ARP主动确认配置命令
ARP的主动确认功能主要应用于网关设备,防止攻击者仿冒用户欺骗网关设备。通过strict参数开启或关闭主动确认的严格模式。开启严格模式后,ARP主动确认功能执行更严格的检查,新建ARP表项前,需要本设备先对其IP地址发起ARP解析,解析成功后才能触发正常的主动确认流程,在主动确认流程成功后,才允许设备学习该表项。
命令
<H3C>system-view [H3C]arp active-ack enable
ARP防止IP报文攻击配置命令
建议在网关设备上开启本功能。
ARP源地址抑制功能处于关闭状态。
#开启ARP源地址抑制功能。 <H3C>system-view [H3C]arp source-suppression enable
ARP防止IP报文攻击配置命令
如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。
#配置ARP源抑制的阈值为100。 <H3C>system-view [H3C]arp source-suppression limit 100
ARP防止IP报文攻击配置命令
建议在网关设备上开启ARP黑洞路由功能。
#开启ARP黑洞路由功能。 <H3C>system-view [H3C]arp resolving-route enable