欢迎来到天天文库
浏览记录
ID:42442276
大小:217.53 KB
页数:12页
时间:2019-09-15
《[宝典]ARP防攻击策略》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、配置RP攻击防御2.2.1RP攻击防御配置任务简介表2-1RP攻击防御配置任务简介配置任务交换机角色说明详细配置配置VLN接口学习动态RP表项的最大数目网关设备可选2.2.2配置RP报文源MC—致性检查功能网关设备、接入设备可选2.2.3配置基于网关IP/MC的RP报文过滤功能接入设备可选2.2.4配置RP入侵检测功能网关设备、接入设备可选2.2.5配置RP报文限速功能网关设备、接入设备可选2.2.62.2.2配置VLN接口学习动态RP表项的最大数目表2-2配置VLN接口学习RP表项的最大数目操作4尽叩V说明进入系统视图system-view
2、——进入VLN接口视图interfceVln-interfcevln-id——操作命令说明可选配置VLN接口学习动态RP表项的最大数目rpmx-lerning-numnumber缺省情况下,S3600-EI系列以太网交换机取值为4031,S3600-SI系列以太网交换机取值为20482.2.3配置RP报文源MC-致性检查功能表2-3配置RP报文源MC一致性检查操作4尽叩P说明进入系统视图system-view——开启RP报文源MC—•致性检查功能rpnti-ttckvlid-checkenble必选缺省情况下,交换机RP报文源MC一致性检查功
3、能处于关闭状态2.2.4配置基于网关IP/MC的RP报文过滤功能表2-4配置基于网关IP地址的RP报文过滤功能操作命令说明进入系统视图system-view—进入以太网端口视图interfceinterfce~typeinterfee-number—配置基于网关IP地址的RP报文过滤功能rpfiltersourceip-ddress必选缺省情况下,没有配置基于网关IP地址的RP报文过滤功能表2-5配置基于网关1P地址、MC地址绑定的RP报文过滤功能操作4尽叩N说明进入系统视图system-view——进入以太网端口视图interfceinte
4、rfce-typeinterfce~number—配置基于网关IP地址、MC地址绑定的RP报文过滤功能rpfilterbindingip-ddressmc~ddress必选缺省情况下,没有配置基于网关IP地址、MC地址绑定的RP报文过滤功能営说明以太网端口上的rpf订tersource命令与rpfilterbinding命令互斥,即同一个以太网端口上只能配置其中的一种命令。一般情况下,基于网关IP地址的RP报文过滤功能,配置在接入交换机与用户相连的端口;而基于网关IP地址的、MC地址绑定的RP报文过滤功能,配置在接入交换机的级连端口或上行端口
5、。2.2.5配置RP入侵检测功能表2-6配置RP入侵检测功能操作命令说明进入系统视图system-view—配置IP静态绑定表项interfceinterfce-typeinterfce-number三者至少选一,可以多选缺省情况下,没有配置IP静态绑定表项,且交换机的DIICPSnooping功能、基于802.lx认证用户的RP入侵检测功能处于关闭状态ipsourcestticbindingip-ddressip-ddress[mc-ddressmc~ddress]开启DI1CPSnooping功能dhcp-snooping开启基于802.
6、lx认证用户的RP入侵检测的功能ipsourcestticimportdotlx进入以太网端口视图interfceinterfce-typeinterfee-number—操作命令说明配置DHCPSnooping信任端口dhcp-snoopingtrust可选如果开启了交换机的DHCPSnooping功能,则需要配置其上行连接D1ICP服务器的端口为信任端口配置RP信任端口rpdetectiontrust可选缺省情况下,交换机所有端口为RP非信任端口一般情况下,需要配置交换机的上行端口作为RP信任端口退出至系统视图quit—进入VLN视图vl
7、nvln-id—开启RP入侵检测功能rpdetectionenble必选缺省情况下,指定VLN内所有端口的RP入侵检测功能处于关闭状态开启RP严格转发功能rprestrieted-forwrdingenble可选缺省情况下,RP严格转发功能处于关闭状态哲说明•在接入用户多数为DHCP动态获取IP地址,部分为手工配置IP地址的组网环境中,建议同时开启DHCPSnooping功能和配置IP静态绑定表项,配合RP入侵检测功能完成RP报文的合法性检查。•基于802.lx认证用户的RP入侵检测功能需要和交换机基于MC地址认证的802.lx功能以及RP入
8、侵检测功能一起配合使用。•目前,S3600系列以太网交换机在端口上配置的IP静态绑定表项,其所属VLN为端口的缺省VLNID。因此,如果RP报文的VLNTG与端口的
此文档下载收益归作者所有
![[宝典]ARP防攻击策略_第1页](https://f25.wenku365.com/file-convert/2021/07/11/13/30/277326e22ab610505fc0896ac6af2af5/img/1.jpg)
![[宝典]ARP防攻击策略_第2页](https://f25.wenku365.com/file-convert/2021/07/11/13/30/277326e22ab610505fc0896ac6af2af5/img/2.jpg)
![[宝典]ARP防攻击策略_第3页](https://f25.wenku365.com/file-convert/2021/07/11/13/30/277326e22ab610505fc0896ac6af2af5/img/3.jpg)
![[宝典]ARP防攻击策略_第4页](https://f25.wenku365.com/file-convert/2021/07/11/13/30/277326e22ab610505fc0896ac6af2af5/img/4.jpg)
![[宝典]ARP防攻击策略_第5页](https://f25.wenku365.com/file-convert/2021/07/11/13/30/277326e22ab610505fc0896ac6af2af5/img/5.jpg)
