本机防攻击配置注意事项

涉及网元

无需其他网元配合。

License支持

本机防攻击特性属于交换机基础功能，其受基本软件功能License控制。基本软件功能License在设备出厂时已经内置并激活，不需要用户再手动激活。

版本支持

如果需要了解软件版本与交换机具体型号的配套信息，请查看硬件查询工具。

软件版本演进关系：V100R001C00 -> V100R002C00 -> V100R003C00 -> V100R003C10 -> V100R005C00 -> V100R005C10 -> V100R006C00 -> V200R001C00 -> V200R002C50 -> V200R003C00 -> V200R005C00 -> V200R005C10 -> V200R019C00 -> V200R019C10

特性依赖和限制

• 从V200R002C50版本开始，配置了攻击溯源防范的报文类型为ttl-expired且惩罚动作为deny后，攻击溯源对OSPF和OSPFv3报文不生效。
• 在V200R005C10及之前版本中，配置了攻击溯源防范的报文类型为ttl-expired且惩罚动作为deny后，需要用户配置针对BGP协议报文的攻击溯源白名单。在V200R005C10之后版本中，配置了攻击溯源防范的报文类型为ttl-expired且惩罚动作为deny后，攻击溯源对BGP报文不生效。

• 设备使能ICMP报文的攻击溯源功能后，Ping快回功能不生效。

• CE12800E安装ED-E/EG-E/EGA-E系列单板后，仅支持使用芯片模式进行NetStream采样，采样的报文不上送CPU处理。

• 对于其它交换机：
  • 从V200R001C00版本开始，单板通过NetStream采样的报文会上送CPU处理，当单板CPU使用率超过65%时，单板会对上送CPU的采样报文进行限速，CAR速率降低为1000pps，从而导致NetStream采样上送CPU的报文被丢弃，造成采样比率降低。当CPU使用率小于65%时，单板会逐步提高CAR速率，每20秒提高500pps，直到CAR速率恢复到原配置。
  • FD-X、CE-L36CQ-FD、CE-L36CQ-FG、CE-L36CQ-FD1、CE-L36CQ-SD、CE-L36LQ-FD、CE-L24LQ-FD、CE-L16CQ-FD、CE-L12CQ-FD、CE-L48XS-FG、CE-L08CF-FG1、CE-L48XS-FD1单板支持使用增强模式进行NetStream采样，该模式下，采样的报文不上送CPU处理。

• 从V200R003C00版本开始，对于CE12800，同时使能EFM和LACP时，两种协议报文将同时统计到EFM队列中；如果不同时使能EFM和LACP，两种报文分别统计到各自的队列中。当同时使能EFM和LACP时，可以执行命令display cpu-defend statistics packet-type efm all查看报文统计信息，如果显示报文有丢包情况，可以执行命令car packet-type efm pps pps-value增大该队列的CAR值。