评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置基于端口的本机自动防攻击功能
背景信息
在协议使能时,设备已经为各类协议报文分配好相应的队列,并且各队列有一个默认CAR值。如果设备的某些端口收到大量的协议报文并上送CPU,会导致其他正常端口收到的相同类型的协议报文上送CPU速率很慢或者无法上送CPU,影响正常的业务。通过使能基于端口的本机自动防攻击功能,当一个端口收到的某协议报文数超过默认CAR值的75%或当收到的某协议报文数最多的两个端口收到的协议报文总数超过默认CAR值的85%时,可以对相应的端口收到的协议报文进行惩罚,即将端口收到的协议报文上送到其他CAR值较小的惩罚队列,避免影响其他正常端口协议报文的上送。
产生MAC漂移的物理端口,会自动开启本机自动防攻击功能,对端口收到的超过阈值的协议报文进行惩罚。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令cpu-defend policy policy-name,进入防攻击策略视图。
- 执行命令undo auto-port-defend protocol { arp-request | dhcp | multicast | ospf | nd | vrrp } disable,使能基于端口的本机自动防攻击功能。
缺省情况下,默认使能基于端口的本机自动防攻击功能。
此命令仅支持在Admin-VS中配置,配置后对所有VS生效。
CE12800E安装ED-E/EG-E/EGA-E系列单板后仅支持arp-request参数。
- 执行命令commit,提交配置。
