24-协议报文限速配置
本章节下载: 24-协议报文限速配置 (124.31 KB)
目 录
协议报文限速可防止某类协议报文过多,占用设备过多的服务资源,导致其他合理的服务请求得不到及时处理。协议报文限速分两种:一是协议总带宽限速;二是协议流带宽限速。
· 协议总带宽限速:对某种协议设定一个最大带宽,当超出该带宽时,丢弃报文。每种协议有自己独立的总带宽,而不是所有协议报文共用一个总带宽。
· 协议流带宽限速:来自同一用户的同类协议报文被认为是一条流。为每条流设置一个限速值,可以保证设备对所有用户的同类请求公平处理。同时流带宽限速功能会记录用户的某类报文上送设备的情况,为网络管理者判断该用户是否存在流量异常行为提供依据。
表1-1 配置协议报文限速功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置协议报文限速功能 |
anti-attack enable |
必选 缺省情况下,协议报文限速功能处于关闭状态 |
表1-2 配置协议总带宽限速功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置协议总带宽限速功能 |
anti-attack protocol { all | protocol } enable |
必选 缺省情况下,所有协议的总带宽限速功能都为关闭 |
使用display anti-attack protocol命令可以显示当前系统支持的哪些限速协议。
表1-3 设置协议限速阈值
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置协议的限速总带宽 |
anti-attack protocol protocol threshold rate-limit |
可选 设备为支持的每种协议设置了缺省的限速总带宽,用户可以在未修改协议的总带宽限速值的情况下通过display anti-attack protocol { protocol }命令查看默认限速值 |
协议按流限速功能会识别、记录来自某个用户的协议报文,并按照设定值进行限速,也可以通过观察流限速情况看出该用户发送的流量是否存在异常。本功能只有在anti-attack protocol enable已经生效的情况下才生效。不同设备能够记录每种协议的最大流数请参见表1-5。
表1-4 配置协议按流限速功能
操作 |
命令 |
说明 |
进入系统视图 |
- |
|
配置协议按流限速功能,并设定协议的流带宽 |
anti-attack protocol protocol flow-threshold flow-rate-limit |
必选 缺省情况下,所有协议的按流限速功能都为关闭状态 |
产品类型 |
WX3500E/WX5000系列 |
WX6000系列 |
WX3000/ WX3000E系列 |
WX5500E系列 |
每种协议最大流数 |
4096 |
8192 |
1024 |
8192 |
· 来自同一用户的同类协议报文被认为是一条流。
· 按流限速不使用定时老化机制,当设备的流数达到最大值时,系统会自动清除所有已建立的流表项,然后重新建立。
在完成上述配置后,在任意视图下执行display命令可以显示协议报文限速的相关情况,通过查看显示信息验证配置的效果。
表1-6 协议报文限速显示
操作 |
命令 |
显示协议报文限速显信息 |
display anti-attack { all | protocol [ protocol ] } |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!