评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置免费ARP报文主动丢弃
背景信息
由于发送免费ARP报文的用户主机并不需要经过身份验证,任何一个用户主机都可以发送免费ARP报文,这样就引入了两个问题:
- 如果网络中出现大量的免费ARP报文,设备会因为处理这些报文而导致CPU负荷过重,从而不能正常处理合法的ARP报文。
- 如果设备处理的免费ARP报文是攻击者伪造的,会造成设备错误地更新ARP表项,导致合法用户的通信流量发生中断。
参考以上问题描述,在确认攻击来自免费ARP报文之后,可以在网关设备上使能免费ARP报文主动丢弃功能,使网关设备直接丢弃免费ARP报文。
丢弃免费ARP报文功能可以在全局和接口下使能。
- 全局使能该功能,则设备的所有接口都丢弃收到的免费ARP报文。
- 接口下使能该功能,则只有该接口丢弃收到的免费ARP报文。
一般在用户侧的接口下配置免费ARP报文主动丢弃功能。
操作步骤
- 全局使能免费ARP报文主动丢弃功能
- 接口使能免费ARP报文主动丢弃功能
- (对于以太网接口)执行命令undo portswitch,配置接口切换到三层模式。
缺省情况下,以太网接口处于二层模式。
使用该命令进行接口的二三层模式切换时,接口下只能存在属性配置信息(例如shutdown、description配置)或者二三层接口均支持的配置信息(例如mode lacp、lacp system-id配置),模式切换功能才可以生效。不能有任何切换后的接口模式不支持的配置存在。如果接口上存在不支持的配置,请先将这些配置全部清除,然后再执行undo portswitch命令。
如果涉及的以太网接口较多,可以在系统视图下执行命令undo portswitch batch interface-type { interface-number1 [ to interface-number2 ] } &<1-10>,批量切换以太网接口的工作模式。
- (对于以太网接口)执行命令undo portswitch,配置接口切换到三层模式。
