ARP主動確認配置命令
ARP的主動確認功能主要應用於網關設備,防止攻擊者仿冒用戶欺騙網關設備。通過strict參數開啟或關閉主動確認的嚴格模式。開啟嚴格模式后,ARP主動確認功能執行更嚴格的檢查,新建ARP表項前,需要本設備先對其IP地址發起ARP解析,解析成功后才能觸發正常的主動確認流程,在主動確認流程成功后,才允許設備學習該表項。
命令
<H3C>system-view [H3C]arp active-ack enable
ARP防止IP報文攻擊配置命令
建議在網關設備上開啟本功能。
ARP源地址抑制功能處於關閉狀態。
#開啟ARP源地址抑制功能。 <H3C>system-view [H3C]arp source-suppression enable
ARP防止IP報文攻擊配置命令
如果網絡中每5秒內從某IP地址向設備某接口發送目的IP地址不能解析的IP報文超過了設置的閾值,則設備將不再處理由此IP地址發出的IP報文直至該5秒結束,從而避免了惡意攻擊所造成的危害。
#配置ARP源抑制的閾值為100。 <H3C>system-view [H3C]arp source-suppression limit 100
ARP防止IP報文攻擊配置命令
建議在網關設備上開啟ARP黑洞路由功能。
#開啟ARP黑洞路由功能。 <H3C>system-view [H3C]arp resolving-route enable