如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害: 1.设备向目的网段产生大量ARP请求报文,加重目的网段负载。 2.对于交换机而言,会进行软件路由,从而增加了CPU的负担。 为避免这种攻击所带来的危害,H3C系统提供了ARP源地址抑制功能。当开启该功能后,如果网络中某主机向设备某端口连续发送目标IP地址不能解析的IP报文,当每5秒内的流量超过设置的阈值,系统就会丢弃由此端口进入的与发送者IP地址相同的报文,直至5秒后再处理,从而避免了恶意攻击所造成的危害。 配置方法如下: arp source-suppression enable #使能ARP源抑制功能 arp source-suppression limit limit-value #设置设备在5秒时间间隔内可以接收到的发送者IP地址相同,且目标IP地址不能解析的IP报文的{zd0}数目 |