ARP 报文限速功能简介:
为了防止“中间人攻击”,设备通过开启ARP 入侵检测功能,将ARP 报文上送到
CPU 处理,判断ARP 报文的合法性后进行转发或丢弃。但是,这样引入了新的问
题:如果攻击者恶意构造大量ARP 报文发往交换机的某一端口,会导致CPU 负担过重,从而造成其他功能无法正常运行甚至设备瘫痪。S3900 系列以太网交换机支
持端口ARP 报文限速功能,使受到攻击的端口暂时关闭,来避免此类攻击对CPU
的冲击。
开启某个端口的ARP 报文限速功能后,交换机对每秒内该端口接收的ARP 报文数
量进行统计,如果每秒收到的ARP 报文数量超过设定值,则认为该端口处于超速状
态(即受到ARP 报文攻击)。此时,交换机将关闭该端口,使其不再接收任何报文,
从而避免大量ARP 报文攻击设备。
同时,设备支持配置端口状态自动恢复功能,对于配置了ARP 限速功能的端口,在
其因超速而被交换机关闭后,经过一段时间可以自动恢复为开启状态。
配置实例:
配置ARP监测速率
interface Ethernet1/0/8
port access vlan 148
arp rate-limit enable(打开ARP监测功能)
arp rate-limit 50 (设置ARP监测速率为每秒钟50个ARP包)
配置自动关闭端口功能:
在全局模式下:
arp protective-down recover enable(开启交换机端口自动恢复功能)
arp protective-down recover interval 15(设置自动恢复时间为15秒)测试结果:
%Apr 2 00:27:30:089 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is UP
%Apr 2 00:27:52:170 2000 LINPINGJIEDAO_3952_ DHCP-SNP/5/arp_overspeed:- 1 -
PacketLimit: ARP packet rate(52pps) exceeded on interface Ethernet1/0/8. The port will be down!
(ARP包超过设定速率,此端口将关闭)
%Apr 2 00:27:52:348 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is DOWN
%Apr 2 00:42:51:858 2000 LINPINGJIEDAO_3952_ L2INF/5/PORT LINK STATUS CHANGE:- 1 -
Ethernet1/0/8 is UP(15秒后,端口自动打开)
查看交换机端口状态:
<3952>dis brief interface (注意第8口的状态为PTC)
Interface:
Eth - Ethernet GE - GigabitEthernet TENGE - tenGigabitEthernet
Loop - LoopBack Vlan - Vlan-interface Cas - Cascade
Speed/Duplex:
A - auto-negotiation
Interface Link Speed Duplex Type PVID Description
--------------------------------------------------------------------------------
Aux1/0/0 UP -- -- -- --
Eth1/0/1 UP A100M Afull trunk 1 uplink-TANGXIZHEN_3952
Eth1/0/2 ADM DOWN A A trunk 1
Eth1/0/3 ADM DOWN A A trunk 1
Eth1/0/4 ADM DOWN A A trunk 1
Eth1/0/5 DOWN A A access 902
Eth1/0/6 UP A100M Afull access 902 GuangJiSheQu
Eth1/0/7 DOWN A A access 902
Eth1/0/8 DOWN A A access 902 (注意第8口的状态为PTC)
注意事项:
1、这个功能需要3900系列1602以上版本才能支持,其他型号的交换机暂时没有研究;
2、arp包的速率限制要根据具体环境而设置,需要测试后才能铺开实施;
3、如果要手动打开被关闭的端口,可以使用undo shutdown打开;
wireshark 每秒100多个arp数据包算多吗
转载本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
Wireshark 抓包分包操作小技巧
Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题。
抓包 Wireshark 分包 Wireshark 抓包 网络封包分析软件 -
java同时处理多个数据
java同时处理多个数据的三种常用方法详解,并提供了详细的代码示例。
java 抛出异常 多线程 -
Wireshark数据包分析之ARP协议包解读
ARP请求报文格式ARP回应报文格式ARP数据包ARP请求包ARP回应包
数据包 网络 交换机 路由器 -
发送ARP数据包
&n
IP 地址 发送信息 -
wireshark 只能导入100条 wireshark怎么导出数据包
很多时候, 在调试数据通信时,如果需要更加专业底层的通信分析,我们就必须借助其他专业的三方工具来进行故障排查。 其中功能最完善也是比较通用的方法就是使用“Wireshark”对底层通讯数据进行抓取。首先,获取Wireshark软件Wireshark是一个开放软件, 可以在商业环境中免费试用. 他的官方网站是: Wireshark · Go Deep.www.wireshark.or
wireshark 只能导入100条 wireshark使用 wireshark安装 wireshark抓取的数据怎么转为明文 Wireshark -
jquery的validate验证长度
Parsley.jsParsley.js是一个轻量级且功能丰富的库,它使用DOM中嵌入的数据属性来实现相同的功能,而不是使用Javascript验证表单。令人惊讶的易于配置的插件还使您可以覆盖几乎所有默认行为,使其符合您的表单要求。 quickValidation.jsquickValidation.js的工作原理类似于上面的Parsley。它没有在Javascript中定义规则,而是
jquery的validate验证长度 jquery validate表单校验 jquery 获取下级标签 js表单验证 验证xhtml5不支持元素