评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置攻击溯源惩罚功能
背景信息
Error-Down是指设备检测到故障后将接口状态设置为ERROR DOWN状态,此时接口不能收发报文,接口指示灯为常灭。
配置攻击溯源惩罚功能,可以使设备在识别出攻击源后,对攻击源进行一定的惩罚,丢弃与攻击源相关的报文或者将攻击报文进入的接口Error-Down,从而避免攻击源继续攻击设备。
如果配置攻击溯源的惩罚措施是将攻击报文进入的接口Error-Down,则会造成设备业务的中断,接口下合法的用户会受牵连,请谨慎使用。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令cpu-defend policy policy-name,进入防攻击策略视图。
- 执行命令auto-defend enable,使能攻击溯源功能。
缺省情况下,未使能攻击溯源功能。
- 执行命令auto-defend action { deny [ timeout time-length ] | error-down },使能攻击溯源的惩罚功能,并指定惩罚措施。
缺省情况下,未使能攻击溯源的惩罚功能。
设备不对攻击溯源的白名单用户进行攻击溯源的惩罚。
- 执行命令commit,提交配置。
后续处理
设备在识别出攻击源后,对攻击源进行一定的惩罚,接口会被Error-Down,建议先识别出攻击源,排除攻击,然后再恢复接口状态。
有以下两种方式可以恢复接口状态:
手动恢复(Error-Down发生后)。
当处于Error-Down状态的接口数量较少时,可在该接口视图下依次执行命令shutdown和undo shutdown,或者执行命令restart,重启接口。
自动恢复(Error-Down发生前)。
如果处于Error-Down状态的接口数量较多,逐一手动恢复接口状态将产生大量重复工作,且可能出现部分接口配置遗漏。为避免这一问题,用户可在系统视图下执行命令error-down auto-recovery cause auto-defend interval使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间。可以通过执行命令display error-down recovery查看接口状态自动恢复信息。
此方式对已经处于Error-Down状态的接口不生效,只对配置该命令后进入Error-Down状态的接口生效。
