配置ARP报文内MAC地址一致性检查
背景信息
ARP报文内MAC地址一致性检查功能主要应用于网关设备上,可以防御以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址不同的ARP攻击。
配置ARP报文内MAC地址一致性检查后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置ARP报文内MAC地址一致性检查
系统视图:
执行命令arp validate source-mac,全局使能ARP报文内MAC地址一致性检查功能,即对以太网数据帧首部中的源MAC地址和ARP报文数据区中的源MAC地址进行一致性检查的功能。
缺省情况下,设备不对以太网数据帧首部中的源MAC地址和ARP报文数据区中的源MAC地址进行一致性检查。
接口视图:
执行命令interface interface-type interface-number,进入接口视图。
只有当需要进入三层接口视图时,才需执行下一步操作。
(对于以太网接口)执行命令undo portswitch,配置接口切换到三层模式。
缺省情况下,以太网接口处于二层模式。
使用该命令进行接口的二三层模式切换时,接口下只能存在属性配置信息(例如shutdown、description配置)或者二三层接口均支持的配置信息(例如mode lacp、lacp system-id配置),模式切换功能才可以生效。不能有任何切换后的接口模式不支持的配置存在。如果接口上存在不支持的配置,请先将这些配置全部清除,然后再执行undo portswitch命令。
如果涉及的以太网接口较多,可以在系统视图下执行命令undo portswitch batch interface-type { interface-number1 [ to interface-number2 ] } &<1-10>,批量切换以太网接口的工作模式。
执行命令arp validate { source-mac | destination-mac } *,使能ARP报文内MAC地址一致性检查功能,即设备对以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址进行一致性检查的功能。
缺省情况下,设备不对以太网数据帧首部中的源/目的MAC地址和ARP报文数据区中的源/目的MAC地址进行一致性检查。
本命令不支持在VLANIF接口上配置。当VLANIF接口收到ARP报文时,ARP报文内MAC地址一致性检查遵循成员口下的检查规则。
- 执行命令commit,提交配置。
