华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
利用硬件实现会话自动应答的CPU防护
如控制平面与管理平面处理能力局限所述,路由器的转发平面由硬件实现,因此其性能极高。而控制和管理平面运行在CPU之上,属于软件系统,其处理能力远远低于转发平面。因此,在遭受安全攻击时,控制和管理平面容易出现处理能力不足,产生拒绝服务,达成攻击者的目标。
NE20E利用转发平面强大的处理能力,将严重威胁CPU安全的几种协议,实现了由硬件智能应答协议请求,减轻了CPU的负担,避免了CPU成为拒绝服务攻击的目标。
图7-9 基于硬件实现智能消息应答的CPU防护
![]()
如上所示,利用路由器转发平面的NP网络处理器硬件,将送给CPU的消息进行自动智能应答,避免了消息上送CPU的性能消耗。同时,在路由器遭受X Flood攻击的时候,能够利用NP硬件的无限性能,保障CPU的运行性能。
- 请参考《NE20E V800R010C10 配置指南-安全》中的使能ARP双向分离功能和配置ARP双向分离和ARP VLAN CAR功能示例。
- 请参考《NE20E V800R010C10 配置指南-IP业务》中的配置ICMP报文快回。
