Huawei NetEngine 40E Serie Insrucciones página 23

Tabla de contenido
CCN-STIC-1419
y ICMP Flood. Para ello, es necesario ejecutar los siguientes comandos en la
interfaz de línea de comandos:
system-view
tcpsynflood enable
udp-packet-defend enable
car icmp cir 100 cbs 3000
abnormal-packet-defend enable
fragment-flood enable
77. El producto permite evitar ataques ARP. Esto lo consigue mediante el aprendizaje
de ARP, limitando el ratio de paquetes ARP relacionándolos con direcciones MAC o
limitando el ratio de paquetes ARP por interfaz entre otros. Se deben realizar las
siguientes configuraciones frente a ataques ARP Para ello:
system-view
• Limitar el máximo de paquetes ARP que cualquier dirección MAC puede enviar
por segundo. Lo mismo para IP.
arp speed-limit source-mac maximum <numero_paquetes_segundo>
arp speed-limit source-ip maximum <numero_paquetes_segundo>
• Limitar el máximo de paquetes ARP de una dirección MAC en específico. Lo
mismo para IP:
arp speed-limit source-mac <dirección_MAC> maximum
<numero_paquetes_segundo>
arp speed-limit source-mac <dirección_IP> maximum
<numero_paquetes_segundo>
• Limitar el máximo de paquetes ARP en una interfaz o VLAN:
interface <interfaz> <numero_interfaz | vlan <id_vlan>
arp anti-attack rate-limit enable
arp
<intervalo_segundos> block-timer <tiempo_bloqueo_cuando_sobrepasa>
• Configurar el aprendizaje de direcciones ARP:
arp learning strict
78. Se debe activar la funcionalidad contra DHCP snooping que permite que los
clientes de DHCP solo obtengan direcciones IP de servidores autorizados. Además,
la funcionalidad registra un mapeo entre direcciones MAC y clientes DHCP,
previniendo de ataques DHCP en la red. Para configurar la funcionalidad en el
producto se deben efectuar las siguientes configuraciones:
Centro Criptológico Nacional
Procedimiento de empleo seguro Enrutadores Huawei NE40E Series
anti-attack
rate-limit
packet
<numero_de_paquetes>
interval
22
Tabla de contenido
loading

Este manual también es adecuado para:

V800r012c10

Tabla de contenido