网络管理员发现攻击产生后,通过报文头获取方式定位,确定是由于对应项不一致的ARP报文导致的攻击,才能指定ARP报文合法性检查时需要检查源MAC地址和检查目的MAC地址。

本命令为累积式命令。

使用实例

# 使能ARP报文合法性检查功能,并指定ARP报文合法性检查时检查源MAC地址。

<HUAWEI> system-view
[HUAWEI] arp anti-attack packet-check sender-mac

arp anti-attack rate-limit

命令功能

arp anti-attack rate-limit命令用来在全局、VLAN或接口下配置ARP报文的限速值、限速时间,以及在接口下配置持续丢弃超过限速值的接口下收到的所有ARP报文的功能。

undo arp anti-attack rate-limit命令用来将全局、VLAN或接口下配置的ARP报文的限速值和限速时间恢复为缺省值,并恢复ARP报文的上送。

缺省情况下,在1秒内设备最多允许100个ARP报文通过,且未配置当某个接口的ARP报文超过限速值时,在后续一段时间内持续丢弃该接口下收到的所有ARP报文的功能。

命令格式

系统视图、VLAN视图:

arp anti-attack rate-limit packet packet-number [ interval interval-value ]

undo arp anti-attack rate-limit

接口视图:

arp anti-attack rate-limit packet packet-number [ interval interval-value | block-timer timer ] *

undo arp anti-attack rate-limit

参数说明

参数

参数说明

取值

packet packet-number

指定ARP报文的限速值,即限速时间内允许通过的ARP报文的个数。

整数形式,取值范围1~16384。缺省值是100。

interval interval-value

指定ARP报文的限速时间。

整数形式,取值范围1~86400,单位是秒。缺省值是1秒。

block-timer timer

指定持续丢弃超过ARP报文限速值的接口下收到的所有ARP报文的时长。

整数形式,取值范围5~864000,单位是秒。

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、端口组视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

使能ARP报文限速功能后,可以在全局、VLAN或接口下执行本命令配置ARP报文的限速值和限速时间。在ARP报文限速时间内,如果收到的ARP报文数目超过ARP报文限速值,设备会丢弃超出限速值的ARP报文。

如果配置了block-timer timer,则当某个接口的ARP报文超过限速值时,设备会在timer时间内持续丢弃该接口下收到的所有ARP报文。

前置条件

在执行本命令前需要先使用命令arp anti-attack rate-limit enable全局、VLAN或接口下使能ARP报文限速功能。

注意事项

当同时在全局、VLAN和接口下配置ARP报文的限速值和限速时间时,设备会先按照接口进行限速,再按照VLAN进行限速,最后按照全局进行限速。

设备支持在32个端口下配置该命令。

说明:

该命令在非block模式下只对上送CPU的ARP报文进行限速,对芯片转发的报文不会产生影响;在block模式下,仅在接口下上送CPU的ARP报文超过限速值时会触发block,触发后设备会持续丢弃该接口下的所有ARP报文。

使用实例

# 配置二层接口GE1/0/1在10秒钟内最多允许200个ARP报文通过,当ARP报文超过该限速值时,60秒内持续丢弃该接口下的所有ARP报文。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack rate-limit enable
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack rate-limit packet 200 interval 10 block-timer 60
# 配置三层接口GE1/0/1在10秒钟内最多允许200个ARP报文通过,当ARP报文超过该限速值时,60秒内持续丢弃该接口下的所有ARP报文。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack rate-limit enable
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack rate-limit packet 200 interval 10 block-timer 60

arp anti-attack rate-limit alarm enable

命令功能

arp anti-attack rate-limit alarm enable命令用来使能ARP报文限速丢弃告警功能。

undo arp anti-attack rate-limit alarm enable命令用来去使能ARP报文限速丢弃告警功能。

缺省情况下,未使能ARP报文限速丢弃告警功能。

命令格式

arp anti-attack rate-limit alarm enable

undo arp anti-attack rate-limit alarm enable

参数说明

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、端口组视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

使能ARP报文限速功能后,当设备丢弃的ARP报文数量较多时,如果希望设备能够以告警的方式提醒网络管理员,则可以执行本命令使能ARP报文限速丢弃告警功能。当丢弃的ARP报文数超过告警阈值时,设备将产生告警。

告警阈值可以通过arp anti-attack rate-limit alarm threshold命令进行配置。

前置条件

在执行该命令前需要先使用命令arp anti-attack rate-limit enable使能ARP报文限速功能。

使用实例

# 全局使能ARP报文限速功能,并使能ARP报文限速丢弃告警功能。

<HUAWEI> system-view
[HUAWEI] arp anti-attack rate-limit enable
[HUAWEI] arp anti-attack rate-limit alarm enable

# 二层接口GE1/0/1下使能ARP报文限速功能,并使能ARP报文限速丢弃告警功能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack rate-limit enable
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack rate-limit alarm enable
# 三层接口GE1/0/1下使能ARP报文限速功能,并使能ARP报文限速丢弃告警功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack rate-limit enable
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack rate-limit alarm enable

arp anti-attack rate-limit alarm threshold

命令功能

arp anti-attack rate-limit alarm threshold命令用来配置ARP报文限速丢弃告警阈值。

undo arp anti-attack rate-limit alarm threshold命令用来恢复ARP报文限速丢弃告警阈值为缺省值。

缺省情况下,ARP报文限速丢弃告警阈值为100。

命令格式

arp anti-attack rate-limit alarm threshold threshold

undo arp anti-attack rate-limit alarm threshold

参数说明

参数 参数说明 取值
threshold ARP报文限速丢弃告警阈值。 整数形式,取值范围是1~16384。

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、端口组视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

通过本命令可以配置告警阈值,当设备丢弃因超过ARP限速值的ARP报文数超过告警阈值时,设备将以告警的方式通知网络管理员。

前置条件

在执行本命令前需要先使用命令arp anti-attack rate-limit enable使能ARP报文限速功能,以及使用命令arp anti-attack rate-limit alarm enable使能ARP报文限速丢弃告警功能。

使用实例

# 全局使能ARP报文限速功能,并使能ARP报文限速丢弃告警功能,告警阈值为50。

<HUAWEI> system-view
[HUAWEI] arp anti-attack rate-limit enable
[HUAWEI] arp anti-attack rate-limit alarm enable
[HUAWEI] arp anti-attack rate-limit alarm threshold 50

# 二层接口GE1/0/1下使能ARP报文限速功能,并使能ARP报文限速丢弃告警功能,告警阈值为50。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack rate-limit enable
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack rate-limit alarm enable
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack rate-limit alarm threshold 50
# 三层接口GE1/0/1下使能ARP报文限速功能,并使能ARP报文限速丢弃告警功能,告警阈值为50。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack rate-limit enable
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack rate-limit alarm enable
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack rate-limit alarm threshold 50

arp anti-attack rate-limit enable

命令功能

arp anti-attack rate-limit enable命令用来使能ARP报文限速功能。

undo arp anti-attack rate-limit enable命令用来去使能ARP报文限速功能。

缺省情况下,未使能ARP报文限速功能。

命令格式

arp anti-attack rate-limit enable

undo arp anti-attack rate-limit enable

参数说明

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、端口组视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

如果设备对收到的大量ARP报文全部进行处理,可能导致CPU负荷过重而无法处理其他业务。因此,在处理之前,设备需要对ARP报文进行限速,以保护CPU资源。

可以执行本命令使能ARP报文限速功能,这样在ARP报文限速时间内超过限速值的ARP报文将会被丢弃。ARP报文限速时间和限速值可通过arp anti-attack rate-limit命令配置。

设备使能ARP优化应答功能后(通过undo arp optimized-reply disable命令配置,缺省情况下,ARP优化应答功能处于使能状态),根据全局、VLAN和接口进行ARP报文限速不生效。

使用实例

# 全局使能ARP报文限速功能。

<HUAWEI> system-view
[HUAWEI] arp anti-attack rate-limit enable

# 二层接口GE1/0/1下使能ARP报文限速功能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack rate-limit enable
# 三层接口GE1/0/1下使能ARP报文限速功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] arp anti-attack rate-limit enable

arp gratuitous-arp send enable

命令功能

arp gratuitous-arp send enable命令用来使能发送免费ARP报文的功能。

undo arp gratuitous-arp send enable命令用来去使能发送免费ARP报文的功能。

缺省情况下,未使能发送免费ARP报文功能。

命令格式

arp gratuitous-arp send enable

undo arp gratuitous-arp send enable

参数说明

视图

系统视图、VLANIF接口视图

缺省级别

2:配置级

使用指南

应用场景

如果有攻击者向其他用户发送仿冒网关的ARP报文,会导致其他用户的ARP表中记录错误的网关地址映射关系,造成其他用户的正常数据不能被网关接收。此时可以在网关设备上使能发送免费ARP报文的功能,用来定期更新合法用户的ARP表项,使得合法用户ARP表项中记录的是正确的网关地址映射关系。

缺省情况下,使能发送免费ARP报文功能后,设备每隔30秒发送一次免费ARP报文。如果希望自定义间隔时间,可以使用arp gratuitous-arp send interval命令进行设置。

注意事项

在系统视图下执行arp gratuitous-arp send enable命令后,所有VLANIF接口下发送免费ARP报文的功能将被打开。

在系统视图下执行undo arp gratuitous-arp send enable命令后,所有VLANIF接口下发送免费ARP报文的功能将被关闭。

使用实例

# 在接口VLANIF10下使能发送免费ARP报文的功能。

<HUAWEI> system-view
[HUAWEI] interface vlanif 10
[HUAWEI-Vlanif10] arp gratuitous-arp send enable

arp gratuitous-arp send interval

命令功能

arp gratuitous-arp send interval命令用来配置发送免费ARP报文的时间间隔。

undo arp gratuitous-arp send interval命令用来将发送免费ARP报文的时间间隔恢复为缺省值。

缺省情况下,发送免费ARP报文的时间间隔为30秒。

命令格式

arp gratuitous-arp send interval interval-time

undo arp gratuitous-arp send interval

参数说明

参数

参数说明

取值

interval-time

指定发送免费ARP报文的时间间隔。

整数形式,取值范围1~86400,单位是秒。

视图

系统视图、VLANIF接口视图

缺省级别

2:配置级

使用指南

应用场景

缺省情况下,使能发送免费ARP报文功能后,设备每隔30秒发送一次免费ARP报文。如果希望自定义间隔时间,可以使用本命令进行设置。

当在系统视图下配置了发送免费ARP报文的时间间隔,则该值在所有VLANIF接口下生效;如果在系统视图和VLANIF接口视图下同时配置了该时间间隔,则VLANIF接口视图下的配置优先生效。

前置条件

在执行本命令前需要先使用命令arp gratuitous-arp send enable使能发送免费ARP报文功能。

使用实例

# 在接口VLANIF10下配置发送免费ARP报文的时间间隔为100秒。

<HUAWEI> system-view
[HUAWEI] interface vlanif 10
[HUAWEI-Vlanif10] arp gratuitous-arp send enable
[HUAWEI-Vlanif10] arp gratuitous-arp send interval 100

arp learning dhcp-trigger

命令功能

arp learning dhcp-trigger命令用来使能DHCP触发ARP学习功能。

undo arp learning dhcp-trigger命令用来去使能DHCP触发ARP学习功能。

缺省情况下,未使能DHCP触发ARP学习功能。

命令格式

arp learning dhcp-trigger

undo arp learning dhcp-trigger

参数说明

视图

VLANIF接口视图

缺省级别

2:配置级

使用指南

应用场景

在DHCP用户场景下,当DHCP用户数目很多时,设备进行大规模ARP表项的学习和老化会对设备性能和网络环境形成冲击。

为了避免此问题,可以在网关设备上使能DHCP触发ARP学习功能。当DHCP服务器给用户分配了IP地址,网关设备会根据VLANIF接口上收到的DHCP ACK报文直接生成该用户的ARP表项。

注意事项

本命令生效的前提是通过命令dhcp enable使能DHCP功能。

在VRRP和DHCP Relay组合场景下,VRRP主备设备上都不能再配置命令dhcp snooping enablearp learning dhcp-trigger

使用实例

# 使能接口VLANIF100的DHCP触发ARP学习功能。

<HUAWEI> system-view
[HUAWEI] vlan batch 100
[HUAWEI] dhcp enable
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] arp learning dhcp-trigger
相关主题

arp learning disable

命令功能

arp learning disable命令用来禁止接口学习动态ARP表项。

undo arp learning disable命令用来恢复接口学习动态ARP表项的功能。

缺省情况下,接口下的动态ARP表项学习功能处于使能状态。

命令格式

arp learning disable

undo arp learning disable

参数说明

视图

VLANIF接口视图、VBDIF接口视图

缺省级别

2:配置级

使用指南

应用场景

出于安全或管理上的考虑,用户可以根据需要,使能或禁止接口的动态ARP表项学习功能,配合arp learning strict(系统视图)arp learning strict(接口视图)命令可以对接口下动态ARP的学习做比较细致的控制。

注意事项

禁止接口下的动态ARP学习能力,可能会造成网络中断。

禁止动态ARP学习前,如果接口上已经有动态学习到的ARP表项,系统并不会自动删除这些表项。用户可以根据需要,手动删除或保留这些已经学习到的动态ARP表项(通过命令reset arp删除)。

使用实例

# 禁止接口VLANIF10学习动态ARP表项。

<HUAWEI> system-view
[HUAWEI] vlan 10
[HUAWEI-vlan10] quit
[HUAWEI] interface vlanif 10
[HUAWEI-Vlanif10] arp learning disable

arp learning strict(接口视图)

命令功能

arp learning strict命令用来配置接口的ARP表项严格学习功能。

undo arp learning strict命令用来将接口的ARP严格学习功能恢复为与全局配置保持一致。

缺省情况下,未使能ARP表项严格学习功能。

命令格式

arp learning strict { force-enable | force-disable | trust }

undo arp learning strict

参数说明

参数 参数说明 取值
force-enable 使能ARP表项严格学习功能。 -
force-disable 去使能ARP表项严格学习功能。 -
trust ARP表项严格学习功能与全局配置保持一致。
说明:

配置trust参数与配置undo arp learning strict命令的功能效果一致。

-

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

如果大量用户在同一时间段内向设备发送大量ARP报文,或者攻击者伪造正常用户的ARP报文发送给设备,则会造成如下危害:
  • 设备因处理大量ARP报文而导致CPU负荷过重,同时设备学习大量的ARP报文可能导致设备ARP表项资源被无效的ARP条目耗尽,造成合法用户的ARP报文不能继续生成ARP条目,导致用户无法正常通信。
  • 伪造的ARP报文将错误地更新设备ARP表项,导致合法用户无法正常通信。

为避免上述危害,可以在网关设备上使能ARP表项严格学习功能。只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP,这样,可以拒绝大部分的ARP报文攻击。

前置条件

对于处于二层模式的以太网接口,需要执行命令undo portswitch,将接口切换到三层模式。

注意事项

接口下配置的优先级高于全局配置的优先级。

当设备的大量接口存在ARP表项攻击时,为了简化配置,可以执行命令arp learning strict(系统视图)配置全局的ARP表项严格学习功能。

使用实例

# 使能接口VLANIF100的ARP表项严格学习功能。
<HUAWEI> system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] quit
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] arp learning strict force-enable
# 使能三层接口GE1/0/1的ARP表项严格学习功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] arp learning strict force-enable

arp learning strict(系统视图)

命令功能

arp learning strict命令用来配置ARP表项严格学习功能。

undo arp learning strict命令用来将ARP表项严格学习功能恢复为默认值。

缺省情况下,未使能ARP表项严格学习功能。

命令格式

arp learning strict

undo arp learning strict

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

如果大量用户在同一时间段内向设备发送大量ARP报文,或者攻击者伪造正常用户的ARP报文发送给设备,则会造成下面的危害:
  • 设备因处理大量ARP报文而导致CPU负荷过重,同时设备学习大量的ARP报文可能导致设备ARP表项资源被无效的ARP条目耗尽,造成合法用户的ARP报文不能继续生成ARP条目,导致用户无法正常通信。
  • 伪造的ARP报文将错误地更新设备ARP表项,导致合法用户无法正常通信。

为避免上述危害,可以在网关设备上使能ARP表项严格学习功能。只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP,这样,可以拒绝大部分的ARP报文攻击。

注意事项

接口下配置的优先级高于全局配置的优先级。

使用实例

# 使能ARP表项严格学习功能。

<HUAWEI> system-view
[HUAWEI] arp learning strict

arp optimized-passby enable

命令功能

arp optimized-passby enable命令用来配置禁止过路ARP报文上送CPU。

undo arp optimized-passby enable命令用来配置允许过路ARP报文上送CPU。

缺省情况下,禁止过路ARP报文上送CPU。

命令格式

arp optimized-passby enable

undo arp optimized-passby enable

说明:

X系列单板支持此命令。

参数说明

视图

VLANIF视图

缺省级别

2:配置级

使用指南

应用场景

接口收到大量目的IP地址不是该接口的过路ARP报文,如果全部将这些过路ARP报文上送CPU处理,将会导致CPU使用率过高,影响CPU对正常业务的处理。

为了避免上述危害,可以配置禁止过路ARP报文上送CPU,对收到的过路ARP报文直接进行转发,提高设备防御ARP泛洪攻击的能力。

注意事项

以下配置会导致VLANIF接口的禁止过路ARP报文上送CPU功能不生效:

使用实例

# 配置允许过路ARP报文上送CPU。

<HUAWEI> system-view
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] undo arp optimized-passby enable

arp optimized-reply disable

命令功能

arp optimized-reply disable命令用来去使能ARP优化应答功能。

undo arp optimized-reply disable命令用来使能ARP优化应答功能。

缺省情况下,ARP优化应答功能处于使能状态。

命令格式

arp optimized-reply disable

undo arp optimized-reply disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当设备作为接入网关时,设备会收到大量请求本机接口MAC地址的ARP请求报文。如果全部将这些ARP请求报文上送主控板处理,将会导致主控板CPU使用率过高,影响CPU对正常业务的处理。

为了避免上述危害,可以使能ARP优化应答功能,提高设备防御ARP泛洪攻击的能力。使能该功能后,设备会进行如下判断:
  • 对于目的IP是本设备接口IP地址的ARP请求报文,接口板直接回复ARP应答报文。
  • 对于目的IP不是本设备接口IP地址的ARP请求报文,如果设备上配置了VLAN内Proxy ARP功能,接口板会判断ARP请求报文是否满足代理条件,如果满足,接口板直接回复ARP应答报文;如果不满足,设备会丢弃该报文。
该功能尤其适用于设备上安装了多块接口板的场景。
缺省情况下,ARP优化应答功能处于使能状态。因此在收到ARP请求报文后,堆叠系统首先查看是否有该ARP请求报文中源IP对应的ARP表项。
  • 如果对应的ARP表项存在,设备对该ARP请求报文进行优化应答。
  • 如果对应的ARP表项不存在,设备不对ARP请求报文的应答进行优化。

注意事项

  • 设备不支持对携带双层VLAN tag的ARP请求报文进行ARP优化代答。
  • 设备支持对无线用户发送的ARP请求报文进行ARP优化应答。
  • 设备仅支持对VLANIF接口、VBDIF接口、Eth-Trunk子接口、物理子接口接收到的ARP请求报文进行ARP优化应答。其中,不对Super-VLAN和Sub-VLAN的VLANIF接口的ARP请求报文进行ARP优化应答。
  • 以下配置会导致全局或相应接口的ARP优化应答功能不生效:
  • 设备使能ARP优化应答功能后,以下功能不生效:

使用实例

# 去使能ARP优化应答功能。

<HUAWEI> system-view
[HUAWEI] arp optimized-reply disable

arp over-vpls enable

命令功能

arp over-vpls enable命令用来使能设备在VPLS网络中的ARP代理功能。

undo arp over-vpls enable命令用来去使能设备在VPLS网络中的ARP代理功能。

缺省情况下,VPLS网络中的ARP代理功能处于未使能状态。

命令格式

arp over-vpls enable

undo arp over-vpls enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在VPLS网络中,为了防止PW(Pseudo Wire)侧的伪造ARP报文被广播到AC(Attachment Circuit)侧形成ARP欺骗攻击,可以在PE设备上使能在VPLS网络中的ARP代理功能。

PW侧的ARP报文将会被上送到主控板进行处理:
  • 如果是ARP请求报文,并且报文的目的IP地址在DHCP Snooping绑定表中存在,则设备根据DHCP Snooping绑定表组装ARP应答报文直接回应PW侧的请求方。
  • 如果不是ARP请求报文,或者ARP请求报文的目的IP地址不在DHCP Snooping绑定表中,则报文被正常转发。

注意事项

本命令生效的前提是通过命令dhcp snooping over-vpls enable使能设备在VPLS网络中的DHCP Snooping功能。

使用实例

# 使能在VPLS网络中的ARP代理功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] dhcp snooping over-vpls enable
[HUAWEI] arp over-vpls enable

arp snooping enable

命令功能

arp snooping enable命令用来使能ARP Snooping功能。

undo arp snooping enable命令用来去使能ARP Snooping功能。

缺省情况下,设备未使能ARP Snooping功能。

命令格式

arp snooping enable

undo arp snooping enable

参数说明

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在视频大联网运维方案中,网管需要获取网元的IP地址和MAC地址绘制拓扑,方便后期运维。对于不支持LLDP等协议的网元设备,可以在接入交换机上配置ARP Snooping功能。通过ARP报文触发学习ARP Snooping表,进而获取网元的IP地址和MAC地址等信息。

使能ARP Snooping功能后,设备将收到的ARP报文上送CPU处理。CPU对上送的ARP报文进行分析,获取ARP报文的源IP地址、源MAC地址、VLAN和入接口信息,建立记录用户信息的ARP Snooping表。

ARP Snooping表项创建后,老化时间默认为900秒。ARP Snooping表项基于ARP报文的源IP地址和VLAN信息创建,当收到源IP地址和VLAN信息与已存在的ARP Snooping表项中的IP地址和VLAN信息不一致的ARP报文时,新建ARP Snooping表项;当收到源IP地址和VLAN信息与已存在的ARP Snooping表项中的IP地址和VLAN信息一致的ARP报文时,则更新对应条目的MAC地址和接口信息,并重置老化计时器。

注意事项

使能ARP Snooping功能的顺序是先使能全局ARP Snooping功能,再使能VLAN或者接口的ARP Snooping功能。

使用实例

# 使能接口GE1/0/1下的ARP Snooping功能。

<HUAWEI> system-view
[HUAWEI] arp snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp snooping enable

# 使能VLAN100下的ARP Snooping功能。

<HUAWEI> system-view
[HUAWEI] arp snooping enable
[HUAWEI] vlan 100
[HUAWEI-vlan100] arp snooping enable

arp speed-limit flood-rate

命令功能

arp speed-limit flood-rate命令用来配置所有Super VLAN的VLANIF接口下ARP请求报文的广播发送限制速率。

undo arp speed-limit flood-rate命令用来将所有Super VLAN的VLANIF接口下ARP请求报文的广播发送限制速率恢复为缺省值。

缺省情况下,所有Super VLAN的VLANIF接口下ARP请求报文的广播发送限制速率为1000pps。

命令格式

arp speed-limit flood-rate rate

undo arp speed-limit flood-rate

参数说明

参数

参数说明

取值

rate

指定ARP请求报文的广播发送限制速率。

整数形式,取值范围0~32768,单位是pps。0表示对发送速率不做限制。

视图

系统视图

缺省级别

2:配置级

使用指南

以下两种情况会触发Super VLAN的VLANIF接口进行ARP学习:

  • VLANIF接口接收到触发ARP Miss消息的IP报文
  • VLANIF接口上启用ARP代理功能之后,设备接收到目的IP符合代理条件且该IP对应的ARP条目不存在的ARP请求报文

Super VLAN的VLANIF接口进行ARP学习时会将ARP请求报文在每个Sub VLAN下复制,如果该Super VLAN下配置了大量Sub VLAN,那么设备将产生大量的ARP请求报文。为了避免CPU因复制、发送大量ARP请求报文而负担过重,设备支持Super VLAN的VLANIF接口下的ARP报文限速功能,以对该场景下设备发送的ARP请求报文进行流量控制。

当设备CPU较为繁忙时,可适当调小ARP请求报文的广播发送限制速率;当设备CPU较为空闲时,且希望能够快速广播ARP请求报文,则可以适当调大该速率。请根据设备实际状况和实际网络环境进行调整。

使用实例

# 配置Super VLAN的VLANIF接口下ARP请求报文的广播发送限制速率为500pps。

<HUAWEI> system-view
[HUAWEI] arp speed-limit flood-rate 500

arp speed-limit source-mac

命令功能

arp speed-limit source-mac命令用来配置根据源MAC地址进行ARP限速的限速值。

undo arp speed-limit source-mac命令用来将根据源MAC地址进行ARP限速的配置恢复为缺省配置。

缺省情况下,设备对每一个源MAC地址的ARP报文速率限制为0,即不根据源MAC地址进行ARP报文限速。

命令格式

arp speed-limit source-mac [ mac-address ] maximum maximum

undo arp speed-limit source-mac [ mac-address ]

参数说明

参数 参数说明 取值
mac-address

指定源MAC地址。如果指定该参数,表示对特定MAC地址用户的ARP报文按照限速值进行限速。

如果不指定源MAC地址,则针对每一个MAC地址的ARP报文按照限速值进行限速。

格式为H-H-H,其中H为1至4位的十六进制数。

maximum maximum

指定根据源MAC地址进行ARP报文限速的限速值。

整数形式,取值范围为0~16384,单位是pps。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备处理大量源MAC地址相对固定的ARP报文会造成CPU繁忙,并且如果ARP报文的源IP地址同时不断变化,还会导致设备的ARP表资源被耗尽。为了避免此问题,可以配置设备根据源MAC地址进行ARP报文限速。

执行本命令后,设备会对上送CPU的ARP报文根据源MAC地址进行统计,如果在1秒内收到的同一个源MAC地址的ARP报文超过设定阈值(ARP报文限速值),设备则丢弃超出阈值部分的ARP报文。

注意事项

不建议对所有MAC地址的ARP报文进行限速,最好通过搜集报文统计信息的方法,判断攻击源,进行指定MAC地址的ARP报文限速。

如果没有指定源MAC地址,设备就会对每一个源MAC地址的ARP报文按照限速值进行限速。此时如果设备上还使用命令arp speed-limit source-ip配置了对每一个源IP地址的ARP报文按照限速值进行限速的功能,且限速值与通过本命令配置的限速值相同的话,两者同时生效。但是对于收到的固定源端信息的ARP报文,本命令优先生效,设备根据本命令配置的限速值进行ARP报文限速。

设备使能ARP优化应答功能后(通过undo arp optimized-reply disable命令配置,缺省情况下,ARP优化应答功能处于使能状态),根据源MAC地址进行ARP报文限速不生效。

使用实例

# 配置对每一个MAC地址的ARP报文进行限速,每秒最多只允许同一个源MAC地址的100个ARP报文通过。

<HUAWEI> system-view
[HUAWEI] arp speed-limit source-mac maximum 100

# 配置对MAC地址为0-0-1的用户进行ARP报文限速,每秒最多只允许该MAC地址的50个ARP报文通过。

<HUAWEI> system-view
[HUAWEI] arp speed-limit source-mac 0-0-1 maximum 50

arp speed-limit source-ip

命令功能

arp speed-limit source-ip命令用来配置根据源IP地址进行ARP报文限速的限速值。

undo arp speed-limit source-ip命令用来将根据源IP地址进行ARP报文限速的配置恢复为缺省配置。

缺省情况下,设备允许1秒内最多只能有同一个源IP地址的30个ARP报文通过。

命令格式

arp speed-limit source-ip [ ip-address ] maximum maximum

undo arp speed-limit source-ip [ ip-address ]

参数说明

参数 参数说明 取值
ip-address

指定源IP地址。如果指定该参数,表示对特定IP地址用户的ARP报文按照限速值进行限速。

如果不指定源IP地址,则对每一个IP地址的ARP报文按照限速值进行限速。

点分十进制格式。
maximum maximum

指定根据源IP地址进行ARP报文限速的限速值。

说明:

如果是针对每一个IP地址的ARP报文按照限速值进行限速,建议在不影响系统性能的情况下,将限速值适当调大,防止设备丢弃正常报文;如果确定某指定IP地址的ARP报文是攻击报文,则可以将针对该IP地址的限速值适当调小。

整数形式,取值范围为0~16384,单位是pps。如果取值为0,表示不根据源IP地址进行ARP报文限速。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备处理大量源IP地址相对固定的ARP报文(例如同一个源IP地址的ARP报文对应的MAC地址或出接口信息不断发生跳变),会造成CPU繁忙,影响到正常业务的处理。为了避免此问题,可以配置设备根据源IP地址进行ARP报文限速。

执行本命令后,设备会对上送CPU的ARP报文根据源IP地址进行统计,如果在1秒内收到的同一个源IP地址的ARP报文超过设定阈值(ARP报文限速值),设备则丢弃超出阈值部分的ARP报文。

注意事项

不建议对所有IP地址的ARP报文进行限速,最好通过搜集报文统计信息的方法,判断攻击源,进行指定源IP地址的ARP报文限速。

当网络环境相对安全时,如果希望提高ARP学习速度,可以将限速值配置为0,即关闭设备根据源IP地址进行ARP报文限速功能。

如果没有指定源IP地址,设备就会对每一个IP地址的ARP报文按照限速值进行限速。此时如果设备上还使用命令arp speed-limit source-mac配置了对每一个源MAC地址的ARP报文按照限速值进行限速的功能,且限速值与通过本命令配置的限速值相同的话,两者同时生效。但是对于收到的固定源端信息的ARP报文,arp speed-limit source-mac 命令优先生效,设备以该命令配置的限速值进行ARP报文限速。

设备使能ARP优化应答功能后(通过undo arp optimized-reply disable命令配置,缺省情况下,ARP优化应答功能处于使能状态),根据源IP地址进行ARP报文限速不生效。

使用实例

# 配置对每一个源IP地址的ARP报文进行限速,每秒最多只允许同一个源IP地址的100个ARP报文通过。

<HUAWEI> system-view
[HUAWEI] arp speed-limit source-ip maximum 100

# 配置对IP地址为10.0.0.1的用户进行ARP报文限速,每秒最多只允许该IP地址的50个ARP报文通过。

<HUAWEI> system-view
[HUAWEI] arp speed-limit source-ip 10.0.0.1 maximum 50

arp validate(接口视图)

命令功能

arp validate命令用来在接口下使能ARP报文内MAC地址一致性检查功能,即对以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址进行一致性检查的功能。

undo arp validate命令用来在接口下去使能ARP报文内MAC地址一致性检查功能。

缺省情况下,设备不对以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址进行一致性检查。

命令格式

arp validate { source-mac | destination-mac } *

undo arp validate { source-mac | destination-mac } *

参数说明

参数 参数说明 取值
source-mac 指定接口收到ARP报文时,对以太网数据帧首部中的源MAC地址和ARP报文数据区中的源MAC地址进行一致性检查。 -
destination-mac 指定接口收到ARP报文时,对以太网数据帧首部中的目的MAC地址和ARP报文数据区中的目的MAC地址进行一致性检查。 -

视图

GE接口视图、40GE接口视图、XGE接口视图、100GE接口视图、Eth-Trunk接口视图、VE接口视图

缺省级别

2:配置级

使用指南

应用场景

ARP报文内MAC地址一致性检查功能主要应用于网关设备上,可以防御以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址不同的ARP攻击。

执行本命令后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。

执行本命令时:
  • 选择参数source-mac
    • 当接口收到ARP请求报文时,只对报文中的源MAC地址进行一致性检查。
    • 当接口收到ARP应答报文时,只对报文中的源MAC地址进行一致性检查。
  • 选择参数destination-mac
    • 当接口收到ARP请求报文时,不对报文进行一致性检查。因为ARP请求报文是广播报文,故无需检查。

    • 当接口收到ARP应答报文时,对报文中的目的MAC地址进行一致性检查。
  • 选择参数source-macdestination-mac
    • 当接口收到ARP请求报文时,只对报文中的源MAC地址进行一致性检查。
    • 当接口收到ARP应答报文时,对报文中的源/目的MAC地址都进行一致性检查。

注意事项

本命令不支持在子接口上配置。当子接口收到ARP报文时,ARP报文内MAC地址一致性检查遵循主接口下的检查规则。

使用实例

# 在二层接口GE1/0/1上使能对以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址进行一致性检查的功能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp validate source-mac destination-mac
# 在三层接口GE1/0/1上使能对以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址进行一致性检查的功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] arp validate source-mac destination-mac

arp-fake expire-time

命令功能

arp-fake expire-time命令用来配置临时ARP表项的老化时间。

undo arp-fake expire-time命令用来恢复临时ARP表项的老化时间为缺省值。

缺省情况下,临时ARP表项的老化时间为3秒。

命令格式

arp-fake expire-time expire-time

undo arp-fake expire-time

参数说明

参数 参数说明 取值
expire-time 临时ARP表项的老化时间。 整数形式,取值范围是1~36000,单位是秒。

视图

GE接口视图、40GE接口视图、XGE接口视图、100GE接口视图、Eth-Trunk接口视图、VLANIF接口视图、VBDIF接口视图、VE接口视图、端口组视图

缺省级别

2:配置级

使用指南

当IP报文触发ARP Miss消息时,设备会根据ARP Miss消息生成临时ARP表项,并且向目的网段发送ARP请求报文。
  • 在临时ARP表项老化时间范围内:
    • 设备收到ARP应答报文前,匹配临时ARP表项的IP报文将被丢弃并且不会触发ARP Miss消息。
    • 设备收到ARP应答报文后,则生成正确的ARP表项来替换临时ARP表项。
  • 当老化时间超时后,设备会清除临时ARP表项。此时如果设备转发IP报文匹配不到对应的ARP表项,则会重新触发ARP Miss消息并生成临时ARP表项,如此循环重复。

当判断设备受到攻击时,可以执行本命令增大临时ARP表项的老化时间,减小设备ARP Miss消息的触发频率,从而减小攻击对设备的影响。

使用实例

# 配置接口VLANIF10的临时ARP表项超时时间为10秒。
<HUAWEI> system-view
[HUAWEI] vlan 10
[HUAWEI-vlan10] quit
[HUAWEI] interface vlanif 10
[HUAWEI-Vlanif10] arp-fake expire-time 10
# 配置三层接口GE1/0/1的临时ARP表项超时时间为10秒。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] arp-fake expire-time 10

arp-limit

命令功能

arp-limit命令用来配置限制接口能够学习到的最大动态ARP表项数目。

undo arp-limit命令用来删除该配置。

缺省情况下,在规格范围内,设备对接口能够学习到的最大动态ARP表项数目没有限制。

命令格式

在VLANIF接口、VBDIF接口、VE子接口、三层以太网接口和以太网子接口上:

arp-limit maximum maximum

undo arp-limit

VE子接口、二层以太网接口和端口组上:

arp-limit vlan vlan-id1 [ to vlan-id2 ] maximum maximum

undo arp-limit vlan vlan-id1 [ to vlan-id2 ]

参数说明

参数

参数说明

取值

vlan vlan-id1 [ to vlan-id2 ]

指定VLAN编号,限制接口从该VLAN内能够学习到的最大动态ARP表项数目。

其中:
  • vlan-id1表示第一个VLAN的编号。
  • to vlan-id2表示最后一个VLAN的编号。vlan-id2的取值必须大于vlan-id1的取值,它和vlan-id1共同确定一个范围。如果不指定to vlan-id2参数,则只限制接口从编号为vlan-id1的VLAN内能够学习到的最大动态ARP表项数目;如果指定to vlan-id2参数,则限制接口从vlan-id1vlan-id2的每个VLAN内均能够学习到的最大动态ARP表项数目。
整数形式,vlan-id1vlan-id2取值范围是1~4094。
maximum maximum 指定接口能够学习到的最大动态ARP表项数目。 整数形式,取值范围为1~16384。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

为了防止当一个接口所接入的某一用户主机发起ARP攻击时导致整个设备的ARP表资源都被耗尽,可以在指定接口下配置接口能够学习到的最大动态ARP表项数目。当指定接口下的动态ARP表项达到允许学习的最大数目后,将不允许新增动态ARP表项。

注意事项

如果接口已经学习到的ARP表项数目超过本命令的配置值,设备不再学习新的ARP表项,但不会清除已经学习到的ARP表项,会提示用户删除超出的ARP表项。

多次配置arp-limit vlan vlan-id1 to vlan-id2 maximum maximum命令时:
  • 如果maximum maximum相同,则配置结果按多次累加生效。例如先配置arp-limit vlan 10 to 30 maximum 200,再配置arp-limit vlan 35 to 40 maximum 200,则二者同时生效。并且如果定义的VLAN号段正好是连续的,则系统会自动进行合并,例如先配置arp-limit vlan 50 to 80 maximum 200,再配置arp-limit vlan 70 to 100 maximum 200,则二者同时生效,并且系统自动合并为arp-limit vlan 50 to 100 maximum 200
  • 如果maximum maximum不同,则同一个VLAN号段仅后一次配置生效。例如先配置arp-limit vlan 10 to 30 maximum 200,再配置arp-limit vlan 15 to 25 maximum 300,则系统自动拆分成arp-limit vlan 10 to 14 maximum 200arp-limit vlan 15 to 25 maximum 300arp-limit vlan 26 to 30 maximum 200这三条命令。

使用实例

# 配置接口VLANIF10最多可以学习到20个动态ARP表项。
<HUAWEI> system-view
[HUAWEI] vlan 10
[HUAWEI-vlan10] quit
[HUAWEI] interface vlanif 10
[HUAWEI-Vlanif10] arp-limit maximum 20
# 配置三层接口GE1/0/1最多可以学习到20个动态ARP表项。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] arp-limit maximum 20
# 配置二层接口GE1/0/1最多可以学习到20个VLAN10对应的动态ARP表项。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp-limit vlan 10 maximum 20
相关主题

arp-miss anti-attack rate-limit

命令功能

arp-miss anti-attack rate-limit命令用来在全局、VLAN或接口下配置ARP Miss消息限速的限速值和限速时间

undo arp-miss anti-attack rate-limit命令用来将全局、VLAN或接口下配置的ARP Miss消息的限速值和限速时间恢复为缺省值。

缺省情况下,在1秒内设备最多允许处理100个ARP Miss消息。

命令格式

arp-miss anti-attack rate-limit packet packet-number [ interval interval-value ]

undo arp-miss anti-attack rate-limit

参数说明

参数

参数说明

取值

packet packet-number

指定ARP Miss消息的限速值,即限速时间内允许处理的ARP Miss消息个数。

整数形式,取值范围1~16384。缺省值是100。

interval interval-value

指定ARP Miss消息的限速时间。

整数形式,取值范围1~86400,单位是秒。缺省值是1秒。

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、端口组视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

使能ARP Miss消息限速功能后,可以在全局、VLAN或接口下执行本命令配置ARP Miss消息的限速值和限速时间在ARP Miss消息限速时间内,如果收到的IP报文触发的ARP Miss消息数目超过ARP Miss消息限速值,设备将忽略处理超出限速值的ARP Miss消息,并丢弃超出限速值的触发ARP Miss消息的IP报文(即ARP Miss报文)。

前置条件

在执行本命令前需要先使用命令arp-miss anti-attack rate-limit enable在全局、VLAN或接口下使能ARP Miss消息限速功能。

注意事项

当同时在全局、VLAN或接口下配置ARP Miss消息限速时,设备会先按照接口进行限速,再按照VLAN进行限速,最后按照全局进行限速。

使用实例

# 配置设备在10秒钟内最多允许处理200个从二层接口GE1/0/1上送的IP报文触发的ARP Miss消息。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp-miss anti-attack rate-limit enable
[HUAWEI-GigabitEthernet1/0/1] arp-miss anti-attack rate-limit packet 200 interval 10
# 配置设备在10秒钟内最多允许处理200个从三层接口GE1/0/1上送的IP报文触发的ARP Miss消息。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] arp-miss anti-attack rate-limit enable
[HUAWEI-GigabitEthernet1/0/1] arp-miss anti-attack rate-limit packet 200 interval 10

arp-miss anti-attack rate-limit alarm enable

命令功能

arp-miss anti-attack rate-limit alarm enable命令用来使能ARP Miss消息限速丢弃告警功能。

undo arp-miss anti-attack rate-limit alarm enable命令用来去使能ARP Miss消息限速丢弃告警功能。

缺省情况下,未使能ARP Miss消息限速告警功能。

命令格式

arp-miss anti-attack rate-limit alarm enable

undo arp-miss anti-attack rate-limit alarm enable

参数说明

视图

系统视图、VLAN视图、GE接口视图、40GE接口视图、XGE接口视图、100GE接口视图、端口组视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

使能ARP Miss消息限速功能后,当设备忽略的ARP Miss消息数量较多时,如果希望设备能够以告警的方式提醒网络管理员,则可以执行本命令使能ARP Miss消息限速丢弃告警功能。当设备忽略处理的ARP Miss消息个数超过告警阈值时,设备将产生告警。

告警阈值可以通过arp-miss anti-attack rate-limit alarm threshold命令进行配置。

前置条件

在执行该命令前需要先使用命令arp-miss anti-attack rate-limit enable使能ARP Miss消息限速功能。

使用实例

# 在二层接口GE1/0/1下使能ARP Miss消息限速告警功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp-miss anti-attack rate-limit enable
[HUAWEI-GigabitEthernet1/0/1] arp-miss anti-attack rate-limit alarm enable
# 在三层接口GE1/0/1下使能ARP Miss消息限速告警功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] arp-miss anti-attack rate-limit enable
[HUAWEI-GigabitEthernet1/0/1] arp-miss anti-attack rate-limit alarm enable

arp-miss anti-attack rate-limit alarm threshold

命令功能

arp-miss anti-attack rate-limit alarm threshold命令用来配置ARP Miss消息的限速丢弃告警阈值。

undo arp-miss anti-attack rate-limit alarm threshold命令用来恢复ARP Miss消息的限速丢弃告警阈值为缺省值。

缺省情况下,ARP Miss消息的限速丢弃告警阈值为100。

命令格式

arp-miss anti-attack rate-limit alarm threshold threshold

undo arp-miss anti-attack rate-limit alarm threshold

参数说明

参数

参数说明

取值

threshold

指定ARP Miss消息的限速丢弃告警阈值。

整数形式,取值范围1~16384,单位是pps。

视图

系统视图、VLAN视图、GE接口视图、40GE接口视图、100GE接口视图、XGE接口视图、端口组视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

通过本命令可以配置告警阈值,当设备忽略因超过ARP Miss消息限速值的ARP Miss消息数超过告警阈值时,设备将以告警的方式通知网络管理员。

前置条件

在执行本命令前需要先使用命令arp-miss anti-attack rate-limit enable使能ARP报文限速功能,以及使用命令arp-miss anti-attack rate-limit alarm enable使能ARP报文限速丢弃告警功能。

使用实例

# 全局使能ARP Miss消息限速功能,并使能ARP Miss消息限速丢弃告警功能,告警阈值为200。

<HUAWEI> system-view
[HUAWEI] arp-miss anti-attack rate-limit enable
[HUAWEI] arp-miss anti-attack rate-limit alarm enable
[HUAWEI] arp-miss anti-attack rate-limit alarm threshold 200

# 在二层接口GE1/0/1下使能ARP Miss消息限速功能,并使能ARP Miss消息限速丢弃告警功能,告警阈值为200。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp-miss anti-attack rate-limit enable
[HUAWEI-GigabitEthernet1/0/1] arp-miss anti-attack rate-limit alarm enable
[HUAWEI-GigabitEthernet1/0/1] arp-miss anti-attack rate-limit alarm threshold 200
# 在三层接口GE1/0/1下使能ARP Miss消息限速功能,并使能ARP Miss消息限速丢弃告警功能,告警阈值为200。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] arp-miss anti-attack rate-limit enable
[HUAWEI-GigabitEthernet1/0/1] arp-miss anti-attack rate-limit alarm enable
[HUAWEI-GigabitEthernet1/0/1] arp-miss anti-attack rate-limit alarm threshold 200

arp-miss anti-attack rate-limit enable

命令功能

arp-miss anti-attack rate-limit enable命令用来在全局、VLAN或接口下使能ARP Miss消息限速功能。

undo arp-miss anti-attack rate-limit enable命令用来在全局、VLAN或接口下去使能ARP Miss消息限速功能。

缺省情况下,未使能在全局、VLAN或接口下ARP Miss消息限速功能。

命令格式

arp-miss anti-attack rate-limit enable

undo arp-miss anti-attack rate-limit enable

参数说明

视图

系统视图、VLAN视图、GE接口视图、40GE接口视图、XGE接口视图、100GE接口视图、端口组视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。这种触发ARP Miss消息的IP报文会被上送到CPU进行处理,设备会根据ARP Miss消息生成和下发大量临时ARP表项并向目的网络发送大量ARP请求报文,这样就增加了设备CPU的负担,同时严重消耗目的网络的带宽资源。

为了避免这种IP报文攻击所带来的危害, 可以执行本命令在全局、VLAN或接口下使能ARP Miss消息限速功能。设备会对上报的ARP Miss消息进行统计,在ARP Miss消息限速时间内,如果ARP Miss消息的数量超出了配置的阈值(ARP Miss消息限速值),则超出部分的ARP Miss消息将被忽略,并丢弃超出限速值的触发ARP Miss消息的IP报文(ARP Miss报文)。

后续任务

ARP Miss消息限速时间和限速值可通过命令arp-miss anti-attack rate-limit进行配置。

使用实例

# 在二层接口GE1/0/1下使能ARP Miss消息限速功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] arp-miss anti-attack rate-limit enable
# 在三层接口GE1/0/1下使能ARP Miss消息限速功能。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] undo portswitch
[HUAWEI-GigabitEthernet1/0/1] arp-miss anti-attack rate-limit enable

arp-miss speed-limit source-ip

命令功能

arp-miss speed-limit source-ip命令用来配置根据源IP地址进行ARP Miss消息限速的限速值,并指定ARP Miss报文处理方式。

undo arp-miss speed-limit source-ip命令用来将根据源IP地址进行ARP Miss消息限速的配置恢复为缺省配置。

缺省情况下,设备允许每秒最多处理同一个源IP地址触发的30个ARP Miss消息。

如果同一个源IP地址在1秒内触发的ARP Miss消息个数超过ARP Miss消息限速值,设备会丢弃超过限速值的ARP Miss消息,即丢弃触发这些ARP Miss消息的ARP Miss报文,并默认使用block方式在5分钟内持续丢弃该源IP地址的后续所有ARP Miss报文。

命令格式

arp-miss speed-limit source-ip ip-address [ mask mask ] maximum maximum [ none-block | block timer timer ]

arp-miss speed-limit source-ip maximum maximum

undo arp-miss speed-limit source-ip [ ip-address [ mask mask ] ]

参数说明

参数 参数说明 取值
ip-address

指定源IP地址。如果指定该参数,表示对特定IP地址用户的ARP Miss消息进行限速。

如果不指定IP地址,则针对每一个IP地址的ARP Miss消息根据限速值进行限速。

点分十进制格式。
mask mask

指定IP地址的掩码。如果指定该参数,则针对该网段用户的ARP Miss消息进行限速。

整数形式,取值范围为1~32。
maximum maximum

指定基于源IP地址的ARP Miss消息限速值。

说明:

如果是针对每一个IP地址的ARP Miss消息根据限速值进行限速,建议在不影响系统性能的情况下,将限速值适当调大,防止设备丢弃正常报文。

如果确定某指定IP地址的报文是攻击报文,则可以将针对该IP地址的限速值适当调小。

整数形式,取值范围为0~16384。如果取值为0,表示不根据源IP地址进行ARP Miss消息限速。
none-block

指定ARP Miss报文处理方式为none-block。即指定源IP地址的IP报文在1秒内触发的ARP Miss消息个数超过限速值时,设备只做软件限速(CPU处理),丢弃超过限速值的ARP Miss消息,即丢弃触发这些ARP Miss消息的ARP Miss报文。

-
block timer timer

指定ARP Miss报文处理方式为block。即一旦指定源IP地址的IP报文在1秒内触发的ARP Miss消息个数超过限速值,设备会丢弃超过限速值的ARP Miss消息,即丢弃触发这些ARP Miss消息的ARP Miss报文,同时设备会下发一个ACL让芯片在timer时间内持续丢弃该源IP地址的后续所有ARP Miss报文。超过该时间后,ACL将被老化,芯片不再丢弃报文,报文将恢复上送CPU处理。

timer的取值范围是5~864000,单位为秒。缺省情况下是5秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当设备检测到某一源IP地址的IP报文在1秒内触发的ARP Miss消息数量超过了限速值,就认为此源IP地址存在攻击。此时如果设备对ARP Miss报文的处理方式是block方式,设备会丢弃超出限速值部分的ARP Miss消息,即丢弃触发这些ARP Miss消息的ARP Miss报文,并下发一条ACL来丢弃该源IP地址的后续所有ARP Miss报文;如果是none-block方式,设备只会丢弃超出限速值部分的ARP Miss消息,即丢弃触发这些ARP Miss消息的ARP Miss报文。

管理员可以根据实际网络环境,通过本命令对ARP Miss消息的限速值进行调整并且指定合理的ARP Miss报文处理方式。

当设备检测到某一源IP地址的IP报文在1秒内触发的ARP Miss消息数量超过了限速值,就认为此源IP地址存在攻击。管理员可以根据实际网络环境,通过本命令对ARP Miss消息的限速值进行调整,限制设备在一定时间内只处理指定数目的ARP Miss消息,避免设备的资源浪费在处理ARP Miss消息上,保证用户的其他业务能够正常运行。

注意事项

设备只能同时对1024个IP地址进行ARP Miss消息限速。

如果指定ARP Miss报文处理方式为none-block,则由CPU处理超过阈值部分的ARP Miss报文,因此选择该方式对CPU的负担减轻效果有限;如果指定处理方式为block,则会占用设备的ACL资源,而ACL资源相对有限。所以请根据实际情况合理配置ARP Miss报文处理方式,建议采用缺省值。

在配置指定源IP地址的ARP Miss消息限速时,如果未指定ARP Miss报文处理方式,设备则默认使用block方式处理ARP Miss报文。

设备下发的ACL仅丢弃该源IP地址的ARP Miss报文,不丢弃该源IP地址的非ARP Miss报文。

设备支持最多下发16条ACL来丢弃指定IP或网段的ARP Miss报文,即设备下发完16条ACL且ACL均未老化时,如果仍有其他IP或网段的IP报文在1秒内触发的ARP Miss消息超过限速值,设备不再下发ACL来丢弃该源IP地址的后续所有ARP Miss报文,而是通过软件限速的方式仅丢弃超出阈值部分的ARP Miss消息,即丢弃触发这些ARP Miss消息的ARP Miss报文。

使用实例

# 配置对每一个源IP地址的ARP Miss消息进行限速,允许设备每秒最多处理同一个源IP地址触发的60个ARP Miss消息。

<HUAWEI> system-view
[HUAWEI] arp-miss speed-limit source-ip maximum 60

# 配置对IP地址为10.0.0.1的ARP Miss消息进行限速,允许设备每秒最多处理该IP地址触发的100个ARP Miss消息;对于其他IP地址,允许设备每秒最多处理同一个源IP地址触发的60个ARP Miss消息。

<HUAWEI> system-view
[HUAWEI] arp-miss speed-limit source-ip maximum 60
[HUAWEI] arp-miss speed-limit source-ip 10.0.0.1 maximum 100

display arp anti-attack arpmiss-record-info

命令功能

display arp anti-attack arpmiss-record-info命令用来查看ARP Miss消息限速触发时的相关信息。

命令格式

display arp anti-attack arpmiss-record-info [ ip-address ]

参数说明

参数

参数说明

取值

ip-address

指定查看ARP Miss消息限速触发时丢弃的ARP Miss报文的IP地址。

点分十进制格式。

视图

所有视图

缺省级别

1:监控级

使用指南

触发ARP Miss消息限速时会导致设备丢弃一部分ARP Miss报文,执行本命令可以查看到设备记录的ARP Miss消息限速触发时的相关信息,便于问题的分析和定位。

设备最多支持记录256个ARP Miss消息限速的触发记录。当记录满规格时,又有攻击者触发了新的ARP Miss消息限速:
  1. 如果原记录中存在该攻击者的源IP,则设备会以当前的丢弃ARP Miss报文起始时间来刷新原记录中的Block time。
  2. 如果原记录中不存在该攻击者的源IP,则设备会删除原记录中的第一条记录,并增加一条该攻击者的ARP Miss消息限速触发记录。

使用实例

# 查看ARP Miss消息限速触发时的相关信息。

<HUAWEI> display arp anti-attack arpmiss-record-info  
Interface    IP address      Attack time         Block time          Aging-time 
------------------------------------------------------------------------------- 
------------------------------------------------------------------------------- 
The number of record(s) in arp-miss table is 0                         
表14-49  display arp anti-attack arpmiss-record-info命令显示信息说明

项目

描述

Interface

丢弃的ARP Miss报文所属的接口。

IP address

丢弃的ARP Miss报文的源IP地址。

Attack time

攻击者最早一次触发ARP Miss消息限速时的时间,即在ARP Miss消息限速过程中,ARP Miss消息数量超过阈值时的时间。

Block time

最晚一次丢弃攻击者的ARP Miss报文的起始时间。

Aging-time

丢弃ARP Miss报文的持续时间。

如果ARP Miss报文的丢弃方式为none-block,Block time和Aging-time的值都为0。如果ARP Miss报文的丢弃方式为Block,Aging-time的值是由arp-miss speed-limit source-ip命令的配置决定的,缺省值为5秒。

display arp anti-attack configuration check user-bind

命令功能

display arp anti-attack configuration check user-bind命令用来查看VLAN或接口下动态ARP检测的相关配置。

命令格式

display arp anti-attack configuration check user-bind [ vlan [ vlan-id ] | interface [ interface-type interface-number ] ]

参数说明

参数

参数说明

取值

vlan [ vlan-id ]

显示指定VLAN的动态ARP检测相关配置。

如果不指定vlan-id,则显示所有VLAN的动态ARP检测相关配置。

vlan-id是整数形式,取值范围是1~4094。

interface [ interface-type interface-number ]

显示指定接口的动态ARP检测相关配置。其中:
  • interface-type表示接口类型。

  • interface-number表示接口编号。

如果不指定interface-type interface-number,则显示所有接口的动态ARP检测相关配置。

如果既不指定vlan [ vlan-id ],又不指定interface [ interface-type interface-number ],则显示所有VLAN和接口的动态ARP检测相关配置。

-

视图

所有视图

缺省级别

1:监控级

使用指南

使用本命令可以查看VLAN和接口下动态ARP检测相关的配置,包括使能状态、检查项、检查告警使能状态、告警阈值的配置信息。

配置动态ARP检测以及动态ARP检测告警功能后,执行本命令才会有显示信息。

使用实例

# 查看接口GE1/0/1下的动态ARP检测相关配置。

<HUAWEI> display arp anti-attack configuration check user-bind interface gigabitethernet 1/0/1
 arp anti-attack check user-bind enable
 arp anti-attack check user-bind alarm enable
 arp anti-attack check user-bind alarm threshold 50 
 arp anti-attack check user-bind check-item ip-address
# 查看所有VLAN和接口下的动态ARP检测相关配置。
<HUAWEI> display arp anti-attack configuration check user-bind
#                                                                               
vlan 2                                                                         
 arp anti-attack check user-bind enable                                         
 arp anti-attack check user-bind check-item ip-address 
#                                                                               
vlan 3                                                                         
 arp anti-attack check user-bind enable                                         
#                                                                               
GigabitEthernet1/0/1                                                           
 arp anti-attack check user-bind enable
 arp anti-attack check user-bind alarm enable
 arp anti-attack check user-bind alarm threshold 50 
 arp anti-attack check user-bind check-item ip-address
#  
表14-50  display arp anti-attack configuration check user-bind命令输出信息描述

项目

描述

arp anti-attack check user-bind enable

已使能动态ARP检测功能。

该功能可通过arp anti-attack check user-bind enable命令配置。

arp anti-attack check user-bind alarm enable

已使能动态ARP检测丢弃报文告警功能。

该功能可通过arp anti-attack check user-bind alarm enable命令配置。

arp anti-attack check user-bind alarm threshold 50

接口下动态ARP检测丢弃报文告警阈值。

该功能可通过arp anti-attack check user-bind alarm threshold命令配置。

arp anti-attack check user-bind check-item ip-address

对ARP报文进行绑定表检查时仅检查IP地址。

该功能可通过arp anti-attack check user-bind check-item(接口视图)命令或者arp anti-attack check user-bind check-item(VLAN视图)命令配置。

display arp anti-attack configuration

命令功能

display arp anti-attack configuration命令用来查看ARP防攻击配置。

命令格式

display arp anti-attack configuration { arp-rate-limit | arp-speed-limit | entry-check | arpmiss-rate-limit | arpmiss-speed-limit | gateway-duplicate | log-trap-timer | packet-check | all }

参数说明

参数

参数说明

取值

arp-rate-limit

查看针对全局、VLAN和接口的ARP报文限速的配置。

-

arp-speed-limit

查看根据源IP地址和源MAC地址进行ARP报文限速的配置。

-

entry-check

查看ARP表项固化模式。

-

arpmiss-rate-limit

查看针对全局、VLAN和接口的ARP Miss消息限速的配置。

-

arpmiss-speed-limit

查看根据源IP地址进行ARP Miss消息限速的配置。

-

gateway-duplicate

查看防网关冲突攻击是否使能。

-

log-trap-timer

查看发送ARP告警的时间间隔。

-

packet-check

查看ARP报文合法性检查是否使能。

-

all

查看全部ARP防攻击配置。

-

视图

所有视图

缺省级别

1:监控级

使用指南

当配置完各项ARP防攻击功能后,如果需要查看配置是否正确,可以通过本命令进行查看。

使用实例

# 查看根据源IP地址或源MAC地址ARP报文进行限速的配置。
<HUAWEI> display arp anti-attack configuration arp-speed-limit
ARP speed-limit for source-MAC configuration:                                   
MAC-address         suppress-rate(pps)(rate=0 means function disabled)          
------------------------------------------------------------------------------- 
All                 0                                                           
------------------------------------------------------------------------------- 
The number of configured specified MAC address(es) is 0, spec is 1024.          
                                                                                
ARP speed-limit for source-IP configuration:                                    
IP-address          suppress-rate(pps)(rate=0 means function disabled)          
------------------------------------------------------------------------------- 
10.1.1.1            100                                                         
Others              30                                                          
------------------------------------------------------------------------------- 
The number of configured specified IP address(es) is 1, spec is 1024.           
# 查看根据源IP地址进行ARP Miss消息限速的配置。
<HUAWEI> display arp anti-attack configuration arpmiss-speed-limit
 ARP miss speed-limit for source-IP configuration:
 IP-address          suppress-rate(pps)(rate=0 means function disabled)
 ------------------------------------------------------------------------
 10.0.0.30/32        400
 Others              0 
 ------------------------------------------------------------------------
 The number of configured specified IP address(es) is 1, spec is 1024.   
# 查看ARP表项固化模式配置。
<HUAWEI> display arp anti-attack configuration entry-check
 ARP anti-attack entry-check mode:                                              
 Vlanif      Mode                                                               
------------------------------------------------------------------------------- 
 All         send-ack                                                           
------------------------------------------------------------------------------- 
# 查看全部ARP防攻击配置。
<HUAWEI> display arp anti-attack configuration all
ARP anti-attack packet-check configuration:
-------------------------------------------------------------------------------
Sender-MAC checking function: disable
Dst-MAC checking function: disable
IP checking function: disable
-------------------------------------------------------------------------------

ARP gateway-duplicate anti-attack function: disabled

ARP anti-attack log-trap-timer: 0 second(s)
(The log and trap timer of speed-limit, default is 0 and means disabled.)

ARP anti-attack entry-check mode:
Vlanif      Mode
-------------------------------------------------------------------------------
All         disabled
-------------------------------------------------------------------------------

ARP rate-limit configuration:
-------------------------------------------------------------------------------
Global configuration:
Interface configuration:
  GigabitEthernet5/0/10 :
    arp anti-attack rate-limit enable
    arp anti-attack rate-limit packet 10 interval 1
VLAN configuration:
-------------------------------------------------------------------------------

ARP miss rate-limit configuration:
-------------------------------------------------------------------------------
Global configuration:
Interface configuration:
VLAN configuration:
-------------------------------------------------------------------------------

ARP speed-limit for source-MAC configuration:
MAC-address         suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
All                 0
-------------------------------------------------------------------------------
The number of configured specified MAC address(es) is 0, spec is 1024.

ARP speed-limit for source-IP configuration:
IP-address          suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
All                 30
-------------------------------------------------------------------------------
The number of configured specified IP address(es) is 0, spec is 1024.

ARP miss speed-limit for source-IP configuration:
IP-address          suppress-rate(pps)(rate=0 means function disabled)
-------------------------------------------------------------------------------
All                 30
-------------------------------------------------------------------------------
The number of configured specified IP address(es) is 0, spec is 1024.
表14-51  display arp anti-attack configuration all命令显示信息说明

项目

描述

ARP anti-attack packet-check configuration

ARP报文合法性检查功能是否使能。

  • Sender-mac checking function表示针对源MAC地址进行检查。

  • Dst-mac checking function表示针对目的MAC地址进行检查。

  • Ip checking function表示针对IP地址进行检查。

该功能可通过arp anti-attack packet-check命令配置。

ARP gateway-duplicate anti-attack function

防网关冲突攻击功能是否使能。

该功能可通过arp anti-attack gateway-duplicate enable命令配置。

ARP anti-attack log-trap-timer

发送ARP告警的时间间隔。

该功能可通过arp anti-attack log-trap-timer命令配置。

ARP anti-attack entry-check mode

ARP表项固化模式。其中Vlanif表示使能ARP表项固化模式的接口。Mode的类型有:
  • fixed-mac
  • fixed-all
  • send-ack
  • disabled

该功能可通过arp anti-attack entry-check enable命令配置。

ARP rate-limit configuration

ARP报文限速配置信息。

  • Global configuration表示全局ARP报文限速配置信息。

  • Interface configuration表示接口下ARP报文限速配置信息。

  • Vlan configuration表示VLAN下ARP报文限速配置信息。

该功能可通过arp anti-attack rate-limit命令配置。

ARP miss rate-limit configuration

ARP Miss消息限速配置信息。

  • Global configuration表示全局ARP Miss消息限速配置信息。

  • Interface configuration表示接口下ARP Miss消息限速配置信息。

  • Vlan configuration表示VLAN下ARP Miss消息限速配置信息。

该功能可通过arp-miss anti-attack rate-limit命令配置。

ARP speed-limit for source-MAC configuration

ARP报文根据源MAC地址进行限速的配置信息。

该功能可通过arp speed-limit source-mac命令配置。

ARP speed-limit for source-IP configuration

ARP报文根据源IP地址进行限速的配置信息。

该功能可通过arp speed-limit source-ip命令配置。

ARP miss speed-limit for source-IP configuration

ARP Miss消息根据源IP地址进行限速的配置信息。

该功能可通过arp-miss speed-limit source-ip命令配置。

The number of configured specified MAC address(es) is 0, spec is 512.

配置了ARP报文或ARP Miss消息限速的源MAC地址数目是0条,最大值是512条。

The number of configured specified IP address(es) is 1, spec is 512.

配置了ARP报文或ARP Miss消息限速的源IP地址数目是1条,最大值是512条。

MAC-address

对该MAC地址的ARP报文进行限速。
  • ALL表示对每一个MAC地址的用户。
  • Others表示除了指定MAC地址以外的其他用户。

IP-address

对该IP地址的ARP报文和ARP Miss消息进行限速。
  • ALL表示对每一个IP地址的用户。
  • Others表示除了指定IP地址以外的其他用户。

suppress-rate

ARP报文和ARP Miss消息限速值。0代表ARP报文和ARP Miss消息限速功能未使能。

可通过arp anti-attack rate-limit packet packet-number命令配置ARP报文的限速值;通过arp-miss anti-attack rate-limit packet packet-number配置ARP MISS消息的限速值

display arp anti-attack gateway-duplicate item

命令功能

display arp anti-attack gateway-duplicate item命令用来查看ARP防网关冲突攻击表项。

命令格式

display arp anti-attack gateway-duplicate item

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

设备使能了ARP防网关冲突功能后,可通过本命令查看ARP防网关冲突攻击表项。

使用实例

# 查看ARP防网关冲突攻击表项。

<HUAWEI> display arp anti-attack gateway-duplicate item
 Interface               IP address       MAC address     VLANID   Aging time 
-------------------------------------------------------------------------------
 GigabitEthernet1/0/1    10.1.1.1         0000-0000-0002  2        150
 GigabitEthernet1/0/2    10.1.1.2         0000-0000-0004  2        170
-------------------------------------------------------------------------------
The number of record(s) in gateway conflict table is 2 
表14-52  display arp anti-attack gateway-duplicate item命令显示信息说明

项目

描述

Interface

ARP报文入接口。

IP address

网关IP地址。

MAC address

ARP报文源MAC地址。

VLANID

ARP报文对应的VLAN编号。

Aging time

表项老化时间。最大值为180秒,不支持配置。

display arp anti-attack packet-check statistics

命令功能

display arp anti-attack packet-check statistics命令用来查看ARP报文合法性检查过程中被过滤的非法ARP报文统计数据。

命令格式

display arp anti-attack packet-check statistics

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

当配置完ARP报文合法性检查功能后,如果需要查看ARP报文合法性检查过程中被过滤的非法ARP报文统计数据,可以通过本命令进行查看。

使用实例

# 查询ARP报文合法性检查过程中被过滤的非法ARP报文统计数据。

<HUAWEI> display arp anti-attack packet-check statistics
Number of ARP packet(s) checked:                        5                       
Number of ARP packet(s) dropped by sender-mac checking: 0                       
Number of ARP packet(s) dropped by dst-mac checking:    0                       
Number of ARP packet(s) dropped by src-ip checking:     2                       
Number of ARP packet(s) dropped by dst-ip checking:     0            
表14-53  display arp anti-attack packet-check statistics命令输出信息描述

项目

描述

Number of ARP packet(s) checked

所有经过ARP报文合法性检查流程的ARP报文个数。

Number of ARP packet(s) dropped by sender-mac checking

由于ARP报文中的源MAC地址和以太网数据帧首部中的源MAC地址不一致而被过滤的非法ARP报文个数。

Number of ARP packet(s) dropped by dst-mac checking

由于ARP应答报文中的目的MAC地址和以太网数据帧首部中的目的MAC地址不一致而被过滤的非法ARP报文个数。

Number of ARP packet(s) dropped by src-ip checking

源IP地址不合法而被过滤的非法ARP报文个数。

Number of ARP packet(s) dropped by dst-ip checking

目的IP地址不合法而被过滤的非法ARP报文个数。

display arp anti-attack statistics check user-bind interface

命令功能

display arp anti-attack statistics check user-bind interface命令用来查看接口下因不匹配绑定表而被丢弃的ARP报文统计计数。

命令格式

display arp anti-attack statistics check user-bind interface interface-type interface-number

参数说明

参数

参数说明

取值

interface interface-type interface-number

指定接口类型和接口编号。其中:
  • interface-type表示接口类型。

  • interface-number表示接口编号。

-

视图

所有视图

缺省级别

1:监控级

使用指南

使能动态ARP检测功能以及动态ARP检测丢弃报文告警功能后,可以执行本命令查看接口下因不匹配绑定表而被丢弃的ARP报文统计计数。

使用实例

# 查看接口GE1/0/1下因不匹配绑定表而被丢弃的ARP报文统计计数。

<HUAWEI> display arp anti-attack statistics check user-bind interface gigabitethernet 1/0/1
 Dropped ARP packet number is 966                                                 
 Dropped ARP packet number since the latest warning is 605
表14-54  display arp anti-attack statistics check user-bind interface命令输出信息描述

项目

描述

Dropped ARP packet number is 966

因不匹配绑定表而被丢弃的ARP报文总数。

Dropped ARP packet number since latest warning is 605

自从上次动态ARP检测丢弃报文告警后设备丢弃的不匹配绑定表的ARP报文统计计数。

display arp flood statistics

命令功能

display arp flood statistics命令用来查看所有Super VLAN的VLANIF接口下发送ARP请求报文的统计信息。

命令格式

display arp flood statistics

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

通过执行本命令,可以查看到设备所有Super VLAN的VLANIF接口下发送ARP请求报文的统计信息。

使用实例

# 查看所有Super VLAN的VLANIF接口下发送ARP Request报文的统计信息。

<HUAWEI> display arp flood statistics
ARP request packets statistics on supervlan:
Total ARP request packets number :  5100 
Sent ARP request packets number :  4000
Dropped ARP request packets number:  1100
表14-55  display arp flood statistics命令输出信息描述

项目

描述

ARP request packets statistics on supervlan

Super VLAN上ARP请求报文的统计信息。

Total ARP request packets number

ARP请求报文总数。

Sent ARP request packets number

发送的ARP请求报文数。

Dropped ARP request packets number

对Super VLAN的VLANIF接口下ARP请求报文的广播发送速率进行限制丢弃的ARP请求报文数。可通过arp speed-limit flood-rate rate命令配置ARP请求报文的广播发送限制速率。

display arp learning strict

命令功能

display arp learning strict命令用来查看全局和所有接口上的ARP表项严格学习情况。

命令格式

display arp learning strict

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

当配置完ARP表项严格学习功能后,如果需要查看配置是否正确,可以通过本命令进行查看。

使用实例

# 查看全局和所有接口上的ARP表项严格学习情况。

<HUAWEI> display arp learning strict
The global configuration:arp learning strict
 Interface                           LearningStrictState
------------------------------------------------------------
 Vlanif100                           force-disable
 Vlanif200                           force-enable
------------------------------------------------------------
 Total:2
 Force-enable:1
 Force-disable:1
表14-56  display arp learning strict命令输出信息描述

项目

描述

The global configuration

全局的ARP表项严格学习状态。arp learning strict表示已使能ARP表项严格学习功能,为空表示未使能ARP表项严格学习功能。

该功能可通过arp learning strict(系统视图)命令配置。

Interface

接口名称。

LearningStrictState

ARP表项严格学习状态。
  • force-enable:已使能ARP表项严格学习功能
  • force-disable:去使能ARP表项严格学习功能

该参数可通过arp learning strict(接口视图)命令配置。

Total

应用ARP表项严格学习策略的接口总数。

Force-enable

使能ARP表项严格学习的接口数目。

Force-disable

去使能ARP表项严格学习的接口数目。

display arp optimized-passby status

命令功能

display arp optimized-passby status用来查看禁止过路ARP报文上送CPU功能的配置状态和实际生效状态。

命令格式

display arp optimized-passby status interface vlanif vlanif-id slot slot-id

说明:

X系列单板支持此命令。

参数说明

参数 参数说明 取值
interface vlanif vlanif-id

查看指定VLANIF接口的过路ARP报文的配置状态和实际生效状态。

整数形式,取值范围根据已创建的VLANIF接口范围而定,可键入“?”获取。
slot slot-id

查看指定槽位的过路ARP报文的配置状态和实际生效状态。

根据设备实际情况选取。

视图

所有视图

缺省级别

1:监控级

使用指南

接口收到大量目的IP地址不是该接口的过路ARP报文,如果全部将这些过路ARP报文上送CPU处理,将会导致CPU使用率过高,影响CPU对正常业务的处理。

为了避免上述危害,可以配置禁止过路ARP报文上送CPU,对收到的过路ARP报文直接进行转发,提高设备防御ARP泛洪攻击的能力。

设备配置禁止过路ARP报文上送CPU功能时,如果存在与禁止过路ARP报文上送CPU功能冲突的配置时,该功能不生效,此时可以通过display arp optimized-passby status查看禁止过路ARP报文上送CPU功能的配置状态和实际生效状态。与禁止过路ARP报文上送CPU功能冲突的配置可以参见arp optimized-passby enable

使用实例

# 查看VLANIF 100接口禁止过路ARP报文上送CPU功能的配置状态和实际生效状态。

<HUAWEI> display arp optimized-passby status interface Vlanif 100 slot 0
Current configuration:Enable                                                                                                        
Actual         status:Inactive                                                                                                      
Related configuration:                                                                                                              
   NAC configuration (for example, dot1x enable)                                                                                    
表14-57  display arp optimized-passby status命令显示信息说明

项目

描述

Current configuration

禁止过路ARP报文上送CPU功能的配置状态
  • Enable:禁止过路ARP报文上送CPU
  • Disable:允许过路ARP报文上送CPU

Actual status

禁止过路ARP报文上送CPU功能的实际生效状态
  • Inactive:未生效
  • Active:生效

Related configuration

导致实际未生效的配置。与禁止过路ARP报文上送CPU功能冲突的配置可以参见arp optimized-passby enable

display arp optimized-reply statistics

命令功能

display arp optimized-reply statistics命令用来查看ARP优化应答报文的统计信息。

命令格式

display arp optimized-reply statistics [ slot slot-id ]

参数说明

参数 参数说明 取值
slot slot-id

显示指定接口板槽位号的ARP优化应答报文统计信息。如果不指定该参数,则显示所有接口板的ARP优化应答报文统计信息。

说明:
集群情况下,slot-id表示集群ID和槽位号。例如slot 1/2表示集群ID为1槽位号为2。

设备已注册成功的接口板的槽位号。

视图

所有视图

缺省级别

1:监控级

使用指南

当用户希望了解使能ARP优化应答功能后设备对ARP报文的处理情况时,可以执行该命令。

使用实例

# 查看所有接口板ARP优化应答报文的统计信息。
<HUAWEI> display arp optimized-reply statistics
Slot            Received           Processed             Dropped                                                                    
----------------------------------------------------------------                                                                    
5                     76                   7                   9
表14-58  display arp optimized-reply statistics命令输出信息描述

项目

描述

Slot

接口板槽位号。

Received

接口板进入优化应答流程的ARP请求报文数目。

Processed

接口板优化应答的ARP请求报文数目。

Dropped

接口板丢弃的ARP请求报文数目。

display arp optimized-reply status

命令功能

display arp optimized-reply status命令用来查看设备ARP优化应答功能的状态。

命令格式

display arp optimized-reply status

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

当用户希望了解设备ARP优化应答功能的实际状态时,可以执行该命令。

使用实例

# 查看设备ARP优化应答功能的状态。
<HUAWEI> display arp optimized-reply status
Current configuration:Disable                                                   
Actual         status:Inactive                                                  
Related configuration:                                                          
   arp optimized-reply disable                                                       
   arp anti-attack check user-bind enable                                       
   arp anti-attack gateway-duplicate enable 
表14-59  display arp optimized-reply status命令输出信息描述

项目

描述

Current configuration

ARP优化应答功能的配置状态:
  • Enable:使能。
  • Disable:未使能。

该字段可以通过命令arp optimized-reply disable配置。

Actual status

ARP优化应答功能的是否生效:
  • Active:生效。
  • Inactive:不生效。

Related configuration

导致ARP优化应答功能不生效的相关配置。

如果ARP优化应答功能已经生效,该字段不显示。

display arp packet statistics

命令功能

display arp packet statistics命令用来查看ARP处理的报文统计数据。

命令格式

display arp packet statistics

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

用户在定位和排查ARP故障时,可以通过执行该命令查看ARP处理报文的统计数据。

display arp packet statistics命令只显示主控板上ARP处理的报文统计数据。

使用实例

# 查看ARP处理的报文统计数据。

<HUAWEI> display arp packet statistics
ARP Pkt Received: sum 420066 
ARP Received In Message-cache: sum 0 
ARP-Miss Msg Received: sum 0 
ARP Learnt Count: sum 5 
ARP Pkt Discard For Limit: sum 0 
ARP Pkt Discard For SpeedLimit: sum 0 
ARP Pkt Discard For Proxy Suppress: sum 179578 
ARP Pkt Discard For Other: sum 90347 
ARP-Miss Msg Discard For SpeedLimit: sum 0 
ARP Discard In Message-cache For SpeedLimit: sum 0 
ARP-Miss Msg Discard For Other: sum 0
表14-60  display arp packet statistics命令输出信息描述

项目

描述

ARP Pkt Received

收到的ARP报文数。

ARP Received In Message-cache

接口板将多个ARP请求报文打包成一个报文的过程中,每秒内接收的ARP报文个数。

ARP-Miss Msg Received

上送CPU的ARP Miss报文触发的ARP Miss消息总数。

ARP Learnt Count

学习ARP的次数。

ARP Pkt Discard For Limit

ARP表项限制丢弃的ARP报文数。

可通过arp-limit命令配置限制接口能够学习到的最大动态ARP表项数目。

ARP Pkt Discard For SpeedLimit

根据源IP地址进行ARP报文限速丢弃的ARP报文数。

可通过arp speed-limit source-ip命令配置根据源IP地址进行ARP报文限速的限速值。

ARP Pkt Discard For Proxy Suppress

ARP代理抑制丢弃的报文数目。

ARP Pkt Discard For Other

其他原因丢弃的ARP报文数。

ARP-Miss Msg Discard For SpeedLimit

根据源IP地址进行ARP Miss消息限速丢弃的ARP Miss消息数。

ARP Discard In Message-cache For SpeedLimit

接口板将多个ARP请求报文打包成一个报文的过程中,由于软件限速丢弃的ARP报文个数。

可通过arp-miss speed-limit source-ip命令配置根据源IP地址进行ARP Miss消息限速的限速值。

ARP-Miss Msg Discard For Other

其他原因丢弃的ARP Miss消息数。

display arp-limit

命令功能

display arp-limit命令用来查看接口可以学习到的动态ARP表项数目的最大值。

命令格式

display arp-limit [ interface interface-type interface-number[.subinterface-number ] ] [ vlan vlan-id ]

参数说明

参数

参数说明

取值

interface interface-type interface-number[.subinterface-number ]

指定接口类型和接口编号。其中:
  • interface-type表示接口类型。

  • interface-number表示接口编号。

  • subinterface-number表示子接口编号。

-

vlan vlan-id

指定VLAN编号。

整数形式,取值范围是1~4094。

视图

所有视图

缺省级别

1:监控级

使用指南

当配置完接口可以学习到的动态ARP表项数目的最大值限制后,如果需要查看配置是否正确,可以通过本命令进行查看。

如果指定了interface interface-type interface-number[.subinterface-number ]vlan vlan-id参数,表示查看指定接口在指定VLAN内可以学习到的动态ARP表项数目的最大值;如果不指定interface interface-type interface-number[.subinterface-number ]vlan vlan-id参数,则表示查看各接口可以学习到的动态ARP表项数目最大值。

使用实例

# 查看各接口可以学习到的动态ARP表项数目最大值的配置。

<HUAWEI> display arp-limit
 Interface               LimitNum        VlanID          LearnedNum(Mainboard)
---------------------------------------------------------------------------
 Vlanif100               1000            0                  0 
 GigabitEthernet1/0/1    16384           10                 0
 ---------------------------------------------------------------------------
 Total:2  
表14-61  display arp-limit命令输出信息描述

项目

描述

Interface

接口名称。

LimitNum

接口可以学习到的动态ARP表项的最大数目。

可通过arp-limit命令配置限制接口能够学习到的最大动态ARP表项数目。

VlanID

接口加入VLAN的VLAN编号。

LearnedNum(Mainboard)

接口已经学习到的动态ARP表项数目。

相关主题

display arp snooping

命令功能

display arp snooping命令用来查看ARP Snooping表信息。

命令格式

display arp snooping { all | interface interface-type interface-number | vlan vlan-id | ip-address ip-address | mac-address mac-address }

参数说明

参数 参数说明 取值
all

查看所有ARP Snooping表项。

-
interface interface-type interface-number
查看指定接口类型和编号的ARP Snooping表项。其中
  • interface-type表示接口类型
  • interface-number表示接口编号
-
vlan vlan-id

查看指定VLAN的ARP Snooping表项。

整数形式,取值范围是1~4094。

ip-address ip-address

查看指定IP地址的ARP Snooping表项。

点分十进制形式。

mac-address mac-address

查看指定MAC地址的ARP Snooping表项。

格式为H-H-H。其中H为4位的十六进制数,可以输入1~4位,如00e0、fc01。当输入不足4位时,表示前面的几位为0,如:输入e0,等同于00e0。MAC地址不可设置为FFFF-FFFF-FFFF、组播地址和全零MAC地址。

视图

所有视图

缺省级别

1:监控级

使用指南

使能ARP snooping功能后,设备能够生成ARP Snooping表项,表项包括IP地址、MAC地址、VLAN、入接口和老化时间。使用命令display arp snooping可以查看设备生成的ARP Snooping表项。

使用实例

# 查看ARP Snooping表项信息。

<HUAWEI> display arp snooping all
VLAN/CEVLAN     IP ADDRESS     MAC ADDRESS     INTERFACE     EXPIRE(S)
----------------------------------------------------------------------
2/-             192.168.10.1   0009-c072-4c22  Eth1/0/0      20       
2/-             192.168.10.2   0000-0a88-32f4  Eth1/0/0      10       
13/-            10.1.1.1       0009-c072-4c22  Eth-Trunk0    18
12/10           172.16.1.1     0009-c072-4c22  40GE5/0/4     5
----------------------------------------------------------------------
Total Count:4 
表14-62  display arp snooping命令输出信息描述

项目

描述

VLAN/CEVLAN

VLAN信息。

IP ADDRESS

IP地址。

MAC ADDRESS

MAC地址。

INTERFACE

入接口。

EXPIRE(S)

老化时间。

reset arp anti-attack packet-check statistics

命令功能

reset arp anti-attack packet-check statistics命令用来清除ARP报文合法性检查过程中被过滤的非法ARP报文统计数据。

命令格式

reset arp anti-attack packet-check statistics

参数说明

视图

用户视图

缺省级别

2:配置级

使用指南

当需要专门查看一段时间内ARP报文合法性检查过程中被过滤的非法ARP报文统计数据时,可以使用本命令清除原有统计信息,然后再使用命令display arp anti-attack packet-check statistics进行查看。

使用实例

# 清除ARP报文合法性检查过程中被过滤的非法ARP报文统计数据。

<HUAWEI> reset arp anti-attack packet-check statistics

reset arp anti-attack statistics check user-bind

命令功能

reset arp anti-attack statistics check user-bind命令用来清除由于不匹配绑定表而丢弃的ARP报文计数。

命令格式

reset arp anti-attack statistics check user-bind interface interface-type interface-number

参数说明

参数

参数说明

取值

interface interface-type interface-number

指定接口类型和接口编号。其中:
  • interface-type表示接口类型。

  • interface-number表示接口编号。

-

视图

用户视图、系统视图

缺省级别

2:配置级

使用指南

使能动态ARP检测功能后,如果有ARP报文因不匹配绑定表而被丢弃,则可以执行本命令清除ARP报文的丢弃计数。

使用实例

# 清除GE1/0/1接口下的ARP报文丢弃计数。

<HUAWEI> reset arp anti-attack statistics check user-bind interface gigabitethernet 1/0/1

reset arp anti-attack statistics rate-limit

命令功能

reset arp anti-attack statistics rate-limit命令用来清除由于ARP报文超过速率限制阈值而被丢弃的计数。

命令格式

reset arp anti-attack statistics rate-limit

参数说明

视图

用户视图、系统视图

缺省级别

2:配置级

使用指南

全局配置了ARP报文限速功能后,超过限速值的ARP报文会被丢弃,可以执行本命令清除ARP报文限速的丢弃计数。

使用实例

# 清除ARP报文限速的丢弃计数。

<HUAWEI> reset arp anti-attack statistics rate-limit

reset arp flood statistics

命令功能

reset arp flood statistics命令用来清除所有Super VLAN的VLANIF接口下发送ARP请求报文的统计信息。

命令格式

reset arp flood statistics

参数说明

视图

用户视图

缺省级别

2:配置级

使用指南

当执行本命令后,所有Super VLAN的VLANIF接口下发送ARP请求报文的统计信息将被清除并且不可恢复。

使用实例

# 清除所有Super VLAN的VLANIF接口下发送ARP请求报文的统计信息。

<HUAWEI> reset arp flood statistics

reset arp optimized-reply statistics

命令功能

reset arp optimized-reply statistics命令用来清除ARP优化应答的报文统计信息。

命令格式

reset arp optimized-reply statistics [ slot slot-id ]

参数说明

参数 参数说明 取值
slot slot-id
清除指定接口板槽位号的ARP优化应答报文统计信息。如果不指定该参数,则清除所有接口板的ARP优化应答报文统计信息。
说明:
集群情况下,slot-id表示集群ID和槽位号。例如slot 1/2表示集群ID为1槽位号为2。

设备已注册成功的接口板的槽位号。

视图

用户视图

缺省级别

2:配置级

使用指南

如果用户希望设备重新统计各接口板的ARP优化应答报文信息,可以执行本命令清除所有或指定接口板的ARP优化应答报文统计信息。

使用实例

# 清除1号槽位接口板的ARP优化应答报文统计信息。
<HUAWEI> reset arp optimized-reply statistics slot 1

reset arp packet statistics

命令功能

reset arp packet statistics命令用来清除ARP报文统计数据。

命令格式

reset arp packet statistics

参数说明

视图

用户视图

缺省级别

2:配置级

使用指南

通过执行display arp packet statistics命令查看ARP报文的统计信息时,为了获取准确的统计信息,需要先执行本命令清除已有的统计信息。

本命令只清除主控板上ARP报文的统计数据。

使用实例

# 清除所有ARP报文统计数据。

<HUAWEI> reset arp packet statistics

reset arp snooping

命令功能

reset arp snooping命令用来清除ARP Snooping表信息。

命令格式

reset arp snooping { all | interface interface-type interface-number | vlan vlan-id | ip-address ip-address | mac-address mac-address }

参数说明

参数 参数说明 取值
all

清除所有ARP Snooping表项。

-
interface interface-type interface-number
清除指定接口类型和编号的ARP Snooping表项。其中
  • interface-type表示接口类型
  • interface-number表示接口编号
-
vlan vlan-id

清除指定VLAN的ARP Snooping表项。

整数形式,取值范围是1~4094。

ip-address ip-address

清除指定IP地址的ARP Snooping表项。

点分十进制形式。

mac-address mac-address

清除指定MAC地址的ARP Snooping表项。

格式为H-H-H。其中H为4位的十六进制数,可以输入1~4位,如00e0、fc01。当输入不足4位时,表示前面的几位为0,如:输入e0,等同于00e0。MAC地址不可设置为FFFF-FFFF-FFFF、组播地址和全零MAC地址。

视图

用户视图

缺省级别

3:管理级

使用指南

当需要查看某段时间内的ARP snooping表项时,需要从某个时间点开始重新生成ARP snooping表项,此时可以通过命令reset arp snooping清除ARP Snooping表项。

使用实例

# 清除ARP Snooping表项信息。

<HUAWEI> reset arp snooping all
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10920

下载量:201

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页