专业IT设备第三方维保_IT设备维保服务_IT备件服务_IT基础架构运维_IT设备维修-网度通信

H3C交换机ARP源抑制功能和ARP黑洞路由功能配置案例

2024-09-20 16:54
分享到:
 
        H3C交换机ARP源抑制功能和ARP黑洞路由功能配置案例
 
        配置适用产品与软件版本
        S10500系列以太网交换机
        Release 1120系列,Release 1130系列,Release 1200系列
        S5800&S5820X系列以太网交换机
        Release 1808
        S5830系列以太网交换机
        Release 1115,Release 1118
        S5500-EI&S5500-SI系列以太网交换机
        Release 2220
        Host A、Host B、Host C和Host D分别通过两台接入交换机连接到网关Switch A,Host A和Host B在研发区域内,属于VLAN10,Host C和Host D在办公区域内,属于VLAN20。监控到网络中存在攻击源,Host B向网络中发送源固定的IP攻击报文,Host D向网络中发送源不固定的IP攻击报文。要求通过ARP源抑制功能和ARP黑洞路由功能实现Host A和Host C发送的IP报文能够正常转发,Host B和Host D发送的IP报文为攻击报文并被丢弃。
 
        配置步骤
        (1)     配置ARP源抑制功能
        # 在SwitchA上开启ARP源抑制功能。
        <SwitchA> system-view
        [SwitchA] arp source-suppression enable
        # 配置ARP源抑制的阈值为100(即当每5秒内的ARP请求报文的流量超过100后,对于由此IP地址发出的IP报文,设备不允许其触发ARP请求,直至5秒后再处理)。
        [SwitchA] arp source-suppression limit 100
 
        (2)     配置ARP黑洞路由功能
        # 在SwitchA上配置ARP黑洞路由功能(缺省情况,ARP黑洞路由功能处于开启状态)。
        <SwitchA> system-view
        [SwitchA] arp resolving-route enable
        验证配置
        # 显示当前ARP源抑制的配置信息。
        <Sysname> display arp source-suppression
         ARP source suppression is enabled
         Current suppression limit: 100
         Current cache length: 16
 
        display arp source-suppression显示信息描述表
        ARP source suppression is enabled
        ARP源地址抑制功能处于开启状态
        Current suppression limit
        设备在5秒时间间隔内可以接收到的同源IP,且目的IP地址不能解析的IP报文的最大数目
        Current cache length
        目前记录源抑制信息的缓存的长度
 
        配置文件
        #
         arp source-suppression enable
         arp source-suppression limit 100
        #
上一篇:IT运维服务包含哪些内容,服务价值是什么?
下一篇:服务器存储维保、网络设备维保策略:原厂维保VS第三方维保如何选?