nfpp(锐捷)(55页).doc

《nfpp(锐捷)(55页).doc》由会员分享，可在线阅读，更多相关《nfpp(锐捷)(55页).doc（54页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、-nfpp(锐捷)-第 54 页NFPP配置 概述网络基础保护策略 (Network Foundation Protection Policy),简称NFPP。n NFPP的作用n NFPP的原理 NFPP的作用在网络环境中经常发现一些恶意的攻击，这些攻击会给交换机带来过重的负担，引起交换机CPU利用率过高，导致交换机无法正常运行。这些攻击具体表现在：n 拒绝服务攻击可能导致到大量消耗交换机内存、表项或者其它资源,使系统无法继续服务。n 大量的报文流砸向CPU，占用了整个送CPU的报文的带宽，导致正常的协议流和管理流无法被CPU处理,带来协议震荡或者无法管理，从而导致数据面的转发受影响，并引起

2、整个网络无法正常运行。n 大量的报文砸向CPU会消耗大量的CPU资源，使CPU一直处于高负载状态，从而影响管理员对设备进行管理或者设备自身无法运行。NFPP可以有效地防止系统受这些攻击的影响。在受攻击情况下，保护系统各种服务的正常运行，以及保持较低的CPU负载，从而保障了整个网络的稳定运行。 NFPP的原理如图1所描述的，NFPP系统处理数据流时，需要经过硬件过滤、CPU Protect Policy（简称CPP）、报文攻击检测/限速、Protocol/Manage/route流分类和集中限速等几个流程，并最终交给各个应用模块处理。首先，需要进行CPP的分类和限速，这样CPU处理的数据流不仅根

3、据CPP的服务分类原则进行了分类，而且这些服务报文还经过了硬件和软件的限速，从而避免了不同的服务报文之间相互抢占带宽，有效地解决了某一种服务报文的大流量攻击情况下，其他服务报文无法及时得到处理的问题。例如设备中同时存在OSPF服务报文和BPDU服务报文时，当其中某一个服务报文需要消耗大量CPU带宽的情况下，可以保证另一个服务报文的接收不受影响。 注意为了最大限度地利用NFPP中抗攻击功能，请根据具体的应用环境修改CPU Protect Policy中各种服务的限速值，也可以使用系统提供的推荐配置，这些推荐值可以通过命令show cpu-protect summary查看。图 1. NFPP系统

4、的数据流向图然后，针对报文所属的服务类型，对具体的报文服务类型实施不同的监控方式和策略，NFPP提供各种服务监控水线和策略的配置，管理员可以根据具体的网络环境灵活配置某一个服务报文的告警水线和限速水线，这些水线的设置可以基于端口，也可以基于网络中的主机，这里的告警水线是指当端口或者某台主机的某种服务报文接收速率达到需要向管理员发出警告或者进行隔离的阈值；限速水线是指当端口或者某台主机的某种服务报文接收速率达到需要进行限速的阈值。告警或者隔离动作是在检测到攻击后交由抗攻击策略执行的。如果是隔离，抗攻击策略会利用硬件的过滤器实现，这样保证该攻击报文不会再被送到CPU处理，从而保证了设备正常运行。

5、注意n NFPP在检测到某种服务的某个具体报文的攻击后，可以向管理员发出告警信息，但是为了防止告警信息频繁出现，如果攻击流持续存在，NFPP在发出告警后的连续60秒时间内不再重复告警。n 防止频繁打印日志消耗CPU资源，NFPP把攻击检测的日志信息写到缓冲区，然后以指定速率从缓冲区取出来打印。NFPP对TRAP没有限速。监控后的服务报文再经过Protocol/Manage/Route流分类，这里的分类是指将CPP中定义的各种服务按照管理类(Manage) 、转发类(Route)和协议类(Protocol)的原则进行的分类（具体分类如表1所列），每一类都拥有独立的带宽，不同类别之间的带宽不能共享

6、，超过带宽阈值的流将被丢弃。这样将不同的服务区分类别后，可以保证属于某类的各种服务报文在设备上得到优先处理。NFPP允许管理员根据实际的网络环境灵活分配三类报文的带宽，从而保障protocol类和manage类能得到优先处理，protocol类的优先处理保证了协议的正确运行，而manage类的优先处理保证了管理员能够实施正常管理，从而保障了设备的各种重要功能的正常运行，提高设备的抗攻击能力。表 3 三种分类原则三种属性分类CPU Protect Policy中定义服务类型(服务类型具体含义参见CPU Protect Policy配置指南)Protocoltp-guard，dot1x，rldp，

7、rerp，slow-packet，bpdu，isis dhcps，gvrp，ripng，dvmrp，igmp，mpls，ospf, pim，pimv6，rip，vrrp，ospf3，dhcp-relay-s，dhcp-relay-c，option82，tunnel-bpdu，tunnel-gvrpRouteunknown-ipmc，unknown-ipmcv6，ttl1，ttl0, udp-helper，ip4-packet-other，ip6-packet-other，non-ip-packet-other，arpManageip4-packet-local，ip6-packet-local

8、经过以上的分类限速后，再将所有的分类流集中一个队列中，这样当某一类服务处理效率较低时，队列上就会堆积该服务对应的报文，并可能最终耗尽该队列资源，NFPP允许管理员配置该队列中三类所占百分比，当某一类占用的队列长度超过总队列长度和该类所占百分比的乘积时，报文就会被丢弃。这样就有效地解决了某一类独占队列资源的问题。 配置NFPP我们将从以下几个方面描述如何配置NFPP：n NFPP的默认值n 配置每类报文允许的最大带宽n 配置每类报文占用队列的最大百分比n 各种协议抗攻击 NFPP的默认值管理类(Manage)的缺省流量带宽3000PPS，占用缓冲区百分比为30；转发类(Route) 的缺省流量带

9、宽3000PPS，占用缓冲区百分比为25；协议类(Protocol) 的缺省流量带宽3000PPS，占用缓冲区百分比为45。 配置每类报文允许的最大带宽在配置模式下，按如下步骤设置每类报文的流量带宽：命令作用Step 1Ruijie#configure terminal 进入全局配置模式。Step 2Ruijie(config)#cpu-protect sub-interface manage | protocol|route pps pps_vaule设置报文对应的队列的限速水线，pps为整数。有效值范围是1-8192Step 3Ruijie(config)#end退回到特权模式。Step

10、4Ruijie#show running-config查看全局配置Step 5Ruijie#copy running-config startup-config保存配置。 配置每类报文占用队列的最大百分比在配置模式下，按如下步骤设置每种类型报文占用队列的百分比：命令作用Step 1Ruijie#configure terminal 进入全局配置模式。Step 2Ruijie(config)#cpu-protect sub-interface manage | protocol | route percent percent_vaule设置报文对应的类型所占的队列的百分比，percent _va

11、ule为整数。有效值范围是1-100Step 3Ruijie(config)#end退回到特权模式。Step 4Ruijie#show running-config查看全局配置Step 5Ruijie#copy running-config startup-config保存配置。 注意配置某类型所占百分比的有效值区间，必须小于等于百分之百减去其它两种类型百分比之和的差值。 各种协议抗攻击n ARP抗攻击n IP防扫描n ICMP抗攻击n DHCP抗攻击n DHCPv6抗攻击n ND抗攻击n NFPP日志信息 ARP抗攻击ARP抗攻击简介在局域网中，通过ARP协议把IP地址转换为MAC地址。AR

12、P协议对网络安全具有重要的意义。通过网络向网关发送大量非法的ARP报文，造成网关不能为正常主机提供服务，这就是基于ARP的拒绝服务攻击。对于这种攻击，防范措施是一方面对ARP报文限速，另一方面检测出攻击源，对攻击源头采取隔离措施。ARP攻击识别分为基于主机和基于物理端口两个类别。基于主机又细分为基于源IP地址/VLAN ID/物理端口和基于链路层源MAC地址/ VLAN ID /物理端口。每种攻击识别都有限速水线和告警水线。当ARP报文速率超过限速水线时，超限报文将被丢弃。当ARP报文速率超过告警水线时，将打印警告信息，发送TRAP，基于主机的攻击识别还会对攻击源头采取隔离措施。ARP抗攻击还

13、能检测出ARP扫描。ARP扫描是指链路层源MAC地址固定而源IP地址变化，或者链路层源MAC地址和源IP地址固定而目标IP地址不断变化。由于存在误判的可能，对检测出有ARP扫描嫌疑的主机不进行隔离，只是提供给管理员参考。需要说明的是，ARP抗攻击只是针对攻击交换机本身的ARP拒绝服务服务攻击，而不是针对ARP欺骗或者是解决网络中的ARP攻击问题。ARP抗攻击的配置命令包括：n 打开ARP抗攻击功能n 设置对攻击者的隔离时间n 设置对攻击者的监控时间n 设置受监控主机的最大数目n 基于主机限速和识别攻击n 基于端口限速和识别攻击n 清除受监控n 清除ARP扫描表n 查看ARP抗攻击的相关信息 打

14、开ARP抗攻击功能您可以在nfpp配置模式或者接口配置模式下打开ARP抗攻击功能，缺省情况下是打开的。命令作用Step 1Ruijie#configure terminal 进入全局配置模式。Step 2Ruijie(config)#nfpp进入NFPP配置模式。Step 3Ruijie(config-nfpp)#arp-guard enable全局打开ARP抗攻击功能，缺省情况下打开。Step 4Ruijie(config-nfpp)#end退回到特权模式。Step 5Ruijie#configure terminal 进入全局配置模式。Step 6Ruijie(config)#interf

15、ace interface-name进入接口配置模式。Step 7Ruijie(config-if)#nfpp arp-guard enable在端口上打开ARP抗攻击功能，缺省情况是端口没有配置局部开关，采用全局开关。Step 8Ruijie(config-if)#end退回到特权模式。Step 9Ruijie#show nfpp arp-guard summary核对配置参数Step 10Ruijie#copy running-config startup-config保存配置。 注意当关闭ARP抗攻击功能时，系统将自动清除受监控的主机和扫描主机。 设置对攻击者的隔离时间对攻击者的隔离时间

16、分为全局隔离时间和基于端口的隔离时间（即局部隔离时间）。对于某个端口，如果没有配置基于端口的隔离时间，那么采用全局隔离时间；否则，采用基于端口的隔离时间。命令作用Step 1Ruijie#configure terminal进入全局配置模式。Step 2Ruijie(config)#nfpp进入NFPP配置模式Step 3Ruijie(config-nfpp)#arp-guard isolate-period seconds | permanent配置对攻击者的全局隔离时间。取值范围为0秒，30秒到86400秒（即一天），缺省值为0秒，表示不隔离；permanent表示永久隔离。Step 4R

17、uijie(config-nfpp)#end返回特权模式Step 5Ruijie#configure terminal进入全局配置模式。Step 6Ruijie(config)#interface interface-name进入接口配置模式。Step 7Ruijie(config-if)#nfpp arp-guard isolate-period seconds | permanent在端口上配置对攻击者的隔离时间。取值范围为0秒，180秒到86400秒（即一天），缺省情况是没有配置局部隔离时间，采用全局隔离时间。0秒表示不隔离；permanent表示永久隔离。Step 8Ruijie(co

18、nfig-if)#end退回到特权模式。Step 9Ruijie#show nfpp arp-guard summary核对配置参数Step10Ruijie#copy running-config startup-config保存配置。如果要把全局隔离时间恢复成缺省值，在nfpp配置模式执行命令“no arp-guard isolate-period”。如果一个端口原来配置了局部隔离时间，现在想采用全局隔离时间，那么在端口配置模式下执行命令“no nfpp arp-guard isolate-period”把局部隔离时间配置删除。 设置对攻击者的监控时间如果隔离时间为0（即不隔离），防攻击模块

19、将自动根据配置的监控时间对攻击者进行软件监控，提供当前系统中存在哪些攻击者的信息。当把隔离时间配置成非零值后，防攻击模块将自动对软件监控的主机采取硬件隔离。命令作用Step 1Ruijie#configure terminal进入全局配置模式。Step 2Ruijie(config)#nfpp进入NFPP配置模式Step 3Ruijie(config-nfpp)#arp-guard monitor-period seconds配置对攻击者的监控时间。取值范围为180秒到86400秒（即一天），缺省值为600秒。Step 4Ruijie(config-nfpp)#end退回到特权模式。Step

20、5Ruijie#show nfpp arp-guard summary核对配置参数Step 6Ruijie#copy running-config startup-config保存配置。如果要把监控时间恢复成缺省值，在nfpp配置模式执行命令“no arp-guard monitor-period”。 注意n 检测出攻击者的时候，如果隔离时间为0，将对攻击者进行软件监控，超时为监控时间。在软件监控过程中，当隔离时间被配置为非零值时，将自动对软件监控的攻击者采取硬件隔离，并且把超时设置为隔离时间。监控时间在隔离时间为0的情况下才有意义。n 如果把隔离时间从非零值改成零，将直接把相关端口的攻击者删

21、除，而不是进行软件监控。 设置受监控主机的最大数目命令作用Step 1Ruijie#configure terminal 进入全局配置模式。Step 2Ruijie(config)#nfpp进入NFPP配置模式。Step 3Ruijie(config-nfpp)#arp-guard monitored-host-limit number配置受监控主机的最大数目。取值范围为1到4294967295，缺省情况下受监控主机的最大数目为1000个。Step 4Ruijie(config-nfpp)#end退回到特权模式。Step 5Ruijie#show nfpp arp-guard summary核

22、对配置参数Step 6Ruijie#copy running-config startup-config保存配置。如果要把配置的受监控主机数恢复成缺省值，在nfpp配置模式执行命令“no arp-guard monitored-host-limit”。如果受监控主机数已经达到默认的1000个，此时管理员把受监控主机的最大数目设置成小于1000，不会删除已有的受监控主机，而是打印信息“%ERROR： The value that you configured is smaller than current monitored hosts 1000（配置的受监控主机数） ，please clear

23、 a part of monitored hosts.”来提醒管理员配置没有生效，需要删除部分已经被监控的主机。 注意当受监控主机表满时，打印日志“% NFPP_ARP_GUARD-4-SESSION_LIMIT: Attempt to exceed limit of 1000（配置的受监控主机数） monitored hosts.”提醒管理员。 基于主机限速和识别攻击识别主机有源IP/VLAN ID/端口和链路层源MAC/VLAN ID/端口两种识别方法。每台主机都有限速水线和攻击阈值（也称为告警水线），限速水线必须低于攻击阈值。当单台主机的ARP报文速度超过限速水线时，将丢弃这些超出限速水

24、线的报文；如果单台主机的ARP报文速度超过攻击阈值，将采取隔离措施，记录到日志中，发送TRAP。支持识别ARP扫描，单位时间是10秒，缺省值是15，如果10秒钟收到15个及以上ARP报文，链路层源MAC地址固定而源IP地址变化，或者链路层源MAC地址和源IP地址固定而目标IP地址不断变化，就认为有扫描嫌疑，将记录到日志中，发送TRAP。当检测到攻击行为时，打印的日志信息格式如下：%NFPP_ARP_GUARD-4-DOS_DETECTED: Host was detected.(2009-07-01 13:00:00)日志内容最后面括号中的时间是检测到攻击的时间。发送的TRAP报文的数据中包含

25、如下描述信息：ARP DoS attack from host was detected.如果管理员把隔离时间配置成非零值，当硬件隔离成功时，打印的日志信息格式如下所示：%NFPP_ARP_GUARD-4-ISOLATED:Host was isolated. (2009-07-01 13:00:00)发送的TRAP报文的数据包含如下描述信息：Host was isolated.当硬件隔离失败（原因通常是内存不足或者硬件资源不足）时，打印的日志信息格式如下所示：%NFPP_ARP_GUARD-4-ISOLATE_FAILED: Failed to isolate host . (2009-07

26、-01 13:00:00)发送的TRAP报文的数据包含如下描述信息：Failed to isolate host.当检测到ARP扫描时，打印的日志信息格式如下所示：%NFPP_ARP_GUARD-4-SCAN: Host was detected. (2009-07-01 13:00:00)发送的TRAP报文的数据包含如下描述信息：ARP scan from host was detected.ARP扫描表只保存最新的256条记录。当ARP扫描表满的时候，会打印日志提醒管理员：%NFPP_ARP_GUARD-4-SCAN_TABLE_FULL: ARP scan table is full.当

27、管理员配置的限速水线大于攻击阈值时，打印命令提示信息“ERROR：rate limit is higher than attack threshold 500pps(配置的攻击阈值).”提醒管理员。当管理员配置的攻击阈值小于限速水线时，打印命令提示信息“ERROR：attack threshold is smaller than rate limit 300pps(配置的限速水线).”提醒管理员。 注意n 对攻击者进行隔离，会设置一条策略到硬件中，但是硬件资源有限，当硬件资源耗尽的时候，会打印日志提醒管理员。n 当无法为检测到的攻击者分配内存时，打印日志“%NFPP_ARP_GUARD-4-N

28、O_MEMORY: Failed to alloc memory.”提醒管理员。n ARP扫描表只记录最新的256条记录。当ARP扫描表满了以后，最新记录将覆盖最旧记录。管理员可以在nfpp配置模式和接口配置模式下进行配置。命令作用Step 1Ruijie#configure terminal 进入全局配置模式。Step 2Ruijie(config)#nfpp进入NFPP配置模式Step 3Ruijie(config-nfpp)#arp-guard rate-limit per-src-ip | per-src-mac pps全局对每台主机的ARP报文速度进行限制。取值范围是1到9999，缺

29、省值为4个。“per-src-ip”是基于源IP/VID/端口识别主机，“per-src-mac”是基于链路层源MAC/VID/端口识别主机。Step 4Ruijie(config-nfpp)#arp-guard attack-threshold per-src-ip | per-src-mac pps全局配置攻击阈值。当某台主机的ARP报文超过攻击阈值时，就认为是在进行攻击，立即对这台主机采取隔离措施，记录到日志，发送TRAP。取值范围是1到9999，缺省值为8个。“per-src-ip”是基于源IP/VID/端口识别主机，“per-src-mac”是基于链路层源MAC/VID/端口识别主机

30、。Step 5Ruijie(config-nfpp)#arp-guard scan-threshold pkt-cnt全局配置ARP扫描阈值，取值范围是1到9999，缺省值为15个。单位值是10秒。如果10秒钟收到15个以上ARP报文，链路层源MAC地址固定而源IP地址变化，或者链路层源MAC地址和源IP地址固定而目标IP地址不断变化，就认为有扫描嫌疑。说明：ARP扫描的特征是链路层源MAC地址固定而源IP地址变化，或者链路层源MAC地址和源IP地址固定而目标IP地址不断变化。Step 6Ruijie(config-nfpp)#end退回到特权模式。Step 7Ruijie#configure

31、 terminal 进入全局配置模式。Step 8Ruijie(config)#interface interface-name进入接口配置模式。Step 9Ruijie(config-if)#nfpp arp-guard policy per-src-ip | per-src-mac rate-limit-pps attack-threshold-pps配置局部的限速水线和攻击水线，只在该配置所属端口上生效。rate-limit-pps是限速水线，取值范围是1到9999，缺省是没配置基于端口的速率，采用全局的速率。attack-threshold-pps是攻击水线，取值范围是1到9999。缺

32、省情况是端口没有自己的限速水线和攻击水线，采用全局的限速水线和限速水线。“per-src-ip”是基于源IP/VID/端口识别主机，“per-src-mac”是基于链路层源MAC/VID/端口识别主机。Step 10Ruijie(config-if)#nfpp arp-guard scan-threshold pkt-cnt在每个端口上配置ARP扫描阈值，取值范围是1到9999，缺省是没配置基于端口的ARP扫描阈值，采用全局ARP扫描阈值。单位值是10秒。Step 11Ruijie(config-if)#end退回到特权模式。Step 12Ruijie#show nfpp arp-guard

33、summary核对配置参数Step 13Ruijie#copy running-config startup-config保存配置。 基于端口限速和识别攻击每个端口都有限速水线和攻击阈值，限速水线必须低于攻击阈值。当某个端口的ARP报文速度超过限速水线时，就丢弃ARP报文。如果某个端口的ARP报文速度超过攻击阈值，将记录到日志中，发送TRAP。当端口遭受ARP拒绝服务攻击时，打印的警告信息格式如下：%NFPP_ARP_GUARD-4-PORT_ATTACKED: ARP DoS attack was detected on port Gi4/1. (2009-07-01 13:00:00)发送

34、的TRAP报文的数据包含如下描述信息：ARP DoS attack was detected on port Gi4/1.管理员可以在nfpp配置模式和接口配置模式下进行配置。命令作用Step 1Ruijie#configure terminal 进入全局配置模式。Step 2Ruijie(config)#nfpp进入NFPP配置模式Step 3Ruijie(config-nfpp)#arp-guard rate-limit per-port pps对每个端口的ARP报文速度进行限制。取值范围是1到9999，缺省值为100个。Step 4Ruijie(config-nfpp)#arp-guar

35、d attack-threshold per-port pps配置攻击阈值，当某个端口的ARP报文超过阈值时，记录到日志，发送TRAP。取值范围是1到9999，缺省值为200个。Step 5Ruijie(config-nfpp)#end退回到特权模式。Step 6Ruijie#configure terminal 进入全局配置模式。Step 7Ruijie(config)#interface interface-name进入接口配置模式。Step 8Ruijie(config-if)#nfpp arp-guard policy per-port rate-limit-pps attack-th

36、reshold-pps配置局部的限速水线和攻击水线，只在该配置所属端口上生效。rate-limit-pps是限速水线，取值范围是1到9999。attack-threshold-pps是攻击水线，取值范围是1到9999。缺省情况是端口没有自己的限速水线和攻击水线，采用全局的限速水线和攻击水线。Step 9Ruijie(config-if)#end退回到特权模式。Step 10Ruijie#show nfpp arp-guard summary核对配置参数Step 11Ruijie#copy running-config startup-config保存配置。 注意n 基于MAC地址限速的优先级高

37、于基于IP地址限速，而基于IP地址限速又高于基于端口限速。n 为了使ARP抗攻击得到最佳的防攻击效果，建议管理员配置基于主机的限速水线和告警水线时遵循以下原则：基于IP地址的限速水线 基于IP地址的告警水线 基于源MAC地址的限速水线 基于源MAC地址的告警水线。n 配置端口限速水线时，可以参考这个端口上的主机数量，比如某个端口上有500台主机，那么可以把端口的限速水线设置成500。 清除受监控主机已被隔离的主机在一段时间后自动恢复，如果管理员要手动清除该主机，可以在特权模式下用以下命令清除。命令作用Step 1Ruijie#clear nfpp arp-guard hosts vlan vi

38、d interface interface-id ip-address | mac-address不带参数表示清除所有已被检测到攻击的主机，带参数表示清除符合条件的主机。 清除ARP扫描表如果管理员要手动清除ARP扫描表，可以在特权模式下用以下命令清除。命令作用Step 1Ruijie#clear nfpp arp-guard scan清空ARP扫描表 查看ARP抗攻击的相关信息n 查看ARP抗攻击的配置参数n 查看受监控主机的信息n 查看ARP扫描表查看ARP抗攻击的配置参数使用show nfpp arp-guard summary查看ARP抗攻击的配置参数：命令作用Step 1Ruijie

39、#show nfpp arp-guard summary查看ARP抗攻击配置参数下面是一个例子：Ruijie# show nfpp arp-guard summary（Format of column Rate-limit and Attack-threshold is per-src-ip/per-src-mac/per-port.）Interface Status Isolate-period Rate-limit Attack-threshold Scan-thresholdGlobal Enable 300 4/5/60 8/10/100 15G 0/1 Enable 180 5/-/

40、- 8/-/- -G 0/2 Disable 200 4/5/60 8/10/100 20Maximum count of monitored hosts: 1000Monitor period：300s& 说明n 字段Interface为Global表示全局配置。n 字段Status表示是否打开抗攻击功能。n 字段Rate-limit的格式为（对源IP地址的限速水线/对源MAC地址的限速水线/端口的限速水线值），字段Attack-threshold的显示格式类似。“-”表示没有配置。举例说明：n “4/5/60”表示对源IP地址的限速水线是4，对源MAC地址的限速水线是5，对每个端口的限速水

41、线是60。n G 0/1这一行的字段Rate-limit为“5/-/-”，表示端口G 0/1对源IP地址的限速水线是5，没有配置对源MAC地址的限速水线和端口的限速水线。查看受监控主机的信息命令作用Step 1Ruijie#show nfpp arp-guard hosts statistics查看受监控主机表的统计信息，包括主机总数、隔离成功的主机数量和隔离失败的主机数量。Step 2Ruijie#show nfpp arp-guard hosts vlan vid interface interface-id ip-address |mac-address查看已被检测到攻击的主机。不带参数

42、表示显示所有已被检测到攻击的主机，带参数则只显示符合条件的主机。Ruijie#show nfpp arp-guard hosts statistics success fail total100 20 120意思是：“总共有120台主机被隔离，其中100台主机隔离成功，20台主机隔离失败”。Ruijie# show nfpp arp-guard hostsIf column 1 shows *, it means hardware do not isolate user .VLAN interface IP address MAC address remain-time(s)1 Gi0/1 1

43、.1.1.1 - 1102 Gi0/2 1.1.2.1 - 61*3 Gi0/3 - 0000.0000.1111 1104 Gi0/4 - 0000.0000.2222 61Total：4 hostsRuijie# show nfpp arp-guard hosts vlan 1 interface G If column 1 shows *, it means hardware do not isolate user.VLAN interface IP address MAC address remain-time(s)1 Gi0/1 1.1.1.1 - 110Total：1 host&

44、说明上述几个字段分别表示VLAN号、端口、IP地址、MAC地址，以及隔离剩余时间。如果某一行的第一列显示“*”， 表示这台主机目前只是软件监控或者硬件因为资源不足而隔离失败。如果“MAC address”栏显示“-”，表示这台主机是以源IP地址标识的；如果“IP address”栏显示“-”，表示这台主机是以源MAC地址标识的。查看ARP扫描表命令作用Step 1Ruijie#show nfpp arp-guard scan statistic查看ARP扫描表的记录条数Step 2Ruijie#show nfpp arp-guard scan vlan vid interface interface-id ip-address mac-address查看ARP扫描表的记录不带参数表示查看整张ARP扫描表，带参数表示只查看符合条件的表项。Ruijie# show nfpp arp-guard scan statistics ARP scan table has 4 record(s).意思是：“ARP扫描表总共有4条记录”。Ruijie# show nfpp arp-guard scanVLAN interface IP address MAC address timestamp1 Gi0/1 N/A 0000.0000.0001 2008-01-23 16:23:102