ARP报文限速

如果设备对收到的大量ARP报文全部进行处理，可能导致CPU负荷过重而无法处理其他业务。因此，在处理之前，设备需要对ARP报文进行限速，以保护CPU资源。

设备提供了如下几类针对ARP报文的限速功能：

• 根据源MAC地址或源IP地址进行ARP报文限速

  当设备检测到某一个用户在短时间内发送大量的ARP报文，可以针对该用户配置基于源MAC地址或源IP地址的ARP报文限速。在1秒时间内，如果该用户的ARP报文数目超过设定阈值（ARP报文限速值），则丢弃超出阈值部分的ARP报文。

  • 根据源MAC地址进行ARP报文限速：如果指定MAC地址，则针对指定源MAC地址的ARP报文根据限速值进行限速；如果不指定MAC地址，则针对每一个源MAC地址的ARP报文根据限速值进行限速。

  • 根据源IP地址进行ARP报文限速：如果指定IP地址，则针对指定源IP地址的ARP报文根据限速值进行限速；如果不指定IP地址，则针对每一个源IP地址的ARP报文根据限速值进行限速。

• 根据目的IP地址进行ARP报文限速

  当设备需要处理大量目的IP地址相同的ARP报文时，可以配置基于目的IP地址的ARP报文限速。设备会对上送CPU的ARP报文根据目的IP地址进行统计，如果在1秒内收到的同一个目的IP地址的ARP报文超过设定阈值（ARP报文限速值），则丢弃超出阈值部分的ARP报文。

• 针对全局、VLAN、BD和接口的ARP报文限速

  设备支持在全局、VLAN、BD和接口下配置ARP报文的限速值，当同时在全局、VLAN/BD和接口下配置ARP报文的限速值时，设备会先按照接口进行限速，再按照VLAN/BD进行限速，最后按照全局进行限速。

  仅CE12800E安装FD-X系列单板后支持在接口视图配置ARP报文限速。

  仅CE12800支持在BD视图配置ARP报文限速。

  • 针对全局的ARP报文限速：在设备出现ARP攻击时，限制全局处理的ARP报文数量。

  • 针对VLAN的ARP报文限速：在某个VLAN内的所有接口出现ARP攻击时，限制处理收到的该VLAN内的ARP报文数量，配置本功能可以保证不影响其他VLAN内所有接口的ARP学习。

  • 针对BD的ARP报文限速：在某个BD内的所有接口出现ARP攻击时，限制处理收到的该BD内的ARP报文数量，配置本功能可以保证不影响其他BD内所有接口的ARP学习。

  • 针对接口的ARP报文限速：在某个接口出现ARP攻击时，限制处理该接口收到的ARP报文数量，配置本功能可以保证不影响其他接口的ARP学习。