三层转发及ARP、ND操作 第1章 L3转发配置 ARP配置任务序列: 1. 配置静态ARP 2. 配置代理ARP 3. 清除动态ARP
4. 清除ARP报文统计信息
1. 配置静态ARP 命令 VLAN接口模式 arp
2. 配置代理ARP 命令 VLAN接口模式 ip proxy-arp no ip proxy-arp
3.清除动态ARP 命令 特权用户模式 clear arp-cache
4. 清除ARP报文统计信息 命令 特权用户模式 clear arp traffic
解释 清除交换机ARP报文统计信息。 解释 清除交换机学习到的动态ARP。 解释 打开以太口代理ARP的功能;本命令的no操作为关闭代理ARP的功能。 解释 配置静态ARP表项;本命令的no操作为删除指定IP地址的ARP表项。 1.5.3 ARP转发排错帮助
交换机无法PING通直接相连的网络设备,检查可能存在的情况和建议的解决方法: ? 首先检查交换机是否学习到相应的ARP;
? 若ARP未能学习到,那么使用ARP的调试信息,观察ARP协议报文的收发情况。 ? 用户比较容易遇到的现象是线缆有问题,导致ARP不能学习。
1-19
三层转发及ARP、ND操作 第1章 L3转发配置
1.6 隧道硬件容量配置 1.6.1 隧道硬件容量介绍
隧道硬件容量是本机硬件能够转发的最大隧道、MPLS的数量。该容量可通过命令进行调整,增大该容量会减少本机支持的硬件路由数,反之亦然。
1.6.2 隧道硬件容量配置
隧道硬件容量配置任务序列: 1. 配置隧道硬件容量 命令 全局配置模式 hardware tunnel-capacity < size> no hardware tunnel-capacity 解释 设置硬件隧道和MPLS容量;本命令的no操作为恢复硬件默认的隧道和MPLS容量。 注:修改隧道硬件容量后,必须重新启动交换机使配置生效。URPF典型案例
1.6.3 隧道硬件容量配置排错帮助
? 配置隧道硬件容量后,必须作配置保留,重启交换机后,配置才能生效。
1-20
三层转发及ARP、ND操作 第2章 防ARP扫描功能操作配置
第2章 防ARP扫描功能操作配置
2.1 防ARP扫描功能介绍
ARP扫描是一种常见的网络攻击方式。为了探测网段内的所有活动主机,攻击源将会产生大量的ARP报文在网段内广播,这些广播报文极大的消耗了网络的带宽资源;攻击源甚至有可能通过伪造的ARP报文而在网络内实施大流量攻击,使网络带宽消耗殆尽而瘫痪。而且ARP扫描通常是其他更加严重的攻击方式的前奏,如病毒自动感染,或者继而进行端口扫描、漏洞扫描以实施如信息窃取、畸形报文攻击,拒绝服务攻击等。
由于ARP扫描给网络的安全和稳定带来了极大的威胁,所以防ARP扫描功能将具有重大意义。交换机防ARP扫描的整体思路是若发现网段内存在具有ARP扫描特征的主机或端口,将切断攻击源头,保障网络的安全。
有两种方式来防ARP扫描:基于端口和基于IP。基于端口的ARP扫描会计算一段时间内从某个端口接收到的ARP报文的数量,若超过了预先设定的阈值,则会down掉此端口。基于IP的ARP扫描则计算一段时间内从网段内某IP收到的ARP报文的数量,若超过了预先设置的阈值,则禁止来自此IP的任何流量,而不是down与此IP相连的端口。此两种防ARP扫描功能可以同时启用。端口或IP被禁掉后,可以通过自动恢复功能自动恢复其状态。
为了提高交换机的效率,可以配置受信任的端口和IP,交换机不检测来自受信任的端口或IP的ARP报文,这样可以有效地减少交换机的负担。
2.2 防ARP扫描配置任务序列
1) 启动防ARP扫描功能
2) 配置基于端口和基于IP的防ARP扫描的阈值 3) 配置信任端口 4) 配置信任IP 5) 配置自动恢复时间
6) 显示和调试防ARP扫描相关信息
1) 启动防ARP扫描功能 命令 全局配置模式 anti-arpscan enable no anti-arpscan enable
2) 配置基于端口和基于IP的防ARP扫描的阈值
2-1 解释 全局启动或关闭防ARP扫描功能。 三层转发及ARP、ND操作 第2章 防ARP扫描功能操作配置 命令 全局配置模式 anti-arpscan port-based threshold
3) 配置信任端口 命令 端口配置模式 anti-arpscan trust
4) 配置信任IP 命令 全局配置模式 anti-arpscan trust ip
5) 配置自动恢复时间 命令 全局配置模式 anti-arpscan recovery enable no anti-arpscan recovery enable anti-arpscan recovery time
6) 显示和调试防ARP扫描相关信息 命令 全局配置模式 anti-arpscan log enable no anti-arpscan log enable anti-arpscan trap enable no anti-arpscan trap enable show anti-arpscan [trust
SWITCH B E1/0/1 E1/0/19
SWITCH A
E1/0/2 Server 192.168.1.100/24
PC PC
图 2-1 防ARP扫描典型配置案例
在上述网络拓扑图中,SWITCH B的端口e1/0/1与SWITCH A的端口e1/0/19相连,SWITCH A上的端口e1/0/2与文件服务器(IP 地址为192.168.1.100/24)相连,其他端口都与普通PC相连。可通过下面的配置有效地防止ARP扫描,而又不影响系统的正常运行。 SWITCH A配置任务序列: SwitchA(config)#anti-arpscan enable
SwitchA(config)#anti-arpscan recovery time 3600
SwitchA(config)#anti-arpscan trust ip 192.168.1.100 255.255.255.0 SwitchA(config)#interface ethernet1/0/2
SwitchA (Config-If-Ethernet1/0/2)#anti-arpscan trust port SwitchA (Config-If-Ethernet1/0/2)#exit SwitchA(config)#interface ethernet1/0/19
SwitchA (Config-If-Ethernet1/0/19)#anti-arpscan trust supertrust-port Switch A(Config-If-Ethernet1/0/19)#exit
SWITCH B配置任务序列:
SwitchB(config)#anti-arpscan enable SwitchB(config)#interface ethernet1/0/1
SwitchB(Config-If-Ethernet1/0/1)#anti-arpscan trust port
2-3