评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置ARP表项严格学习
背景信息
如果大量用户在同一时间段内向设备发送大量ARP报文,或者攻击者伪造正常用户的ARP报文发送给设备,则会造成如下危害:
- 设备因处理大量ARP报文而导致CPU负荷过重,同时设备学习大量的ARP报文可能导致设备ARP表项资源被无效的ARP条目耗尽,造成合法用户的ARP报文不能继续生成ARP条目,导致用户无法正常通信。
- 伪造的ARP报文将错误地更新设备ARP表项,导致合法用户无法正常通信。
为避免上述危害,可以在网关设备上配置ARP表项严格学习功能。配置该功能后,只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP,这样,可以拒绝大部分的ARP报文攻击。
ARP表项严格学习功能可在全局和接口视图下进行配置。
- 全局使能该功能,则设备的所有接口均进行ARP表项严格学习。
- 接口视图下使能该功能,则只有该接口进行ARP表项严格学习。
当同时在全局和接口视图下进行配置时,接口下配置的优先级高于全局配置的优先级。
在全局使能ARP表项严格学习功能的前提下:
- 如果在指定接口下执行命令arp learning strict force-disable,则该接口将会被强制执行去使能ARP表项严格学习的功能。
- 如果在指定接口下执行命令arp learning strict trust时,则该接口的ARP表项严格学习功能和全局的配置保持一致。
操作步骤
- 配置全局ARP表项严格学习功能
- 配置接口的ARP表项严格学习功能
- (对于以太网接口)执行命令undo portswitch,配置接口切换到三层模式。
缺省情况下,以太网接口处于二层模式。
使用该命令进行接口的二三层模式切换时,接口下只能存在属性配置信息(例如shutdown、description配置)或者二三层接口均支持的配置信息(例如mode lacp、lacp system-id配置),模式切换功能才可以生效。不能有任何切换后的接口模式不支持的配置存在。如果接口上存在不支持的配置,请先将这些配置全部清除,然后再执行undo portswitch命令。
如果涉及的以太网接口较多,可以在系统视图下执行命令undo portswitch batch interface-type { interface-number1 [ to interface-number2 ] } &<1-10>,批量切换以太网接口的工作模式。
- (对于以太网接口)执行命令undo portswitch,配置接口切换到三层模式。
