- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
18-协议报文限速配置
本章节下载: 18-协议报文限速配置 (211.17 KB)
目 录
协议报文限速功能通过对上送CPU的报文基于协议进行分类并加以限速处理,避免指定协议报文占用过多的CPU资源,导致合法服务请求得不到及时处理。协议报文限速功能可以有效防范设备受到泛洪攻击和DoS攻击。
设备支持两种方式的协议报文限速:
· 基于协议的报文限速:限制指定协议报文的最大传输速率,超过该传输速率的流量会被丢弃。
· 基于流的协议报文限速:对同一个源IP或源MAC的指定协议报文进行限速。同时基于流的协议报文限速功能会记录用户的指定协议报文的流量统计情况,为网络管理者判断该用户是否存在流量异常行为提供依据。
由于MSG系列、WX2500H-WiNet系列、WAC系列、WX2500H-LI系列和AC1000系列不支持IRF功能,因此不支持IRF模式的命令行配置。
针对同一协议类型的报文,可以同时配置两种方式的协议报文限速功能。同时配置的情况下,首先对报文按照流速率进行限制,然后再按照报文的最大传输速率进行限制。
(1) 进入系统视图。
system-view
(2) 开启报文限速功能。
(独立运行模式)
anti-attack enable
(IRF模式)
anti-attack enable [ slot slot-number ]
缺省情况下,报文限速功能处于关闭状态。
(3) 开启所有协议或指定协议的报文限速功能。
(独立运行模式)
anti-attack protocol { all | protocol } enable
(IRF模式)
anti-attack protocol { all | protocol } enable [ slot slot-number ]
缺省情况下,所有协议的报文限速功能处于关闭状态。
(4) (可选)配置指定协议报文的最大传输速率。
(独立运行模式)
anti-attack protocol protocol threshold rate-limit
(IRF模式)
anti-attack protocol protocol threshold rate-limit [ slot slot-number ]
缺省情况下,各协议报文的缺省限速速率与设备的型号有关,请以设备的实际情况为准。
可以在未修改缺省限速速率的情况下,通过display anti-attack protocol命令查看缺省限速速率。
(5) (可选)配置协议报文处理优先级。
(独立运行模式)
anti-attack protocol protocol priority priority
(IRF模式)
anti-attack protocol protocol priority priority [ slot slot-number ]
缺省情况下,各协议报文的缺省处理优先级与设备的型号有关,请以设备的实际情况为准。
可以在未修改协议报文处理优先级的情况下,通过display anti-attack protocol命令查看缺省优先级。
(6) 开启基于流的协议报文限速功能,并限制指定协议报文的流速率。
(独立运行模式)
anti-attack protocol protocol flow-threshold flow-rate-limit
(IRF模式)
anti-attack protocol protocol flow-threshold flow-rate-limit [ slot slot-number ]
缺省情况下,所有协议基于流的协议报文限速功能处于关闭状态。
该步骤仅用于基于流的协议报文限速。
在完成上述配置后,在任意视图下执行display命令可以显示协议报文限速的相关情况,通过查看显示信息验证配置的效果。
表1-1 协议报文限速显示和维护
|
操作 |
命令 |
|
显示所有协议或指定协议的限速信息 |
(独立运行模式) display anti-attack protocol [ protocol ] (IRF模式) display anti-attack protocol [ protocol ] [ slot slot-number ] |
在AC上限制ARP协议报文的最大传输速率为1000包每秒。
图1-1 基于协议的报文限速配置组网图
# 开启报文限速功能。
<AC> system-view
[AC] anti-attack enable
# 开启ARP协议报文的限速功能。
[AC] anti-attack protocol arp enable
# 设置ARP协议报文的限速速率为1000包每秒(pps)。
[AC] anti-attack protocol arp threshold 1000
# 当Client 1和Client 2用户接入后,可以通过display anti-attack protocol arp命令查看到ARP协议报文的限速信息。
[AC] display anti-attack protocol arp
Anti-attack statistics
Protocol anti-attack Priority Limit(pps) Rate(pps) Passed Dropped
arp enable 1 1000 0 17907 0
arp Flow-limit is not enable.
在AC上限制ARP协议报文的流限速速率为50包每秒。
图1-2 基于流的协议报文限速配置组网图
# 开启报文限速功能。
<AC> system-view
[AC] anti-attack enable
# 开启ARP协议报文的限速功能。
[AC] anti-attack protocol arp enable
# 设置ARP协议报文的流限速速率为50包每秒(pps)。
[AC] anti-attack protocol arp flow-threshold 50
# 当Client 1和Client 2用户接入后,可以通过display anti-attack protocol arp命令查看到ARP协议报文的限速信息。
[AC] display anti-attack protocol arp
Anti-attack statistics
Protocol anti-attack Priority Limit(pps) Rate(pps) Passed Dropped
arp enable 1 1024 0 17907 0
FlowSource FlowLimit(pps) FlowRate(pps) Passed Dropped
00e0-fc12-7723 50 0 2 0
0011-e212-8801 50 0 17905 0
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
