端口安全
int e1/0/15-17
sw port-sec
sw port-sec maximum 10
sw port-sec mac
sw port-sec violation shutdown
ARP扫描
anti-arpscan enable [ip|port]
命令:anti-arpscan enable [ip|port] no anti-arpscan enable [ip|port]
功能:全局启动防 ARP 扫描功能;no 命令全局关闭防 ARP 扫描功能。
参数:无。
缺省情况:缺省时为同时开启或关闭基于 ip 及端口的防 arp 扫描功能。
命令模式:全局配置模式。
anti-arpscan port-based threshold
命令:anti-arpscan port-based threshold no anti-arpscan port-based threshold
功能:设置基于端口的防 ARP 扫描的接收 ARP 报文的阈值,如果接收的 ARP 报文的速率 超过此设定值,则关闭此端口。单位为个/秒。
no 命令恢复为默认值,即 10 个/秒。 参数:速率阈值,有效范围为 2-200。 缺省情况:10 个/秒。
命令模式:全局配置模式。
使用指南:基于端口的防 ARP 扫描的阈值应该比基于 IP 的防 ARP 扫描的阈值大,否则基 于 IP 的防 ARP 扫描将不起作用。
举例:在交换机上配置基于端口的防 ARP 扫描速率阈值为 10 个/秒。
Switch(config)#anti-arpscan port-based threshold 10
anti-arpscan ip-based level1|level2 threshold
命令:anti-arpscan ip-based level1|level2 threshold no anti-arpscan ip-based level1|level2 threshold
功能:设置基于 IP 的防 ARP 扫描的接收 ARP 报文的一级或二级阈值,
一级阈值默认为 4p/s,二级默认为 8p/s。二级阈值必须大于一级阈值。
参数:速率阈值,有效范围为 1-200。
缺省情况:一级阈值默认为 4p/s,二级阈值默认为 8p/s。
命令模式:全局配置模式。
使用指南:基于端口的防 ARP 扫描的阈值应该比基于 IP 的防 ARP 扫描的阈值大,否则基 于 IP 的防 ARP 扫描将不起作用。
举例:在交换机上配置基于 IP 的防 ARP 扫描速率阈值为 6 个/秒。
Switch(Config)# anti-arpscan ip-based level1 threshold 6
anti-arpscan trust 命令:anti-arpscan trust { port | supertrust-port | iptrust-port } no anti-arpscan trust {port | supertrust-port | iptrust-port}
功能:配置为信任端口或超级信任端口;no 命令恢复为非信任端口。
参数:无。 缺省情况:缺省全部为非信任端口。
命令模式:端口配置模式。
使用指南:如果某端口配置为信任端口,则防 ARP 扫描功能将不对此端口作处理,即使接 收到的 ARP 报文速率超过设定的阈值,也不关闭此端口,
但对此端口下的非信任 IP 仍然检 测。如果配置为超级信任端口,则既不对端口作处理,也不对此端口下的任何 IP 作处理。 如果端口已经被防 ARP
扫描关闭,则配置为信任端口后立即打开此端口。如果配置为 IP 信 任端口,则不检测此端口下的 IP,紧对端口做处理;如果端口下已有 IP 被禁,
则配置为 IP 信任端口后被禁 IP 立即恢复。 通过 telnet 等手段远程管理交换机时,必须在启动防 ARP 扫描功能之前将上联端口设置为 超级信任端口,
以防止此端口收到较多的 ARP 报文而被关闭。在关闭防 ARP 扫描功能之 后此端口的属性会恢复为默认值的非信任端口。
举例:将交换机的端口 ethernet 1/0/5 配置为信任端口。
Switch(config)#interface ethernet1/0/5
Switch(Config-if-ethernet 1/0/5)#anti-arpscan trust port
3.4.5 anti-arpscan trust ip 命令:anti-arpscan trust ip [] no anti-arpscan trust ip []
功能:配置信任 IP;no 命令恢复为非信任 IP。
参数::要配置的信任 IP 地址;:IP 的子网掩码。
缺省情况:缺省所有 IP 都为非信任 IP。掩码缺省为 255.255.255.255。
命令模式:全局配置模式。
使用指南:如果某 IP 被配置为信任 IP,则防 ARP 扫描功能将不对此 IP 作处理,即使从其 收到的 ARP 报文速率超过了设定的阈值,
也不禁掉此 IP。如果此 IP 已经被防 ARP 扫描禁 掉,则立即恢复其流量。
举例:将 192.168.1.0/24 配置为信任 IP。
Switch(config)#anti-arpscan trust ip 192.168.1.0 255.255.255.0
anti-arpscan recovery enable
命令:anti-arpscan recovery enable
no anti-arpscan recovery enable
功能:启动自动恢复功能,no 命令取消自动恢复功能。 参
数:无。 缺省情况:关闭自动恢复功能。 命令模式:全局配置模式。
使用指南:如果希望端口被关闭一段时间后,自动恢复为正常状态,则可配置此功能。
举例: 在交换机上启动自动恢复功能。 Switch(config)#anti-arpscan recovery enable
anti-arpscan recovery time
命令:anti-arpscan recovery time no anti-arpscan recovery time
功能:配置自动恢复时间;no 命令恢复自动恢复时间为默认值。
参数:自动恢复时间值,单位为秒。有效范围为 5-86400 秒。
缺省情况:300 秒。
命令模式:全局配置模式。
使用指南:必须先启动自动恢复功能。
举例:设置自动恢复时间为 3600 秒。
Switch(config)#anti-arpscan recovery time 3600
