评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置ARP Miss消息限速(根据源IP地址)
背景信息
如果网络中有用户向设备发送大量目标IP地址不能解析的IP报文(即路由表中存在该IP报文的目的IP对应的路由表项,但设备上没有该路由表项中下一跳对应的ARP表项),将导致设备触发大量的ARP Miss消息。这种触发ARP Miss消息的IP报文会被上送到设备进行处理,设备会根据ARP Miss消息生成和下发大量临时ARP表项并向目的网络发送大量ARP请求报文,这样就增加了设备CPU的负担,同时严重消耗目的网络的带宽资源。
当设备检测到某一源IP地址的IP报文在1秒内触发的ARP Miss消息数量超过了限速值,就认为此源IP地址存在攻击。
管理员可以根据实际网络环境,对ARP Miss消息的限速值进行调整,限制设备在一定时间内只处理指定数目的ARP Miss消息,避免设备的资源浪费在处理ARP Miss消息上,保证用户的其他业务能够正常运行。
建议在网关设备上进行如下配置。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置根据源IP地址进行ARP Miss消息限速
- 执行命令arp miss anti-attack rate-limit source-ip maximum maximum,配置根据源IP地址进行ARP Miss消息限速的限速值。
- 执行命令arp miss anti-attack rate-limit source-ip ip-address [ mask { mask-length | mask } ] maximum maximum,配置对指定IP地址用户的ARP Miss消息进行限速的限速值。
两种配置同时存在的情况下,当触发ARP Miss消息的IP报文的源IP地址匹配限速指定的IP地址时,对该源IP地址的IP报文触发的ARP Miss消息限速值为后一步骤中配置的maximum值;否则为前一步骤中配置的maximum值。
如果将限速值配置为0,则表示不根据源IP地址进行ARP Miss消息限速。缺省情况下,设备允许每秒最多处理同一个源IP地址触发的50个ARP Miss消息。
- 执行命令commit,提交配置。
