华为设备ARP安全配置命令

最新推荐文章于 2024-02-23 14:28:52 发布
最新推荐文章于 2024-02-23 14:28:52 发布
阅读量1.1k 收藏 7
点赞数
分类专栏: 网络设计与配置 文章标签: 华为 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tony_long7483/article/details/126455458
版权

[Huawei]arp speed-limit source-mac maximum 10 //配置根据任意源MAC地址进行ARP报文限速的限速值
[Huawei]arp speed-limit source-mac 1000-0000-0000 maximum 10 //配置对指定MAC地址用户的ARP报文进行限速的限速值
[Huawei]arp speed-limit source-ip 10.1.1.1 maximum 30 //配置对指定IP地址用户的ARP报文进行限速的限速值, 缺省30个
[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit 10 //配置ARP报文的限速值
[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit enable //使能ARP报文限速功能
[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit alarm enable //使能ARP报文限速丢弃告警功能
[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit alarm threshold 100 //配置ARP报文限速丢弃告警阈值,缺省为100
[Huawei-vlan10]arp anti-attack rate-limit 10
[Huawei-vlan10]arp anti-attack rate-limit enable
[Huawei-vlan10]arp anti-attack rate-limit alarm enable
[Huawei-vlan10]arp anti-attack rate-limit alarm threshold 100
[Huawei]arp-miss speed-limit source-ip maximum 10 //配置根据源IP地址进行ARP Miss消息限速的限速值
[Huawei]arp-miss speed-limit source-ip 10.1.1.1 maximum 10 //配置对指定IP地址用户的ARP Miss消息进行限速的限速值
[Huawei-GigabitEthernet0/0/1]arp-miss anti-attack rate-limit enable //使能ARP Miss消息限速功能
[Huawei-GigabitEthernet0/0/1]arp-miss anti-attack rate-limit alarm enable //使能ARP Miss消息限速丢弃告警功能
[Huawei-GigabitEthernet0/0/1]arp-miss anti-attack rate-limit alarm threshold 100 //配置ARP Miss消息限速丢弃告警阈值,缺省为100
[Huawei-vlan10]arp-miss anti-attack rate-limit enable
[Huawei-vlan10]arp-miss anti-attack rate-limit alarm enable
[Huawei-vlan10]arp-miss anti-attack rate-limit alarm threshold 100
[Huawei]arp learning strict //配置全局ARP表项严格学习功能
[Huawei-GigabitEthernet0/0/1]arp-limit vlan 10 maximum 10 //配置基于二层接口的ARP表项限制
[Huawei]display arp anti-attack configuration all //查看ARP防攻击配置
[Huawei]display arp-limit //查看接口可以学习到的动态ARP表项数目的最大值
[Huawei]display arp learning strict //查看全局和所有VLANIF接口上的ARP表项严格学习情况
[Huawei]arp anti-attack entry-check fixed-mac enable //配置ARP表项固化功能
[Huawei]arp anti-attack entry-check fixed-all enable
[Huawei]arp anti-attack entry-check send-ack enable
[Huawei-Vlanif10]arp anti-attack entry-check fixed-mac enable //接口使能ARP表项固化功能
[Huawei-Vlanif10]arp anti-attack entry-check fixed-all enable
[Huawei-Vlanif10]arp anti-attack entry-check send-ack enable
[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind enable //使能动态ARP检测功能
[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind check-item ip-address //配置对ARP报文进行绑定表匹配检查的检查项
[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind check-item mac-address
[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind check-item vlan
[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind alarm enable //使能动态ARP检测丢弃报文告警功能
[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind alarm threshold 100 //配置动态ARP检测丢弃报文告警阈值, 缺省为100
[Huawei]dhcp enable //全局使能DHCP功能
[Huawei]dhcp snooping enable //全局使能DHCP Snooping功能
[Huawei-GigabitEthernet0/0/1]dhcp snooping enable //使能接口的DHCP Snooping功能
[Huawei-GigabitEthernet0/0/1]dhcp snooping trusted //配置接口为信任状态
[Huawei-vlan10]dhcp snooping enable
[Huawei-vlan10]dhcp snooping trusted interface GigabitEthernet 0/0/1
[Huawei]arp anti-attack gateway-duplicate enable //使能ARP防网关冲突攻击功能
[Huawei-Vlanif10]arp gratuitous-arp send enable //使能发送免费ARP报文的功能
[Huawei-Vlanif10]arp gratuitous-arp send interval 60 //配置发送免费ARP报文的时间间隔,缺省为60秒
[Huawei]arp anti-attack packet-check sender-mac //使能ARP报文合法性检查功能,并指定ARP报文合法性检查项
[Huawei-Vlanif10]arp learning dhcp-trigger //使能DHCP触发ARP学习功能
[Huawei]display arp anti-attack configuration check user-bind interface GigabitEthernet 0/0/1 //查看VLAN或接口下动态ARP检测的相关配置
[Huawei]display arp anti-attack gateway-duplicate item //查看ARP防网关冲突攻击表项
[Huawei]display arp packet statistics //查看ARP处理的报文统计数据
[Huawei]display arp anti-attack statistics check user-bind interface g0/0/1 //查看接口下进行ARP报文绑定表匹配检查的ARP报文丢弃计数
[Huawei]display arp anti-attack arpmiss-record-info //查看ARP Miss消息限速触发时的相关信息
reset arp packet statistics //清除ARP报文的统计信息
reset arp anti-attack statistics check user-bind interface g0/0/1 //清除由于不匹配绑定表而丢弃的ARP报文计数
reset arp anti-attack statistics rate-limit //清除由于ARP报文超过速率限制阈值而被丢弃的计数
[Huawei]arp anti-attack log-trap-timer 1 //配置对潜在的ARP攻击行为发送告警的时间间隔

Tony_long7483
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为S9300ARP防护策略
03-17
S9300_网络安全介绍及攻击特性介绍,详细介绍了华为S9300系列交换机的ARP防护配置介绍和命令,帮助华为用户解决由于ARP导致的种种故障。
华为设备配置基本命令
06-28
华为的交换机.希望这些命令能对你理解IOS操作系统有所帮助. 显示arp命令 dis arp 你如果需要什么命令.敲个问号回车.会出来很多命令.然后输入命令 空格+问号再回车会显示这个命令的帮助.
华为网络软件ensp模拟arp
weixin_44606964的博客
04-22 2287
在核心lsw2里面配置 arp anti-attack entry-check fixed-mac enable 然后当网络访问网关192.168.1.1的时候 Ip和mac全都显示出来,然后接口也显示出来 然后在接入交换机lsw1里面 显示出接入交换机的接口 交换机A的配置 # 在端口GigabitEthernet1/0/2上配置IPv4动态绑定功能,绑定源IP地址和MAC地址。 <H3C> system-view [H3C] inter...
ARP安全
最新发布
weixin_46041124的博客
02-23 986
如图3-247所示,SwitchA通过接口GE2/0/1连接DHCP Server,通过接口GE1/0/1、GE1/0/2连接DHCP客户端UserA和UserB,通过接口GE1/0/3连接静态配置IP地址的用户UserC。动态ARP检测是利用绑定表来防御中间人攻击的。当设备收到ARP报文时,将此ARP报文对应的源IP、源MAC、VLAN以及接口信息和绑定表的信息进行比较,如果信息匹配,说明发送该ARP报文的用户是合法用户,允许此用户的ARP报文通过,否则就认为是攻击,丢弃该ARP报文。
华为路由器ip地址和mac地址绑定命令
LGT521的博客
09-23 1万+
首先进入路由器命令行 使用display current-configuration命令查看当前配置 确定所绑定ip所在的VLAN,然后输入system-view进入配置模式 输入命令interface vlanif XX(这里是你ip所在的vlan编号)进入到相应vlan 输入命令dhcp server static-bind ip-address x.x.x.x mac-address H-H-H (x.x.x.x是你要绑定的IP地址,H-H-H是Mac地址) 如果提示:Error: The IP a.
华为交换机ARP防网关冲突
Jian Sun_的博客
05-13 4926
如果有攻击者仿冒网关,在局域网内部发送源IP地址是网关IP地址的ARP报文,会导致局域网内其他用户主机的ARP表记录错误的网关地址映射关系。这样其他用户主机就会把发往网关的流量均发送给了攻击者,攻击者可轻易窃听到他们发送的数据内容,并且最终会造成这些用户主机无法访问网络。 为了防范攻击者仿冒网关,当用户主机直接接入网关时,可以在网关设备上使能ARP防网关冲突攻击功能。当设备收到的ARP报文存在下列情况之一: ·ARP报文的源IP地址与报文入接口对应的VLANIF接口的IP...
华为HCIE-R&S(数通datacom)论述题(六)
weixin_54493444的博客
02-22 862
配置该功能后,只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP,这样可以拒绝大部分的ARP报文攻击。在ARP报文限速时间内,如果收到的ARP报文数目超过ARP报文限速值,设备会丢弃超出限速值的ARP报文。从而保证了网络通信业务的安全性。ARP泛洪攻击:攻击者通过伪造大量源IP地址变化的ARP报文,使得网关设备ARP表资源被无效的ARP条目耗尽,合法用户的ARP报文不能继续生成ARP条目,导致合法终端无法正常通信。
ARP 防御措施
kuaizai__的博客
10-20 2405
ARP 防御措施 arp没有认证机制,围绕信任名单来做防御机制 主机: 通过人工添加静态表项 : PC> arp -s 192.168.206.14 54-89-98-C2-65-B0 通过软件来检测arp表项构建信任arp表,把非信任arp信息或者异常arp包丢弃 交换机的arp防御技术: [Huawei]arp speed-limit source-ip 192.168.206.11 maximum 10 //限制源ip发送arp包的量 ​ [Hua
【分享】网段扫描攻击
XMWS-IT
09-12 125
当交换机收到ARP回应后,会将此临时的ARP表项修正,如果在规定的时间内未收到ARP回应,则将该临时表项删除,后续的IP报文即可继续触发上述ARP Miss流程。如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。大量的网段扫描报文会产生大量的ARP Miss消息,导致交换机的资源浪费在处理ARP Miss消息上,影响交换机对其他业务的处理,形成扫描攻击。
华为SRG路由配置手册 pdf版
04-01
华为SRG1200 2200 3200路由配置手册 HUAWEI SRG1200/2200/3200 业务路由网关 V100R002C02 典型配置案例
华为路由器命令大全.doc
07-12
aaa 指定 AAA(认证,授权和记费)配置 aaa-enable 使能AAA(认证,授权和计费) access-server 指定接入服务器监听端口信息 access-tty 指定接入客户端配置信息 acl 指定访问表配置信息 arp 增加一条ARP表项 banner ...
华为HCIA精品视频.rar
10-31
6.基本配置命令和案例分析mp4 17、网络层协议mp4 18.IP地址介绍mp4 19.子网划分mp4 20.1CMP协议及P地址应用mp4 21-1.路由基本概念及路由条目生产方式mp4 21-2、路由条目优选及路由转发mp4 22、静态路由及实验mp4 ...
ARP安全配置与管理实战
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
06-03 1751
ARP类攻击,经常令网络莫名其妙的奇慢、上不了网,甚至导致设备或整个网络瘫痪,而且很难找到真正的元凶。抓包故障排除时,经常发现大量源IP地址或者MAC地址根本不是本网络的广播包或帧,或者发现网关的MAC地址被非法地修改了,甚至出现源或目的IP、MAC地址全为0的包。这一切都是因为ARP协议本身没有一个安全认证机制,给恶意攻击者留下了可乘之机。 ARP安全方面的隐患就是两个:一...
ARP安全配置与管理——2
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
05-14 1万+
配置ARP欺骗攻击ARP表项攻击、网关攻击、中间人攻击是ARP欺骗攻击的主要应用场景。下表列出了针对不同ARP欺骗攻击类型所提供的不同解决方案,以增强网络抗击ARP欺骗攻击的能力。在这些配置ARP欺骗攻击安全特性中,各项配置均是并列关系,无严格配置顺序,也并不是要求配置所有的ARP安全特性方案,用户可根据需要选择配置一种或多种方案。一、配置ARP表项固化为了防止ARP地址欺骗攻击,可以配置AR...
ARP攻击
149527
01-20 457
ARP
HCIE(1)——arp欺骗供攻击原理及防御
qq_45782298的博客
10-21 1442
一、ARP协议概述 ARP协议,地址解析协议 。是将IP地址与MAC地址对应起来,属于数据链路层协议。 1、ARP的数据包可分为两种: 请求包(广播): 源IP:本机的IP 目标IP:目标主机的IP 源MAC:本机的AMC 目标MAC:全F 应答包(单播) 源IP:本机的IP 目标IP:目标主机的IP 源MAC:本机的AMC 目标MAC:目标主机MAC 2、通信方式 局域网内通信: 主机A和主机B的通信过程: (1)主机A首先检查自己的缓存列表中有没有主机B的IP与其MAC的对应关
ARP安全配置
zj2059129607的博客
11-28 58
ARP(Address Resolution Protocol)安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备安全性。ARP安全特性不仅能够防范针对ARP协议的攻击,还可以防范网段扫描攻击等基于ARP协议的攻击。
华为设备OSPF配置命令
热门推荐
Tony_long7483的博客
02-12 1万+
华为设备OSPF配置命令
华为ensp常用操作命令
02-01
华为eNSP(Enterprise Network Simulation Platform)是华为公司开发的一款网络仿真平台,用于模拟和测试企业网络环境。以下是一些常用的华为eNSP操作命令: 1. 进入eNSP控制台:ensp 2. 查看当前拓扑:display current 3. 查看设备列表:display device 4. 查看设备接口信息:display interface 5. 查看设备路由表:display ip routing-table 6. 查看设备邻居信息:display lldp neighbor 7. 查看设备ARP表:display arp 8. 查看设备MAC地址表:display mac-address 9. 查看设备配置:display current-configuration 10. 进入设备配置模式:configure terminal 11. 配置设备主机名:hostname [hostname] 12. 配置设备IP地址:interface [interface] ip address [ip address] [subnet mask] 13. 配置设备静态路由:ip route-static [destination network] [mask] [next-hop] 14. 保存配置:save 15. 退出eNSP控制台:quit 以上是一些常用的华为eNSP操作命令,你可以根据需要进行使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值