华为交换机配置本机防攻击示例
如 图所示,位于不同网段的用户通过Switch接入Internet。由于接入了大量用户,因此Switch的CPU会处理大量收到的协议报文。如果存在恶意用户发送大量攻击报文,会导致CPU使用率过高,影响正常业务。
管理员发现Switch收到了大量的ARP Request报文,因处理这些ARP Request报文导致CPU使用率大幅度提高,希望能够降低CPU使用率,防止影响正常业务。
配置思路:配置ARP Request报文的CPCAR值,将ARP Request报文上送CPU处理的速率限制在更小的范围内,减少CPU处理ARP Request报文对正常业务的影响。
操作步骤:
1、配置防攻击策略,上送CPU报文的限速规则
配置ARP Request报文的CPCAR值为120kbit/s。 [Switch] cpu-defend policy policy1 [Switch-cpu-defend-policy-policy1] car packet-type arp-request cir 120
2、全局应用防攻击策略[Switch] cpu-defend-policy policy1 global
3、查看配置的CPCAR的信息 display cpu-defend configuration packet-type arp-request slot 0 Car configurations on slot 0. ---------------------------------------------------------------------- Packet Name Status Cir(Kbps) Cbs(Byte) Queue Port-Type ---------------------------------------------------------------------- arp-request Enabled 120 22560 3 UNI