• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07-安全配置指导

目录

24-协议报文限速配置

本章节下载 24-协议报文限速配置  (124.31 KB)

24-协议报文限速配置


1 协议报文限速配置

1.1  协议报文限速简介

协议报文限速可防止某类协议报文过多,占用设备过多的服务资源,导致其他合理的服务请求得不到及时处理。协议报文限速分两种:一是协议总带宽限速;二是协议流带宽限速。

·     协议总带宽限速:对某种协议设定一个最大带宽,当超出该带宽时,丢弃报文。每种协议有自己独立的总带宽,而不是所有协议报文共用一个总带宽。

·     协议流带宽限速:来自同一用户的同类协议报文被认为是一条流。为每条流设置一个限速值,可以保证设备对所有用户的同类请求公平处理。同时流带宽限速功能会记录用户的某类报文上送设备的情况,为网络管理者判断该用户是否存在流量异常行为提供依据。

1.2  配置协议报文限速功能

表1-1 配置协议报文限速功能

操作

命令

说明

进入系统视图

system-view

-

配置协议报文限速功能

anti-attack enable

必选

缺省情况下,协议报文限速功能处于关闭状态

 

1.3  配置协议总带宽限速功能

表1-2 配置协议总带宽限速功能

操作

命令

说明

进入系统视图

system-view

-

配置协议总带宽限速功能

anti-attack protocol { all | protocol } enable

必选

缺省情况下,所有协议的总带宽限速功能都为关闭

 

说明

使用display anti-attack protocol命令可以显示当前系统支持的哪些限速协议。

 

1.4  设置协议的限速总带宽

表1-3 设置协议限速阈值

操作

命令

说明

进入系统视图

system-view

-

设置协议的限速总带宽

anti-attack protocol protocol threshold rate-limit

可选

设备为支持的每种协议设置了缺省的限速总带宽,用户可以在未修改协议的总带宽限速值的情况下通过display anti-attack protocol { protocol }命令查看默认限速值

 

1.5  配置协议按流限速功能

协议按流限速功能会识别、记录来自某个用户的协议报文,并按照设定值进行限速,也可以通过观察流限速情况看出该用户发送的流量是否存在异常。本功能只有在anti-attack protocol enable已经生效的情况下才生效。不同设备能够记录每种协议的最大流数请参见表1-5

表1-4 配置协议按流限速功能

操作

命令

说明

进入系统视图

system-view

-

配置协议按流限速功能,并设定协议的流带宽

anti-attack protocol protocol flow-threshold flow-rate-limit

必选

缺省情况下,所有协议的按流限速功能都为关闭状态

 

表1-5 设备流记录的最大值

产品类型

WX3500E/WX5000系列

WX6000系列

WX3000/ WX3000E系列

WX5500E系列

每种协议最大流数

4096

8192

1024

8192

 

说明

·     来自同一用户的同类协议报文被认为是一条流。

·     按流限速不使用定时老化机制,当设备的流数达到最大值时,系统会自动清除所有已建立的流表项,然后重新建立。

 

1.6  协议报文限速显示

在完成上述配置后,在任意视图下执行display命令可以显示协议报文限速的相关情况,通过查看显示信息验证配置的效果。

表1-6 协议报文限速显示

操作

命令

显示协议报文限速显信息

display anti-attack { all | protocol [ protocol ] }

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们