所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
本机防攻击配置命令

本机防攻击配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

auto-defend attack-packet sample

命令功能

auto-defend attack-packet sample命令用来配置攻击溯源的采样比。

undo auto-defend attack-packet sample命令用来恢复攻击溯源的采样比为缺省值。

缺省情况下,攻击溯源的采样比为5,即每5个报文采样1个报文。

命令格式

auto-defend attack-packet sample sample-value

undo auto-defend attack-packet sample

参数说明

参数 参数说明 取值
sample-value 指定攻击溯源的采样比。 整数形式,取值范围是1~1024。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

攻击溯源的实现采用抽样采取报文来辨别攻击。在辨别是否为攻击报文或者计算攻击报文速率上存在一定误差,精度为采样比。采样比越小,攻击溯源的精度越高,但是相对CPU占用率就越高。当攻击溯源采样比很低时,譬如为1,则每一个报文都能被解析到,这样设备可以很精准的辨别出攻击报文,但是因为对每个报文都进行解析和计算,所以会增加CPU的占用率。

通过auto-defend attack-packet sample命令可以配置采样比,用户可以根据对攻击溯源精度的要求和CPU使用率的现状合理配置采样比的值。

前置条件

在执行该命令前需要先使用auto-defend enable命令使能攻击溯源功能。

注意事项

攻击溯源的阈值越小,采样比带来的误差影响就越大。

使用实例

# 配置防攻击策略test的攻击溯源的采样比为2。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-defend enable
[HUAWEI-cpu-defend-policy-test] auto-defend attack-packet sample 2

auto-defend enable

命令功能

auto-defend enable命令用来使能攻击溯源功能。

undo auto-defend enable命令用来去使能攻击溯源功能。

缺省情况下,攻击溯源功能已使能。

命令格式

auto-defend enable

undo auto-defend enable

参数说明

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

网络上可能会出现大量攻击报文攻击设备的CPU,如果使能攻击溯源功能,通过分析上送CPU的报文是否会对CPU造成攻击,设备能够追溯到攻击源并以日志或告警的方式通知网络管理员,以便网络管理员采取措施对攻击源进行防御部署。缺省情况下,攻击溯源功能以日志的方式通知网络管理员。

使能自动攻击溯源功能后,设备可以对上送CPU的指定报文类型进行溯源追踪。报文类型可以通过命令auto-defend protocol配置。

注意事项

在防攻击策略中配置攻击溯源功能后,需要在系统视图或槽位视图下应用该防攻击策略,攻击溯源功能才可以生效。

V200R009C00版本之前的设备,升级到V200R009C00及之后版本,会自动生成一条undo auto-defend enable的配置。

使用实例

# 使能防攻击策略test的攻击溯源功能。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-defend enable
相关主题

auto-defend action

命令功能

auto-defend action命令用来使能攻击溯源的惩罚功能,并指定惩罚措施。

undo auto-defend action命令用来去使能攻击溯源的惩罚功能。

缺省情况下,未使能攻击溯源的惩罚功能。

命令格式

auto-defend action { deny [ timer time-length ] | error-down }

undo auto-defend action

参数说明

参数 参数说明 取值
deny 指定攻击溯源的惩罚措施为丢弃。 -
timer time-length 指定丢弃攻击报文的周期,在此周期内,识别为攻击的报文全部丢弃。 取值范围为1~86400,单位为秒,缺省值为300秒。
error-down 指定攻击溯源的惩罚措施为将攻击报文进入的接口Error-Down。 -

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

攻击溯源包括报文解析、流量分析、攻击源识别和攻击源惩罚四个过程。auto-defend action的配置结果作用于攻击源惩罚这个阶段,设备会根据识别出的攻击源,对这类源相关的报文进行丢弃操作或者将攻击报文进入的接口Error-Down,从而避免攻击源继续攻击设备。

说明:

如果配置攻击溯源的惩罚措施为将攻击报文进入的接口shutdown,在设备受到攻击之前通过error-down auto-recovery cause auto-defend interval interval-value命令配置接口状态自动恢复为Up的延迟时间,该命令对于已经error down的接口不生效。

前置条件

在执行该命令前需要先使用auto-defend enable命令使能攻击溯源功能。

注意事项

该命令为覆盖式命令,如果在同一个防攻击策略视图下重复执行auto-defend action命令,新配置将覆盖已有配置。

如果配置了攻击溯源的惩罚措施为丢弃,设备受到攻击时会丢弃攻击报文,可以使用display auto-defend attack-source命令查看相应的溯源信息。

设备不对攻击溯源的白名单用户进行攻击溯源的惩罚。

如果配置攻击溯源的惩罚措施是将攻击报文进入的接口shutdown,则会造成设备业务的中断,接口下合法的用户会受牵连,请谨慎使用。

使用实例

# 配置攻击溯源的惩罚措施为丢弃,丢弃报文周期为10秒。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test 
[HUAWEI-cpu-defend-policy-test] auto-defend enable
[HUAWEI-cpu-defend-policy-test] auto-defend action deny timer 10
Info: This configuration may cause packet loss.

auto-defend alarm enable

命令功能

auto-defend alarm enable命令用来使能攻击溯源事件上报功能。

undo auto-defend alarm enable命令用来去使能攻击溯源事件上报功能。

缺省情况下,未使能攻击溯源事件上报功能。

命令格式

auto-defend alarm enable

undo auto-defend alarm enable

参数说明

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

当可能的攻击源在单位时间内发送某种协议类型的报文超过一定阈值时,如果希望设备能以事件(event)上报的方式提醒网络管理员,以便管理员采取一定的措施来保护设备,则可以使能攻击溯源事件功能。

前置条件

在执行该命令前需要先使用auto-defend enable命令使能攻击溯源功能。

后续任务

使用auto-defend threshold命令配置攻击溯源事件上报阈值。

使用实例

# 使能防攻击策略test的攻击溯源事件上报功能。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-defend enable
[HUAWEI-cpu-defend-policy-test] auto-defend alarm enable

auto-defend protocol

命令功能

auto-defend protocol命令用来配置攻击溯源防范的报文类型。

undo auto-defend protocol命令用来删除攻击溯源防范的报文类型。

缺省情况下,攻击溯源防范的报文类型为8021X、ARP、DHCP、DHCPv6、ICMP、ICMPv6、IGMP、MLD、ND、TCP、Telnet。

命令格式

auto-defend protocol { all | { 8021x | arp | dhcp | dhcpv6 | icmp | icmpv6 | igmp | mld | nd | tcp | telnet | ttl-expired | udp }* }

undo auto-defend protocol { 8021x | arp | dhcp | dhcpv6 | icmp | icmpv6 | igmp | mld | nd | tcp | telnet | ttl-expired | udp }*

参数说明

参数

参数说明

取值

all

指定攻击溯源防范的报文类型为8021X、ARP、DHCP、DHCPv6、ICMP、ICMPv6、IGMP、MLD、ND、TCP、Telnet、TTL-expired和UDP。

-

8021x

表示在攻击溯源防范的报文类型列表中添加/删除8021X报文。

-

arp

表示在攻击溯源防范的报文类型列表中添加/删除ARP报文。

-

dhcp

表示在攻击溯源防范的报文类型列表中添加/删除DHCP报文。

-

dhcpv6

表示在攻击溯源防范的报文类型列表中添加/删除DHCPv6报文。

-

icmp

表示在攻击溯源防范的报文类型列表中添加/删除ICMP报文。

-

icmpv6

表示在攻击溯源防范的报文类型列表中添加/删除ICMPv6报文。

-

igmp

表示在攻击溯源防范的报文类型列表中添加/删除IGMP报文。

-

mld

表示在攻击溯源防范的报文类型列表中添加/删除MLD报文。

-

nd

表示在攻击溯源防范的报文类型列表中添加/删除ND报文。

-

tcp

表示在攻击溯源防范的报文类型列表中添加/删除TCP报文。

-

telnet

表示在攻击溯源防范的报文类型列表中添加/删除Telnet报文。

-

ttl-expired

表示在攻击溯源防范的报文类型列表中添加/删除TTL为1的报文。

-

udp

表示在攻击溯源防范的报文类型列表中添加/删除UDP报文。

-

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

攻击溯源包括报文解析、流量分析、攻击源识别和攻击源惩罚四个过程,auto-defend protocol的配置结果作用于报文解析阶段。当攻击发生时,由于设备同时对多种类型的报文进行溯源,管理员无法区分攻击报文的具体类型。执行本命令,管理员可以灵活配置攻击溯源防范的报文类型,设备将针对所配置的报文类型进行溯源。

前置条件

在执行该命令前需要先使用auto-defend enable命令使能攻击溯源功能。

注意事项

  • 该命令为覆盖式命令,重复配置此命令行,新配置将覆盖已有配置。
  • 如果配置了攻击溯源防范的某一种协议报文类型,当设备受到了攻击并进行溯源时,可以使用display auto-defend attack-source命令查看相应的溯源信息。
  • 配置攻击溯源防范的报文类型为ICMPv6时,仅支持对目的IP是本接口IPv6地址的ICMPv6报文进行攻击溯源。

使用实例

# 在攻击溯源防范的报文类型列表中删除IGMP报文和TTL-expired报文。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-defend enable
[HUAWEI-cpu-defend-policy-test] undo auto-defend protocol igmp ttl-expired

auto-defend threshold

命令功能

auto-defend threshold命令用来配置攻击溯源检查阈值和事件上报阈值

undo auto-defend threshold命令用来恢复攻击溯源检查阈值和事件上报阈值为缺省值。

缺省情况下,攻击溯源检查阈值和事件上报阈值60pps。

命令格式

auto-defend threshold threshold

undo auto-defend threshold

参数说明

参数 参数说明 取值
threshold 指定攻击溯源检查阈值和事件上报阈值 整数形式,取值范围是1~65535,单位是pps。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

使能攻击溯源功能后,网络管理员可以配置攻击溯源检查阈值和事件上报阈值,当可能的攻击源在单位时间内发送某种协议类型的报文超过此阈值时,设备开始溯源,并将攻击源记录到日志中。

前置条件

在执行该命令前需要先使用auto-defend enable命令使能攻击溯源功能。

注意事项

该命令为覆盖式命令,如果在同一个防攻击策略视图下重复执行auto-defend threshold命令,新配置将覆盖已有配置。

使用auto-defend enable命令使能攻击溯源功能后,即使未使用auto-defend threshold命令进行配置,设备也将使用缺省的攻击溯源检查阈值和事件上报阈值对攻击源进行溯源。

使用实例

# 配置防攻击策略test的攻击溯源检查阈值和事件上报阈值为200pps。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-defend enable
[HUAWEI-cpu-defend-policy-test] auto-defend threshold 200

auto-defend trace-type

命令功能

auto-defend trace-type命令用来配置攻击溯源的溯源模式。

undo auto-defend trace-type命令用来删除攻击溯源的溯源模式。

缺省情况下,攻击溯源默认开启的溯源模式为基于源IP地址和基于源MAC地址。

命令格式

auto-defend trace-type { source-mac | source-ip | source-portvlan } *

undo auto-defend trace-type { source-mac | source-ip | source-portvlan } *

参数说明

参数 参数说明 取值
source-mac 指定攻击溯源的方式为基于源MAC地址,设备根据源MAC地址进行分类统计,识别攻击源。 -
source-ip 指定攻击溯源的方式为基于源IP地址,设备根据源IP地址进行分类统计,识别攻击源。 -
source-portvlan 指定攻击溯源的方式为基于源接口+VLAN,设备根据基于源接口+VLAN进行分类统计,识别攻击源。 -

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

使能攻击溯源功能后,网络管理员可以配置多种攻击溯源的溯源模式。当攻击溯源启动后,设备将根据所配置的溯源模式进行溯源。

目前,设备支持三种溯源模式,分别适用于以下场景:

  • 针对三层报文的攻击,配置基于源IP地址进行溯源。
  • 针对固定源MAC地址报文的攻击,配置基于源MAC地址进行溯源。
  • 针对变换源MAC地址报文的攻击,配置基于接口和VLAN进行溯源。

前置条件

在执行该命令前需要先使用auto-defend enable命令使能攻击溯源功能。

注意事项

VXLAN场景下,不支持端口+VLAN的溯源模式,同时若隧道侧接口位于ET1D2X48SEC0单板上时,也不支持基于源IP地址的溯源模式。

不同类型报文支持的溯源模式情况也不相同,具体如表14-23所示。

表14-23  不同类型报文支持的溯源模式

报文类型

支持的溯源模式

802.1X

基于源MAC地址、基于源接口+VLAN

ARP、DHCP、IGMP、ND、DHCPv6、MLDv6

基于源IP地址、基于源MAC地址、基于源接口+VLAN

ICMP、TTL-expired、Telnet、TCP、UDP

基于源IP地址、基于源接口+VLAN

该命令为覆盖式命令,重复配置此命令行,新配置将覆盖已有配置。

对于不同类型的协议报文,设备支持的攻击溯源模式的数量也不同,具体差异可参考此命令的缺省情况。

相应的攻击溯源方式启动后,如果设备受到攻击,并且进行了溯源,可以使用display auto-defend attack-source查看相应的溯源信息。

对于攻击溯源的溯源模式为source-ip且惩罚措施为error-down的情况,如果多个接口同时接收到source-ip相同的攻击报文,当此报文数量超过检查阈值时,设备不会将所有接口都shutdown掉,而是先shutdown其中一个接口,然后继续进行检测。如果报文数量还是超过检查阈值,设备会再shutdown掉其中一个接口,以此类推,直到报文数量在阈值范围内。

使用实例

# 配置仅基于源MAC地址模式进行攻击溯源。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test 
[HUAWEI-cpu-defend-policy-test] auto-defend enable
[HUAWEI-cpu-defend-policy-test] undo auto-defend trace-type source-ip source-portvlan

auto-defend whitelist

命令功能

auto-defend whitelist命令用来配置攻击溯源的白名单,对白名单用户不做溯源。

undo auto-defend whitelist命令用来删除攻击溯源的白名单的条目。

缺省情况下,没有攻击溯源的白名单。但是如果符合下面三种条件之一,无论攻击溯源功能有没有使能,设备都会自动将相应条件作为白名单的匹配规则。在使能了攻击溯源功能后,设备不会对匹配这些规则的报文作溯源处理。

  • 某个业务使用TCP协议,并且与设备成功建立TCP连接,设备不会对匹配相应源IP地址的TCP报文进行溯源处理。但是如果在1小时内,都没有相应源IP地址的TCP报文匹配,对应规则就会老化失效。
  • 通过dhcp snooping trusted将设备某接口配置成了DHCP信任接口,设备不会对该端口收到的DHCP报文进行溯源处理。
  • 通过mac-forced-forwarding network-port将设备某接口配置成了MFF的网络侧接口,设备不会对该端口收到的ARP报文进行溯源处理。

上述的自动下发白名单的规则有数量限制,基于源IP地址、接口的规则总数最多能够下发16条,其中对基于源IP地址的TCP报文不进行溯源的规则最多能够下发8条。

命令格式

auto-defend whitelist whitelist-number { acl acl-number | interface interface-type interface-number }

undo auto-defend whitelist whitelist-number [ acl acl-number | interface interface-type interface-number ]

参数说明

参数 参数说明 取值
whitelist-number 指定攻击溯源的白名单的编号。 整数形式,取值范围是1~32
acl acl-number 指定攻击溯源的白名单对应的ACL。

acl-number为整数形式,取值范围是2000~4999:

  • 2000~2999表示基本ACL范围。
  • 3000~3999表示高级ACL范围。
  • 4000~4999表示二层ACL范围。
interface interface-type interface-number 指定攻击溯源白名单生效的接口类型和接口编号。其中:
  • interface-type表示接口类型。

  • interface-number表示接口编号。

-

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

攻击溯源可以帮助定位DOS攻击源,并通过命令配置对攻击做出惩罚,当希望某些用户无论其是否存在攻击都不对其进行攻击溯源分析和攻击溯源惩罚时,则需要配置该命令。

前置条件

在执行该命令前需要先使用auto-defend enable命令使能攻击溯源功能。

注意事项

如果使用ACL定义攻击溯源白名单,需要配置ACL和对应的规则。

如果定义了某些协议的ACL白名单,需要保证攻击溯源支持该协议,可以使用display auto-defend configuration命令查看攻击溯源支持的协议类型。如果定义的协议不支持,可以使用auto-defend protocol命令配置。

使用实例

# 将源IP地址为10.1.1.1和10.1.1.2的用户加入攻击溯源的白名单。

<HUAWEI> system-view
[HUAWEI] acl 2000
[HUAWEI-acl-basic-2000] rule permit source 10.1.1.1 0
[HUAWEI-acl-basic-2000] rule permit source 10.1.1.2 0
[HUAWEI-acl-basic-2000] quit
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-defend enable
[HUAWEI-cpu-defend-policy-test] auto-defend whitelist 1 acl 2000

auto-port-defend aging-time

命令功能

auto-port-defend aging-time命令用来配置端口防攻击的老化探测周期。

undo auto-port-defend aging-time命令用来恢复端口防攻击的老化探测周期为缺省值。

缺省情况下,端口防攻击的老化探测周期为300秒。

命令格式

auto-port-defend aging-time time

undo auto-port-defend aging-time [ time ]

参数说明

参数 参数说明 取值
aging-time time 指定端口防攻击的老化探测周期。 整数形式,取值范围是30~86400,只能是10的倍数。单位是秒。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

基于端口的防攻击功能在已使能的情况下,设备一旦检测到存在攻击的端口,就会在老化探测周期内(假设为T秒)对该端口的攻击报文持续进行溯源和限速处理。达到T秒之后,设备会再次计算该端口收到协议报文的速率,如果该值超过了检查阈值(即存在攻击),则继续对其进行溯源和限速处理;反之,则停止溯源和限速。

老化探测周期过短,设备频繁启动端口报文速率的检测,会消耗CPU资源;反之,老化探测周期过长,设备长时间进行端口防攻击限速,可能会导致过多的协议报文未被CPU及时处理而影响该协议对应的正常业务。因此,网络管理员可以根据设备CPU使用率的现状和业务运行情况,通过命令auto-port-defend aging-time配置合理的端口防攻击老化探测周期。

前置条件

在执行该命令前需要先使用命令auto-port-defend enable使能基于端口的防攻击功能。

注意事项

该命令为覆盖式命令,如果在同一个防攻击策略视图下重复执行命令auto-port-defend aging-time,新配置将覆盖已有配置。

使用实例

# 在防攻击策略test视图下,配置端口防攻击的老化探测周期为350秒。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-port-defend enable
[HUAWEI-cpu-defend-policy-test] auto-port-defend aging-time 350

auto-port-defend alarm enable

命令功能

auto-port-defend alarm enable命令用来使能端口防攻击事件上报功能。

undo auto-port-defend alarm enable命令用来去使能端口防攻击事件上报功能。

缺省情况下,未使能端口防攻击事件上报功能。

命令格式

auto-port-defend alarm enable

undo auto-port-defend alarm enable

参数说明

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

如果某个端口下存在DoS攻击,从该端口上送CPU处理的大量恶意攻击报文会挤占带宽,导致其他端口的协议报文无法正常上送CPU处理,从而造成业务中断。此时可以配置端口防攻击事件上报功能,当端口下协议报文数量超过检查阈值时,设备以事件(event)上报的方式提醒网络管理员,以便管理员采取一定的措施来保护设备。

前置条件

在执行该命令前需要先使用auto-port-defend enable命令使能基于端口的防攻击功能。

后续任务

使用auto-port-defend protocol { all | arp-request | arp-reply | dhcp | icmp | igmp | ip-fragment } threshold threshold命令配置基于端口防攻击的协议报文检查阈值。

使用实例

# 使能防攻击策略test的端口防攻击事件上报功能。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-port-defend enable
[HUAWEI-cpu-defend-policy-test] auto-port-defend alarm enable

auto-port-defend enable

命令功能

auto-port-defend enable命令用来使能基于端口的防攻击功能。

undo auto-port-defend enable命令用来去使能基于端口的防攻击功能。

缺省情况下,已使能基于端口的防攻击功能。

命令格式

auto-port-defend enable

undo auto-port-defend enable

参数说明

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

如果某个端口下存在攻击者发起DoS攻击,从该端口上送CPU处理的大量恶意攻击报文会挤占带宽,导致其他端口的协议报文无法正常上送CPU处理,从而造成业务中断。

通过部署基于端口的防攻击功能,可以有效控制从端口上送CPU处理的报文数量,以防御针对CPU的DoS攻击。

该功能默认已使能。当设备检测到某端口在一秒时间内收到的协议报文数超过了端口防攻击的检查阈值,就认为该端口存在攻击,设备会对该端口接收到的报文进行溯源和限速处理,并以日志的方式通知管理员,避免对正常的端口造成影响。

注意事项

在防攻击策略中配置基于端口的防攻击功能后,需要在系统视图或槽位视图下应用该防攻击策略,基于端口的防攻击功能才可以生效。

使用实例

# 在防攻击策略test视图下,使能基于端口的防攻击功能。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-port-defend enable
相关主题

auto-port-defend protocol

命令功能

auto-port-defend protocol命令用来配置端口防攻击可以防范的报文类型。

undo auto-port-defend protocol命令用来删除端口防攻击功能可以防范的报文类型。

缺省情况下,端口防攻击支持防范的报文类型为ARP Request、ARP Reply、DHCP、ICMP、IGMP和IP分片报文。

命令格式

auto-port-defend protocol { all | { arp-request | arp-reply | dhcp | icmp | igmp | ip-fragment } * }

undo auto-port-defend protocol { arp-request | arp-reply | dhcp | icmp | igmp | ip-fragment } *

参数说明

参数

参数说明

取值

all

指定端口防攻击可防范的报文类型为所有协议报文,包括ARP Request、ARP Reply、DHCP、IGMP、ICMP和IP分片报文。

-

arp-request

添加或删除端口防攻击可防范的报文类型为ARP Request报文。

-

arp-reply

添加或删除端口防攻击可防范的报文类型为ARP Reply报文。

-

dhcp

添加或删除端口防攻击可防范的报文类型为DHCP报文。

-

icmp

添加或删除端口防攻击可防范的报文类型为ICMP报文。

-

igmp

添加或删除端口防攻击可防范的报文类型为IGMP报文。

-

ip-fragment

添加或删除端口防攻击可防范的报文类型为IP分片报文。

-

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

缺省情况下,设备会对端口收到的所有可防范的协议报文的速率进行计算,并对该端口的攻击报文进行溯源和限速处理。如果管理员发现设备检测出的多种攻击报文类型中,仅有少部分才是真正的攻击报文,则可以通过undo auto-port-defend protocol命令删除不必要的防范报文类型,避免设备因对过多的协议报文进行限速而影响正常业务。

前置条件

在执行该命令前需要先使用命令auto-port-defend enable使能基于端口的防攻击功能。

注意事项

该命令为覆盖式命令,如果在同一防攻击策略视图下多次使用本命令,配置结果为最后一次配置的内容。

如果配置了端口防攻击防范的某一种协议报文类型,当设备某端口受到了该类型报文的攻击时,可以使用命令display auto-port-defend attack-source查看相应的端口防攻击溯源信息。

使用实例

# 在防攻击策略test视图下,删除不必要的端口防攻击的防范报文类型,包括ARP Reply报文。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-port-defend enable
[HUAWEI-cpu-defend-policy-test] undo auto-port-defend protocol arp-reply

auto-port-defend protocol threshold

命令功能

auto-port-defend protocol threshold命令用来配置基于端口防攻击的协议报文检查阈值。

undo auto-port-defend protocol threshold命令用来恢复基于端口防攻击的协议报文检查阈值为缺省值。

缺省情况下,各协议报文基于端口防攻击的检查阈值分别为:

报文类型

基于端口防攻击的检查阈值

arp-request

业务板是60pps,主控板是120pps

arp-reply

业务板是60pps,主控板是120pps

dhcp

业务板是60pps,主控板是120pps

icmp

业务板是60pps,主控板是120pps

igmp

业务板是60pps,主控板是120pps

ip-fragment

30pps

命令格式

auto-port-defend protocol { all | arp-request | arp-reply | dhcp | icmp | igmp | ip-fragment } threshold threshold

undo auto-port-defend protocol { all | arp-request | arp-reply | dhcp | icmp | igmp | ip-fragment } threshold [ threshold ]

参数说明

参数 参数说明 取值
all 指定所有报文类型,包括ARP Request、ARP Reply、DHCP、IGMP、ICMP和IP分片报文。 -
arp-request 指定ARP Request报文类型。 -
arp-reply 指定ARP Reply报文类型。 -
dhcp 指定DHCP报文类型。 -
icmp 指定ICMP报文类型。 -
igmp 指定IGMP报文类型。 -
ip-fragment 指定IP分片报文类型。 -
threshold threshold 指定基于端口防攻击的协议报文检查阈值。 整数形式,取值范围是1~65535,单位是pps。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

基于端口的防攻击功能在已使能的情况下,设备会对端口收到的可防范协议报文的速率进行计算。如果该值超过了端口防攻击检查阈值,就认为该端口存在攻击,设备将对该端口的攻击报文进行溯源和限速处理,并通过日志的方式通知网络管理员。设备的限速处理方式为:对于未超出限速值(该值等同于防攻击策略里协议报文的CPCAR值)的报文,设备将其移入低优先级队列后再上送CPU处理;对于超出限速值的报文,设备直接丢弃。

网络管理员可以根据设备上的业务运行情况配置合理的端口防攻击检查阈值。如果因为端口防攻击导致过多的协议报文未被CPU及时处理而影响了该协议对应的正常业务,则可以适当放大该协议报文的端口防攻击检查阈值;如果因为CPU处理过多的某种协议报文而影响到了其他业务,则可以适当调小该协议报文的端口防攻击检查阈值。

前置条件

在执行该命令前需要先使用命令auto-port-defend enable使能基于端口的防攻击功能。

注意事项

该命令为覆盖式命令,如果在同一个防攻击策略视图下重复执行命令auto-port-defend protocol threshold,新配置将覆盖已有配置。

使用实例

# 在防攻击策略test视图下,配置ARP Request协议报文的端口防攻击检查阈值为40pps。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-port-defend enable
[HUAWEI-cpu-defend-policy-test] auto-port-defend protocol arp-request threshold 40

auto-port-defend sample

命令功能

auto-port-defend sample命令用来配置基于端口防攻击的协议报文采样比。

undo auto-port-defend sample命令用来恢复基于端口防攻击的协议报文采样比为缺省值。

缺省情况下,基于端口防攻击的协议报文采样比为5,即每5个报文采样1个报文。

命令格式

auto-port-defend sample sample-value

undo auto-port-defend sample [ sample-value ]

参数说明

参数 参数说明 取值
sample sample-value 指定基于端口防攻击的协议报文采样比。 整数形式,取值范围是1~1024。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

在基于端口的防攻击实现中,设备通过抽样采取报文来辨别攻击。在辨别报文是否为攻击报文,或者计算攻击报文速率时,存在一定的误差。通过配置采样比,可以有效控制防攻击的精度,避免因误差太大而达不到防攻击的效果。

采样比越小,防攻击的精度越高,同时CPU使用率也相对越高。当端口防攻击采样比很低时,例如为1,则设备会对每一个报文都进行解析,从而可以很精准的辨别出攻击报文。但是因为对每个报文都进行解析和计算,会导致CPU的使用率大幅度提高,影响正常业务。因此请根据对端口防攻击的精度要求和CPU使用率的现状,合理配置采样比的值。

前置条件

在执行该命令前需要先使用命令auto-port-defend enable使能基于端口的防攻击功能。

注意事项

基于端口防攻击的协议报文检查阈值越小,采样比带来的误差影响就越大。

使用实例

# 在防攻击策略test视图下,配置端口防攻击采样比为4。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-port-defend enable
[HUAWEI-cpu-defend-policy-test] auto-port-defend sample 4

auto-port-defend whitelist

命令功能

auto-port-defend whitelist命令用来配置端口防攻击的白名单,对白名单用户不进行端口防攻击处理。

undo auto-port-defend whitelist命令用来删除端口防攻击的白名单条目。

缺省情况下,没有配置端口防攻击的白名单。但是当通过dhcp snooping trusted命令将端口配置DHCP信任接端口后,无论端口防攻击功能有没有使能,设备都不会对端口收到的DHCP报文进行端口防攻击处理。

命令格式

auto-port-defend whitelist whitelist-number { acl acl-number | interface interface-type interface-number }

undo auto-port-defend whitelist whitelist-number [ acl acl-number | interface interface-type interface-number ]

参数说明

参数 参数说明 取值
whitelist-number 指定端口防攻击的白名单编号。 整数形式,取值范围是1~32
acl acl-number 指定端口防攻击白名单对应的ACL编号。

acl-number为整数形式,取值范围是2000~4999:

  • 2000~2999表示基本ACL范围。
  • 3000~3999表示高级ACL范围。
  • 4000~4999表示二层ACL范围。
interface interface-type interface-number 指定端口防攻击白名单生效的接口类型和接口编号。其中:
  • interface-type表示接口类型。

  • interface-number表示接口编号。

-

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

基于端口的防攻击功能默认已使能,因此设备会计算所有端口的可防范协议报文的速率,并对所有端口被检测出的攻击报文进行溯源和限速处理。如果有特殊业务需求,例如网络侧的端口通常会收到大量协议报文,然而这些协议报文一般为合法报文,此时通过将该端口或者该端口连接的其他网络节点加入端口防攻击白名单,使设备不对其溯源和限速,可以避免因网络侧大量协议报文得不到CPU及时处理而影响正常业务。

前置条件

在执行该命令前需要先使用命令auto-port-defend enable使能基于端口的防攻击功能。

注意事项

如果使用ACL定义端口防攻击白名单,需要配置ACL和对应的规则。

如果定义了某些协议的ACL白名单,需要保证端口防攻击支持对该协议报文进行防范。通过命令auto-port-defend protocol可以配置端口防攻击支持防范的报文类型。

使用实例

# 在防攻击策略test视图下,将源IP地址为10.1.1.1和10.1.1.2的用户加入端口防攻击的白名单。

<HUAWEI> system-view
[HUAWEI] acl 2000
[HUAWEI-acl-basic-2000] rule permit source 10.1.1.1 0
[HUAWEI-acl-basic-2000] rule permit source 10.1.1.2 0
[HUAWEI-acl-basic-2000] quit
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-port-defend enable
[HUAWEI-cpu-defend-policy-test] auto-port-defend whitelist 1 acl 2000

# 在防攻击策略test视图下,将接口GE1/0/1加入端口防攻击的白名单。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] auto-port-defend enable
[HUAWEI-cpu-defend-policy-test] auto-port-defend whitelist 1 interface gigabitethernet 1/0/1

blacklist

命令功能

blacklist命令用来配置黑名单。

undo blacklist命令用来删除黑名单。

缺省情况下,没有配置黑名单。

命令格式

IPv4黑名单:

blacklist blacklist-id acl acl-number1

undo blacklist blacklist-id

IPv6黑名单:

blacklist blacklist-id acl ipv6 acl-number2

undo blacklist blacklist-id

参数说明

参数

参数说明

取值

blacklist-id

指定黑名单编号。

整数形式,取值范围是1~8

acl acl-number1

指定IPv4黑名单对应的ACL。

acl-number1为整数形式,取值范围是2000~4999:

  • 2000~2999表示基本ACL范围。
  • 3000~3999表示高级ACL范围。
  • 4000~4999表示二层ACL范围。

acl ipv6 acl-number2

指定IPv6黑名单对应的ACL。

acl-number2为整数形式,取值范围是3000~3999。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

针对来自特定用户恶意报文的攻击,设备通过ACL把符合特定特征的用户纳入到黑名单中,被纳入黑名单的用户所发的报文到达设备后均会被丢弃。

设备的一个防攻击策略最多可以配置8条黑名单(包括IPv4黑名单和IPv6黑名单)

对于X系列单板,通过命令display cpu-defend statistics统计设备丢弃报文时,黑名单用户的流量不在统计范围内。对于其他单板,因为黑名单用户流量在流量统计之后才丢弃,因此统计信息中包含已经丢弃的黑名单用户流量。

使用实例

# 使用ACL 2001配置2号IPv4黑名单。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] blacklist 2 acl 2001
Info: This configuration may cause packet loss.

# 使用ACL 3001配置3号IPv6黑名单。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] blacklist 3 acl ipv6 3001
Info: This configuration may cause packet loss.

car(防攻击策略视图)

命令功能

car命令用来配置上送CPU报文的速率限制。

undo car命令用来恢复上送CPU报文的速率限制为缺省值。

缺省情况下,对用户自定义流的CAR速率抑制值为64kbit/s,协议报文的CAR速率可以通过display cpu-defend configuration查看。

命令格式

car { packet-type packet-type | user-defined-flow flow-id } cir cir-value [ cbs cbs-value ]

undo car { packet-type packet-type | user-defined-flow flow-id }

参数说明

参数 参数说明 取值
packet-type packet-type 指定报文类型。 报文类型信息以设备显示为准。
user-defined-flow flow-id

指定用户自定义流。

整数形式,取值范围是1~8。
cir cir-value 指定承诺信息速率(Committed Information Rate)。
整数形式,
  • 当选择packet-type packet-type时,取值范围根据报文类型不同而不同,以设备显示为准。
  • 当选择user-defined-flow flow-id时,取值范围是8~4096,单位是kbit/s。
cbs cbs-value 指定承诺突发尺寸(Committed Burst Size)。
整数形式,
  • 当选择packet-type packet-type时,取值范围根据报文类型不同而不同,以设备显示为准。
  • 当选择user-defined-flow flow-id时,取值范围是10000~800000,单位是byte。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

设备针对每类协议报文都有缺省的CPCAR值,部分协议报文的CPCAR值需要根据实际业务规模和具体的用户网络环境进行调整。

创建防攻击策略后,可以在防攻击策略中对协议报文进行限速:

  • CAR速率调小场景:当存在网络攻击时,可以将攻击报文对应协议CAR速率调小,减少对CPU的影响。
  • CAR速率调大场景:当网络中正常业务规模增加时,有大量正常的协议报文需要上送CPU处理时,可以将协议报文CAR速率调大,满足正常的业务需求。

调整CPCAR不当将会影响网络业务,如果需要调整CPCAR,建议联系技术支持工程师处理。

对于主控板和X系列单板,设备针对部分协议报文采用pps限速,即按照报文个数进行限速,即实际生效的CPCAR限速值为按照每秒允许通过的报文个数为cir*1024/(8*报文长度)。例如,配置802.1X报文的CPCAR限速值为64kbit/s,则实际每秒允许通过40个802.1X报文,即64*1024/(8*200)=40.96的向下取整值。

支持pps限速的报文的类型和长度如下表所示。

报文长度(包含前导码+帧间隙) 报文类型
88 nac-arp-reply 、nac-arp-request、8021x、8021x-wireless、8021x-start-wlan、8021x-ident-wlan、8021x-start、8021x-ident、nac-nd
100 eap-key、capwap-other、capwap-ap-update、capwap-keepalive
120 capwap-association、capwap-smart-roam、capwap-disassoc
128 hw-tacacs、wapi、capwap-rf-neighbor、capwap-regular-rep、capwap-ap-auth、capwap-license-mng、capwap-ac-auth
152 portal
200 wlan-not-capwap
256 capwap-discov-bc、capwap-discov-uc
374 nac-dhcp、dhcp-server
400 capwap-echo、radius、nac-dhcpv6
800 sip

注意事项

对上送CPU的同一个报文先后采用deny命令和car命令时,最后配置的命令生效。

说明:

当上送CPU报文速率过大时,如果在设备上配置的CAR速率抑制值也过大,可能导致CPU占用率过高,影响设备性能,极端情况下会导致设备集群分裂。

使用实例

# 配置防攻击策略test的报文限速规则,设置报文类型为arp-reply,承诺信息速率为64kbit/s,承诺突发尺寸为33000byte。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test 
[HUAWEI-cpu-defend-policy-test] car packet-type arp-reply cir 64 cbs 33000
Warning: Improper parameter settings may affect stable operating of the system. Use this command under assistance of Huawei engineer
s. Continue? [Y/N]:y 

cpu-defend application-apperceive enable

命令功能

cpu-defend application-apperceive enable命令用来使能动态链路保护功能,使通过linkup-car命令配置的协议报文CPCAR值生效。

undo cpu-defend application-apperceive enable命令用来去使能动态链路保护功能。

缺省情况下,FTP、HTTP、HTTPS、SSH、TELNET和TFTP协议的动态链路保护功能已使能,BGP和OSPF协议的动态链路保护功能未使能。

命令格式

cpu-defend application-apperceive [ bgp | ftp | http | https | ospf | ssh | telnet | tftp ] enable

undo cpu-defend application-apperceive [ bgp | ftp | http | https | ospf | ssh | telnet | tftp ] enable

说明:

仅V200R013C00SPC500版本支持http参数。

参数说明

参数 参数说明 取值
bgp 指定使能BGP协议的动态链路保护功能。 -
ftp 指定使能FTP协议的动态链路保护功能。 -
http 指定使能HTTP协议的动态链路保护功能。 -
https 指定使能HTTPS协议的动态链路保护功能。 -
ospf 指定使能OSPF协议的动态链路保护功能。 -
ssh 指定使能SSH协议的动态链路保护功能。 -
telnet 指定使能TELNET协议的动态链路保护功能。 -
tftp 指定使能TFTP协议的动态链路保护功能。 -

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

由于BGP、FTP、HTTP、HTTPS、OSPF、SSH、TFTP或TELNET等协议的默认CAR的值比较小,当交换机使用这些协议同其他主机或设备进行文件传输或者建立连接时,可能会出现协议报文流量瞬间激增的情况,从而超过交换机的速率限制而被丢弃,或者受到其他协议报文攻击,影响数据的正常传输,造成业务中断。

此时可以通过配置本命令使能动态链路保护功能,保证BGP、FTP、HTTP、HTTPS、OSPF、SSH、TFTP和TELNET相关业务在攻击发生时可以正常运行。当协议连接建立时,系统就会以linkup-car配置的CPCAR值上送报文。linkup-car配置的CPCAR值大小可视需求设置。

注意事项

若需要使能某协议的动态链路保护功能,需先执行cpu-defend application-apperceive enable命令使能全局动态链路保护功能。例如:若需要使能TFTP协议的动态链路保护功能,需要先执行cpu-defend application-apperceive enable命令,再执行cpu-defend application-apperceive tftp enable命令,使配置生效。

在使用linkup-car配置CPCAR值的时候,建议先使用display cpu-defend configuration命令查看一下当前协议支持的CPCAR值(对应显示信息的CIR的值)。

使用实例

# 使能BGP协议的动态链路保护功能,并配置BGP协议报文的CPCAR值为256kbit/s。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] linkup-car packet-type bgp cir 256
[HUAWEI-cpu-defend-policy-test] quit
[HUAWEI] cpu-defend application-apperceive enable
[HUAWEI] cpu-defend application-apperceive bgp enable

cpu-defend dynamic-car enable

命令功能

cpu-defend dynamic-car enable命令用来使能动态调整协议报文的默认CPCAR值功能。

undo cpu-defend dynamic-car enable命令用来去使能动态调整协议报文的默认CPCAR值功能。

缺省情况下,全局的动态调整协议报文的默认CPCAR值功能已使能,动态调整OSPF和ARP协议报文的默认CPCAR值功能未使能。

命令格式

cpu-defend dynamic-car [ ospf | arp ] enable

undo cpu-defend dynamic-car [ ospf | arp ] enable

参数说明

参数 参数说明 取值
ospf 使能动态调整OSPF协议报文的默认CPCAR值功能。 -
arp 使能动态调整ARP协议报文的默认CPCAR值功能。 -

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为了解决固定的默认CPCAR值无法满足实际应用中设备对报文上送速度上限的动态需求,可以执行本命令使能动态调整协议报文的默认CPCAR值功能。

如果协议报文的默认CPCAR值未经修改,设备将会根据业务规模(如动态ARP表项条目个数)以及系统状态(即CPU使用率)来动态调整默认CPCAR值,从而满足不同的业务场景需求。具体调整情况如表14-24表14-25表14-26所示。

表14-24  调整ARP报文的默认CPCAR值
ARP表项数 调整后的CPCAR值
小于等于512 不调整
大于512但小于等于1024 主控板和接口板均为128kbit/s,但是如果主控板和接口板的默认CPCAR值大于128kbit/s,则不调整
大于1024但小于等于3072 主控板和接口板均为256kbit/s
大于3072但小于等于4096 主控板和接口板均为512kbit/s
4096以上 主控板为768kbit/s,接口板为512kbit/s
表14-25  调整OSPF报文的默认CPCAR值
OSPF连接数(OSPF邻居数×LSA数) 调整后的CPCAR值
小于等于350000 不调整,维持原默认CPCAR值,主控板为512kbit/s,接口板为256kbit/s
大于350000但小于等于420000 主控板为768kbit/s,接口板为384kbit/s
420000以上 主控板为1024kbit/s,接口板为512kbit/s
表14-26  调整OSPF-HELLO报文的默认CPCAR值
OSPF连接数(OSPF邻居数) 调整后的CPCAR值
小于等于64 不调整
大于64但小于等于128 主控板为256kbit/s,接口板为128kbit/s
大于128但小于等于256 主控板为512kbit/s,接口板为256kbit/s
大于256但小于等于384 主控板为768kbit/s,接口板为384kbit/s
大于384 主控板为1024kbit/s,接口板为512kbit/s
说明:

随着表项数目的增加,CPCAR值会向上动态调整,当CPU利用率大于70%且小于98%时,动态调整停止。当CPU利用率大于98%,则CPCAR值会直接调整回缺省值。

当不指定ospfarp参数时,表示全局使能动态调整协议报文的默认CPCAR值功能。

注意事项

只有当全局和针对OSPF或ARP协议的动态调整默认CPCAR值功能均使能时,设备才会动态调整OSPF或ARP协议的默认CPCAR值。

动态调整协议报文的默认CPCAR值功能仅在未手工修改该协议报文的CPCAR值时生效。

调整OSPF协议报文的默认CPCAR值时,设备仅会针对协议类型为ospf和ospf-hello的报文进行调整。

调整ARP协议报文的默认CPCAR值时,设备仅会针对协议类型为arp-reply、arp-request-uc和arp-request的报文进行调整。

使用实例

# 使能动态调整ARP协议报文的默认CPCAR值功能。

<HUAWEI> system-view
[HUAWEI] cpu-defend dynamic-car enable
[HUAWEI] cpu-defend dynamic-car arp enable 

cpu-defend host-car

命令功能

cpu-defend host-car命令用来配置用户级限速可以限制的报文类型。

缺省情况下,用户级限速支持限制的报文类型为ARP Request、ARP Reply、ND、DHCP Request、DHCPv6 Request和8021x报文,不支持限制IGMP和HTTPS-SYN报文。

说明:

仅X系列单板支持该命令。

命令格式

cpu-defend host-car { { arp | dhcp-request | dhcpv6-request | igmp | nd | 8021x | https-syn } * | all }

参数说明

参数 参数说明 取值
arp 指定用户级限速限制的报文为ARP报文。 -
dhcp-request 指定用户级限速限制的报文为DHCP Request报文。 -
dhcpv6-request 指定用户级限速限制的报文为DHCPv6 Request报文。 -
igmp 指定用户级限速限制的报文为IGMP报文。 -
nd 指定用户级限速限制的报文为ND报文。 -
8021x 指定用户级限速限制的报文为8021x报文。 -
https-syn 指定用户级限速限制的报文为HTTPS-SYN报文。 -
all 指定用户级限速限制的报文为ARP、DHCP Request、DHCPv6 Request、IGMP、ND、8021x和HTTPS-SYN报文。 -

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

缺省情况下,设备会基于用户MAC对收到的特定报文(ARP/ND/DHCP Request/DHCPv6 Request/8021x)的速率进行限制,包括有线用户和无线用户。当该源MAC地址的报文速率超过限速值时,设备会直接丢弃超过阈值部分的报文。如果管理员需要对IGMP/HTTPS-SYN报文进行限速,或者只需要对部分类型报文进行限速,可以配置用户级限速限制的报文类型,仅检查特定类型报文的速率。

注意事项

  • 需要先通过命令cpu-defend host-car enable使能用户级别限速功能,才可以配置该命令。
  • 该命令是覆盖式的,不是叠加式的。例如:原来指定用户级限速限制的报文为ARP和DHCP Request,通过命令cpu-defend host-car arp配置后,用户级限速仅支持对ARP协议进行限制,不再对DHCP Request报文进行限制。
  • 命令cpu-defend host-car all配置后,配置文件的显示为cpu-defend host-car 8021x arp dhcp-request dhcpv6-request https-syn igmp nd

使用实例

# 配置用户级限速限制的报文为ARP、DHCP Request、DHCPv6 Request、IGMP和ND报文。

<HUAWEI> system-view
[HUAWEI] cpu-defend host-car arp dhcp-request dhcpv6-request igmp nd

cpu-defend host-car enable

命令功能

cpu-defend host-car enable命令用来使能用户级限速功能。

undo cpu-defend host-car enable命令用来去使能用户级限速功能。

缺省情况下,用户级限速的功能已使能。

说明:

仅X系列单板支持该命令。

命令格式

cpu-defend host-car enable

undo cpu-defend host-car enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

用户侧主机容易遭受病毒攻击,借此向网络中发送大量的协议报文,导致设备的CPU占用率过高,性能下降,从而影响正常的业务。管理员可以配置用户级限速功能。用户级限速功能是指基于用户MAC地址识别用户,对用户的特定报文(ARP/ND/DHCP Request/DHCPV6 Request/IGMP/802.1X/HTTPS-SYN)进行限速,包括有线用户和无线用户。缺省情况下,每个MAC用户的默认限速值为10pps。

与CPCAR基于单板,端口防攻击基于端口相比,基于用户MAC地址进行限速能够精确到每个用户,对正常用户的影响更小。

注意事项

  • 接入交换机的网络侧端口以及网关交换机的网络互连端口建议关闭用户级限速功能(默认为开启)。

  • 用户级限速是对特定报文的源MAC地址进行哈希计算,放到不同的限速桶中进行限速,因此可能会出现多个用户共享限速值的情况。在流量大的情况下可能会出现丢包,此时如果确认这些用户是合法用户,可以通过命令cpu-defend host-car mac-address mac-address增大指定MAC地址的限速值。

使用实例

# 去使能用户级限速功能。

<HUAWEI> system-view
[HUAWEI] undo cpu-defend host-car enable

cpu-defend host-car pps

命令功能

cpu-defend host-car pps命令用来配置用户级限速的限速值。

undo cpu-defend host-car命令用来恢复用户级限速的限速值。

缺省情况下,用户级限速的限速值为10pps。

说明:

仅X系列单板支持该命令。

命令格式

cpu-defend host-car [ mac-address mac-address | car-id car-id ] pps pps-value

undo cpu-defend host-car { mac-address mac-address | car-id car-id }

参数说明

参数 参数说明 取值
mac-address mac-address 配置特定MAC的限速值。 -
car-id car-id 配置特定限速桶的限速值。 整数形式,取值范围是0~8191。
pps pps-value 配置的限速值。 整数形式,取值范围是1~128。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

用户级限速是基于用户MAC地址识别用户,对用户的特定报文(ARP/ND/DHCP Request/DHCPV6 Request/IGMP/802.1X/HTTPS-SYN)进行限速,包括有线用户和无线用户。缺省情况下,用户级限速的限速值为10pps。管理员可以配置本功能对不同的用户设置不同的限速值。

注意事项

  • 需要先通过命令cpu-defend host-car enable使能用户级限速功能,才可以配置该命令。
  • 如果限速值设置过高,可能不能有效阻止攻击用户,造成设备CPU负担。
  • 如果同时配置了cpu-defend host-car mac-address mac-address pps pps-valuecpu-defend host-car pps pps-value,则特定MAC的pps值由cpu-defend host-car mac-address mac-address pps pps-value决定,其他MAC用户的pps值由cpu-defend host-car pps pps-value决定。
  • 用户级限速是对特定报文的源MAC地址进行哈希计算,放到不同的限速桶中进行限速,不同用户MAC可能映射为限速桶的同一个索引,此时两个用户是共享pps的。为了避免两个用户pps值设置对限速桶造成覆盖,在HASH冲突时,无法配置特定MAC的限速值。
  • 通过命令cpu-defend host-car mac-address mac-address pps pps-valuecpu-defend host-car pps pps-value配置多条MAC的pps值时,配置文件会按照字典序进行显示。

使用实例

# 配置MAC地址为000a-000b-000c用户的限速值为20pps。

<HUAWEI> system-view
[HUAWEI] cpu-defend host-car mac-address 000a-000b-000c pps 20

cpu-defend policy

命令功能

cpu-defend policy命令用来创建防攻击策略,并进入防攻击策略视图。

undo cpu-defend policy命令用来删除配置的防攻击策略。

缺省情况下,设备中有一个名称为default的防攻击策略,默认应用到所有单板,不允许删除,也不允许修改参数。

命令格式

cpu-defend policy policy-name

undo cpu-defend policy policy-name

参数说明

参数 参数说明 取值
policy-name 指定防攻击策略名称。 字符串形式,不支持空格,不区分大小写,长度范围1~31。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在网络中,存在大量正常上送CPU的各类报文和针对CPU的恶意攻击报文。如果上送CPU的报文过多,会导致CPU占用率过高,性能下降。这种情况将影响CPU对正常业务的处理,甚至造成系统中断,此时可以创建防攻击策略,并在防攻击策略中配置CPU防攻击和攻击溯源,从而保证CPU对正常业务的处理,防止系统中断。

注意事项

设备最多支持33个防攻击策略。其中名称为default的policy为系统自动生成的缺省策略,default策略默认应用到所有单板,不允许删除,也不允许修改参数;其余32个允许用户创建、修改和删除。

如果用户创建新的防攻击策略,则在防攻击策略视图下,用户可以按照自己的需要进行配置,新的配置将覆盖default策略的缺省配置;对于用户没有进行的配置,新的防攻击策略将使用default策略的缺省配置。

default策略对用户自定义流和上送CPU的协议报文按照缺省的限速值进行速率限制。

使用实例

# 创建名称为test的防攻击策略。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] 

cpu-defend-policy

命令功能

cpu-defend-policy命令用来应用防攻击策略。

undo cpu-defend-policy命令用来取消应用防攻击策略。

缺省情况下,设备应用名称为default的防攻击策略,默认应用到所有单板

命令格式

系统视图:

cpu-defend-policy policy-name [ global ]

undo cpu-defend-policy [ policy-name ] [ global ]

槽位视图:

cpu-defend-policy policy-name

undo cpu-defend-policy [ policy-name ]

参数说明

参数 参数说明 取值
policy-name global 指定在所有接口板上应用该防攻击策略。 必须是已存在的防攻击策略名称。
policy-name

系统视图:指定在主控板上应用该防攻击策略。

槽位视图:指定在单个接口板上应用该防攻击策略。

必须是已存在的防攻击策略名称。

视图

系统视图、槽位视图

缺省级别

2:配置级

使用指南

应用场景

设备将上送CPU的报文直接上送到主控板,或先经过接口板再上送到主控板。因此,除了在主控板上还需要在接口板上对报文进行防攻击处理,才能达到本机防攻击的目的。

请先检查主控板和接口板的受报文攻击情况,再应用防攻击策略。如果主控板和接口板上受报文攻击情况相同,可以在主控板和接口板上应用相同的防攻击策略,否则需要应用不同的防攻击策略。

例如,如果发现主控板和接口板上均有来自源IP为10.1.1.0的报文攻击时,可以配置对应的防攻击策略并在主控板和接口板上同时应用。如果发现主控板上受到ARP Request类型的报文攻击,而接口板上受到DHCP类型的报文攻击,则需要针对主控板和接口板分别配置防攻击策略并应用。
  1. 主控板上应用防攻击策略。
  2. 在接口板上应用防攻击策略。
    • 如果设备的接口板承载业务类似,在所有接口板上应用防攻击策略。
    • 如果设备的接口板承载业务各有差异,在指定接口板上应用防攻击策略。

前提条件

已通过cpu-defend policy命令成功创建了防攻击策略。

注意事项

如果在所有接口板上应用防攻击策略(在系统视图下执行命令cpu-defend-policy policy-name global),则不能在指定接口板上应用该防攻击策略(在槽位视图下执行命令cpu-defend-policy policy-name)。反之亦然。

如果涉及到阈值或采样比等数值的防攻击参数配置,需要注意配置的数值在主控板上要比接口板上略大。

如果防攻击策略应用在接口板,黑白名单和用户自定义流只对上送接口板CPU的报文有效;如果应用在主控板,黑白名单和用户自定义流只对上送主控板CPU的报文有效。

一个单板上只能应用一个防攻击策略。

使用实例

# 应用防攻击策略test到主控板。
<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] quit
[HUAWEI] cpu-defend-policy test
# 应用防攻击策略test到所有接口板
<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] quit
[HUAWEI] cpu-defend-policy test global
# 应用防攻击策略test到3号接口板。
<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] quit
[HUAWEI] slot 3
[HUAWEI-slot-3] cpu-defend-policy test
相关主题

cpu-defend trap drop-packet

命令功能

cpu-defend trap drop-packet命令用来使能CPCAR丢包告警功能。

undo cpu-defend trap drop-packet命令用来恢复缺省情况。

缺省情况下,设备的CPCAR丢包告警功能处于关闭状态。

命令格式

cpu-defend trap drop-packet

undo cpu-defend trap drop-packet

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为了保护CPU,设备会对上送CPU的协议报文进行限速。当上送的协议报文速率超过相应的CPCAR值时,超过的部分就会被丢弃,这时就很容易造成业务运行不正常。为了及时感知到因为CPCAR而导致的丢包问题,可以在设备上使能CPCAR丢包告警功能,开启后,设备每10min检测一次因CPCAR而导致的协议报文丢包情况,对于丢包计数有增加的协议类型,打印丢包告警。

注意事项

使能CPCAR丢包告警功能后,打印的告警是基于协议报文类型的,即如果多种类型协议报文上送CPU的速率超过了相应的CPCAR值而产生丢包时,设备会基于协议报文类型打印多条告警。

使用实例

# 使能CPCAR丢包告警功能。

<HUAWEI> system-view
[HUAWEI] cpu-defend trap drop-packet

deny

命令功能

deny命令用来将上送CPU的报文的动作设置成丢弃。

undo deny命令用来将上送CPU报文的动作恢复成缺省动作。

缺省情况下,设备不会丢弃上送CPU的报文,而是按照default策略缺省的限速值对上送CPU的报文和用户自定义流进行限速,可通过display cpu-defend configuration命令查看各种报文的限速值。

命令格式

deny { packet-type packet-type | user-defined-flow flow-id }

undo deny { packet-type packet-type | user-defined-flow flow-id }

参数说明

参数 参数说明 取值
packet-type packet-type 指定丢弃的报文协议类型。 支持的报文类型信息以设备显示为准。
user-defined-flow flow-id 指定丢弃的用户自定义流ID。 整数形式,取值范围是1~8。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

创建防攻击策略后,如果设备收到某种协议类型的攻击报文或大量上送CPU的正常报文,可以在防攻击策略中对该协议类型的报文配置丢弃功能,这样设备将直接丢弃上送CPU的该协议类型的报文,从而减少对CPU处理正常业务的影响。

注意事项

对上送CPU的同一种报文先后使用deny命令和car命令时,最后配置的命令生效。执行undo deny命令后,上送CPU报文动作恢复成缺省值,即进行相应的CIR、CBS动作

使用实例

# 将防攻击策略test中上送CPU的arp-reply报文动作设置为丢弃。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test 
[HUAWEI-cpu-defend-policy-test] deny packet-type arp-reply

description(防攻击策略视图)

命令功能

description命令用来配置防攻击策略的描述信息。

undo description命令用来删除防攻击策略的描述信息。

缺省情况下,防攻击策略没有配置描述信息。

命令格式

description text

undo description

参数说明

参数 参数说明 取值
text 指定描述信息的内容。 字符串形式,支持空格,区分大小写,长度范围是1~63。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

description命令用来配置防攻击策略的描述信息,比如描述该防攻击策略的用途或使用场景,方便区分或识别不同的防攻击策略。

注意事项

该命令是覆盖式命令,如果在同一个防攻击策略视图下重复执行description命令,新配置将覆盖已有配置。

使用实例

# 配置防攻击策略test的描述信息为defend_arp_attack(表示ARP防攻击)。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test 
[HUAWEI-cpu-defend-policy-test] description defend_arp_attack
相关主题

display auto-defend attack-source

命令功能

display auto-defend attack-source命令用来查看攻击源信息。

命令格式

display auto-defend attack-source [ history [ begin begin-date begin-time ] [ slot slot-id ] | [ slot slot-id ] [ detail ] ]

参数说明

参数

参数说明

取值

history

显示历史攻击溯源信息。

如果不指定history参数,则显示设备上当前存在的攻击溯源信息。

-

begin begin-date begin-time

指定起始时间。

begin-date的格式为YYYY/MM/DD。

begin-time的格式为HH:MM:SS。

YYYY/MM/DD的取值范围为2000/1/1~2099/12/31,HH:MM:SS的取值范围为00:00:00~23:59:59。

slot slot-id

指定槽位号。

根据设备实际配置选取。

detail

显示攻击源的详细信息,包括攻击源报文类型。如果不指定detail参数,则显示攻击源的简略信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

配置攻击溯源功能后,如果需要了解攻击源信息,可以使用display auto-defend attack-source命令进行查看。

如果不指定参数slot slot-id,则显示主控板的攻击源信息。

使用实例

# 查看主控板的攻击源列表。

<HUAWEI> display auto-defend attack-source
  Attack Source User Table (MPU):
  -----------------------------------------------------------------------------
  MacAddress       InterfaceName               Vlan:Outer/Inner    TotalPackets
  -----------------------------------------------------------------------------
  0000-c103-0102   GigabitEthernet1/0/1        100                 1395
  -----------------------------------------------------------------------------
  Total: 1

  Attack Source Port Table (MPU):
  ------------------------------------------------------------
  InterfaceName               Vlan:Outer/Inner    TotalPackets
  ------------------------------------------------------------
  GigabitEthernet1/0/1        100                 605
  ------------------------------------------------------------
  Total: 1

  Attack Source IP Table (MPU):
  ----------------------------------------------------------------------
  IPAddress                                     TotalPackets
  ----------------------------------------------------------------------
  2:2:2:2:2:2:2:2                                1395
  ----------------------------------------------------------------------
  Total: 1

# 查看攻击源的详细信息。

<HUAWEI> display auto-defend attack-source detail
  Attack Source User Table (MPU):
  ----------------------------------------------------
  MAC Address                    0000-c103-0102
  Interface                      GigabitEthernet1/0/1
  VLAN: Outer/Inner              100
     ARP:                        1580
  Total                          1580
  ----------------------------------------------------
  Total: 1

  Attack Source Port Table (MPU):
  ----------------------------------------------------
  Interface                      GigabitEthernet1/0/1
  VLAN: Outer/Inner              100
     ARP:                        790
  Total                          790
  ----------------------------------------------------
  Total: 1

  Attack Source IP Table (MPU):
  ---------------------------------------------------------------------------
  IP address                     2:2:2:2:2:2:2:2
     ARP:                        1580
  Total                          1580
   ---------------------------------------------------------------------------
  Total: 1

# 查看针对1号槽接口板的攻击源。

<HUAWEI> display auto-defend attack-source slot 1
  Attack Source User Table (slot 1):
  -----------------------------------------------------------------------------
  MacAddress       InterfaceName               Vlan:Outer/Inner    TotalPackets
  -----------------------------------------------------------------------------
  0000-c103-0102   GigabitEthernet1/0/1        100                 1395
  -----------------------------------------------------------------------------
  Total: 1

  Attack Source Port Table (slot 1):
  ------------------------------------------------------------
  InterfaceName               Vlan:Outer/Inner    TotalPackets
  ------------------------------------------------------------
  GigabitEthernet1/0/1        100                 605
  ------------------------------------------------------------
  Total: 1

  Attack Source IP Table (slot 1):
  ----------------------------------------------------------------------
  IPAddress                                     TotalPackets
  ----------------------------------------------------------------------
  2:2:2:2:2:2:2:2                                1395
  ----------------------------------------------------------------------
  Total: 1
表14-27  display auto-defend attack-source命令输出信息描述

项目

描述

Attack Source User Table (MPU)

针对MPU进行攻击的攻击源信息,根据攻击用户的信息区分。

如果是slot X,表示针对X号接口板的攻击源信息。

Attack Source Port Table (MPU)

针对MPU进行攻击的攻击源信息,根据受攻击的接口信息区分。

如果是slot X,表示针对X号接口板的攻击源信息。

说明:

设备不支持对三层以太网接口进行基于源接口+VLAN方式的溯源,因此Attack Source Port Table中不包含三层以太网接口的溯源信息。

Attack Source IP Table (MPU)

针对MPU进行攻击的攻击源信息,根据受攻击的源IP信息区分。

如果是slot X,表示针对X号接口板的攻击源信息。

MacAddress

用户的MAC地址。

IPAddress

用户的IP地址。

InterfaceName

发生攻击的接口名称。

Interface

发生攻击的接口名称。

Vlan:Outer/Inner

接口所在VLAN编号。Outer表示外层VLAN;Inner表示内层VLAN。

说明:

对于三层以太网接口的攻击溯源表项,此处显示为“-”。

TotalPackets

设备接收报文总计数。

# 查看历史攻击溯源信息。
<HUAWEI> display auto-defend attack-source history

  S : start time
  E : end time

  Attack History User Table (MPU):
  ------------------------------------------------------------------------------
  AttackTime            MacAddress     IFName         Vlan:O/I  Protocol    PPS
  ------------------------------------------------------------------------------
  S:2016-09-08 07:36:15 0000-c103-0102 GE1/0/0        100      ARP          40
  E:-
  ------------------------------------------------------------------------------
  Total: 1

  Attack History Port Table (MPU):
  ---------------------------------------------------------------
  AttackTime            IFName         Vlan:O/I  Protocol    PPS
  ---------------------------------------------------------------
  S:2016-09-08 07:36:37 GE1/0/0        100      ARP          40
  E:-
  ---------------------------------------------------------------
  Total: 1

  Attack History IP Table (MPU):
  ----------------------------------------------------------------------------
  AttackTime            IPAddress                                 Protocol
  PPS
  ----------------------------------------------------------------------------
  S:2016-09-08 07:36:15 2:2:2:2:2:2:2:2                           ARP
  E:-
  40
  ----------------------------------------------------------------------------
  Total: 1
表14-28  display auto-defend attack-source history命令输出信息描述

项目

描述

Attack History User Table (MPU)

针对主控板进行攻击的历史攻击溯源信息,根据攻击用户的信息区分。

Attack History Port Table (MPU)

针对主控板进行攻击的历史攻击溯源信息,根据受攻击的接口信息区分。

Attack History IP Table (MPU)

针对主控板进行攻击的历史攻击溯源信息,根据受攻击的源IP信息区分。

AttackTime

攻击时间。
  • S表示起始时间。
  • E表示结束时间。如果查看历史攻击溯源信息时,攻击仍未结束,此处显示为“-”。

MacAddress

用户的MAC地址。

IPAddress

用户的IP地址。

IFName

发生攻击的接口名称。

Vlan:O/I

接口所在VLAN编号。O表示外层VLAN;I表示内层VLAN。

Protocol

攻击报文类型。

PPS

发生攻击时报文的最高速率。

display auto-defend configuration

命令功能

display auto-defend configuration命令用来查看攻击溯源的配置信息。

命令格式

display auto-defend configuration [ cpu-defend policy policy-name | slot slot-id | mcu ]

参数说明

参数

参数说明

取值

cpu-defend policy policy-name

显示指定防攻击策略的攻击溯源配置信息。

字符串形式,不支持空格,不区分大小写,长度范围1~31。

slot slot-id

指定槽位号。

根据设备实际配置选取。

mcu

指定主控板。

-

视图

所有视图

缺省级别

1:监控级

使用指南

当用户在防攻击策略中配置攻击溯源功能后,如果需要了解攻击溯源功能的具体配置信息,可以使用本命令进行查看。

使用实例

# 查看攻击溯源的配置信息。

<HUAWEI> display auto-defend configuration slot 1
 ----------------------------------------------------------------------------
 Name  : test
 Related slot : <1>
 auto-defend                      : enable
 auto-defend attack-packet sample : 5
 auto-defend threshold            : 60 (pps)
 auto-defend alarm                : enable
 auto-defend trace-type           : source-mac source-ip
 auto-defend protocol             : arp icmp dhcp igmp tcp telnet 8021x nd dhcpv6 mld icmpv6
 auto-defend action               : deny (Expired time : 300 s)
 auto-defend whitelist 1          : acl number 2002
 ----------------------------------------------------------------------------
表14-29  display auto-defend configuration命令的输出信息描述

项目

描述

Name

防攻击策略的名称。

Related slot

防攻击策略应用的槽位号

auto-defend

攻击溯源功能是否使能。相关命令请参见auto-defend enable

auto-defend attack-packet sample

攻击溯源采样比。相关命令请参见auto-defend attack-packet sample

auto-defend threshold

攻击溯源检查阈值。相关命令请参见auto-defend threshold

auto-defend alarm

攻击溯源告警功能是否使能。相关命令请参见auto-defend alarm enable

auto-defend trace-type

攻击溯源的溯源模式:
  • source-mac表示基于源MAC地址进行溯源
  • source-ip表示基于源IP地址进行溯源
  • source-portvlan表示基于源接口和VLAN进行溯源
相关命令请参见auto-defend trace-type

auto-defend protocol

攻击溯源防范的报文类型。相关命令请参见auto-defend protocol

auto-defend action

攻击溯源的惩罚措施:
  • deny (Expired time : 300 s)表示在300秒的时间周期内将识别为攻击的报文全部丢弃
  • error-down表示将攻击报文进入的接口shutdown
相关命令请参见auto-defend action

auto-defend whitelist 1

攻击溯源的白名单。相关命令请参见auto-defend whitelist

display auto-defend whitelist

命令功能

display auto-defend whitelist命令用来查看当前攻击溯源的白名单信息。

命令格式

display auto-defend whitelist { slot slot-id | mcu }

参数说明

参数

参数说明

取值

slot slot-id

显示指定槽位号的白名单信息。

根据设备的实际配置选取。

mcu

显示主控板的白名单信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

攻击溯源白名单配置完成后或者现网定位问题时,可以执行display auto-defend whitelist命令查看白名单信息是否正确。如果没有白名单,将不显示白名单信息。

使用实例

# 查看1号槽位单板上攻击溯源的白名单信息。

<HUAWEI> display auto-defend whitelist slot 1
  Protocol       Interface                 IP                   ACL      Status
-------------------------------------------------------------------------------
    DHCP          GE0/0/1                  --                   --        auto
    DHCP          GE0/0/2                  --                   --        auto
表14-30  display auto-defend whitelist命令输出信息描述

项目

描述

Protocol 不做溯源处理的报文的协议类型。
Interface 不做溯源处理的接收报文的端口。
IP 不做溯源处理的报文的源IP地址。如果白名单规则不包含IP地址项,则该项显示为“--”。
ACL 手工配置的白名单规则对应的ACL编号。如果是自动下发的白名单规则,该项显示为“--”。
Status 白名单规则的类型,包括2种:
  • auto:自动下发,是业务自行触发的白名单。
  • manual:手工配置,用户可以在防攻击策略视图下执行auto-defend whitelist whitelist-number { acl acl-number | interface interface-type interface-number }命令配置攻击溯源的白名单。

display auto-port-defend attack-source

命令功能

display auto-port-defend attack-source命令用来查看端口防攻击的溯源信息。

命令格式

display auto-port-defend attack-source [ slot slot-id ]

参数说明

参数

参数说明

取值

slot slot-id

显示指定槽位号的端口防攻击溯源信息。

如果不指定slot slot-id,则显示主控板上的端口防攻击溯源信息

根据设备实际情况选取。

视图

所有视图

缺省级别

1:监控级

使用指南

如果希望了解端口防攻击的溯源信息,可以使用本命令进行查看,有助于管理员定位攻击源状况。

使用实例

# 查看主控板的端口防攻击的溯源信息。

<HUAWEI> display auto-port-defend attack-source
Attack source table on MPU:
Total : 1
--------------------------------------------------------------------------------                                                    
Interface     VLAN Protocol     Expire(s)   PacketRate(pps)  LastAttackTime                                                         
--------------------------------------------------------------------------------
GE1/0/1     NA   arp-request  297        12               2013-07-06 17:36:54
--------------------------------------------------------------------------------
表14-31  display auto-port-defend attack-source命令的输出信息描述

项目

描述

Attack source table on MPU

主控板上端口防攻击的溯源信息。

Total

溯源信息的条数

Interface

受到攻击的端口名称。

VLAN

攻击报文携带的VLAN ID。

如果设备不支持匹配攻击报文携带的VLAN ID,此处显示为NA。

Protocol

攻击报文类型。

Expire(s)

端口防攻击剩余的老化探测时间。

说明:

当端口防攻击溯源表项中的Expire(s)字段值显示为0时,需等待一段时间之后(最长为10秒),该条表项才会被删除。

PacketRate(pps)

最后一次收到攻击报文时的报文速率。

LastAttackTime

最后一次收到攻击报文时的时间。

display auto-port-defend configuration

命令功能

display auto-port-defend configuration命令用来查看端口防攻击的配置信息。

命令格式

display auto-port-defend configuration [ slot slot-id ]

参数说明

参数

参数说明

取值

slot slot-id

显示指定槽位号的端口防攻击配置信息。

如果不指定slot slot-id,则显示主控板上的端口防攻击配置信息

根据设备实际情况选取。

视图

所有视图

缺省级别

1:监控级

使用指南

在防攻击策略中配置端口防攻击功能后,如果需要了解攻端口防攻击的具体配置信息,可以使用本命令进行查看。

使用实例

# 查看1号槽位接口板的端口防攻击配置信息。

<HUAWEI> display auto-port-defend configuration slot 1
--------------------------------------------------------------------------------
 Name  : test                                                                
 Related slot : 1                                                             
 Auto-port-defend                       : enable                                
 Auto-port-defend sample                : 5                                     
 Auto-port-defend aging-time            : 300 second(s)                         
 Auto-port-defend arp-request threshold : 50 pps(enable)                        
 Auto-port-defend arp-reply threshold   : 50 pps(enable)                        
 Auto-port-defend dhcp threshold        : 50 pps(enable)                        
 Auto-port-defend icmp threshold        : 50 pps(enable)                        
 Auto-port-defend igmp threshold        : 50 pps(enable)                        
 Auto-port-defend ip-fragment threshold : 50 pps(enable)                        
 Auto-port-defend alarm                 : disable
--------------------------------------------------------------------------------
表14-32  display auto-port-defend configuration命令的输出信息描述

项目

描述

Name

防攻击策略的名称。

Related slot

防攻击策略应用的槽位号

Auto-port-defend

端口防攻击功能是否使能。

该功能可以通过auto-port-defend enable命令配置。

Auto-port-defend sample

端口防攻击的采样比。

该参数可以通过auto-port-defend sample命令配置。

Auto-port-defend aging-time

端口防攻击的老化探测周期。

该参数可以通过auto-port-defend aging-time命令配置。

Auto-port-defend arp-request threshold

针对ARP Request报文的端口防攻击功能是否使能,以及ARP Request报文的端口防攻击检查阈值。

该参数可以通过auto-port-defend protocol arp-requestauto-port-defend protocol arp-request threshold threshold命令配置。

Auto-port-defend arp-reply threshold

针对ARP Reply报文的端口防攻击功能是否使能,以及ARP Reply报文的端口防攻击检查阈值。

该参数可以通过auto-port-defend protocol arp-replyauto-port-defend protocol arp-reply threshold threshold命令配置。

Auto-port-defend dhcp threshold

针对DHCP报文的端口防攻击功能是否使能,以及DHCP报文的端口防攻击检查阈值。

该参数可以通过auto-port-defend protocol dhcpauto-port-defend protocol dhcp threshold threshold命令配置。

Auto-port-defend icmp threshold

针对ICMP报文的端口防攻击功能是否使能,以及ICMP报文的端口防攻击检查阈值。

该参数可以通过auto-port-defend protocol icmpauto-port-defend protocol icmp threshold threshold命令配置。

Auto-port-defend igmp threshold

针对IGMP报文的端口防攻击功能是否使能,以及IGMP报文的端口防攻击检查阈值。

该参数可以通过auto-port-defend protocol igmpauto-port-defend protocol igmp threshold threshold命令配置。

Auto-port-defend ip-fragment threshold

针对IP分片报文的端口防攻击功能是否使能,以及IP分片报文的端口防攻击检查阈值。

该参数可以通过auto-port-defend protocol ip-fragmentauto-port-defend protocol ip-fragment threshold threshold命令配置。

Auto-port-defend alarm

端口防攻击事件上报功能是否使能。

该参数可以通过auto-port-defend alarm enable命令配置。

display auto-port-defend statistics

命令功能

display auto-port-defend statistics命令用来查看端口防攻击的报文统计信息。

命令格式

display auto-port-defend statistics [ slot slot-id ]

参数说明

参数

参数说明

取值

slot slot-id

显示指定槽位号的报文统计信息。

如果不指定slot slot-id,则显示主控板上的报文统计信息

根据设备的实际配置选取。

视图

所有视图

缺省级别

1:监控级

使用指南

如果希望了解设备上进行端口防攻击时丢弃的和通过的报文统计信息,可以使用本命令进行查看,方便管理员根据设备处理协议报文的实际状况,以调整端口防攻击的具体防范策略。

端口防攻击的报文统计信息与主控板和接口板的端口防攻击功能是否使能无关。当主控板端口防攻击去使能,接口板生成端口防攻击表项时,主控板端口防攻击统计仍然有计数;当接口板端口防攻击去使能,主控板生成端口防攻击表项时,接口板端口防攻击统计仍然有计数。

使用实例

# 查看主控板上端口防攻击的报文统计信息。

<HUAWEI> display auto-port-defend statistics
Statistics on MPU:                                                                                                                  
--------------------------------------------------------------------------------                                                    
Protocol     Vlan Queue Cir(Kbps)  Pass(Packet/Byte)  Drop(Packet/Byte)                                                             
--------------------------------------------------------------------------------                                                    
icmp         NA   2     256        23095              3                                                                             
                                   NA                 NA                                                                            
--------------------------------------------------------------------------------  
说明:

以上显示信息仅仅是举例,报文类型以设备显示为准。

缺省情况下,由于ARP报文打包功能处于使能状态,所以主控板上无法统计到端口防攻击的ARP报文信息,如果需要统计,请执行命令arp message-cache disable去使能ARP报文打包功能。

表14-33  display auto-port-defend statistics命令输出信息描述

项目

描述

Statistics on MPU

主控板上端口防攻击的报文统计信息。

Protocol

攻击报文类型。

Vlan

攻击报文携带的VLAN ID。

如果设备不支持匹配攻击报文携带的VLAN ID,此处显示为NA。

Queue

攻击报文所在的队列号。

Cir(Kbps)

攻击报文对应的端口防攻击限速值(等同于防攻击策略里该协议报文的CPCAR值)。用户可在防攻击策略视图下执行car packet-type packet-type cir cir-value命令配置Cir值。

Pass(Packet/Byte)

设备通过的攻击报文类型的报文数或字节数。

23095表示通过的报文数,NA表示该单板不支持字节统计。

Drop(Packet/Byte)

设备丢弃的攻击报文类型的报文数或字节数。

3表示丢弃的报文数,NA表示该单板不支持字节统计。

display auto-port-defend whitelist

命令功能

display auto-port-defend whitelist命令用来查看当前端口防攻击的白名单信息。

命令格式

display auto-port-defend whitelist [ slot slot-id ]

参数说明

参数

参数说明

取值

slot slot-id

指定槽位号。

根据设备的实际配置选取。

视图

所有视图

缺省级别

1:监控级

使用指南

端口防攻击白名单配置完成后或者现网定位问题时,可以执行display auto-port-defend whitelist命令查看白名单信息是否正确。如果没有白名单,将不显示白名单信息。

使用实例

# 查看端口防攻击的白名单信息。

<HUAWEI> display auto-port-defend whitelist slot 1
  Protocol       Interface                 IP                   ACL      Status
-------------------------------------------------------------------------------
    --            Eth-Trunk0               --                   --        auto
    --            GE0/0/1                  --                   --       manual
    --              --                     --                  2000      manual
表14-34  display auto-port-defend whitelist命令输出信息描述

项目

描述

Protocol 不做端口防攻击的报文协议类型。如果白名单规则不包含报文协议类型,则该项显示为“--”。
Interface 不做防攻击的端口。如果白名单是基于ACL规则配置的,则该项显示为“--”。
IP 不做端口防攻击的报文源IP地址。如果白名单规则不包含IP地址项,则该项显示为“--”。
ACL 手工配置的白名单规则对应的ACL编号。如果白名单是基于接口配置的,或者是自动下发的,则该项显示为“--”。
Status 白名单规则的类型,包括2种:
  • auto:自动下发,是业务自行触发的白名单。
  • manual:手工配置,用户可以在防攻击策略视图下执行auto-port-defend whitelist whitelist-number { acl acl-number | interface interface-type interface-number }命令配置端口防攻击的白名单。

display cpu-defend applied

命令功能

display cpu-defend applied命令用来查看协议报文下发到芯片后的实际CAR参数值。

命令格式

display cpu-defend applied [ packet-type packet-type ] { mcu | slot slot-id | all }

参数说明

参数

参数说明

取值

packet-type packet-type

指定报文类型。

报文类型以设备显示为准。

mcu

指定主控板。

-

slot slot-id

指定槽位号。

根据设备的实际配置选取。

all

指定所有单板,包括主控板和接口板。

-

视图

所有视图

缺省级别

1:监控级

使用指南

设备安全中协议报文实际的CAR参数大小和配置的数值存在差异,主要有以下两个原因造成:

  • 使用car { packet-type packet-type | user-defined-flow flow-id } cir cir-value [ cbs cbs-value ]命令配置CAR参数时,cir的取值是一个连续的范围,然而CPCAR值受控于芯片粒度,是离散的数据。比如,对于芯片粒度为64Kbps的芯片,用户配置cir为65~128区间的任意值时,芯片实际应用的cir值可能为64可能为128(产品形态之间有差异),即64的向下取整值或向上取整值。

  • 配置的cir值超出了芯片能力范围或者超过安全警戒值。比如,用户配置cir为10000时,实际生效值不会是10000,芯片无法达到该cir值。

为了查看协议报文的实际CAR参数,可以通过本命令进行查询。

说明:

当显示信息太多不方便查看时,可以选择beginexcludeinclude参数指定匹配条件来过滤显示信息。

使用实例

# 查看1号槽位单板上的ARP-REQUEST协议报文实际下发的CAR参数。

<HUAWEI> display cpu-defend applied packet-type arp-request slot 1
Applied Car on slot 1:                                                          
------------------------------------------------------------------------------- 
Packet Type         Cir(Kbps)    Cbs(Byte) Applied Cir(Kbps) Applied Cbs(Byte)  
------------------------------------------------------------------------------- 
arp-request                65        10000               128             10000  
------------------------------------------------------------------------------- 
表14-35  display cpu-defend applied命令显示信息说明

项目

描述

Applied Car on slot 1

指定槽位号上协议报文实际下发的CAR参数

Packet Type

报文类型。

Cir(Kbps)

配置的承诺信息速率值(千位/秒)。相关命令请参见car(防攻击策略视图)linkup-car

Cbs(Byte)

配置的承诺突发尺寸值(字节)。相关命令请参见car(防攻击策略视图)linkup-car

Applied Cir(Kbps)

芯片实际应用的承诺信息速率值(千位/秒)。

Applied Cbs(Byte)

芯片实际应用的承诺突发尺寸值(字节)。

display cpu-defend configuration

命令功能

display cpu-defend configuration命令用来查看CAR的配置信息

命令格式

display cpu-defend configuration [ packet-type packet-type ] { all | slot slot-id | mcu }

参数说明

参数

参数说明

取值

packet-type packet-type

显示指定报文类型限速的配置信息。

报文类型以设备显示为准。

all

显示所有单板的CAR配置信息,包括主控板和接口板。

-

slot slot-id

显示指定槽位号的CAR配置信息

根据设备的实际配置选取。

mcu

显示主控板的CAR配置信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

如果需要了解上送CPU的报文的限速信息,可以使用本命令进行查询。缺省情况下,显示的是default策略对各种协议报文的限速值。

使用实例

# 查看所有单板的CAR配置信息。
<HUAWEI> display cpu-defend configuration all
Car configurations on mainboard.                                                
----------------------------------------------------------------------          
Packet Name         Status     Cir(Kbps)   Cbs(Byte)  Queue  Port-Type          
----------------------------------------------------------------------          
8021x               Enabled          256       32000      3        NA          
arp-mff             Enabled          128       16000      3        NA          
arp-miss            Enabled          128       16000      3        NA          
arp-reply           Enabled          128       16000      3        NA          
arp-request         Enabled          128       16000      3        NA          
bfd                 Enabled          512       64000      5        NA          
bgp                 Enabled          512       64000      5        NA          
bgp4plus            Enabled          128       16000      5        NA          
bpdu-tunnel         Enabled          512       64000      5        NA          
......
----------------------------------------------------------------------

Linkup Information: 
-------------------------------------------------------------------------------- 
Packet Name : ftp 
Cir(Kbps)/Cbs(Byte) : 4096/770048 
SIP(SMAC) : 10.1.2.1     
DIP(DMAC) : 10.1.3.1       
Port(S/C) : 42372/22
--------------------------------------------------------------------------------
Car configurations on slot 2.                                                   
----------------------------------------------------------------------          
Packet Name         Status     Cir(Kbps)   Cbs(Byte)  Queue  Port-Type          
----------------------------------------------------------------------          
8021x               Disabled         256       32000      3        NA          
arp-mff             Disabled          64       10000      3        NA          
arp-miss            Enabled          128       16000      3        NA          
arp-reply           Enabled           64       10000      3        UNI          
arp-request         Enabled           64       10000      3        UNI          
bfd                 Disabled         256       32000      5        NNI          
bgp                 Disabled         256       32000      5        NA          
bgp4plus            Disabled         128       32000      5        NA          
bpdu-tunnel         Disabled         128       16000      5        NA          
...
----------------------------------------------------------------------

Linkup Information: 
-------------------------------------------------------------------------------- 
Packet Name : ftp 
Cir(Kbps)/Cbs(Byte) : 4096/770048 
SIP(SMAC) : 10.1.2.1     
DIP(DMAC) : 10.1.3.1       
Port(S/C) : 42372/22
--------------------------------------------------------------------------------
说明:

以上显示信息仅仅是举例,报文类型以设备显示为准。

表14-36  display cpu-defend configuration命令输出信息描述

项目

描述

Car configurations on mainboard

主控板的CAR配置信息。

Car configurations on slot 2

Slot 2的CAR配置信息。

Packet Name

报文类型。

Status

协议报文状态:
  • Enabled
  • Disabled

Cir(Kbps)

承诺信息速率,单位为kbit/s。相关命令请参见car(防攻击策略视图)linkup-car

Cbs(Byte)

承诺突发尺寸,单位为Byte。相关命令请参见car(防攻击策略视图)linkup-car

Queue

协议报文上送的CPU队列。

Port-Type

端口类型,包括UNI、NNI、ENI三种类型。相关命令请参见port typeport-type

Linkup Information

协议连接建立信息。
说明:

只有触发了协议联动,才会显示该内容。

SIP(SMAC)

源IP地址或源MAC地址。

DIP(DMAC)

目的IP地址或目的MAC地址。

Port(S/C)

源端口号/目的端口号。

display cpu-defend dynamic-car history-record

命令功能

display cpu-defend dynamic-car history-record命令用来查看动态调整协议报文的默认CPCAR值的历史记录。

命令格式

display cpu-defend dynamic-car history-record

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

配置动态调整协议报文的默认CPCAR值功能后,执行本命令可查看动态调整的历史记录。从历史记录中,可以看到设备协议报文CPCAR值从64Kbit/s开始到最终调整为规定范围的CPCAR值的整个变化过程。

主控板每次调整的粒度是128kbit/s,接口板每次调整的粒度是64kbit/s。如果当前设备默认CPCAR值大于64Kbit/s,则从64Kbit/s到默认CPCAR值之间的调整不会实际生效,CPCAR值仍从默认值开始调整。

使用实例

# 查看动态调整协议报文的默认CPCAR值的历史记录 。

<HUAWEI> display cpu-defend dynamic-car history-record
 Global status : Enable                                                         
 -------------------------------------------------------------------------------
 Time                 Protocol    Packet-type     Slot  CIR(Kbps)   Status      
 -------------------------------------------------------------------------------
 2012-08-24 11:28:10  arp         arp-reply       0     128         Success                                                         
 2012-08-24 11:28:08  arp         arp-request     0     128         Success                                                         
 2012-08-24 11:27:37  arp         arp-reply       0     64          Success                                                         
 2012-08-24 11:27:37  arp         arp-request     0     64          Success   
-------------------------------------------------------------------------------
表14-37  display cpu-defend dynamic-car history-record命令显示信息说明

项目

描述

Global status

动态调整协议报文的默认CPCAR值功能已使能。

相关命令请参见cpu-defend dynamic-car enable

Time

动态调整协议报文的默认CPCAR值的时间戳。

Protocol

协议名称。可执行cpu-defend dynamic-car [ ospf | arp ]进行设置。

Packet-type

报文类型。

Slot

动态调整默认CPCAR值发生所在的槽位号。

CIR(Kbps)

动态调整后的新默认CPCAR值,即承诺信息速率值(千位/秒)。当协议报文的默认CPCAR值恢复为原始默认CPCAR值时,此处显示为NA。

说明:

当协议报文上送CPU的速率过大造成CPU过载时,设备会将该协议报文的默认CPCAR值恢复为原始默认CPCAR值,此时该处显示为NA。

Status

动态调整的结果状态。包括
  • success:表示调整成功;
  • fail:表示调整失败;
  • conflict:表示动态调整默认CPCAR值与用户当前配置的CPCAR值冲突,此时设备以用户配置的CPCAR值为上限上送报文。

display cpu-defend host-car statistics

命令功能

display cpu-defend host-car statistics命令用来查看用户级限速丢弃的报文数。

说明:

仅X系列单板支持该命令。

命令格式

display cpu-defend host-car [ mac-address mac-address ] statistics [ slot slot-id ]

参数说明

参数 参数说明 取值
mac-address mac-address 查看指定MAC丢弃的报文数。 -
slot slot-id 查看指定单板丢弃的报文数。 -

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

通过该命令可以查看用户级限速丢弃的报文数。

注意事项

  • 需要先通过命令cpu-defend host-car enable使能用户级限速功能,才可以通过该命令查看统计计数。
  • 查询统计计数时,对于丢包计数为0的索引值不会显示。

使用实例

# 查看用户级限速丢弃的报文数。

<HUAWEI> display cpu-defend host-car statistics
slot 0                                                                                                                              
car-id                              car-drop                                                                                        
--------------------------------------------                                                                                        
3192                                  740385                                                                                        
3347                                       7                                                                                        
4133                                  529474                                                                                        
4471                                  529477                                                                                        
5075                                  529476                                                                                        
5836                                  529474                                                                                        
6046                                 1001218
表14-38  display cpu-defend host-car statistics命令输出信息描述

项目

描述

slot

显示的槽位号。

car-id

限速桶号。

car-drop

用户级限速导致丢弃的报文数。相关命令请参见cpu-defend host-car [ mac-address mac-address | car-id car-id ] pps pps-value

display cpu-defend policy

命令功能

display cpu-defend policy命令用来查看防攻击策略的配置信息。

命令格式

display cpu-defend policy [ policy-name ]

参数说明

参数

参数说明

取值

policy-name

显示指定防攻击策略的配置信息。

  • 如果指定policy-name参数,则显示该防攻击策略的配置信息。
  • 如果没有指定policy-name参数,则显示所有防攻击策略列表信息。

必须是已存在的防攻击策略名称。

视图

所有视图

缺省级别

1:监控级

使用指南

成功创建防攻击策略以后,如果需要了解该防攻击策略应用所在的单板以及防攻击策略的具体配置信息,可以使用display cpu-defend policy命令进行查看。

使用实例

# 查看所有防攻击策略列表信息。

<HUAWEI> display cpu-defend policy 
  ----------------------------------------------------------------              
 Name  : default                                                                
 Related slot : <4-6>                                                           
 user-defined-flow default car Configuration : CIR(64)  CBS(10000)              
  ----------------------------------------------------------------              
 Name  : test1                                                                   
 Related slot : <3>                                                             
 user-defined-flow default car Configuration : CIR(64)  CBS(10000)              
  ----------------------------------------------------------------              
 Name  : test                                                                  
 Description : defend_arp_attack   
 Related slot : <2,8>                                                           
 user-defined-flow default car Configuration : CIR(64)  CBS(10000)   

# 查看防攻击策略test的信息。

<HUAWEI> display cpu-defend policy test
 Description : defend_arp_attack         
 Related slot : <2,8>                                                           
 WhiteList&Blacklist&UserDefineFlow Status :                                    
   Slot<2> : Success                                                            
   Slot<8> : Success                                                            
 Configuration :                                                                
   Whitelist 1 ACL number : 2002                                                
   Blacklist 1 ACL number : 2001                                                
   User-defined-flow 1 ACL number : 2003                                        
   Car user-defined-flow 1 : CIR(5000)  CBS(940000)                             
   Car packet-type arp-request : CIR(128)  CBS(24064)                           
   Deny packet-type arp-reply                                                   
   Port-type eni packet-type arp-request   
   Linkup-car packet-type  ftp : CIR(5000)  CBS(940000)                         
表14-39  display cpu-defend policy命令输出信息描述

项目

描述

Name

防攻击策略的名称。相关命令请参见cpu-defend policy

Description

防攻击策略的描述信息,相关命令请参见description(防攻击策略视图)

Related slot

防攻击策略应用的单板

user-defined-flow default car Configuration

用户自定义流的默认配置信息。相关命令请参见car(防攻击策略视图)

WhiteList&Blacklist&UserDefineFlow Status

白名单、黑名单和用户自定义流的状态。

Slot<2> : Success

表示槽位号为2的单板成功配置白名单、黑名单和用户自定义流。

Whitelist 1 ACL number

表示编号为1的白名单使用的ACL编号。相关命令请参见whitelist

Blacklist 1 ACL number

表示编号为1的黑名单使用的ACL编号。相关命令请参见blacklist

User-defined-flow 1 ACL number

表示编号为1的用户自定义流使用的ACL编号。相关命令请参见user-defined-flow

Car user-defined-flow 1

表示编号为1的用户自定义流的CPCAR值。相关命令请参见car(防攻击策略视图)

Car packet-type arp-request

表示报文类型为arp-request的CPCAR值。相关命令请参见car(防攻击策略视图)

Deny packet-type arp-reply

表示丢弃报文类型为arp-reply的报文。相关命令请参见deny

Port-type eni packet-type arp-request

表示arp-request报文通过ENI类型端口上送CPU。相关命令请参见port typeport-type

Linkup-car packet-type ftp

表示FTP协议建立连接后FTP报文的CPCAR值。相关命令请参见linkup-carcpu-defend application-apperceive enable

Car all-packets pps

表示所有上送CPU报文数量的限速值。

display cpu-defend port-type

命令功能

display cpu-defend port-type命令用来查询NNI、UNI、ENI三种端口类型包括的物理接口。

命令格式

display cpu-defend port-type slot slot-id

参数说明

参数 参数说明 取值
slot slot-id

指定槽位号。

根据设备的实际配置选取。

视图

所有视图

缺省级别

1:监控级

使用指南

使用命令port type { uni | eni | nni }和port-type { uni | eni | nni } packet-type type配置协议报文区分端口类型上送后,如果想要了解设备上哪些接口被配置成了UNI端口,哪些接口被配置成了ENI端口,哪些接口为默认的NNI端口,则可以通过本命令进行查看。

使用实例

# 显示指定单板1的端口类型。

<HUAWEI> display cpu-defend port-type slot 1
 Uni Port :GigabitEthernet1/0/2,                                                                          
 Eni Port :GigabitEthernet1/0/1,Eth-Trunk120,                                                             
 Nni Port :GigabitEthernet1/0/0,GigabitEthernet1/0/4-47,
表14-40  display cpu-defend port-type命令显示信息说明

项目

描述

Uni Port

端口类型为UNI,UNI口是指设备上用户侧的端口。

Eni Port

端口类型为ENI,ENI口是指设备上与交换机、用户同时相连的段端口。

Nni Port

端口类型为NNI,NNI接口是指设备上网络侧的端口。

display cpu-defend rate

命令功能

display cpu-defend rate命令用来查看协议报文上送CPU的速率。

命令格式

display cpu-defend rate [ packet-type packet-type ] { all | mcu | slot slot-id }

参数说明

参数

参数说明

取值

packet-type packet-type

指定报文类型。

报文类型以设备显示为准。

all

指定所有单板,包括主控板和接口板。

-

mcu

指定主控板。

-

slot slot-id

指定槽位号。

根据设备的实际配置选取。

视图

所有视图

缺省级别

1:监控级

使用指南

在检查防攻击策略的配置时,可执行此命令查看协议报文上送CPU的速率,用户可以根据协议报文的速率确定哪种协议有攻击CPU的可能性。

说明:

为了不影响其它业务的运行并保证CPU的性能,协议报文速率的计算只在用户输入本命令后的一个时间段内进行增量报文的速率计算并打印到终端,命令行输入后会提示用户等待一段时间。

使用实例

# 查看1号槽位接口板的ARP-REPLY协议报文上送CPU的速率。

<HUAWEI> display cpu-defend rate packet-type arp-reply slot 1
Info: Please wait for a moment....
Cpu-defend rate on slot 1:
-------------------------------------------------------------------------------
Packet Type           Pass(bps)    Drop(bps)       Pass(pps)       Drop(pps)
-------------------------------------------------------------------------------
arp-reply                 49504        86496              91             159
-------------------------------------------------------------------------------
# 查看主控板的协议报文上送CPU的速率。
<HUAWEI> display cpu-defend rate mcu 
Info: Please wait for a moment....                                              
Cpu-defend rate on mainboard:                                                   
------------------------------------------------------------------------------- 
Packet Type           Pass(bps)    Drop(bps)       Pass(pps)       Drop(pps)    
------------------------------------------------------------------------------- 
8021X                         0            0               0               0    
arp-miss                      0            0               0               0    
arp-reply                     0            0               0               0    
arp-request                   0            0               0               0    
bfd                           0            0               0               0    
bgp                           0            0               0               0    
bgp4plus                      0            0               0               0    
dhcp-client                   0            0               0               0    
dhcp-server                   0            0               0               0    
dhcpv6-reply                  0            0               0               0    
dhcpv6-request                0            0               0               0    
dldp                          0            0               0               0    
......
------------------------------------------------------------------------------- 
说明:

以上显示信息仅仅是举例,报文类型以设备显示为准。

表14-41  display cpu-defend rate命令输出信息描述

项目

描述

Packet Type

报文类型。

Pass(bps)

每秒通过的bit数。

Drop(bps)

每秒丢弃的bit数。

Pass(pps)

每秒通过的packet数。

Drop(pps)

每秒丢弃的packet数。

display cpu-defend statistics

命令功能

display cpu-defend statistics命令用来查看上送CPU报文的统计信息。

命令格式

display cpu-defend statistics [ packet-type packet-type ] { all | slot slot-id | mcu }

参数说明

参数

参数说明

取值

packet-type packet-type

显示指定类型的报文统计信息。packet-type表示报文类型的名称。

  • 如果指定packet-type,则查询该协议报文的统计信息。
  • 如果不指定packet-type,则查询所有协议报文的统计信息。

报文类型以设备显示为准。

all

显示所有单板的报文统计信息,包括主控板和接口板。

-

slot slot-id

显示指定槽位号的报文统计信息。

根据设备的实际配置选取。

mcu

显示主控板的报文统计信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

统计信息包括通过的报文数和丢弃的报文数,了解该统计信息,有助于网络管理员根据上送设备CPU报文的实际情况配置防攻击策略。

注意事项

当设备使能了MFF、VPLS或NAC功能时,主控板上对ARP-REQUEST类型报文的限速和统计信息中也包含ARP-REPLY类型报文。

使用实例

# 查看1号槽位单板上CAR报文统计信息。

<HUAWEI> display cpu-defend statistics slot 1
 Statistics on slot 1:
--------------------------------------------------------------------------------
Packet Type          Pass(Packet/Byte)   Drop(Packet/Byte)  Last-dropping-time
--------------------------------------------------------------------------------
8021x                                0                   0  -
                                     0                   0
arp-mff                              0                   0  -
                                     0                   0
arp-miss                             0                   0  -
                                     0                   0
arp-reply                            0                   0  -
                                     0                   0
arp-request                          0                   0  -
......
# 查看主控板上CAR报文统计信息。
<HUAWEI> display cpu-defend statistics mcu
 Statistics on mainboard:
--------------------------------------------------------------------------------                                                    
Packet Type          Pass(Packet/Byte)   Drop(Packet/Byte)  Last-dropping-time                                                      
--------------------------------------------------------------------------------                                                    
8021x                                0                   0  -                                                                       
                                    NA                  NA                                                                          
8021x-ident                          0                   0  -                                                                       
                                    NA                  NA                                                                          
8021x-ident-wlan                     0                   0  -                                                                       
                                     0                   0                                                                          
8021x-start                          0                   0  -                                                                       
                                    NA                  NA                                                                          
8021x-start-wlan                     0                   0  -                                                                       
                                     0                   0                                                                          
8021x-wireless                       0                   0  -                                                                       
                                     0                   0                                                                          
arp-miss                             0                   0  -                                                                       
                                     0                   0                                                                          
arp-reply                          969                   0  -                                                                       
                                    NA                  NA                                                                          
arp-request                     177791                   0  -                                                                       
                                    NA                  NA                                                                          
asdp                                 0                   0  -                                                                       
                                     0                   0                                                                          
bfd                                  0                   0  -                                                                       
                                     0                   0                                                                          
bgp                                  0                   0  -                                                                       
                                     0                   0                                                                          
bgp4plus                             0                   0  -                                                                       
                                     0                   0                                                                          
bpdu-tunnel                          0                   0  -                                                                       
                                     0                   0                                                                          
capwap-ap-auth                       0                   0  -                                                                       
                                     0                   0                                                                          
capwap-association                   0                   0  -                                                                       
                                     0                   0                                                                          
capwap-disassoc                      0                   0  -                                                                       
                                     0                   0                                                                          
capwap-discov-bc                     0                   0  -                                                                       
                                    NA                  NA                                                                          
capwap-discov-uc                     0                   0  -                                                                       
                                     0                   0                                                                          
......
# 查看1号槽位单板上Telnet报文的CAR统计信息。
<HUAWEI> display cpu-defend statistics packet-type telnet slot 1
 Statistics on slot 1:
--------------------------------------------------------------------------------
Packet Type          Pass(Packet/Byte)   Drop(Packet/Byte)  Last-dropping-time  
--------------------------------------------------------------------------------
telnet                         3625354          5612376421  2013-09-26 12:05:37
                             377036776          583687147k
--------------------------------------------------------------------------------
 Linkup statistics on slot 1:  
--------------------------------------------------------------------------------
Packet Type          Pass(Packet/Byte)   Drop(Packet/Byte)  Last-dropping-time  
--------------------------------------------------------------------------------
telnet                               0                   0  -                   
                                     0                   0                      
--------------------------------------------------------------------------------
说明:

以上显示信息仅仅是举例,报文类型以设备显示为准。

表14-42  display cpu-defend statistics命令输出信息描述

项目

描述

Statistics on slot 1

指定单板上协议报文的CAR统计信息。

Statistics on mainboard

主控板上协议报文的CAR统计信息。

说明:

当设备的业务板为X系列单板时,arp-miss和nd-miss报文在主控板上的统计计数会合并,均统计到arp-miss中。

Linkup statistics on slot 1

协议连接建立时协议报文的CAR统计信息。

Packet Type

报文类型。

Pass(Packet/Byte)

通过的报文或字节数。

Drop(Packet/Byte)

丢弃的报文或字节数。

说明:

当计数值的数字长度超过11位时,计数值末尾显示为“k”,表示当前数值乘以1000;当长度超过14位时,计数值末尾显示为“m”,表示当前数值乘以1000000;当长度超过17位时,计数值末尾显示为“g”,表示当前数值乘以1000000000。

Last-dropping-time

最近一次统计丢弃报文的时间。

display snmp-agent trap feature-name securitytrap all

命令功能

display snmp-agent trap feature-name securitytrap all命令用来查看安全模块的所有告警开关的信息。

命令格式

display snmp-agent trap feature-name securitytrap all

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

在打开了指定特性告警的功能后,执行命令display snmp-agent trap feature-name securitytrap all可以查看安全特性所有告警的开关状态信息。用户可使用snmp-agent trap enable feature-name securitytrap命令打开安全特性告警开关。

前置条件

已经使能网元的SNMP功能,使能命令可以参考snmp-agent

使用实例

# 查看安全模块的所有告警信息。

<HUAWEI>display snmp-agent trap feature-name securitytrap all
------------------------------------------------------------------------------
Feature name: SECURITYTRAP
Trap number : 28
------------------------------------------------------------------------------
Trap name                       Default switch status   Current switch status
hwStrackUserInfo                on                      on
hwStrackIfVlanInfo              on                      on
hwStrackSrcIpInfo               on                      on
hwXQoSStormControlTrap          on                      on
hwXQoSStormControlTrapExt       on                      on
hwARPSGatewayConflict           on                      on
hwARPSEntryCheck                on                      on
hwARPSPacketCheck               on                      on
hwARPSDaiDropALarm              on                      on
hwARPGlobalSpeedLimitALarm      on                      on
hwARPIfSpeedLimitALarm          on                      on
hwARPVlanSpeedLimitALarm        on                      on
hwARPMissGlobalSpeedLimitALarm  on                      on
hwARPMissIfSpeedLimitALarm      on                      on
hwARPMissVlanSpeedLimitALarm    on                      on
hwARPSIPSpeedLimitALarm         on                      on
hwARPSMACSpeedLimitALarm        on                      on
hwARPMissSIPSpeedLimitALarm     on                      on
hwArpIfRateLimitBlockALarm      on                      on
hwIPSGDropALarm                 on                      on
hwICMPGlobalDropALarm           on                      on
hwICMPIfDropALarm               on                      on
hwStrackDenyPacket              on                      on
hwStrackErrorDown               on                      on
hwDefendCpcarDropPkt            on                      on
hwMACsecFailNotify              on                      on
hwStrackPortAtk                 on                      on
hwStrackUserAbnormal            on                      on
表14-43  display snmp-agent trap feature-name securitytrap all命令输出信息描述

项目

描述

Feature name

告警所属的模块名称。

Trap number

告警的数量。

Trap name

告警的名称,安全模块的告警包括:

  • hwStrackUserInfo:当攻击溯源检测到基于用户的攻击时发送的华为私有Trap消息。

  • hwStrackIfVlanInfo:当攻击溯源检测到来自端口的攻击时发送的华为私有Trap消息。

  • hwStrackSrcIpInfo:当攻击溯源检测到基于源IP的攻击时发送的华为私有Trap消息。

  • hwXQoSStormControlTrap:当风暴控制检测到端口状态机发生变化时发送的华为私有Trap消息。

  • hwXQoSStormControlTrapExt:当接口状态机发生变化时发送的华为私有Trap消息。

  • hwARPSGatewayConflict:当设备收到了源IP地址与网关IP地址相同的ARP报文时发送的华为私有Trap消息。

  • hwARPSEntryCheck:当设备检测到企图修改ARP表项的攻击报文时发送的华为私有Trap消息。

  • hwARPSPacketCheck:当设备检测到非法的ARP报文时发送的华为私有Trap消息。

  • hwARPSDaiDropALarm:当被DAI检查丢弃的ARP报文达到了配置的告警阈值时发送的华为私有Trap消息。

  • hwARPGlobalSpeedLimitALarm:当设备收到ARP报文速率达到配置的告警阈值时发送的华为私有Trap消息。

  • hwARPIfSpeedLimitALarm:当接口下收到ARP报文速率达到配置的告警阈值时发送的华为私有Trap消息。

  • hwARPVlanSpeedLimitALarm:当VLAN下ARP报文速率达到了配置的告警阈值时发送的华为私有Trap消息。

  • hwARPMissGlobalSpeedLimitALarm:当整机ARP Miss消息速率超过限速值,且丢弃的ARP Miss消息数超过了配置的告警阈值时发送的华为私有Trap消息。

  • hwARPMissIfSpeedLimitALarm:当接口下ARP Miss消息速率达到了配置的告警阈值时发送的华为私有Trap消息。

  • hwARPMissVlanSpeedLimitALarm:当VLAN下ARP Miss消息速率超过限速值,且丢弃的ARP Miss消息数超过了配置的告警阈值时发送的华为私有Trap消息。

  • hwARPSIPSpeedLimitALarm:当指定源IP的ARP报文速率超过配置的告警阈值时发送的华为私有Trap消息。

  • hwARPSMACSpeedLimitALarm:当指定源MAC的ARP报文速率超过配置的告警阈值时发送的华为私有Trap消息。

  • hwARPMissSIPSpeedLimitALarm:当指定源IP的ARP Miss消息速率超过配置的告警阈值时发送的华为私有Trap消息。

  • hwArpIfRateLimitBlockALarm:当设备收到ARP报文速率超过限速值,并且在阻断时间内端口的ARP报文被丢弃时发送的华为私有Trap消息。

  • hwIPSGDropALarm:当IPSG检查丢弃的IP报文达到了配置的告警阈值时发送的华为私有Trap消息。

  • hwICMPGlobalDropALarm:当全局ICMP报文速率达到了配置的告警阈值时发送的华为私有Trap消息。

  • hwICMPIfDropALarm:当接口下ICMP报文速率达到了配置的告警阈值时发送的华为私有Trap消息。

  • hwStrackDenyPacket:当系统检测某个攻击源并且把该攻击源发送的报文丢弃时发送的华为私有Trap消息。

  • hwStrackErrorDown:当系统检测某个攻击源并且把该攻击源来源的端口设置为error-down状态时发送的华为私有Trap消息。

  • hwDefendCpcarDropPkt:当协议报文上送CPU的速率超过CPCAR值出现丢包时发送的华为私有Trap消息。
  • hwMACsecFailNotify:当接口MACsec配置失效时发送的华为私有Trap消息。
  • hwStrackPortAtk:当设备检测到端口存在某种协议报文攻击后启动端口防攻击时发送的华为私有Trap消息。
  • hwStrackUserAbnormal:当接口板上收到报文的速率超出了正常速率时发送的华为私有Trap消息。

Default switch status

告警开关缺省状态:
  • on:表示缺省情况下告警处于开启状态。

  • off:表示缺省情况下告警处于关闭状态。

Current switch status

告警的状态:

  • on:表示告警处于开启状态。

  • off:表示告警处于关闭状态。

host-car disable

命令功能

host-car disable命令用来去使能接口下的用户级限速功能。

undo host-car disable命令用来使能接口下的用户级限速功能。

缺省情况下,接口下的用户级限速功能已使能。

说明:

仅X系列单板支持该命令。

命令格式

host-car disable

undo host-car disable

参数说明

视图

GE接口视图、XGE接口视图、40GE接口视图

缺省级别

2:配置级

使用指南

应用场景

缺省情况下,设备所有接口都会对下挂用户进行用户级限速。如果某个接口下挂的用户是安全的,不需要进行用户级限速,可以关闭该接口下的用户级限速功能。

注意事项

  • 管理网口不支持配置该命令。
  • 需要先通过命令cpu-defend host-car enable使能用户级限速功能,才可以配置该命令。
  • 关闭接口下的用户级限速功能后,设备不再基于用户MAC对接口接收到的报文进行限速,就无法防御该接口下的攻击,可能影响其他用户相同类型报文的上送。

使用实例

# 去使能接口下的用户级限速功能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] host-car disable 

linkup-car

命令功能

linkup-car命令用来配置协议连接建立时协议报文的CPCAR值,包括配置承诺信息速率和承诺突发尺寸。

undo linkup-car命令用来将协议连接建立时协议报文的CPCAR限速恢复为缺省值。

缺省情况下,接口板上BGP和OSPF协议建立连接时的承诺信息速率是512kbit/s,承诺突发尺寸是64000bytes;FTP、HTTP、TTPS、SSH、TELNET和TFTP协议建立连接时的承诺信息速率是2048kbit/s,承诺突发尺寸是256000bytes。

缺省情况下,主控板上BGP和OSPF协议建立连接时的承诺信息速率是512kbit/s,承诺突发尺寸是64000bytes;FTP、HTTP、HTTPS、SSH、TELNET和TFTP协议建立连接时的承诺信息速率是4096kbit/s,承诺突发尺寸是770048bytes。

命令格式

linkup-car packet-type { bgp | ftp | http | https | ospf | ssh | telnet | tftp } cir cir-value [ cbs cbs-value ]

undo linkup-car packet-type { bgp | ftp | http | https | ospf | ssh | telnet | tftp }

说明:

仅V200R013C00SPC500版本支持http参数。

参数说明

参数

参数说明

取值

bgp

指定协议的类型为BGP。

-

ftp

指定协议的类型为FTP。

-

http

指定协议的类型为HTTP。

-

https

指定协议的类型为HTTPS。

-

ospf

指定协议的类型为OSPF。

-

ssh

指定协议的类型为SSH。

-

telnet

指定协议的类型为TELNET。

-

tftp

指定协议的类型为TFTP。

-

cir cir-value

指定承诺信息速率,即保证协议报文能够通过的速率。

整数形式,取值范围64~4294967295,单位是kbit/s。

cbs cbs-value

指定承诺突发尺寸,即协议报文瞬间能够通过的承诺流量。

整数形式,取值范围10000~4294967295,单位是byte。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

由于BGP、FTP、HTTP、HTTPS、OSPF、SSH、TFTP或TELNET等协议的默认CPCAR的值比较小,当交换机使用这些协议同其他主机或设备进行文件传输或者建立连接时,可能会出现协议报文流量瞬间激增的情况,从而超过交换机的速率限制而被丢弃,或者受到其他协议报文攻击,影响数据的正常传输,造成业务中断。

此时可以通过配置本命令使能动态链路保护功能,保证BGP、FTP、HTTP、HTTPS、OSPF、SSH、TFTP和TELNET相关业务在攻击发生时可以正常运行。当协议连接建立时,系统就会以linkup-car配置的CPCAR值上送报文。linkup-car配置的CPCAR值大小可视需求设置。

后续任务

配置建立BGP或OSPF连接时BGP报文、OSPF的CPCAR值后,需要执行cpu-defend application-apperceive bgp enable命令或cpu-defend application-apperceive ospf enable命令使能动态链路保护功能,使通过linkup-car命令配置的BGP协议、OSPF协议报文CPCAR值生效。缺省情况下,仅FTP、HTTP、HTTPS、TFTP、SSH和TELNET协议的动态链路保护功能已使能,BGP和OSPF协议的动态链路保护功能未使能。

注意事项

在使用linkup-car命令配置CPCAR值的时候,建议先使用display cpu-defend configuration命令查看一下当前协议支持的CPCAR值(对应显示信息的CIR的值)

BGP、OSPF协议在交换机初始化时是关闭的,当协议启动未建立连接时交换机使用命令car设置的CPCAR值上送报文;当协议已建立连接时,且使能了动态链路保护功能,交换机则使用命令linkup-car设置的CPCAR值上送报文。

使用实例

# 配置建立FTP连接时FTP报文的承诺信息速率为1000kbit/s,承诺突发尺寸为100000bytes。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] linkup-car packet-type ftp cir 1000 cbs 100000

port type

命令功能

port type命令用来配置端口的类型,包括NNI、UNI、ENI三种端口类型。

undo port type命令用来取消对端口类型的限制。

缺省情况下,端口类型为NNI。

说明:

X系列单板不支持此命令。

命令格式

port type { uni | eni | nni }

undo port type

参数说明

参数 参数说明 取值
uni

指定端口类型为UNI,UNI口是指设备上用户侧的端口。

-
eni

指定端口类型为ENI,ENI口是指设备上与交换机或者用户相连的端口。

UNI支持的协议报文ENI都支持。

-
nni

指定端口类型为NNI,NNI接口是指设备上网络侧的端口。

NNI支持所有的协议报文。

-

视图

40GE接口视图、100GE接口视图、GE接口视图、XGE接口视图、端口组视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

设备的协议报文上送CPU绝大部分是通过ACL实现的,而ACL的上送规则是只能针对协议报文类型进行上送。如果协议报文是基于整机(或单板)上送的,则单纯使用命令deny丢弃上送CPU的所有报文或者使用命令car(防攻击策略视图)对报文进行CAR限速,是无法区分来自不同端口的合法报文和攻击报文的。

此时如果某个端口存在攻击,用户把该单板的报文上送功能都关闭,导致该单板上其他端口正常的报文不能上送CPU,影响设备正常通信;用户不把该单板的报文上送功能关闭,攻击报文会挤占合法的报文的流量造成合法报文无法上送,影响协议功能。

例如当OSPF协议使能时,如果OSPF协议报文基于单板上送,假如在没有使能OSPF的端口存在攻击,这些非法的流量会挤占掉合法的OSPF协议流量,造成OSPF协商慢或协商失败。

port type命令可以根据网络位置设置不同的端口类型,每种端口支持不同的协议,该端口支持的协议报文才会被上送CPU进行处理,既减轻了CPU报文处理的数量,又提供了灵活的CPU防攻击方式。

注意事项

该命令为覆盖式命令,重复执行本命令,新的配置会覆盖已有配置。

后续任务

对上送CPU的报文区分端口类型上送和端口支持不同的协议类型报文都是为了防止攻击的产生,同时保证正常报文的通信。如果攻击产生了,可以通过deny命令丢弃某种协议类型的报文,支持该类型报文的端口上会丢弃该类型报文,也可以通过car(防攻击策略视图)命令配置对某一协议类型的攻击报文进行限速。

如果Eth-Trunk接口的成员中包含有X系列单板上的接口,则该Eth-Trunk接口不支持配置命令port type { uni | eni }。

使用实例

# 配置GE1/0/0接口的类型为NNI。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/0
[HUAWEI-GigabitEthernet1/0/0] port type nni

port-type

命令功能

port-type命令用来指定协议报文能够上送CPU的端口类型,包括UNI、ENI和NNI类型。

undo port-type命令用来取消对上送协议报文端口的类型限制。

缺省情况下,各协议报文上送CPU的默认端口类型可以通过display cpu-defend configuration查看。

说明:

X系列单板不支持此命令。

交换机连接ACU2单板的XGE接口不支持该命令。

交换机连接ET1D2IPS0S00、ET1D2FW00S00、ET1D2FW00S01单板的XGE接口不支持该命令。

命令格式

port-type { uni | eni | nni } packet-type packet-type

undo port-type [ uni | eni | nni ] packet-type packet-type

参数说明

参数 参数说明 取值
uni

指定端口类型为UNI,UNI口是指设备上用户侧的端口。

-
eni

指定端口类型为ENI,ENI口是指设备上与交换机或者用户相连的端口。

UNI支持的协议报文ENI都支持。

-
nni

指定端口类型为NNI,NNI接口是指设备上网络侧的端口。

NNI支持所有的协议报文。

-
packet-type packet-type

指定协议端口对应的协议报文类型。

一种协议报文只能对应一种端口类型。

报文类型以设备显示为准。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

设备的协议报文上送CPU绝大部分是通过ACL实现的,而ACL的上送规则是只能针对协议报文类型进行上送。如果协议报文是基于整机(或单板)上送的,则单纯使用命令deny丢弃上送CPU的所有报文或者使用命令car(防攻击策略视图)对报文进行CAR限速,是无法区分来自不同端口的合法报文和攻击报文的。

此时如果某个端口存在攻击,用户把该单板的报文上送功能都关闭,导致该单板上其他端口正常的报文不能上送CPU,影响设备正常通信;用户不把该单板的报文上送功能关闭,攻击报文会挤占合法的报文的流量造成合法报文无法上送,影响协议功能。

port-type可以指定协议报文上送CPU的端口类型,同时port type命令可以根据网络位置设置不同的端口类型,两条命令结合使用,区分端口类型上送协议报文给CPU处理,既减轻了CPU报文处理的数量,又提供了灵活的CPU防攻击方式。

说明:

不支持设置UNI、ENI、NNI端口类型的协议报文,可以基于整机(或单板)从任意端口上送CPU处理。

执行过程

使用了port type命令配置了不同端口类型后,可以使用port-type命令配置协议在端口的支持情况,定制对不同协议报文的处理。

注意事项

该命令为覆盖式命令,一种协议只能对应一种端口类型,新的配置会覆盖已有的配置。

后续任务

对上送CPU的报文区分端口类型上送和端口支持不同的协议类型报文都是为了防止攻击的产生,同时保证正常报文的通信。如果攻击产生了,可以通过deny命令丢弃某种协议类型的报文,支持该类型报文的端口上会丢弃该类型报文,也可以通过car(防攻击策略视图)命令配置对某一协议类型的攻击报文进行限速。

使用实例

# 配置ARP-REPLY报文能够上送CPU的端口类型为UNI。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test 
[HUAWEI-cpu-defend-policy-test] port-type uni packet-type arp-reply
[HUAWEI-cpu-defend-policy-test] quit
[HUAWEI] cpu-defend-policy test global

reset auto-defend attack-source

命令功能

reset auto-defend attack-source命令用来清除攻击溯源信息。

命令格式

reset auto-defend attack-source [ history ] [ slot slot-id ]

参数说明

参数 参数说明 取值
history

清除历史攻击溯源信息。

如果不指定参数history,则清除设备上当前存在的攻击溯源信息。

-
slot slot-id

指定槽位号。

如果不指定参数slot slot-id,则清除主控板的攻击源信息。

根据设备实际配置选取。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当需要查看设备上新的攻击溯源信息时,可以使用reset auto-defend attack-source命令清除设备上当前存在的攻击溯源信息,然后再使用display auto-defend attack-source命令进行查看。

如果需要清除历史攻击溯源信息,则可以使用reset auto-defend attack-source history命令进行清除。

注意事项

执行本命令后,攻击溯源信息将被清除并且不可恢复。

使用实例

# 清除设备上当前存在的攻击溯源信息。

<HUAWEI> system-view
[HUAWEI] reset auto-defend attack-source

reset auto-defend attack-source trace-type

命令功能

reset auto-defend attack-source trace-type命令用来清除基于源MAC地址、基于源IP地址、基于源接口+VLAN三种方式的攻击溯源计数。

命令格式

reset auto-defend attack-source trace-type { source-mac [ mac-address ] | source-ip [ ipv4-address | ipv6 ipv6-address ] | source-portvlan [ interface interface-type interface-number vlan-id vlan-id [ cvlan-id cvlan-id ] ] } [ slot slot-id | mcu ]

参数说明

参数 参数说明 取值
source-mac [ mac-address ]

清除基于源MAC地址方式的攻击溯源计数信息。

如果指定了具体的mac-address,只清除该MAC地址的攻击溯源信息。

mac-address的格式为H-H-H,其中H为1至4位的十六进制数。
source-ip [ ipv4-address | ipv6 ipv6-address ]

清除基于源IP地址方式的攻击溯源计数信息。

如果指定了具体的IP地址,只清除该IP地址的攻击溯源信息。

  • ipv4-address表示接口的IPv4地址。
  • ipv6 ipv6-address表示接口的IPv6地址
  • ipv4-address的格式为点分十进制格式。
  • ipv6-address的格式为X:X:X:X:X:X:X:X。总长度为128位,通常分为8组,每组为4个十六进制数的形式。
source-portvlan [ interface interface-type interface-number vlan-id vlan-id [ cvlan-id cvlan-id ] ]

清除基于源接口+VLAN方式的攻击溯源计数信息。

如果指定了具体的接口或者VLAN,只清除该接口和VLAN下的攻击溯源信息。

  • interface-type表示接口类型。

  • interface-number表示接口编号。

  • vlan-id vlan-id表示VLAN编号。

  • cvlan-id cvlan-id表示QinQ内层VLAN编号。

vlan-id是整数形式,取值范围是1~4094。cvlan-id是整数形式,取值范围是1~4094。
slot slot-id

指定槽位号。

根据设备的实际配置选取。
mcu

指定主控板。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当需要专门查看一段时间内的攻击溯源信息时,可以使用reset auto-defend attack-source命令清除原有的攻击溯源信息,然后再使用display auto-defend attack-source命令查看攻击源信息。然而reset auto-defend attack-source命令将会清除掉所有的攻击溯源信息,如果只希望清除指定的攻击溯源信息则可以使用本命令。

注意事项

执行本命令后,攻击源信息将被清除并且不可恢复。

使用实例

# 清除源IP地址为10.1.1.1的攻击溯源计数信息。

<HUAWEI> system-view
[HUAWEI] reset auto-defend attack-source trace-type source-ip 10.1.1.1

reset auto-port-defend statistics

命令功能

reset auto-port-defend statistics命令用来清除端口防攻击的报文统计信息。

命令格式

reset auto-port-defend statistics [ all | slot slot-id ]

参数说明

参数 参数说明 取值
all

清除所有单板的端口防攻击报文统计信息,包括主控板和接口板。

如果不指定all,也不指定slot slot-id,则表示清除主控板上的端口防攻击报文统计信息

-
slot slot-id

清除指定槽位号的端口防攻击报文统计信息。

根据设备的实际配置选取。

视图

所有视图

缺省级别

2:配置级

使用指南

应用场景

如果需要专门查看一段时间内端口防攻击的报文统计信息,可以使用本命令清除原有统计信息,再使用命令display auto-port-defend statistics重新进行查看。

注意事项

执行本命令后,报文统计信息将被清除并且不可恢复。

使用实例

# 清除主控板的端口防攻击报文统计信息。

<HUAWEI> reset auto-port-defend statistics

reset cpu-defend dynamic-car history-record

命令功能

reset cpu-defend dynamic-car history-record命令用来清除动态调整协议报文的默认CPCAR值的历史记录。

命令格式

reset cpu-defend dynamic-car history-record

参数说明

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

当需要专门查看一段时间内动态调整协议报文的默认CPCAR值的历史记录时,可以使用reset cpu-defend dynamic-car history-record命令清除原有历史记录,然后再使用display cpu-defend dynamic-car history-record查看动态调整协议报文的默认CPCAR值的历史记录 。

注意事项

执行reset cpu-defend dynamic-car history-record命令后,动态调整协议报文的默认CPCAR值的历史记录将被清除并且不可恢复。

使用实例

# 清除动态调整协议报文的默认CPCAR值的历史记录。

<HUAWEI> reset cpu-defend dynamic-car history-record

reset cpu-defend host-car statistics

命令功能

reset cpu-defend host-car statistics命令用来清除用户级限速的报文统计信息。

说明:

仅X系列单板支持该命令。

命令格式

reset cpu-defend host-car [ mac-address mac-address ] statistics [ slot slot-id ]

参数说明

参数 参数说明 取值
mac-address mac-address 清除指定MAC的报文统计信息。 -
slot slot-id 清除指定单板的报文统计信息。 -

视图

用户视图

缺省级别

2:配置级

使用指南

当需要查看新的报文统计信息时,可以执行该命令先清除之前的报文统计信息。

清除用户级限速的报文统计信息后,之前的统计信息将无法恢复,请于清除前仔细确认。

使用实例

# 清除用户级限速的报文统计信息。

<HUAWEI> reset cpu-defend host-car statistics

reset cpu-defend statistics

命令功能

reset cpu-defend statistics命令用来清除上送CPU报文的统计信息。

命令格式

reset cpu-defend statistics [ packet-type packet-type ] { all | slot slot-id | mcu }

参数说明

参数 参数说明 取值
packet-type packet-type

指定的报文协议类型。packet-type表示报文协议类型的名称。

  • 如果指定packet-type packet-type,则清除该协议报文的统计信息。
  • 如果不指定packet-type packet-type,则清除所有协议报文的统计信息。
报文类型以设备显示为准。
all

所有单板,包括主控板和接口板。

如果不指定all,也不指定slot,则清除主控板上的CAR统计信息。

-
slot slot-id

指定槽位号。

根据设备的实际配置选取。
mcu 指定主控板。 -

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

当需要专门查看一段时间内上送CPU的报文的统计信息时,可以使用reset cpu-defend statistics命令清除原有统计信息,然后使用display cpu-defend statistics查看上送CPU的报文的统计信息。

注意事项

执行本命令后,报文统计信息将被清除并且不可恢复。

使用实例

# 清除3号槽位单板上上送CPU的BGP报文统计信息。

<HUAWEI> reset cpu-defend statistics packet-type bgp slot 3

slot

命令功能

slot命令用来进入槽位视图。

命令格式

slot slot-id

参数说明

参数 参数说明 取值
slot-id 指定槽位号。 根据设备实际配置选取。

视图

系统视图

缺省级别

2:配置级

使用指南

进入槽位视图后,可以在该槽位下使用cpu-defend-policy绑定防攻击策略。

使用实例

# 进入槽位视图。

<HUAWEI> system-view
[HUAWEI] slot 1
[HUAWEI-slot-1]
相关主题

snmp-agent trap enable feature-name securitytrap

命令功能

snmp-agent trap enable feature-name securitytrap命令用来打开安全模块的告警开关。

undo snmp-agent trap enable feature-name securitytrap命令用来关闭安全模块的告警开关。

缺省情况下,安全模块的告警开关处于开启状态。

命令格式

snmp-agent trap enable feature-name securitytrap [ trap-name { hwarpglobalspeedlimitalarm | hwarpifratelimitblockalarm | hwarpifspeedlimitalarm | hwarpmissglobalspeedlimitalarm | hwarpmissifspeedlimitalarm | hwarpmisssipspeedlimitalarm | hwarpmissvlanspeedlimitalarm | hwarpsdaidropalarm | hwarpsentrycheck | hwarpsgatewayconflict | hwarpsipspeedlimitalarm | hwarpsmacspeedlimitalarm | hwarpspacketcheck | hwarpvlanspeedlimitalarm | hwdefendcpcardroppkt | hwicmpglobaldropalarm | hwicmpifdropalarm | hwipsgdropalarm | hwmacsecfailnotify | hwstrackdenypacket | hwstrackerrordown | hwstrackifvlaninfo | hwstrackportatk | hwstracksrcipinfo | hwstrackuserabnormal | hwstrackuserinfo | hwxqosstormcontroltrap | hwxqosstormcontroltrapext } ]

undo snmp-agent trap enable feature-name securitytrap [ trap-name { hwarpglobalspeedlimitalarm | hwarpifratelimitblockalarm | hwarpifspeedlimitalarm | hwarpmissglobalspeedlimitalarm | hwarpmissifspeedlimitalarm | hwarpmisssipspeedlimitalarm | hwarpmissvlanspeedlimitalarm | hwarpsdaidropalarm | hwarpsentrycheck | hwarpsgatewayconflict | hwarpsipspeedlimitalarm | hwarpsmacspeedlimitalarm | hwarpspacketcheck | hwarpvlanspeedlimitalarm | hwdefendcpcardroppkt | hwicmpglobaldropalarm | hwicmpifdropalarm | hwipsgdropalarm | hwmacsecfailnotify | hwstrackdenypacket | hwstrackerrordown | hwstrackifvlaninfo | hwstrackportatk | hwstracksrcipinfo | hwstrackuserabnormal | hwstrackuserinfo | hwxqosstormcontroltrap | hwxqosstormcontroltrapext } ]

参数说明

参数

参数说明

取值

trap-name

安全模块的指定类型事件的告警开关。

-

hwarpglobalspeedlimitalarm

使能当设备收到ARP报文速率达到配置的告警阈值时发送华为私有Trap消息。

-

hwarpifratelimitblockalarm

使能当设备收到ARP报文速率超过限速值,并且在阻断时间内端口的ARP报文被丢弃时发送华为私有Trap消息。

-

hwarpifspeedlimitalarm

使能当接口下收到ARP报文速率达到配置的告警阈值时发送华为私有Trap消息。

-

hwarpmissglobalspeedlimitalarm

使能当整机ARP Miss消息速率超过限速值,且丢弃的ARP Miss消息数超过了配置的告警阈值时发送华为私有Trap消息。

-

hwarpmissifspeedlimitalarm

使能当接口下ARP Miss消息速率达到了配置的告警阈值时发送华为私有Trap消息。

-

hwarpmisssipspeedlimitalarm

使能当指定源IP的ARP Miss消息速率超过配置的告警阈值时发送华为私有Trap消息。

-

hwarpmissvlanspeedlimitalarm

使能当VLAN下ARP Miss消息速率超过限速值,且丢弃的ARP Miss消息数超过了配置的告警阈值时发送华为私有Trap消息。

-

hwarpsdaidropalarm

使能当被DAI检查丢弃的ARP报文达到了配置的告警阈值时发送华为私有Trap消息。

-

hwarpsentrycheck

使能当设备检测到企图修改ARP表项的攻击报文时发送华为私有Trap消息。

-

hwarpsgatewayconflict

使能当设备收到了源IP地址与网关IP地址相同的ARP报文时发送华为私有Trap消息。

-

hwarpsipspeedlimitalarm

使能当指定源IP的ARP报文速率超过配置的告警阈值时发送华为私有Trap消息。

-

hwarpsmacspeedlimitalarm

使能当指定源MAC的ARP报文速率超过配置的告警阈值时发送华为私有Trap消息。

-

hwarpspacketcheck

使能当设备检测到非法的ARP报文时发送华为私有Trap消息。

-

hwarpvlanspeedlimitalarm

使能当VLAN下ARP报文速率达到了配置的告警阈值时发送华为私有Trap消息。

-

hwdefendcpcardroppkt

协议报文上送CPU的速率超过CPCAR值出现丢包时发送的华为私有Trap消息。

-

hwicmpglobaldropalarm

使能当全局ICMP报文速率达到了配置的告警阈值时发送华为私有Trap消息。

-

hwicmpifdropalarm

使能当接口下ICMP报文速率达到了配置的告警阈值时发送华为私有Trap消息。

-

hwipsgdropalarm

使能当IPSG检查丢弃的IP报文达到了配置的告警阈值时发送华为私有Trap消息。

-

hwmacsecfailnotify

接口MACsec配置失效时发送的华为私有Trap消息。

-

hwstrackdenypacket

使能当系统检测某个攻击源并且把该攻击源发送的报文丢弃时发送华为私有Trap消息。

-

hwstrackerrordown

使能当系统检测某个攻击源并且把该攻击源来源的端口设置为error-down状态时发送华为私有Trap消息。

-

hwstrackifvlaninfo

使能当攻击溯源检测到来自端口的攻击时发送华为私有Trap消息。

-

hwstrackportatk

设备检测到端口存在某种协议报文攻击后启动端口防攻击时发送的华为私有Trap消息。

-

hwstracksrcipinfo

使能当攻击溯源检测到基于源IP的攻击时发送华为私有Trap消息。

-

hwstrackuserabnormal

使能当接口板上收到报文的速率超出了正常速率时发送华为私有Trap消息。

-

hwstrackuserinfo

使能当攻击溯源检测到基于用户的攻击时发送华为私有Trap消息。

-

hwxqosstormcontroltrap

使能当风暴控制检测到端口状态机发生变化时发送华为私有Trap消息。

-

hwxqosstormcontroltrapext

接口状态机发生变化时发送华为私有Trap消息。

-

视图

系统视图

缺省级别

2:配置级

使用指南

打开告警开关之后,设备在运行过程中方可产生告警,并通过SNMP将生成的告警上送给网管;否则设备不会产生告警,SNMP模块也不会将告警上送给网管。

可以根据需要选择trap-name,只打开某个或几个事件的告警开关。

使用实例

# 打开安全的hwStrackUserInfo告警。

<HUAWEI> system-view
[HUAWEI] snmp-agent trap enable feature-name securitytrap trap-name hwStrackUserInfo

user-defined-flow

命令功能

user-defined-flow命令用来配置用户自定义流。

undo user-defined-flow命令用来删除用户自定义流。

缺省情况下,没有配置用户自定义流。

命令格式

user-defined-flow flow-id acl acl-number

undo user-defined-flow flow-id

参数说明

参数

参数说明

取值

flow-id

指定用户自定义流的编号。

整数形式,取值范围是1~8。

acl acl-number

指定ACL。其中acl-number表示ACL的编号。设备的用户自定义流应用的ACL可以是基本ACL、高级ACL或二层ACL。

acl-number为整数形式,取值范围是2000~4999

  • 2000~2999表示基本ACL范围。
  • 3000~3999表示高级ACL范围。
  • 4000~4999表示二层ACL范围。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

当网络中出现不明攻击时,用户可以通过本命令配置用户自定义流绑定ACL规则,然后使用car user-defined-flow flow-id cir cir-value [ cbs cbs-value ]命令或deny user-defined-flow flow-id命令对符合此特征的数据流执行上送限速或者丢弃动作。

注意事项

用户自定义流应用的ACL规则如果匹配deny,则命中用户自定义流的报文将会被丢弃。

使用实例

# 使用ACL 2001配置2号用户自定义流。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] user-defined-flow 2 acl 2001

whitelist

命令功能

whitelist命令用来配置白名单。

undo whitelist命令用来删除白名单。

缺省情况下,没有配置白名单。

命令格式

whitelist whitelist-id acl acl-number

undo whitelist whitelist-id

参数说明

参数

参数说明

取值

whitelist-id

指定白名单编号。

整数形式,取值范围是1~8。

acl acl-number

指定ACL。其中acl-number表示ACL的编号。设备的白名单应用的ACL可以是基本ACL、高级ACL或二层ACL。

acl-number为整数形式,取值范围是2000~4999

  • 2000~2999表示基本ACL范围。
  • 3000~3999表示高级ACL范围。
  • 4000~4999表示二层ACL范围。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

通过创建白名单,把符合特定特征的用户纳入到白名单中,设备将优先处理匹配白名单特征的报文。通过定义ACL规则,可灵活设置白名单的属性。

设备的一个防攻击策略最多可以配置8条白名单。

注意事项

白名单应用的ACL规则如果匹配deny,则命中白名单的报文将会被丢弃。

对于X系列单板,白名单用户的报文到达设备后将被高速率高优先级上送CPU,通过命令display cpu-defend statistics无法统计到该报文信息。

使用实例

# 使用ACL 2002配置2号白名单。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] whitelist 2 acl 2002
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10290

下载量:200

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页