H3C交换机ARP源抑制功能和ARP黑洞路由功能配置案例
配置适用产品与软件版本
S10500系列以太网交换机
Release 1120系列,Release 1130系列,Release 1200系列
S5800&S5820X系列以太网交换机
Release 1808
S5830系列以太网交换机
Release 1115,Release 1118
S5500-EI&S5500-SI系列以太网交换机
Release 2220
Host A、Host B、Host C和Host D分别通过两台接入交换机连接到网关Switch A,Host A和Host B在研发区域内,属于VLAN10,Host C和Host D在办公区域内,属于VLAN20。监控到网络中存在攻击源,Host B向网络中发送源固定的IP攻击报文,Host D向网络中发送源不固定的IP攻击报文。要求通过ARP源抑制功能和ARP黑洞路由功能实现Host A和Host C发送的IP报文能够正常转发,Host B和Host D发送的IP报文为攻击报文并被丢弃。
配置步骤
(1) 配置ARP源抑制功能
# 在SwitchA上开启ARP源抑制功能。
<SwitchA> system-view
[SwitchA] arp source-suppression enable
# 配置ARP源抑制的阈值为100(即当每5秒内的ARP请求报文的流量超过100后,对于由此IP地址发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理)。
[SwitchA] arp source-suppression limit 100
(2) 配置ARP黑洞路由功能
# 在SwitchA上配置ARP黑洞路由功能(缺省情况,ARP黑洞路由功能处于开启状态)。
<SwitchA> system-view
[SwitchA] arp resolving-route enable
验证配置
# 显示当前ARP源抑制的配置信息。
<Sysname> display arp source-suppression
ARP source suppression is enabled
Current suppression limit: 100
Current cache length: 16
display arp source-suppression显示信息描述表
ARP source suppression is enabled
ARP源地址抑制功能处于开启状态
Current suppression limit
设备在5秒时间间隔内可以接收到的同源IP,且目的IP地址不能解析的IP报文的最大数目
Current cache length
目前记录源抑制信息的缓存的长度
配置文件
#
arp source-suppression enable
arp source-suppression limit 100
#