clear arp-cache
Команда используется для очистки содержимого ARP-таблицы.
Синтаксис
clear arp-cache [ <OPTIONS> ]
Параметры
<OPTIONS> – параметры команды для детализации запрашиваемой информации, опциональный параметр:
- vrf <VRF> – имя экземпляра VRF, задается строкой до 31 символа. Опциональный параметр, при указании которого будет очищена ARP-таблица в указанном VRF;
- <IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
- ip-address <ADDR> – IP-адрес, по которому ведется поиск, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
- mac-address <ADDR> – МАС-адрес, по которому ведется поиск, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear arp-cache ip-address 10.0.0.8
clear ipv6 neighbors
Команда используется для очистки содержимого IPv6 Neighbor Discovery таблицы.
Синтаксис
clear ipv6 neighbors [<OPTIONS> ]
Параметры
<OPTIONS> – параметры команды для детализации запрашиваемой информации, опциональный параметр:
- vrf <VRF> – имя экземпляра VRF, задается строкой до 31 символа. При указании данного параметра будет очищена IPv6 Neighbor Discovery таблица в указанном VRF;
- <IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
- ipv6-address <IPV6-ADDR> – указывается IPv6-адрес, по которому ведется поиск, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
- mac-address <ADDR> – МАС-адрес, по которому ведется поиск, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear ipv6 neighbors
clear mac address-table
Команда используется для удаления информации об изученных MAC-адресах.
Синтаксис
clear mac address-table [ { dynamic | static } ] [ { interface { <IF> | host-port <U/S/P> } | bridge <BRIDGE-ID> | tunnel { gre | softgre } <ID> | vlan <VLAN-ID> } Параметры
<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
<U/S/P> – юнит (1), слот (0) и номер интерфейса пакетного процессора;
<BRIDGE-ID> – идентификационный номер моста, задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
<ID> – идентификатор туннеля;
<VLAN-ID> – номер vlan. Возможно задание списка vlan через символ "," без пробелов, диапазона vlan через символ "-" и/или комбинации списков и диапазонов.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# clear mac address-table
ip arp
Данной командой добавляется статическая запись в ARP-таблицу.
Использование отрицательной формы команды (no) удаляет статическую запись из ARP-таблицы.
Синтаксис
ip arp [ vrf <VRF> ] <IP> <MAC> { <IF> | <TUN> }no ip arp [ vrf <VRF> ] <IP>
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа;
<IP> – IP-адрес статической записи, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<MAC> – МАС-адрес клиента, которому будет выдан IPv6-адрес, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];
<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# ip arp 192.168.54.22 a8:f9:4b:ab:2e:d0 bridge 3
ip arp inspection
Данной командой включается функция контроля протокола ARP (ARP Inspection), предназначенная для защиты от атак с использованием протокола ARP (например, ARP-spoofing — перехват ARP-трафика).
С включенной функцией контроля ARP при приеме ARP-ответа производится сравнение старого и нового MAC-адресов, и при обнаружении его изменения запускается процедура верификации. Посылается ARP-запрос, требующий всем хозяевам IP-адреса сообщить свои MAC-адреса. Если выполняется атака, настоящая система, имеющая этот IP-адрес, ответит на запрос, и таким образом атака будет распознана. Если же изменение MAC-адреса было связано не с атакой, а со стандартными ситуациями, ответа, содержащего "старый" MAC-адрес, не будет, и по прошествии определенного таймаута система обновит запись в кэше.
Использование отрицательной формы команды (no) выключает функцию контроля.
Синтаксис
[no] ip arp inspection
Необходимый уровень привилегий
10
Командный режим
CONFIG-IF-GI
CONFIG-IF-TE
CONFIG-IF-TWE
CONFIG-IF-FO
CONFIG-IF-HU
CONFIG-IF-OOB
CONFIG-IF-SUB
CONFIG-IF-QINQ
CONFIG-IF-PORT-CHANNEL
CONFIG-LOOPBACK
CONFIG-BRIDGE
Пример
esr(config-if-gi)# ip arp inspection
ip arp reachable-time
Данной командой устанавливается время жизни записи в ARP-таблице.
Использование отрицательной формы команды (no) устанавливает значение параметра arp reachable-time по умолчанию.
Синтаксис
ip arp reachable-time <TIME>
no ip arp reachable-time
Параметры
< TIME > – время жизни динамических MAC-адресов, в миллисекундах. Допустимые значения от 5000 до 100000000 миллисекунд. Реальное время обновления записи варьируется от [0,5;1,5]*< TIME >.
Необходимый уровень привилегий
10
Значение по умолчанию
160000
Командный режим
CONFIG
CONFIG-IF-GI
CONFIG-IF-TE
CONFIG-IF-TWE
CONFIG-IF-FO
CONFIG-IF-HU
CONFIG-IF-OOB
CONFIG-IF-SUB
CONFIG-IF-QINQ
CONFIG-IF-PORT-CHANNEL
CONFIG-LOOPBACK
CONFIG-BRIDGE
Пример
esr(config-if-gi)# ip arp reachable-time 6000
ipv6 nd
Данной командой добавляется статическая запись в ND-таблицу.
Использование отрицательной формы команды (no) удаляет статическую запись из ND-таблицы.
Синтаксис
ipv6 nd [ vrf <VRF> ] <IPV6> <MAC> {<IF> | <TUN>}no ipv6 nd [ vrf <VRF> ] <IP>
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа;
<IPV6-ADDR> – указывается IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
<MAC> – МАС-адрес клиента, которому будет выдан IPv6-адрес, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];
<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# ipv6 a8:f9:4b:ab:2e:d0
ipv6 nd reachable-time
Данной командой устанавливается время, в течение которого удаленный узел IPv6 считается доступным при отсутствии активности узла.
Использование отрицательной формы команды (no) устанавливает значение параметра nd reachable-time по умолчанию.
Синтаксис
ipv6 nd reachable-time <TIME>
no ipv6 nd arp reachable-time
Параметры
<TIME> – время жизни записи об удаленном узле IPv6 в таблице ND протокола, в миллисекундах. Допустимые значения от 5000 до 100000000 миллисекунд. Реальное время обновления записи варьируется от [0,5;1,5]*< TIME >.
Значение по умолчанию
30000
Необходимый уровень привилегий
10
Командный режим
CONFIG
CONFIG-IF-GI
CONFIG-IF-TE
CONFIG-IF-TWE
CONFIG-IF-FO
CONFIG-IF-HU
CONFIG-IF-SUB
CONFIG-IF-QINQ
CONFIG-LOOPBACK
CONFIG-IF-PORT-CHANNEL
CONFIG-BRIDGE
Пример
esr(config-if-gi)# ipv6 nd reachable-time 27000
logging firewall arp-inspection
Команда включает режим логирования атак с использованием протокола ARP, работает только совместно с командой ip arp inspection.
При включенных командах ip arp inspection и logging firewall arp-inspection в случае обнаружения атаки типа ARP-Spoofing в Syslog будет отправлено сообщение с указанием интерфейса существующей и подменяемой arp-записях.
Использование отрицательной формы команды (no) отключает режим логирования.
Синтаксис
[no] logging firewall arp-inspection
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# logging firewall arp-inspection 2024-08-13T12:29:01+07:00 %FIREWALL-W-WARN: arp-inspection a8:f9:4b:ac:4d:3e(192.168.1.10) -> a8:f9:4b:aa:cc:a4(192.168.1.11) denied (gi1/0/1 08:00:27:d2:26:79)
mac address-table aging-time
Командой устанавливается время жизни динамических MAC-адресов в forwarding-таблице.
Использование отрицательной формы команды (no) устанавливает значение «aging time» по умолчанию.
Синтаксис
mac address-table aging-time <AGING TIME>
[no] mac address-table aging time
Параметры
<AGING TIME> – время жизни динамических MAC-адресов, в секундах. Допустимые значения:
- ESR-1000/1200/1500/1511/1700 – от 10 до 630 секунд. При значении 0 таймер выключен.
- ESR-10/12V/12VF/15/15R/15VF/20/21/30/31/100/200 – от 20 до 630 секунд.
Значение по умолчанию
300
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# mac address-table aging-time 30
mac address-table save-secure-freq
В текущей версии данная команда поддерживается только на маршрутизаторах ESR-1000.
Данной командой устанавливается частота сохранения списка статических (secure) MAC-адресов.
Использование отрицательной формы команды (no) устанавливает значение «mac address-table save-secure-freq» по умолчанию.
Синтаксис
mac address-table save-secure-freq <SAVE-SECURE-FREQ>
[no] mac address-table save-secure-freq
Параметры
<SAVE-SECURE-FREQ> – частота сохранения списка статических (secure) MAC-адресов, принимает значение [600..86400] секунд.
Значение по умолчанию
1200 секунд
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
esr(config)# mac address-table save-secure-freq 650
port-security max
В текущей версии ПО данная функция поддерживается только на маршрутизаторе ESR-1000.
Данной командой устанавливается максимальное количество MAC-адресов, разрешенных для запоминания на порту.
Использование отрицательной формы команды (no) отключает «port-security».
Синтаксис
port-security max <MAX>
no port-security max
Параметры
<MAX> – максимальное количество MAC-адресов, которое будет запоминаться портом, принимает значения [1..1024].
Необходимый уровень привилегий
15
Командный режим
CONFIG-IF-GI
CONFIG-TE
Пример
esr(config-if-gi)# port-security max 1
port-security mode
В текущей версии ПО данная функция поддерживается только на маршрутизаторе ESR-1000.
Данная команда позволяет настроить режим «port-security».
Использование отрицательной формы команды (no) отключает режим безопасности.
Синтаксис
port-security mode [<OPTIONS>]
no port-security mode
Параметры
<OPTIONS> – параметры команды для выбора режима port-security:
limited – при включении данного режима:
- с порта удаляются все выученные MAC-адреса;
- количество адресов, которое снова может запомнить порт, ограничивается текущей конфигурацией;
- MAC-адреса не сохраняются между аппаратными перезагрузками;
- время хранения MAC-адресов зависит от времени жизни динамических MAC-адресов в forwarding-таблице.
lock – при включении данного режима:
- на порту сохраняются все выученные MAC-адреса;
- порт не запоминает новые адреса;
- MAC-адреса сохраняются между аппаратными перезагрузками;
- время хранения MAC-адресов зависит от времени жизни динамических MAC-адресов в forwarding-таблице.
secure-delete-on-reset – при включении данного режима:
- с порта удаляются все выученные MAC-адреса;
- количество адресов, которое снова может запомнить порт, ограничивается текущей конфигурацией;
- MAC-адреса не сохраняются между аппаратными перезагрузками;
- время хранения MAC-адресов не зависит от времени жизни динамических MAC-адресов в forwarding-таблице.
secure-permanent – при включении данного режима:
- с порта удаляются все выученные MAC-адреса;
- количество адресов, которое снова может запомнить порт, ограничивается текущей конфигурацией;
- MAC-адреса сохраняются между аппаратными перезагрузками;
- время хранения MAC-адресов не зависит от времени жизни динамических MAC-адресов в forwarding-таблице.
Необходимый уровень привилегий
15
Командный режим
CONFIG-IF-GI
CONFIG-TE
Пример
esr(config-if-gi)# port-security mode secure-delete-on-reset esr(config-if-gi)# port-security mode secure-permanent
port-security unknown-sa-action
В текущей версии ПО данная функция поддерживается только на маршрутизаторе ESR-1000.
Командой устанавливается запрет на передачу пакетов с неизвестными MAC-адресами.
Использование отрицательной формы команды (no) разрешает передачу пакетов с неизвестными MAC-адресами.
Синтаксис
port-security unknown-sa-action discard
no port-security unknown-sa-action
Необходимый уровень привилегий
15
Командный режим
CONFIG-IF-GI
CONFIG-TE
Пример
esr(config-if-gi)# port-security unknown-sa-action discard
show arp
Команда используется для просмотра ARP-таблицы.
Синтаксис
show arp [<OPTIONS>]
Параметры
<options> – параметры команды для детализации запрашиваемой информации, опциональный параметр:
- vrf <VRF> – имя экземпляра VRF, задается строкой до 31 символа. При указании данного параметра будет отображена ARP-таблица в указанном VRF;
- <IF> – наименование системного интерфейса или списка интерфейсов, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора. Отображается только информация по указанным интерфейсам;
- <TUN> – наименования туннелей, задаются в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
- mac-address <MAC> – МАС-адрес, по которому ведется поиск, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];
- ip-address <ADDR> – IP-адрес, по которому ведется поиск, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show arp Interface IP address MAC address State Age(min) --------------- --------------- ----------------- --------------- ---------- bridge 1 192.168.1.1 a8:f9:4b:aa:00:40 -- -- gi1/0/5 10.255.100.1 d8:50:e6:d2:f0:46 reachable 2 gi1/0/5 10.255.100.5 a8:f9:4b:aa:00:45 -- --
show arp configuration
Команда используется для просмотра значений времени жизни записей в ARP-таблице.
Синтаксис
show arp configuration <IF>
Параметры
<IF> – наименования системных интерфейсов, задаются в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# sh arp configuration gigabitethernet 1/0/1-5 Globally configured ARP reachable time is 6000 msec Interface ARP reachable time, msec --------------- ------------------------- gi1/0/1 6000 gi1/0/2 6000 gi1/0/3 6000 gi1/0/4 6000 gi1/0/4 6000
show ipv6 neighbors
Команда используется для просмотра IPv6 Neighbor Discovery таблицы.
Синтаксис
show ipv6 neighbors [<OPTIONS>]
Параметры
<OPTIONS> – параметры команды для детализации запрашиваемой информации, опциональный параметр:
- vrf <VRF> – имя экземпляра VRF, задается строкой до 31 символа. При указании данного параметра будет отображена IPv6 Neighbor Discovery таблица в указанном VRF;
- <IF> – наименование системного интерфейса или списка интерфейсов, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора. Отображается только информация по указанным интерфейсам;
- mac-address <MAC> – указывается МАС-адрес, по которому ведется поиск, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];
- ipv6-address <IPV6-ADDR> – указывается IPv6-адрес, по которому ведется поиск, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ipv6 neighbors Interface IPv6 address MAC address State Age(min) --------------- ------------------------- ----------------- --------------- ---------- gi1/0/5 fc00::1 d8:50:e6:d2:f0:46 reachable 1 gi1/0/5 fc00::2 a8:f9:4b:aa:00:45 -- -- bridge 1 fe80::aaf9:4bff:feaa:40 a8:f9:4b:aa:00:40 -- -- bridge 2 fe80::aaf9:4bff:feaa:40 a8:f9:4b:aa:00:40 -- -- gi1/0/5 fe80::aaf9:4bff:feaa:45 a8:f9:4b:aa:00:45 -- -- gi1/0/5 ff02::16 33:33:00:00:00:16 norarp -- gi1/0/5 ff02::fb 33:33:00:00:00:fb norarp -- gi1/0/5 ff02::1:ff00:1 33:33:ff:00:00:01 norarp -- gi1/0/5 ff02::1:ff00:2 33:33:ff:00:00:02 norarp --
show ipv6 neighbors configuration
Команда используется для просмотра значений времени жизни записи об удаленном узле в таблице ND протокола.
Синтаксис
show ipv6 neighbors configuration <IF>
Параметры
<IF> – наименования системных интерфейсов, задаются в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# sh ipv6 neighbors configuration tengigabitethernet 1/0/1-2 Globally configured NDP reachable time is 30000 msec Interface ND reachable time, msec --------------- ------------------------- te1/0/1 30000 te1/0/2 30000
show mac address-table
Команда используется для просмотра информации, находящейся в таблице MAC-адресов.
Синтаксис
show mac address-table [ { count { bridge <BRIDGE-ID> | l2vpn p2p <P2P-NAME> } | { static | dynamic} { bridge <BRIDGE-ID> | l2vpn p2p <P2P-NAME> | interface { <IF> | host-port <U/S/P> } | tunnel { gre | softgre } <ID> | vlan <VLAN-ID> | mac <MAC-ADDR> <MAC-MASK> } } ]Параметры
- count – просмотр количества записей в таблице МАС-адресов. Список MAC-адресов не отображается;
- static – просмотр записей в таблице МАС-адресов внесенных из конфигурации маршрутизатора;
- dynamic – просмотр записей в таблице МАС-адресов внесенных в процессе изучения MAС-адресов;
<BRIDGE-ID> – идентификационный номер моста, задается в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
- <P2P-NAME> – имя существующего p2p-сервиса, задается строкой до 31 символа;
- <IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
- <HOST-U/S/P> – интерфейс пакетного процессора. Указывается в виде юнит (1), слот (0) и номер интерфейса пакетного процессора;
- <ID> – идентификатор туннеля, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора;
- <VLAN-ID> – номер vlan. Возможно задание списка vlan через символ "," без пробелов, диапазона vlan через символ "-" и/или комбинации списков и диапазонов;
<MAC-ADDR> – МАС-адрес, по которому ведется поиск, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];
[MAC-MASK] – маска МАС-адреса, опциональный параметр, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске. Значение маски по умолчанию FF:FF:FF:FF:FF:FF.
Необходимый уровень привилегий
10
Командный режим
ROOT
Пример
esr# show mac address-table VID MAC Address Interface Type ----- ------------------ ------------------------------ ------- 102 a8:f9:4b:aa:44:bb host-port 1/0/2 Dynamic 101 a8:f9:4b:aa:44:bb host-port 1/0/2 Dynamic 100 a8:f9:4b:aa:44:bb host-port 1/0/2 Dynamic 3 valid mac entries