评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置设备丢弃带路由选项的IP报文
背景信息
IP报文可以携带路由选项,例如:源路由选项、路由告警选项、路由记录选项和时间戳选项。路由选项通常被用来诊断网络路径故障和临时传送特殊业务。但是,网络攻击者可能会利用路由选项,探测网络结构并发动攻击,导致网络安全性和设备性能降低。配置以下功能后,设备会丢弃带路由选项的IP报文,提高网络安全性和设备性能。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令interface interface-type interface-number,进入接口视图。
- (可选)对于以太网接口,执行命令undo portswitch,配置接口切换到三层模式。
缺省情况下,以太网接口处于二层模式。
仅S5720-EI、S5720-HI、S5730-HI、S5731-H、S5731-S、S5731S-H、S5731-H-K、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720S-EI、S6730-H、S6730S-H、S6730-H-K、S6730-S和S6730S-S支持二层模式与三层模式切换。
- 请根据不同的路由选项进行如下配置:
执行命令discard ra,配置丢弃带路由告警选项的报文。
执行命令discard rr,配置丢弃带记录路由选项的报文。
执行命令discard srr,配置丢弃带IP源路由选项的报文。
执行命令discard ts,配置丢弃带时间戳选项的报文。
缺省情况下,对于上送到CPU的带路由选项的报文,设备按照路由选项信息进行处理。
该命令仅对入接口的报文起作用。
该命令仅对上送CPU的报文生效。非上送CPU的报文,无论是否配置discard { ra | rr | srr | ts }命令,设备都按照不带路由选项的报文处理并转发。
