评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置防止DHCP报文泛洪攻击
背景信息
在DHCP网络环境中,若存在DHCP用户短时间内向设备发送大量的DHCP报文,将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。通过使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能将能够有效防止DHCP报文泛洪攻击。
CE12800E不支持在BD视图下配置此功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置限制DHCP报文的上送速率,可在系统视图、VLAN视图、BD视图或接口视图下执行。
- 执行命令dhcp snooping rate-limit enable,使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。
缺省情况下,未使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。
在VLAN视图下执行此命令,则对设备所有接口接收到的属于该VLAN的DHCP报文命令功能生效。
在系统视图下执行命令dhcp snooping rate-limit enable vlan { vlan-id1 [ to vlan-id2 ] }&<1-10>,功能与在VLAN视图下执行命令dhcp snooping rate-limit enable相同。
- 执行命令dhcp snooping rate-limit rate,配置DHCP报文上送DHCP报文处理单元的最大允许速率。
缺省情况下,全局DHCP报文上送DHCP报文处理单元的最大允许速率为100pps,VLAN、接口和BD下DHCP报文上送DHCP报文处理单元的最大允许速率为在系统视图下配置的值。
在系统视图下执行命令dhcp snooping rate-limit vlan { vlan-id1 [ to vlan-id2 ] }&<1-10>,功能与在VLAN视图下执行命令dhcp snooping rate-limit rate相同。
- 执行命令dhcp snooping rate-limit enable,使能对DHCP报文上送DHCP报文处理单元的速率进行检测功能。
- (可选)配置告警功能,可在系统视图、BD视图或接口视图下执行。
- 执行命令commit,提交配置。
