所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
本机防攻击配置命令

本机防攻击配置命令

auto-defend attack-packet sample

命令功能

auto-defend attack-packet sample命令用来配置攻击溯源的采样比。

undo auto-defend attack-packet sample命令用来恢复攻击溯源的采样比为缺省值。

缺省情况下,攻击溯源的采样比为8,即每8个报文采样1个报文。

命令格式

auto-defend attack-packet sample sample-value

undo auto-defend attack-packet sample

参数说明

参数 参数说明 取值
sample-value 指定攻击溯源的采样比。 整数形式,取值范围是1~1024。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

攻击溯源的实现采用抽样采取报文来辨别攻击。在辨别是否为攻击报文或者计算攻击报文速率上存在一定误差,精度为采样比。采样比越小,攻击溯源的精度越高,但是相对CPU占用率就越高。当攻击溯源采样比很低时,譬如为1,则每一个报文都能被解析到,这样设备可以很精准的辨别出攻击报文,但是因为对每个报文都进行解析和计算,所以会增加CPU的占用率。

通过auto-defend attack-packet sample命令可以配置采样比,用户可以根据对攻击溯源精度的要求和CPU使用率的现状合理配置采样比的值。

前置条件

在执行该命令前需要先使用auto-defend enable命令使能攻击溯源功能。

注意事项

攻击溯源的阈值越小,采样比带来的误差影响就越大。

使用实例

# 配置防攻击策略test的攻击溯源的采样比为2。

<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test
[*HUAWEI-cpu-defend-policy-test] auto-defend enable
[*HUAWEI-cpu-defend-policy-test] auto-defend attack-packet sample 2

auto-defend enable

命令功能

auto-defend enable命令用来使能攻击溯源功能。

undo auto-defend enable命令用来去使能攻击溯源功能。

缺省情况下,未使能攻击溯源功能。

命令格式

auto-defend enable

undo auto-defend enable

参数说明

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

网络上可能会出现大量攻击报文攻击设备的CPU,如果使能攻击溯源功能,通过分析上送CPU的报文是否会对CPU造成攻击,设备能够追溯到攻击源并以日志或告警的方式通知网络管理员,以便网络管理员采取措施对攻击源进行防御部署。缺省情况下,攻击溯源功能以日志的方式通知网络管理员。

使能自动攻击溯源功能后,设备可以对上送CPU的指定报文类型进行溯源追踪。报文类型可以通过命令auto-defend protocol配置。

注意事项

  • 在防攻击策略中配置攻击溯源功能后,需要在系统视图下应用该防攻击策略,攻击溯源功能才可以生效。
  • 设备使能ICMP报文的攻击溯源功能后,Ping快回功能不生效。

使用实例

# 使能防攻击策略test的攻击溯源功能。

<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test
[*HUAWEI-cpu-defend-policy-test] auto-defend enable
相关主题

auto-defend action

命令功能

auto-defend action命令用来使能攻击溯源的惩罚功能,并指定惩罚措施。

undo auto-defend action命令用来去使能攻击溯源的惩罚功能。

缺省情况下,未使能攻击溯源的惩罚功能。

命令格式

auto-defend action { deny [ timeout time-length ] | error-down }

undo auto-defend action [ deny [ timeout time-length ] | error-down ]

参数说明

参数 参数说明 取值
deny 指定攻击溯源的惩罚措施为丢弃。 -
timeout time-length 指定丢弃攻击报文的周期,在此周期内,识别为攻击的报文全部丢弃。 取值范围为1~86400,单位为秒,缺省值为300秒。
error-down 指定攻击溯源的惩罚措施为将攻击报文进入的接口Error-Down。 -

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

攻击溯源包括报文解析、流量分析、攻击源识别和攻击源惩罚四个过程。auto-defend action的配置结果作用于攻击源惩罚这个阶段,设备会根据识别出的攻击源,对这类源相关的报文进行丢弃操作或者将攻击报文进入的接口Error-Down,从而避免攻击源继续攻击设备。

Error-Down是指设备检测到故障后将接口状态设置为ERROR DOWN状态,此时接口不能收发报文,接口指示灯为常灭。

前置条件

在执行该命令前需要先使用auto-defend enable命令使能攻击溯源功能。

注意事项

该命令为覆盖式命令,如果在同一个防攻击策略视图下重复执行auto-defend action命令,新配置将覆盖已有配置。

如果配置了攻击溯源的惩罚措施为丢弃,设备受到攻击时会丢弃攻击报文,可以使用display auto-defend attack-source命令查看相应的溯源信息。

设备不对攻击溯源的白名单用户进行攻击溯源的惩罚。

如果配置攻击溯源的惩罚措施是将攻击报文进入的接口Error-Down,则会造成设备业务的中断,接口下合法的用户会受牵连,请谨慎使用。

后续任务

设备在识别出攻击源后,对攻击源进行一定的惩罚,接口会被Error-Down,建议先识别出攻击源,排除攻击,然后再恢复接口状态。

有以下两种方式可以恢复接口状态:
  • 手动恢复(Error-Down发生后)。

    当处于Error-Down状态的接口数量较少时,可在该接口视图下依次执行命令shutdownundo shutdown,或者执行命令restart,重启接口。

  • 自动恢复(Error-Down发生前)。

    如果处于Error-Down状态的接口数量较多,逐一手动恢复接口状态将产生大量重复工作,且可能出现部分接口配置遗漏。为避免这一问题,用户可在系统视图下执行命令error-down auto-recovery cause auto-defend interval使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间。可以通过执行命令display error-down recovery查看接口状态自动恢复信息。

    说明:

    此方式对已经处于Error-Down状态的接口不生效,只对配置该命令后进入Error-Down状态的接口生效。

使用实例

# 配置攻击溯源的惩罚措施为丢弃,丢弃报文周期为10秒。

<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test 
[*HUAWEI-cpu-defend-policy-test] auto-defend enable
[*HUAWEI-cpu-defend-policy-test] auto-defend action deny timeout 10

auto-defend alarm enable

命令功能

auto-defend alarm enable命令用来使能攻击溯源事件上报功能。

undo auto-defend alarm enable命令用来去使能攻击溯源事件上报功能。

缺省情况下,使能攻击溯源事件上报功能。

命令格式

auto-defend alarm enable

undo auto-defend alarm enable

参数说明

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

当可能的攻击源在单位时间内发送某种协议类型的报文超过一定阈值时,如果希望设备能以事件(event)上报的方式提醒网络管理员,以便管理员采取一定的措施来保护设备,则可以使能攻击溯源事件功能。

前置条件

在执行该命令前需要先使用auto-defend enable命令使能攻击溯源功能。

后续任务

使用auto-defend alarm threshold命令配置攻击溯源事件上报阈值。

使用实例

# 使能防攻击策略test的攻击溯源事件上报功能。

<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test
[*HUAWEI-cpu-defend-policy-test] auto-defend enable
[*HUAWEI-cpu-defend-policy-test] auto-defend alarm enable

auto-defend alarm threshold

命令功能

auto-defend alarm threshold命令用来配置攻击溯源事件上报阈值。

undo auto-defend alarm threshold命令用来恢复攻击溯源事件上报阈值为缺省值。

缺省情况下,攻击溯源事件上报阈值为128pps。

命令格式

auto-defend alarm threshold threshold

undo auto-defend alarm threshold

参数说明

参数 参数说明 取值
threshold 指定攻击溯源事件上报阈值。 整数形式,取值范围是1~65535,单位是pps。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

当可能的攻击源在单位时间内发送某种协议类型的报文超过攻击溯源事件(event)上报阈值时,设备将以事件上报的方式通知网络管理员,以便管理员采用一定的措施来保护设备。

前置条件

在执行该命令前需要先使用auto-defend enable命令使能攻击溯源功能,以及使用auto-defend alarm enable命令使能攻击溯源事件上报功能。

注意事项

该命令为覆盖式命令,如果在同一个防攻击策略视图下重复执行auto-defend alarm threshold命令,新配置将覆盖已有配置。

使用实例

# 配置防攻击策略test的攻击溯源事件上报阈值为300pps。

<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test
[*HUAWEI-cpu-defend-policy-test] auto-defend enable
[*HUAWEI-cpu-defend-policy-test] auto-defend alarm enable
[*HUAWEI-cpu-defend-policy-test] auto-defend alarm threshold 300

auto-defend protocol

命令功能

auto-defend protocol命令用来配置攻击溯源防范的报文类型。

undo auto-defend protocol命令用来删除攻击溯源防范的报文类型。

缺省情况下,攻击溯源防范的报文类型为ARP、DHCP、DHCPv6、ICMP、ICMPv6、MLD、ND、IGMP和TTL-expired。

命令格式

auto-defend protocol { all | { arp | dhcp | dhcpv6 | icmp | icmpv6 | igmp | mld | nd | ttl-expired } * }

undo auto-defend protocol { arp | dhcp | dhcpv6 | icmp | icmpv6 | igmp | mld | nd | ttl-expired } *

说明:
CE6880EI不支持mld参数。

参数说明

参数

参数说明

取值

all

指定攻击溯源防范的报文类型为ARP、DHCP、DHCPv6、ICMP、ICMPv6、MLD、ND、IGMP和TTL-expired。

-

arp

表示在攻击溯源防范的报文类型列表中添加/删除ARP报文。

说明:
攻击溯源防范对于ARP单播报文不生效。

-

dhcp

表示在攻击溯源防范的报文类型列表中添加/删除DHCP报文。

-

dhcpv6

表示在攻击溯源防范的报文类型列表中添加/删除DHCPv6报文。

-

icmp

表示在攻击溯源防范的报文类型列表中添加/删除ICMP报文。

-

icmpv6

表示在攻击溯源防范的报文类型列表中添加/删除ICMPv6报文。

-

igmp

表示在攻击溯源防范的报文类型列表中添加/删除IGMP报文。

-

mld

表示在攻击溯源防范的报文类型列表中添加/删除MLD报文。

-

nd

表示在攻击溯源防范的报文类型列表中添加/删除ND报文。

-

ttl-expired

表示在攻击溯源防范的报文类型列表中添加/删除TTL为1或Hop-limit为1的报文。

-

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

攻击溯源包括报文解析、流量分析、攻击源识别和攻击源惩罚四个过程,auto-defend protocol的配置结果作用于报文解析阶段。当攻击发生时,由于设备同时对多种类型的报文进行溯源,管理员无法区分攻击报文的具体类型。执行本命令,管理员可以灵活配置攻击溯源防范的报文类型,设备将针对所配置的报文类型进行溯源。

前置条件

在执行该命令前需要先使用auto-defend enable命令使能攻击溯源功能。

注意事项

如果配置了攻击溯源防范的某一种协议报文类型,当设备受到了攻击并进行溯源时,可以使用display auto-defend attack-source命令查看相应的溯源信息。

使用实例

# 在攻击溯源防范的报文类型列表中删除IGMP报文和TTL-expired报文。

<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test
[*HUAWEI-cpu-defend-policy-test] auto-defend enable
[*HUAWEI-cpu-defend-policy-test] undo auto-defend protocol igmp ttl-expired

auto-defend threshold

命令功能

auto-defend threshold命令用来配置攻击溯源检查阈值。

undo auto-defend threshold命令用来恢复攻击溯源检查阈值为缺省值。

缺省情况下,攻击溯源检查阈值为128pps。

命令格式

auto-defend threshold threshold

undo auto-defend threshold

参数说明

参数 参数说明 取值
threshold 指定攻击溯源检查阈值。 整数形式,取值范围是1~65535,单位是pps。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

使能攻击溯源功能后,网络管理员可以配置攻击溯源检查阈值,当可能的攻击源在单位时间内发送某种协议类型的报文超过此阈值时,设备开始溯源,并将攻击源记录到日志中。

前置条件

在执行该命令前需要先使用auto-defend enable命令使能攻击溯源功能。

注意事项

该命令为覆盖式命令,如果在同一个防攻击策略视图下重复执行auto-defend threshold命令,新配置将覆盖已有配置。

使用auto-defend enable命令使能攻击溯源功能后,即使未使用auto-defend threshold命令进行配置,设备也将使用缺省的攻击溯源检查阈值对攻击源进行溯源。

使用实例

# 配置防攻击策略test的攻击溯源检查阈值为200pps。

<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test
[*HUAWEI-cpu-defend-policy-test] auto-defend enable
[*HUAWEI-cpu-defend-policy-test] auto-defend threshold 200

auto-defend trace-type

命令功能

auto-defend trace-type命令用来配置攻击溯源的溯源模式。

undo auto-defend trace-type命令用来删除攻击溯源的溯源模式。

缺省情况下,攻击溯源的溯源模式为基于源MAC地址和基于源IP地址。

命令格式

auto-defend trace-type { source-mac | source-ip | source-portvlan } *

undo auto-defend trace-type { source-mac | source-ip | source-portvlan } *

参数说明

参数 参数说明 取值
source-mac 指定攻击溯源的方式为基于源MAC地址,设备根据源MAC地址进行分类统计,识别攻击源。 -
source-ip 指定攻击溯源的方式为基于源IP地址,设备根据源IP地址进行分类统计,识别攻击源。 -
source-portvlan 指定攻击溯源的方式为基于源接口+VLAN,设备根据基于源接口+VLAN进行分类统计,识别攻击源。 -

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

使能攻击溯源功能后,网络管理员可以配置多种攻击溯源的溯源模式。当攻击溯源启动后,设备将根据所配置的溯源模式进行溯源。

目前,设备支持种溯源模式,分别适用于以下场景:

  • 针对三层报文的攻击,配置基于源IP地址进行溯源。
  • 针对固定源MAC地址报文的攻击,配置基于源MAC地址进行溯源。
  • 针对变换源MAC地址报文的攻击,配置基于接口和VLAN进行溯源。

前置条件

在执行该命令前需要先使用auto-defend enable命令使能攻击溯源功能。

注意事项

相应的攻击溯源方式启动后,如果设备受到攻击,并且进行了溯源,可以使用display auto-defend attack-source查看相应的溯源信息。

如果已通过命令auto-defend enable使能了攻击溯源功能,则不允许通过undo auto-defend trace-type source-mac source-ip source-portvlan删除攻击溯源的所有溯源模式。

使用实例

# 配置仅基于源MAC地址模式进行攻击溯源。

<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test 
[*HUAWEI-cpu-defend-policy-test] auto-defend enable
[*HUAWEI-cpu-defend-policy-test] auto-defend trace-type source-mac

auto-defend whitelist

命令功能

auto-defend whitelist命令用来配置攻击溯源的白名单,对白名单用户不做溯源。

undo auto-defend whitelist命令用来删除攻击溯源的白名单的条目。

缺省情况下,没有攻击溯源的白名单。

命令格式

auto-defend whitelist whitelist-number { acl { acl-number | ipv6 acl6-number } | interface interface-type interface-number }

undo auto-defend whitelist whitelist-number

参数说明

参数 参数说明 取值
whitelist-number 指定攻击溯源的白名单的编号。 整数形式,取值范围是1~32
acl acl-number 指定攻击溯源的白名单对应的ACL。

acl-number为整数形式,取值范围是2000~4999:

  • 2000~2999表示基本ACL范围。
  • 3000~3999表示高级ACL范围。
  • 4000~4999表示二层ACL范围。
acl ipv6 acl6-number 指定攻击溯源的白名单对应的ACL6。

acl6-number为整数形式,取值范围是2000~3999:

  • 2000~2999表示基本ACL6范围。
  • 3000~3999表示高级ACL6范围。
interface interface-type interface-number 指定攻击溯源白名单生效的接口类型和接口编号。其中:
  • interface-type表示接口类型。

  • interface-number表示接口编号。

-

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

攻击溯源可以帮助定位DOS攻击源,并通过命令配置对攻击做出惩罚,当希望某些用户无论其是否存在攻击都不对其进行攻击溯源分析和攻击溯源惩罚时,则需要配置该命令。

前置条件

在执行该命令前需要先使用auto-defend enable命令使能攻击溯源功能。

注意事项

如果使用ACL定义攻击溯源白名单,需要配置ACL和对应的规则。

如果定义了某些协议的ACL白名单,需要保证攻击溯源支持该协议。如果定义的协议不支持,可以使用auto-defend protocol命令配置。

使用实例

# 将源IP地址为10.1.1.1和10.1.1.2的用户加入攻击溯源的白名单。

<HUAWEI> system-view
[~HUAWEI] acl 2000
[*HUAWEI-acl4-basic-2000] rule permit source 10.1.1.1 0
[*HUAWEI-acl4-basic-2000] rule permit source 10.1.1.2 0
[*HUAWEI-acl4-basic-2000] quit
[*HUAWEI] cpu-defend policy test
[*HUAWEI-cpu-defend-policy-test] auto-defend enable
[*HUAWEI-cpu-defend-policy-test] auto-defend whitelist 1 acl 2000

auto-port-defend protocol disable

命令功能

auto-port-defend protocol disable命令用来去使能基于端口的本机自动防攻击功能。

undo auto-port-defend protocol disable命令用来使能基于端口的本机自动防攻击功能。

缺省情况下,默认使能端口的本机自动防攻击功能。

命令格式

auto-port-defend protocol { arp-request | dhcp | multicast | ospf } disable

undo auto-port-defend protocol { arp-request | dhcp | multicast | ospf } disable

说明:

CE6880EI仅支持arp-request参数。

参数说明

参数

参数说明

取值

arp-request

指定ARP Request报文类型。

-

dhcp

指定DHCP报文类型。

-

multicast

指定组播报文类型。

-

ospf

指定OSPF报文类型。

-

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

在协议使能时,设备已经为各类协议报文分配好相应的队列,并且各队列有一个默认CAR值。如果设备的某些端口收到大量的协议报文并上送CPU,会导致其他正常端口收到的相同类型的协议报文上送CPU速率很慢或者无法上送CPU,影响正常的业务。通过使能基于端口的本机自动防攻击功能,当一个端口收到的某协议报文数超过默认CAR值的75%或当收到的某协议报文数最多的两个端口收到的协议报文总数超过默认CAR值的85%时,可以对相应的端口收到的协议报文进行惩罚,即将端口收到的协议报文上送到其他CAR值较小的惩罚队列,避免影响其他正常端口协议报文的上送。

注意事项

配置了基于所有接口的ARP报文限速功能后,基于端口的ARP本机自动机防攻击功能不生效。

使用实例

# 在防攻击策略视图下,去使能针对ARP Request报文的基于端口的本机自动防攻击功能。

<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test
[*HUAWEI-cpu-defend-policy-test] auto-port-defend protocol arp-request disable

blacklist

命令功能

blacklist命令用来配置黑名单。

undo blacklist命令用来删除黑名单。

缺省情况下,没有配置黑名单。

命令格式

blacklist blacklist-id acl { acl-number | ipv6 acl6-number } [ interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-8> ] [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-8> ]

undo blacklist blacklist-id [ acl { acl-number | ipv6 acl6-number } [ interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-8> ] [ vlan { vlan-id1 [ to vlan-id2 ] } &<1-8> ] ]

参数说明

参数

参数说明

取值

blacklist-id

指定黑名单编号。

整数形式,取值范围是1~8

acl acl-number

指定黑名单对应的ACL。

acl-number为整数形式,取值范围是2000~4999和23000~23999

  • 2000~2999表示基本ACL范围。
  • 3000~3999表示高级ACL范围。
  • 4000~4999表示二层ACL范围。
  • 23000~23999表示基于ARP的ACL范围。
interface { interface-type interface-number1 [ to interface-type interface-number2 ] } &<1-8>
指定黑名单对应的接口编号。其中:
  • interface-type表示接口类型。

  • interface-number1表示第一个接口编号。

  • interface-number2表示第最后一个接口编号。

interface-number2的取值必须大于interface-number1

vlan { vlan-id1 [ to vlan-id2 ] } &<1-8>
指定黑名单对应的VLAN ID。其中:
  • vlan-id1表示第一个VLAN的编号。

  • vlan-id2表示最后一个VLAN的编号。

vlan-id2的取值必须大于等于vlan-id1的取值,它和vlan-id1共同确定一个范围。

acl ipv6 acl6-number

指定黑名单对应的ACL6。

acl6-number为整数形式,取值范围是2000~3999:

  • 2000~2999表示基本ACL6范围。
  • 3000~3999表示高级ACL6范围。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

针对来自特定用户恶意报文的攻击,设备通过ACL把符合特定特征的用户纳入到黑名单中,被纳入黑名单的用户所发的报文到达设备后均会被丢弃。

设备的一个防攻击策略最多可以配置8条黑名单。

说明:

配置恢复的时候,按照黑名单编号blacklist-id从小到大顺序恢复。

黑名单中引用ACL规则,若所引用的ACL规则协议为TCP或UDP时,仅支持配置24条端口号范围。

对于CE6870EI设备,当黑名单中的ACL匹配的源IP地址为单播地址或者基本ACL不指定具体的匹配条件时,黑名单不对转发的报文生效。

对于CE6870EI设备,黑名单对STP、LDT、LLDP、CDP、DLDP、LACP、DAD、EFM、VBST、GVRP、CFM、BPDU、M-LAG、携带VLAN的FCOE报文、超过特定长度(可通过MTU命令行配置)的GRE报文不生效。

使用实例

# 使用ACL 2001配置2号黑名单。

<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test
[*HUAWEI-cpu-defend-policy-test] blacklist 2 acl 2001

car(防攻击策略视图)

命令功能

car命令用来配置上送CPU报文的速率限制。

undo car命令用来恢复上送CPU报文的速率限制为缺省值。

缺省情况下,对协议报文的CAR速率从32pps到5120pps不等,可以通过display cpu-defend configuration查看。

命令格式

car packet-type packet-type pps pps-value

undo car packet-type packet-type

参数说明

参数 参数说明 取值
packet-type packet-type

指定报文类型。

指定报文类型后,设备会对该类型的报文指定一个car值,并单独放到一个队列中进行限速。

报文类型信息以设备显示为准。

例如:
  • mtu:超过MTU值的报文。
  • ttl-expired:TTL=1和Hop-limit=1的报文。
  • fib-hit:目的IP地址是本机的数据报文。
  • common:一种特殊队列,当队列资源不足,再配置其他报文限速时,这些报文都会下发到common队列中。
pps pps-value

指定CAR速率。

整数形式,取值范围是10~10000,单位报文个数/秒(pps)。不同的报文取值范围可能不同,请以设备显示为准。
说明:
对于CE6870EI,当用户未手动配置VRRP报文的CPCAR值时,该CPCAR值会随着设备配置的VRRP组的数量而动态调整,当用户手动配置VRRP报文的CPCAR值时,该CPCAR值以配置为准。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

设备针对每类协议报文都有缺省的CPCAR值,部分协议报文的CPCAR值需要根据实际业务规模和具体的用户网络环境进行调整。

创建防攻击策略后,可以在防攻击策略中对协议报文进行限速:

  • CAR速率调小场景:当存在网络攻击时,可以将攻击报文对应协议CAR速率调小,减少对CPU的影响。
  • CAR速率调大场景:当网络中正常业务规模增加时,有大量正常的协议报文需要上送CPU处理时,可以将协议报文CAR速率调大,满足正常的业务需求。

注意事项

对上送CPU的同一个报文先后采用deny命令和car命令时,最后配置的命令生效。

使用实例

# 配置防攻击策略test的报文CAR动作规则,设置ARP协议报文的CAR速率为6400pps。

<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test 
[*HUAWEI-cpu-defend-policy-test] car packet-type arp pps 6400

car all-packets pps

命令功能

car all-packets pps命令用来对上送CPU的报文根据报文数进行速率限制。

undo car all-packets pps命令用来恢复上送CPU报文的速率限制为缺省值。

缺省情况下,上送设备CPU的报文每秒不超过5120个,其中CE5810EI、CE5850HI和CE5855EI上送设备CPU的报文每秒不超过2048个

命令格式

car all-packets pps packets

undo car all-packets

参数说明

参数 参数说明 取值
pps packets 指定上送CPU报文的最大报文速率。 整数形式,取值范围是1000~100000,单位是报文个数/秒(pps)。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

上送到CPU的报文流量过大可能会降低CPU利用率,影响系统正常运行。设备可以通过CPCAR对上送CPU的报文进行限速,达到保护CPU的目的。设备提供的CAR包括二级CAR:
  1. 使用car命令实现基于报文类型进行报文个数的限制。
  2. 对于上送CPU的所有报文进行报文个数的限制,不区分报文的协议类型或者所在的队列。该过程通过car all-packets pps命令完成。

car all-packets pps一般应用于突发CPU处理报文过多情况下的限速,通过一级CAR限速实际上送到CPU的报文数一般比car all-packets pps指定的报文速率要高,car all-packets pps命令的配置才有意义。

注意事项

该命令为覆盖式命令,如果在同一个防攻击策略视图下重复执行car all-packets pps命令,新配置将覆盖已有配置。

在配置该命令前需要确认当前已经采用的CAR限速不能缓解CPU占用率过高的问题。

当上送CPU报文速率过大时,如果配置的上送CPU报文的速率限制也过大,可能导致CPU占用率过高,影响设备性能,极端情况下会导致设备分裂。

使用实例

# 配置防攻击策略test下上送CPU报文的最大报文速率为5000pps。

<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test
[*HUAWEI-cpu-defend-policy-test] car all-packets pps 5000

cpu-defend local-host anti-attack enable

命令功能

cpu-defend local-host anti-attack enable命令用来使能主机防攻击功能。

undo cpu-defend local-host anti-attack enable命令用来去使能主机防攻击功能。

缺省情况下,未使能主机防攻击功能。

命令格式

cpu-defend local-host anti-attack enable

undo cpu-defend local-host anti-attack enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

配置了ssh server acltelnet server aclftp server aclsnmp-agent acl命令后,SSH、Telnet、FTP、SNMP报文会上送CPU匹配软件ACL。当使能了主机防攻击功能后,这些报文会匹配硬件ACL,此时当报文匹配了ACL中的deny规则时,会被直接丢弃而不会再上送CPU,因此可以避免影响其他正常报文的上送。

使用实例

# 使能主机防攻击功能。

<HUAWEI> system-view
[~HUAWEI] cpu-defend local-host anti-attack enable

cpu-defend policy

命令功能

cpu-defend policy命令用来创建防攻击策略,并进入防攻击策略视图。

undo cpu-defend policy命令用来删除配置的防攻击策略。

缺省情况下,设备中有一个名称为devicename-default的防攻击策略,默认应用到设备上,不允许删除,也不允许修改参数。

命令格式

cpu-defend policy policy-name

undo cpu-defend policy policy-name

参数说明

参数 参数说明 取值
policy-name 指定防攻击策略名称。 字符串形式,不支持空格,区分大小写,不能以_开头,不能包含以下字符 > $ | ,长度范围1~31。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在网络中,存在大量正常上送CPU的各类报文和针对CPU的恶意攻击报文。如果上送CPU的报文过多,会导致CPU占用率过高,性能下降。这种情况将影响CPU对正常业务的处理,甚至造成系统中断,此时可以创建防攻击策略,并在防攻击策略中配置CPU防攻击和攻击溯源,从而保证CPU对正常业务的处理,防止系统中断。

注意事项

设备最多支持17个防攻击策略。其中名称为devicename-default的policy为系统自动生成的缺省策略,devicename-default策略默认应用到设备上,不允许删除,也不允许修改参数;其余16个允许用户创建、修改和删除。
说明:

CE6870EI和CE6880EI最多支持49个防攻击策略。其中名称为devicename-default的策略为系统自动生成的缺省策略,devicename-default策略默认应用到设备上,不允许删除,也不允许修改参数;其余48个允许用户创建、修改和删除。

如果用户创建新的防攻击策略,则在防攻击策略视图下,用户可以按照自己的需要进行配置,新的配置将覆盖devicename-default策略的缺省配置;对于用户没有进行的配置,新的防攻击策略将使用devicename-default策略的缺省配置。

devicename-default策略对上送CPU的协议报文按照缺省的限速值进行速率限制。

使用实例

# 创建名称为test的防攻击策略。

<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test
[*HUAWEI-cpu-defend-policy-test] 

cpu-defend-policy

命令功能

cpu-defend-policy命令用来应用防攻击策略。

undo cpu-defend-policy命令用来取消应用防攻击策略。

缺省情况下,设备应用名称为devicename-default的防攻击策略。

命令格式

cpu-defend-policy policy-name [ slot slot-id | batch slot { slot-id1 [ to slot-id2 ] } &<1-12> ]

undo cpu-defend-policy [ slot slot-id | batch slot { slot-id1 [ to slot-id2 ] } &<1-12> ]

参数说明

参数 参数说明 取值
policy-name 指定防攻击策略名称。 必须是已存在的防攻击策略名称。
slot slot-id 指定局部应用防攻击策略,slot-id表示接口板的槽位号。如果不指定slot参数,表示在所有接口板上应用该策略。 -
batch slot { slot-id1 [ to slot-id2 ] } &<1-12> 指定需要批量应用防攻击策略的槽位号。其中:
  • slot-id1表示需要应用防攻击策略的第一个槽位号。
  • slot-id2表示最后一个应用防攻击策略的槽位号。

    slot-id2的取值必须大于等于slot-id1,它与slot-id1共同确定槽位范围。

  • 如果不指定to slot-id2参数,则只会在slot-id1所指定的槽位上应用防攻击策略。
-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

只有将防攻击策略应用在设备上后,防攻击策略才能生效。

前提条件

已通过cpu-defend policy命令成功创建了防攻击策略。

使用实例

# 应用防攻击策略test到所有设备
<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test
[*HUAWEI-cpu-defend-policy-test] quit
[*HUAWEI] cpu-defend-policy test
# 应用防攻击策略test到3号接口板。
<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test
[*HUAWEI-cpu-defend-policy-test] quit
[*HUAWEI] cpu-defend-policy test slot 3
相关主题

deny

命令功能

deny命令用来将上送CPU的报文的动作设置成丢弃。

undo deny命令用来将上送CPU报文的动作恢复成缺省动作。

缺省情况下,设备不会丢弃上送CPU的报文,而是按照devicename-default策略缺省的限速值对上送CPU的报文进行限速,可通过display cpu-defend configuration命令查看各种报文的限速值。

命令格式

deny packet-type packet-type

undo deny packet-type packet-type

参数说明

参数 参数说明 取值
packet-type packet-type 指定丢弃的报文协议类型。 支持的报文类型信息以设备显示为准。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

创建防攻击策略后,如果设备收到某种协议类型的攻击报文或大量上送CPU的正常报文,可以在防攻击策略中对该协议类型的报文配置丢弃功能,这样设备将直接丢弃上送CPU的该协议类型的报文,从而减少对CPU处理正常业务的影响。

注意事项

对上送CPU的同一种报文先后使用deny命令和car命令时,最后配置的命令生效。执行undo deny命令后,上送CPU报文动作恢复成缺省值。

使用实例

# 将防攻击策略test中上送CPU的arp报文动作设置为丢弃。

<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test 
[*HUAWEI-cpu-defend-policy-test] deny packet-type arp

description(防攻击策略视图)

命令功能

description命令用来配置防攻击策略的描述信息。

undo description命令用来删除防攻击策略的描述信息。

缺省情况下,防攻击策略没有配置描述信息。

命令格式

description text

undo description

参数说明

参数 参数说明 取值
text 指定描述信息的内容。 字符串形式,支持空格,区分大小写,长度范围是1~63。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

description命令用来配置防攻击策略的描述信息,比如描述该防攻击策略的用途或使用场景,方便区分或识别不同的防攻击策略。

注意事项

该命令是覆盖式命令,如果在同一个防攻击策略视图下重复执行description命令,新配置将覆盖已有配置。

使用实例

# 配置防攻击策略test的描述信息为defend_arp_attack(表示ARP防攻击)。

<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test 
[*HUAWEI-cpu-defend-policy-test] description defend_arp_attack
相关主题

display auto-defend attack-source

命令功能

display auto-defend attack-source命令用来查看攻击源信息。

命令格式

display auto-defend attack-source [ statistics ] [ slot slot-id ]

参数说明

参数

参数说明

取值

statistics

指定查看攻击源统计计数信息。

说明:

仅CE6870EI支持statistics参数。

-

slot slot-id

指定设备的堆叠ID。

根据设备实际配置选取。

视图

所有视图

缺省级别

1:监控级

使用指南

配置攻击溯源功能后,如果需要了解攻击源信息,可以使用display auto-defend attack-source命令进行查看。

如果设备支持堆叠,那么在设备堆叠的情况下,攻击源列表只保存在堆叠主设备上,使用display auto-defend attack-source命令只显示堆叠主设备上的攻击源列表(除CE6870EI外)。

使用实例

# 查看攻击源列表。

<HUAWEI> display auto-defend attack-source
  Attack Source User Table on Slot 1 :                            
  -------------------------------------------------------------------------                                                         
  MAC Address      Interface       PacketType    VLAN:Outer/Inner      Total                                                               
  -------------------------------------------------------------------------                                                         
  0000-c102-0102   10GE1/0/1       ICMP          1000/                 4832                
  -------------------------------------------------------------------------                                                         
  Total: 1                         
  Attack Source IP Table on Slot 1 :                                      
  -------------------------------------------------------------------------                                                         
  IP Address      PacketType    Total                                                               
  -------------------------------------------------------------------------                                                         
  10.1.1.2        ICMP          1144                                                                
  -------------------------------------------------------------------------                                                         
  Total: 1                         
  Attack Source Port Table on Slot 1 :                        
  -------------------------------------------------------------------------                                                         
  Interface       VLAN:Outer/Inner     PacketType     Total                                                               
  -------------------------------------------------------------------------                                                         
  10GE1/0/1       1000/--              ICMP            4832    
  -------------------------------------------------------------------------                                                         
  Total: 1                         
表16-56  display auto-defend attack-source命令输出信息描述

项目

描述

Attack Source User Table on Slot 1

针对设备进行攻击的攻击源信息,根据攻击用户的信息区分。

MAC Address

用户的MAC地址。

Interface

接口名称。

PacketType

报文类型。

VLAN:Outer/Inner

接口所在VLAN编号。Outer表示外层VLAN;Inner表示内层VLAN。

Total

报文统计总计数。

Total: 1

攻击用户统计总计数。

Attack Source IP Table on Slot 1

针对接口板进行攻击的攻击源信息,根据受攻击的源IP信息区分。

IP Address

用户的IP地址。

Attack Source Port Table on Slot 1

针对接口板进行攻击的攻击源信息,根据受攻击的源端口信息区分。

display cpu-defend auto-port-defend

命令功能

display cpu-defend auto-port-defend命令用来查看配置了基于端口的本机自动防攻击功能后,受到惩罚的端口和协议报文上送CPU的统计信息。

命令格式

display cpu-defend auto-port-defend [ slot slot-id ]

参数说明

参数

参数说明

取值

slot slot-id

指定槽位号。

根据设备的实际配置选取。

视图

所有视图

缺省级别

1:监控级

使用指南

配置了基于端口的本机自动防攻击功能后,如果某端口的协议报文通过惩罚队列上送CPU,可以通过执行该命令查看相应的端口和协议报文上送CPU的统计信息。

使用实例

# 查看配置了基于端口的本机自动防攻击功能后,受到惩罚的端口和协议报文上送CPU的统计信息。
<HUAWEI> display cpu-defend auto-port-defend
Port info on slot 1 :                                                                                                               
--------------------------------------------------------------------------------                                                    
PacketType          Port                                                                                                          
--------------------------------------------------------------------------------                                                    
arp-request         10GE/1/0/1                                                                                               
dhcp                10GE/1/0/1                                                                                                
igmp                10GE/1/0/1                                                                                               
ospf                10GE/1/0/1                                                                                                
--------------------------------------------------------------------------------                                                    
Port queue info on slot 1 :                                                                                                         
--------------------------------------------------------------------------------                                                    
PacketType          QueueName                                                                                                       
--------------------------------------------------------------------------------                                                    
arp-request         queue one                                                                                                       
dhcp                queue one                                                                                                       
igmp                queue one                                                                                                       
ospf                queue two                                                                                                            
--------------------------------------------------------------------------------                                                    
Statistics(packets) on slot 1 :                                                                                                     
--------------------------------------------------------------------------------                                                    
QueueName                Total Passed        Total Dropped   Last Dropping Time                                                     
                    Last 5 Min Passed   Last 5 Min Dropped                                                                          
--------------------------------------------------------------------------------                                                    
queue one                    39413185          12950486396   2017-08-07 15:50                                                       
                               575126            250926259                                                                          
queue two                    28905966            142484581   2017-08-07 15:50                                                       
                               332073              1174817                                                                          
--------------------------------------------------------------------------------
表16-57  display cpu-defend auto-port-defend命令输出信息描述

项目

描述

Port info on slot 1

1号槽位的端口信息。

PacketType

报文类型。

Port

接口名称。

Statistics(packets) on slot 1

1号槽位的报文统计信息。

Total Passed

通过的总报文数。

Last 5 Min Passed

最后5分钟通过的报文数。

Total Dropped

丢弃的总报文数。

Last 5 Min Dropped

最后5分钟丢弃的报文数。

Last Dropping Time

最后一次丢弃报文的时间。

Port queue info on slot 1

1号槽位的端口队列信息。

QueueName

队列名称。
说明:

当只对于一种或两种报文配置基于端口的本机自动防攻击功能时,队列名字显示为相应的协议报文队列名,例如显示为arp-request队列;当有多种报文时,所有报文会统一下发到共享队列,队列名字显示为共享队列名字,例如queue one或queue two中,此时之前下发到非共享队列中的报文也会切换到共享队列中。

display cpu-defend configuration

命令功能

display cpu-defend configuration命令用来查看CAR的配置信息

命令格式

display cpu-defend configuration [ packet-type packet-type ] { all | slot slot-id }

参数说明

参数

参数说明

取值

packet-type packet-type

显示指定报文类型限速的配置信息。

报文类型以设备显示为准。

all

显示所有设备的CAR配置信息。

-

slot slot-id

指定设备的堆叠成员ID。

根据设备的实际配置选取。

视图

所有视图

缺省级别

1:监控级

使用指南

如果需要了解上送CPU的报文的限速信息,可以使用本命令进行查询。缺省情况下,显示的是devicename-default策略对各种协议报文的限速值。

使用实例

# 查看所有设备的CAR配置信息。
<HUAWEI> display cpu-defend configuration all
Car configurations on slot 1 :                                                 
---------------------------------------------------                            
PacketType            Status      Car(pps)                                     
---------------------------------------------------                            
8021x                 Disabled         512 
aaa                   Enabled          384                                     
arp                   Enabled          128                                     
arp-miss              Enabled          512                                     
bfd                   Enabled         1024                                     
bgp                   Enabled         1024                                     
bpdu-tunnel           Enabled          512                                     
dhcp                  Enabled          512(*)                                     
......
---------------------------------------------------                            
*: The packet is accessed through the common queue.
Car all-packets (pps) : 5120                                                   
---------------------------------------------------  
说明:

以上显示信息仅仅是举例,报文类型以设备显示为准。

表16-58  display cpu-defend configuration命令输出信息描述

项目

描述

Car configurations on slot 1

设备的CAR配置信息。

PacketType

报文类型。

Status

协议报文状态。
  • Enabled:协议使能。
  • Disabled:协议未使能。

当协议未使能时,设备不会对相应的报文进行限速。

Car(pps)

报文的速率限制值,单位是pps。相关命令请参见car(防攻击策略视图)

回显信息中的512(*)表示协议报文的默认队列已分配完毕,系统自动将该业务分配到common队列中,通过common队列来进行调度和限速。

Car all-packets (pps)

所有上送CPU报文数量的限速值。相关命令请参见car all-packets pps

display cpu-defend local-host anti-attack

命令功能

display cpu-defend local-host anti-attack命令用来查看配置了主机防攻击功能后,报文匹配硬件ACL的统计信息。

命令格式

display cpu-defend local-host anti-attack [ slot slot-id ]

参数说明

参数

参数说明

取值

slot slot-id

指定设备的堆叠成员ID。

根据设备的实际配置选取。

视图

所有视图

缺省级别

1:监控级

使用指南

执行此命令可以用来查看配置了主机防攻击功能后,报文匹配硬件ACL的统计信息。

使用实例

# 查看配置了主机防攻击功能后,报文匹配硬件ACL的统计信息(CE6870EI和CE6880EI)
<HUAWEI> display cpu-defend local-host anti-attack
ACL resource on slot 1                                                                                                            
----------------------------------------------                                                                                      
Protocol       State           ACL                                                                                                  
----------------------------------------------                                                                                      
SSH            Successful     3000                                                                                                  
----------------------------------------------                                                                                      
                                                                                                                                    
SSH Statistics on slot 1                                                                                                          
--------------------------------------------------------------------------------                                                    
  rule 10 deny tcp                                                                                                                  
  Dropped Packets                     0, Dropped Bytes                         0                                                    
-------------------------------------------------------------------------------- 
# 查看配置了主机防攻击功能后,报文匹配硬件ACL的统计信息(除CE6870EI和CE6880EI外的其他款型)
<HUAWEI> display cpu-defend local-host anti-attack
ACL resource on slot 1                                                                                                              
----------------------------------------------                                                                                      
Protocol       State           ACL                                                                                                  
----------------------------------------------                                                                                      
SSH            Failed(1)      2000                                                                                                  
----------------------------------------------                                                                                      
Fail reason:                                                                                                                        
(1): The ACL resource is not enough.                                                                                                
----------------------------------------------                                                                                      
表16-59  display cpu-defend local-host anti-attack命令输出信息描述

项目

描述

ACL resource on slot 1

指定槽位号上的ACL资源情况。

Protocol

报文类型。

State

ACL下发状态:
  • Failed(n)表示下发失败。
  • Successful表示下发成功。

ACL

匹配的ACL类型。

Fail reason

ACL下发失败的原因
  • (1): The ACL resource is not enough.(表示由于设备内部ACL资源不足。)
  • (2): The snoop resource is not enough.(表示由于设备内部snoop资源不足。)
  • (3): Some fields in the ACL rule referenced are not supported.(表示由于引用的ACL中包含了设备不支持的报文匹配字段。)
  • (4): The internal error.(表示其他内部错误,建议联系技术支持人员。)
  • (5): The numbers of ACL rules exceed the limit.(表示ACL规则数超过规格。)

SSH Statistics on slot 1

指定槽位号上具体协议报文的统计情况。

rule 10 deny tcp

配置的ACL规则。

Dropped Packets

丢弃的报文数。

Dropped Bytes

丢弃的字节数。

Failed to apply the ACL.

应用ACL失败。
说明:
当ACL下发失败时,显示此回显。

display cpu-defend policy

命令功能

display cpu-defend policy命令用来查看防攻击策略的配置信息。

命令格式

display cpu-defend policy [ policy-name ]

参数说明

参数

参数说明

取值

policy-name

显示指定防攻击策略的配置信息。

  • 如果指定policy-name参数,则显示该防攻击策略的配置信息。
  • 如果没有指定policy-name参数,则显示所有防攻击策略列表信息。

必须是已存在的防攻击策略名称。

视图

所有视图

缺省级别

1:监控级

使用指南

成功创建防攻击策略以后,如果需要了解该防攻击策略应用所在的堆叠交换机编号以及防攻击策略的具体配置信息,可以使用display cpu-defend policy命令进行查看。

使用实例

# 查看所有防攻击策略列表信息。

<HUAWEI> display cpu-defend policy test1
==============================================
Policy name: test1          
Policy applys on slot: <1>   
Car packet-type bfd(pps) : 128      
Blacklist status:               
----------------------------------------------  
Slot    Blacklist State       ACL    ACLIPv6
----------------------------------------------   
1       1         Successful  2001   -- 
----------------------------------------------
Fail reason:      
(3): Some fields in the ACL rule referenced are not supported. 
==============================================    
表16-60  display cpu-defend policy命令输出信息描述

项目

描述

Policy name

防攻击策略的名称。相关命令请参见cpu-defend policy

Policy applys on slot

防攻击策略应用的堆叠交换机编号

Car packet-type bfd(pps)

表示报文类型为BFD的CPCAR值。相关命令请参见car(防攻击策略视图)

Blacklist status

下发黑名单到设备上的状态。

Slot

表示Slot的编号。

Blacklist

表示黑名单的编号。相关命令请参见blacklist

State

表示黑名单的状态。下发黑名单到设备上的状态。
  • Failed(n)表示下发失败
  • Successful表示下发成功
  • Processing表示正在处理中
  • --表示acl规则在此设备上未应用

ACL

表示黑名单使用的ACL编号。相关命令请参见blacklist

ACLIPv6

表示黑名单使用的ACL6编号。相关命令请参见blacklist

Fail reason

表示下发黑名单的状态为失败时的失败原因。
  • (1): The ACL resource is not enough.(表示由于设备内部ACL资源不足,导致黑名单无法下发成功。)
  • (2): The snoop resource is not enough.(表示由于设备内部snoop资源不足,导致黑名单无法下发成功。)
  • (3): Some fields in the ACL rule referenced are not supported.(表示由于引用的ACL中包含了设备不支持的报文匹配字段,导致无法下发成功。)
  • (4): The interal error.(表示其他内部错误,建议联系技术支持人员。)

display cpu-defend rate

命令功能

display cpu-defend rate命令用来查看协议报文上送CPU的速率。

命令格式

display cpu-defend rate [ packet-type packet-type ] { all | slot slot-id }

参数说明

参数

参数说明

取值

packet-type packet-type

指定报文类型。

报文类型以设备显示为准。

all

堆叠情况下,显示所有堆叠交换机的报文上送CPU的速率;非堆叠情况下,显示本设备的报文上送CPU的速率。

-

slot slot-id

指定设备的堆叠成员ID。

根据设备的实际配置选取。

视图

所有视图

缺省级别

1:监控级

使用指南

在检查防攻击策略的配置时,可执行此命令查看协议报文上送CPU的速率,用户可以根据协议报文的速率确定哪种协议有攻击CPU的可能性。

说明:

为了不影响其它业务的运行并保证CPU的性能,协议报文速率的计算只在用户输入本命令后的一个时间段内进行增量报文的速率计算并打印到终端,命令行输入后会提示用户等待一段时间。

使用实例

# 查看设备的ARP协议报文上送CPU的速率。

<HUAWEI> display cpu-defend rate packet-type arp slot 1
Info: Please wait for a moment...            
Rate(PPS) on slot 1 :                   
---------------------------------------------------------------             
PacketType                         Passed              Dropped             
---------------------------------------------------------------              
arp                                     0                    0    
--------------------------------------------------------------- 
表16-61  display cpu-defend rate命令输出信息描述

项目

描述

PacketType

报文类型。

Passed

每秒通过的packet数。

Dropped

每秒丢弃的packet数。

display cpu-defend statistics

命令功能

display cpu-defend statistics命令用来查看上送CPU报文的统计信息。

命令格式

  • CE6870EI和CE6880EI除外:

    display cpu-defend statistics [ history ] [ packet-type packet-type ] { all | slot slot-id }

  • dCE6870EI和CE6880EI

    display cpu-defend statistics [ history ] [ packet-type packet-type ] { all | slot slot-id }

    display cpu-defend { blacklist | filter } statistics [ slot slot-id ]

参数说明

参数

参数说明

取值

packet-type packet-type

显示指定类型的报文统计信息。packet-type表示报文类型的名称。

  • 如果指定packet-type,则查询该协议报文的统计信息。
  • 如果不指定packet-type,则查询所有协议报文的统计信息。

报文类型以设备显示为准。

history

显示被丢弃的协议报文的统计信息,每种被丢弃的协议报文最多显示36条。

-

all

堆叠情况下,显示所有堆叠交换机的报文统计信息;非堆叠情况下,显示本设备的报文统计信息。

-

slot slot-id

指定设备的堆叠成员ID。

根据设备的实际配置选取。

blacklist

显示基于黑名单的报文统计信息。

-

filter

显示基于过滤器的报文统计信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

统计信息包括通过的报文数和丢弃的报文数,了解该统计信息,有助于网络管理员根据上送设备CPU报文的实际情况配置防攻击策略。

使用实例

# 查看所有设备上CAR报文统计信息。
<HUAWEI> display cpu-defend statistics all
Statistics(packets) on slot 1 :
--------------------------------------------------------------------------------
PacketType               Total Passed        Total Dropped   Last Dropping Time
                    Last 5 Min Passed   Last 5 Min Dropped
--------------------------------------------------------------------------------
8021x                               0                    0   -
                                    0                    0
aaa                                 0                    0   -
                                    0                    0
arp                                 0                    0   -
                                    0                    0
arp-miss                            0                    0   -
                                    0                    0
bfd                                 0                    0   -
                                    0                    0
bgp                                 0                    0   -
                                    0                    0
bpdu-tunnel                         0                    0   -
                                    0                    0
common                              0                    0   -
                                    0                    0   
dhcp                                0                    0   -
                                    0                    0
dldp                                0                    0   -
                                    0                    0 
......
--------------------------------------------------------------------------------
说明:

以上显示信息仅仅是举例,报文类型以设备显示为准。

表16-62  display cpu-defend statistics命令输出信息描述

项目

描述

PacketType

报文类型。

Total Passed

通过的总报文数。

Last 5 Min Passed

最后5分钟通过的报文数。

Total Dropped

丢弃的总报文数。

Last 5 Min Dropped

最后5分钟丢弃的报文数。

Last Dropping Time

最后一次丢弃报文的时间。

# 查看1号槽位单板上送CPU报文的历史统计信息。
<HUAWEI> display cpu-defend statistics history slot 1                          
Statistics(packets) on slot 1 :                                                                                                     
--------------------------------------------------------------------------------                                                    
PacketType  Time Period                            Passed               Dropped                                                     
--------------------------------------------------------------------------------                                                    
arp         2014-10-23 13:00~2014-10-23 15:01       75305                127170                                                     
arp         2014-10-23 15:01~2014-10-23 17:01       76095                128925                                                     
dhcp        2014-10-23 19:01~2014-10-23 19:51       32131                  3722                                                     
telnet      2014-10-23 19:01~2014-10-23 19:51       26807                 18442                                                     
--------------------------------------------------------------------------------
表16-63  display cpu-defend statistics history命令输出信息描述

项目

描述

PacketType

报文类型。

Time Period

统计信息时间段。

Passed

通过的报文数。

Dropped

丢弃的报文数。

display snmp-agent trap feature-name securitytrap all

命令功能

display snmp-agent trap feature-name securitytrap all命令用来查看攻击溯源模块的所有告警开关的信息。

命令格式

display snmp-agent trap feature-name securitytrap all

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

当用户需要查看攻击溯源模块的所有告警开关的信息时,可以通过该命令实现。

使用实例

# 查看攻击溯源模块的所有告警信息。

<HUAWEI> display snmp-agent trap feature-name securitytrap all
------------------------------------------------------------------------------  
Feature name: SECURITYTRAP                                                              
Trap number : 3                                                                 
------------------------------------------------------------------------------  
Trap name                      Default switch status   Current switch status    
hwStrackIfVlanInfo             on                      on                       
hwStrackIpInfo                 on                      on                       
hwStrackUserInfo               on                      on                       
表16-64  display snmp-agent trap feature-name securitytrap all命令输出信息描述

项目

描述

Feature name

告警所属的模块名称。

Trap number

告警的数量。

Trap name

告警的名称,攻击溯源模块的告警包括:

  • hwStrackIfVlanInfo:打开基于源接口+VLAN的攻击溯源告警开关。
  • hwStrackIpInfo:打开基于源IP地址的攻击溯源告警开关。
  • hwStrackUserInfo:打开基于源MAC地址的攻击溯源告警开关。

Default switch status

缺省告警开关状态:
  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

Current switch status

当前告警开关状态
  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

filter

命令功能

filter命令用来配置过滤器。

undo filter命令用来删除过滤器。

缺省情况下,没有配置过滤器。

命令格式

filter packet-type arp acl acl-number

undo filter packet-type arp [ acl acl-number ]

filter packet-type { icmp | igmp | ospf | dhcp } acl acl-number

undo filter packet-type { icmp | igmp | ospf | dhcp } [ acl acl-number ]

filter packet-type { icmpv6 | ospfv3 | dhcpv6 } acl ipv6 acl6-number

undo filter packet-type { icmpv6 | ospfv3 | dhcpv6 } [ acl ipv6 acl6-number ]

filter packet-type { snmp | dns | ftp | telnet | ssh | bgp } acl { acl-number | ipv6 acl6-number }

undo filter packet-type { snmp | dns | ftp | telnet | ssh | bgp } [ acl { acl-number | ipv6 acl6-number } ]

参数说明

参数

参数说明

取值

packet-type arp

指定协议类型为ARP。

说明:

CE6870EI不支持该协议类型。

-

packet-type { icmp | igmp | ospf | dhcp }

指定协议类型为:
  • ICMP

  • IGMP

  • OSPF

  • DHCP

-

packet-type { icmpv6 | ospfv3 | dhcpv6 }

指定协议类型为:
  • ICMPv6

  • OSPFv3

  • DHCPv6

-

packet-type { snmp | dns | ftp | telnet | ssh | bgp }

指定协议类型为:
  • SNMP

  • DNS

  • FTP

  • Telnet

  • SSH

  • BGP

-

acl acl-number

指定过滤器对应的ACL。

acl-number为整数形式,取值范围是2000~3999和23000~23999

  • 2000~2999表示基本ACL范围。
  • 3000~3999表示高级ACL范围。
  • 23000~23999表示基于ARP的ACL范围。
    说明:
    ARP协议类型仅支持基于ARP的ACL。其它协议类型仅支持基本ACL和高级ACL。
acl ipv6 acl6-number

指定过滤器对应的ACL6。

acl6-number为整数形式,取值范围是2000~3999:

  • 2000~2999表示基本ACL6范围。
  • 3000~3999表示高级ACL6范围。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

针对来自特定用户报文的攻击,设备通过ACL把符合特定特征的用户纳入到过滤器中,被纳入过滤器的用户所发的报文到达设备后均根据ACL规则进行允许及丢弃动作。

说明:

过滤器中同一种协议只能绑定一个ACL或者IPv6 ACL,如果绑定了多个ACL或者IPv6 ACL,仅有最后配置的ACL或者IPv6 ACL生效。

当过滤器中协议与ACL规则中协议发生冲突时,设备优先选择按照过滤器中协议进行匹配。如:过滤器中对DHCP协议进行过滤,但ACL规则的protocol为TCP协议时,此时发生冲突(DHCP为UDP报文,ACL规则为TCP报文),设备选取过滤器规则,对DHCP协议进行过滤。

使用实例

# 使用ACL 3001配置过滤器。

<HUAWEI> system-view
[~HUAWEI] cpu-defend policy test
[*HUAWEI-cpu-defend-policy-test] filter packet-type icmp acl 3001

reset auto-defend attack-source

命令功能

reset auto-defend attack-source命令用来清除攻击溯源信息。

命令格式

reset auto-defend attack-source [ statistics ] [ slot slot-id ]

说明:

仅CE6870EI支持statistics参数。

参数说明

参数 参数说明 取值
statistics

指定清除攻击源统计计数信息。

-

slot slot-id
  • 非堆叠情况下,只能是1
  • 堆叠情况下,表示堆叠ID。
如果不指定参数slot slot-id,则清除所有设备的攻击源信息。
根据设备实际配置选取。

视图

用户视图

缺省级别

3:管理级

使用指南

应用场景

当需要查看设备上新的攻击溯源信息时,可以使用reset auto-defend attack-source命令清除设备上当前存在的攻击溯源信息,然后再使用display auto-defend attack-source命令进行查看。

注意事项

执行本命令后,攻击溯源信息将被清除并且不可恢复。

使用实例

# 清除设备上当前存在的攻击溯源信息。

<HUAWEI> reset auto-defend attack-source

reset auto-defend attack-source trace-type

命令功能

reset auto-defend attack-source trace-type命令用来清除基于源MAC地址、基于源IP地址、基于源接口+VLAN三种方式的攻击溯源计数。

命令格式

reset auto-defend attack-source trace-type { source-mac [ mac-address ] | source-ip [ ip-address | ipv6-address ] | source-portvlan [ interface interface-type interface-number vlan vlan-id [ inner-vlan inner-vlan-id ] ] } * [ slot slot-id ]

参数说明

参数 参数说明 取值
source-mac [ mac-address ]

清除基于源MAC地址方式的攻击溯源计数信息。

如果指定了具体的mac-address,只清除该MAC地址的攻击溯源信息。

mac-address的格式为H-H-H,其中H为1至4位的十六进制数。
source-ip [ ip-address | ipv6-address ]

清除基于源IP地址方式的攻击溯源计数信息。

如果指定了具体的ip-address,只清除该IP地址的攻击溯源信息。

如果指定了具体的ipv6-address,只清除该IPv6地址的攻击溯源信息。

ip-address的格式为点分十进制格式。ipv6-address为32位16进制数,格式为X:X:X:X:X:X:X:X。
source-portvlan [ interface interface-type interface-number vlan vlan-id [ inner-vlan inner-vlan-id ] ]

清除基于源接口+VLAN方式的攻击溯源计数信息。

如果指定了具体的接口或者VLAN,只清除该接口和VLAN下的攻击溯源信息。

  • interface-type表示接口类型。

  • interface-number表示接口编号。

  • vlan vlan-id表示VLAN编号。

  • inner-vlan inner-vlan-id表示QinQ内层VLAN编号。

vlan-id是整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外inner-vlan-id是整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外
slot slot-id

指定设备的堆叠成员ID。

根据设备的实际配置选取。

视图

用户视图

缺省级别

3:管理级

使用指南

应用场景

当需要专门查看一段时间内的攻击溯源信息时,可以使用该命令清除原有的攻击溯源信息,然后再使用display auto-defend attack-source命令查看攻击溯源信息。

注意事项

执行本命令后,攻击源信息将被清除并且不可恢复。

使用实例

# 清除源IP地址为10.1.1.1的攻击溯源计数信息。

<HUAWEI> reset auto-defend attack-source trace-type source-ip 10.1.1.1

reset cpu-defend statistics

命令功能

reset cpu-defend statistics命令用来清除上送CPU报文的统计信息。

命令格式

  • CE6870EI和CE6880EI除外:

    reset cpu-defend statistics [ packet-type packet-type ] { all | slot slot-id }

  • CE6870EI和CE6880EI

    reset cpu-defend statistics [ packet-type packet-type ] { all | slot slot-id }

    reset cpu-defend { blacklist | filter } statistics [ slot slot-id ]

参数说明

参数 参数说明 取值
packet-type packet-type

指定的报文协议类型。packet-type表示报文协议类型的名称。

  • 如果指定packet-type packet-type,则清除该协议报文的统计信息。
  • 如果不指定packet-type packet-type,则清除所有协议报文的统计信息。
报文类型以设备显示为准。
all

堆叠情况下,指定所有堆叠交换机;非堆叠情况下,指定本设备。

-
slot slot-id

指定设备的堆叠成员ID。

根据设备的实际配置选取。
blacklist

指定清除基于黑名单的报文统计信息。

-
filter

指定清除基于过滤器的报文统计信息。

-

视图

用户视图

缺省级别

3:管理级

使用指南

应用场景

当需要专门查看一段时间内上送CPU的报文的统计信息时,可以使用reset cpu-defend statistics命令清除原有统计信息,然后使用display cpu-defend statistics查看上送CPU的报文的统计信息。

注意事项

执行本命令后,报文统计信息将被清除并且不可恢复。

使用实例

# 清除bgp报文统计信息。

<HUAWEI> reset cpu-defend statistics packet-type bgp slot 1

snmp-agent trap enable feature-name securitytrap

命令功能

snmp-agent trap enable feature-name securitytrap命令用来打开攻击溯源模块的告警开关。

undo snmp-agent trap enable feature-name securitytrap命令用来关闭攻击溯源模块的告警开关。

缺省情况下,攻击溯源模块的告警开关处于关闭状态。

命令格式

snmp-agent trap enable feature-name securitytrap [ trap-name { hwstrackifvlaninfo | hwstrackipinfo | hwstrackuserinfo } ]

undo snmp-agent trap enable feature-name securitytrap [ trap-name { hwstrackifvlaninfo | hwstrackipinfo | hwstrackuserinfo } ]

参数说明

参数 参数说明 取值
trap-name

打开攻击溯源模块的指定类型事件的告警开关。

-
hwstrackifvlaninfo

打开基于源接口+VLAN的攻击溯源告警开关。

-
hwstrackipinfo

打开基于源IP地址的攻击溯源告警开关。

-
hwstrackuserinfo

打开基于源MAC地址的攻击溯源告警开关。

-

视图

系统视图

缺省级别

3:管理级

使用指南

在用户需要查看攻击溯源模块相关告警的时候,可以打开此开关。

使用实例

# 打开基于源MAC地址的攻击溯源告警开关。

<HUAWEI> system-view
[~HUAWEI] snmp-agent trap enable feature-name securitytrap trap-name hwstrackuserinfo
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:20134

下载量:431

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页