2. 程式人生 > >華為交換機ARP安全

華為交換機ARP安全

阿新 發佈:2019-01-04

session 1 ARP安全

一、配置基於源MAC地址的arp報文限速,防止裝置收到不斷變化的源ip地址的arp攻擊時被耗盡cpu資源

[Huawei]arp speed-limit source-mac maximum 100                                   限制所有MAC地址報文100個/s

[Huawei]arp speed-limit source-mac 0001-0002-0003 maximum 10           限制單個MAC地址報文10個/s

二、配置基於源ip地址的arp報文限速

[Huawei]arp speed-limit source-ip maximum 100                                   限制所有ip地址報文100個/s

[Huawei]arp speed-limit source-ip 0001-0002-0003 maximum 10           限制單個ip地址報文10個/s

三、基於埠、vlan或全域性的arp限速

1、基於介面的arp限速

[Huawei]arp anti-attack rate-limit enable                                           全域性下開啟arp限速功能

[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit enable          介面下開啟arp限速功能

[Huawei-GigabitEthernet0/0/1]arp anti-attack rate-limit 200 10 block timer 60     限速10s內允許通過最大200個arp報文,超過丟棄,持續60s(預設是1s)

[Huawei-GigabitEthernet0/0/1]quit

2、基於vlan的arp限速

[Huawei]arp anti-attack rate-limit enable

[Huawei-Vlanif2]arp anti-attack  rate-limit enable

[Huawei-Vlanif2]arp anti-attack rate-limit 200 10 

[Huawei-Vlanif2]quit

3、基於全域性的arp限速

[Huawei]arp anti-attack rate-limit enable

[Huawei]arp anti-attack rate-limit 200 10 

4、防止arp中間人攻擊,與dhcp snooping聯動動態檢測,利用dhcp生成的繫結表項檢查收到的arp報文是否和dhcp的繫結表項一直

[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind enable               開啟dhcp snooping的arp檢測

[Huawei-GigabitEthernet0/0/1]arp anti-attack check user-bind alarm enable     開啟dhcp snooping的arp檢測告警功能

[Huawei-GigabitEthernet0/0/1]quit

dhcp snooping的配置也很簡單,配置好dhcp伺服器、地址池後開啟dhcp的snooping功能(思科中預設開啟)

[Huawei]dhcp snooping enable               全域性啟用

[Huawei]vlan 2

[Huawei-vlan2]dhcp snooping enable      在vlan中啟用snooping功能

[Huawei-vlan2]quit

最後記得在交換機級聯的介面上配置snooping信任,允許介面收發dhcp offer報文

[Huawei-GigabitEthernet0/0/1]dhcp snooping trusted   配置埠為dhcp snooping的信任埠,允許介面收發dhcp offer報文

補充,靜態繫結dhcp snooping列表命令:

[Huawei]user-bind static ip-address 1.1.1.1 mac-address 0001-0002-0003 interface g0/0/1 vlan 2 

檢視命令:

[Huawei]display arp anti-attack configuration check user-bind interface GigabitEthernet 0/0/1
 arp anti-attack check user-bind enable
 arp anti-attack check user-bind alarm enable

[Huawei]display arp anti-attack statistics check user-bind interface GigabitEthernet 0/0/1 

 Dropped ARP packet number is 0
 Dropped ARP packet number since the latest warning is 0

相關推薦

交換機ARP安全

session 1 ARP安全 一、配置基於源MAC地址的arp報文限速,防止裝置收到不斷變化的源ip地址的arp攻擊時被耗盡cpu資源 [Huawei]arp speed-limit source-

使用python腳本利用SSH協議通過TFTP備份交換機配置

python ssh 交換機前提工作python中默認沒有安裝SSH模塊,SSH功能依靠paramiko 模塊實現,需要自己獨立安裝,具體安裝步驟自行百度。主要腳本,和之前一樣,通過TFTP備份配置#!/usr/bin/python#-*- coding: utf-8 -*-import reimport p

交換機日常維護

交換機交換機上查看當前端口流量:display interface Ethernet brief | include up對端口進行限速:interface GigabitEthernet 0/0/14 qos lr inbound cir 8192 //配置進入此端口的保證帶寬為8Mbit/sqos lr

忘記交換機console密碼的解決辦法

忘記華為交換機console密碼的解決辦法一、啟動時,按Ctrl+B進入BOOTROM目錄二、輸入BOOTROM的密碼· 盒式交換機的某些款型支持使用快捷鍵“Ctrl+E”進入BootROM主菜單,請根據設備的界面提示操作。· 盒式交換機在V100R006C03之前的版本,Bo

雲【安全組】開放所有端口

9.png cnblogs 完成 images alt 安全組 http image 技術 第一步 第二步 第三步 添加完成 華為雲【安全組】開放所有端口

交換機配置劃分VLAN實驗

vlan一、目的:將PC1和PC3劃分於VLAN10,將PC2和PC4劃分於VLAN20二、初始拓撲圖三、操作命令測試PC1:PC> ping 192.168.1.2 可以通信PC> ping 192.168.1.3 可以通信PC> p

某虛擬化項目中思科與交換機鏈路聚合互連案例

華為 思科 虛擬化 鏈路聚合 互連 在今年初的時候,我在實施一個VMware虛擬化項目中,涉及到華為與思科交換機通過“鏈路聚合”的方式互連,經過咨詢華為的技術工程師,問題得以成功解決。不像某些廠家的售後:我們的產品只支持與我們的產品互連,其他的不提供技術支持。華為售後沒有因為我是詢問與思科

交換機telnet配置

希望 best 互相ping通 pre interface 網段 http ofo 級別 1.在路由器上和交換機相連的借口上配置一個IP地址:比如192.168.1.1 242.在交換機上配置如下:<switch>system-view[switch]vlan

交換機配置ACL詳細步驟

交換機 acl 華為 s5700ACL 介紹#2000-2999普通ACL,根據源IP過濾#3000-3999高級ACL,根據源目的端口和源目的地址等過濾#4000-4999二層ACL,根據源目的MAC等過濾配置舉例: 拒絕交換機中的XX地址訪問XX地址(rule 0 - 4)acl number 3001#

交換機的VLAN基本配置

dy配置SW1的vlan<Huawei><Huawei>language-mode Chinese //修改提示語言為中文Changelanguage mode, confirm? [Y/N] y提示:改變語言模式成功。<Huawei>undo terminal moni

交換機配置                             &nb

交換機、網絡華為5752有效密碼 [email protected]如果不行,可選擇嘗試huawei huawei.com www.huawei.com a.交換機設置一個名稱<quidway>sys [quidway]sysname JSHQ-02c14-ChaoWei-1.31b.交換機設置 D

交換機S5700設置遠程ssh telnet登錄

word route serve 通過 交換 evel lan toc size 如果是一臺剛初始化過的華為交換機,需要輸入兩次相同的密碼作為登錄交換機的登錄密碼 交換機上有console 端口 MEth管理端口 usb端口 通過串口線配置S5700 的管理IP地址,串口

交換機的三層隔離。

華為交換機的三層隔離。華為交換機的三層隔離1,項目要求A、一個500人左右的單位進行組網設計;B、該單位共有3個部門,分別為:部門A(50人)、部門B(50人)、部門C(400人);請為這3個部門劃分不同的VLAN,要求彼此之間不能通訊,同時都能訪問互聯網;C、該單位還有一個門戶網站,對外發布服務;D、要求部

開啟交換機路由器ssh訪問

ssh設置需求: PC機客戶端通過SSH能夠遠程登錄交換機進行遠程管理。步驟一,生成本地密鑰對:[test]rsa local-key-pair create The key name will be: Auotnavi-callcenter-01_Host The range of public key

交換機vlan管理與hybrid

網絡工程師 交換機 vlan hybrid VLAN配置思路1、創建vlan2、配置端口模式 -dynamic -access -trunk3、將端口放入vlan註意: 所有的交換機上的vlan數據庫得是相同的----------------------------

交換機基本配置命令

1.5 計算機 class inter 三層交換機 con ide nat配置 鏈路 華為交換機基本配置命令 一、單交換機VLAN劃分 命令 命令解釋 system 進入系統視圖 system-view 進入系統視圖 quit 退到系統視圖 und

交換機hybrid的配置教學

process 端口模式 教學 ffffff 圖片 style vpd images 技術 搭建拓撲圖,並開機。配置PC機,給每臺PC機配置IPPC1和PC3屬於VLAN5,PC2與PC4屬於VLAN10 配置sw1 (huawei)sys

進行hybrid鏈路配置(交換機實驗)

nal 1.4 日誌 erl def mar edit dex 運維 網絡運維 hybrid 實驗報告 姓名: 任永輝 班

交換機靜態路由配置

交換 col ans http 配置 mar pc2 itl ges 在SW1上0接口配IP192.168.1.254;在1接口配置IP地址192.168.2.1;在SW2上0接口配IP192.168.3.254;在1接口配置IP地址192.168.2.2;PC1;PC2配

如何配置交換機SSH登陸方式(Stelnet)

系列 net方式 時間 evel uil 但是 完成 提示符 all 利用二周的時間,將學院新建樓棟的12臺交換機全部配置完成,雖然數量不算多,但是此次配置交換機的登陸方式,較之以前有進一步的變化,考慮到學院網絡安全性和部分客戶端中毒後,病毒會利用TELNE