本机防攻击
本章节介绍本机防攻击的配置模型,以及配置的XML报文举例说明。
数据模型
本机防攻击模型文件名为huawei-cpu-traffic-security.yang。
仅S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-HI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持用户级限速。
节点 |
说明 |
取值范围 |
备注 |
---|---|---|---|
/huawei-traffic:defend/host-car/enable |
使能用户级限速功能。 |
布尔类型:
缺省情况下,用户级限速的功能已使能。 |
Host-car的所有相关节点有配置时,用户级限速不可以配置为去使能。 |
/huawei-traffic:defend/host-car/protocol/protocol-typelist/protocol-type |
用户级限速可以限制的报文类型。 |
枚举值类型:
缺省情况下,报文类型为:eap、arp、dhcp-request、dhcpv6-request、nd。 |
其中eap对应8021x报文类型。也就是说配置节点值为eap,实际设备中配置的限速报文类型为8021x。 |
/huawei-traffic:defend/host-car/user/user-list/mac-address |
配置特定MAC的用户级限速。 |
格式为H-H-H。 |
需要同时配置特定MAC用户级限速的限速值。 |
/huawei-traffic:defend/host-car/user/user-list/threshold |
配置特定MAC用户级限速的限速值。 |
整数形式,取值范围是1~128。 |
NA |
/huawei-traffic:defend/host-car/threshold |
配置用户级限速的限速值。 |
整数形式,取值范围是1~128。 缺省情况下,用户级限速的限速值为10pps。 |
NA |
/ietf-interfaces:interfaces/interface/huawei-traffic:host-car/enable |
使能接口下的用户级限速功能。 |
布尔类型:
缺省情况下,用户级限速的功能已使能。 |
NA |
/huawei-traffic:attack-user/input/slot |
查看指定槽位号的攻击源信息。 |
根据设备实际配置选取。 |
NA |
/huawei-traffic:portattack-user/input/slot |
查看指定槽位号的端口防攻击的溯源信息。 |
根据设备实际配置选取。 |
NA |
/huawei-traffic:defend/policy/policy-list/name |
防攻击策略名称。 |
字符串形式,长度范围为1~32,区分大小写。 |
NA |
/huawei-traffic:defend/policy/policy-list/auto-port-defend/enable |
使能端口防攻击功能。 |
布尔类型:
缺省情况下,端口防攻击功能已使能。 |
为避免冲突,设置去使能时需要保证其他auto-port-defend节点已删除。 |
/huawei-traffic:defend/policy/policy-list/auto-port-defend/alarm |
使能端口防攻击事件上报功能。 |
布尔类型:
缺省情况下,端口防攻击事件上报功能未使能。 |
NA |
/huawei-traffic:defend/policy/policy-list/auto-port-defend/sample |
基于端口防攻击的协议报文采样比。 |
整数形式,取值范围是1~1024。 |
NA |
/huawei-traffic:defend/policy/policy-list/auto-port-defend/whitelist/whitelist-id-list/whitelist-id |
端口防攻击的白名单编号。 |
整数形式,取值范围是1~32。 |
NA |
/huawei-traffic:defend/policy/policy-list/auto-port-defend/whitelist/whitelist-id-list/acl |
端口防攻击白名单对应的ACL编号。 |
整数形式,取值范围是2000~3999。 |
与/huawei-traffic:defend/policy/policy-list/auto-port-defend/whitelist/whitelist-id-list/interface-name节点不能同时配置。 |
/huawei-traffic:defend/policy/policy-list/auto-port-defend/whitelist/whitelist-id-list/interface-name |
端口防攻击白名单生效的接口。 |
字符串形式,接口类型+接口编号,如GigabitEthernet0/0/1 |
NA |
/huawei-traffic:defend/policy/policy-list/auto-port-defend/aging-time |
端口防攻击的老化探测周期。 |
整数形式,取值范围是30~86400,数值在只能取10的倍数。 |
NA |
/huawei-traffic:defend/policy/policy-list/auto-port-defend/protocol/protocol-port-type-list/protocol-port-type |
端口防攻击可以防范的报文类型。 |
枚举值类型:
|
NA |
/huawei-traffic:defend/policy/policy-list/auto-port-defend/protocol/protocol-port-type-list/threshold |
端口防攻击的协议报文检查阈值。 |
整数形式,取值范围是1~65535。 |
NA |
/huawei-traffic:defend/policy/policy-list/auto-defend/enable |
使能攻击溯源功能。 |
布尔类型:
缺省情况下,攻击溯源功能已使能。 |
auto-defend的总开关,为避免冲突,设置去使能时需要保证其他auto-defend节点已删除 |
/huawei-traffic:defend/policy/policy-list/auto-defend/threshold |
攻击溯源检查阈值和事件上报阈值。 |
整数形式,取值范围是1~65535。 |
NA |
/huawei-traffic:defend/policy/policy-list/auto-defend/alarm |
使能攻击溯源事件上报功能。 |
布尔类型:
缺省情况下,攻击溯源事件上报功能未使能。 |
NA |
/huawei-traffic:defend/policy/policy-list/auto-defend/sample |
攻击溯源的采样比。 |
整数形式,取值范围是1~1024。 |
NA |
/huawei-traffic:defend/policy/policy-list/auto-defend/whitelist/whitelist-id-list/whitelist-id |
攻击溯源的白名单的编号。 |
整数形式,取值范围是1~32。 |
NA |
/huawei-traffic:defend/policy/policy-list/auto-defend/whitelist/whitelist-id-list/interface-name |
攻击溯源白名单生效的接口。 |
字符串形式,接口类型+接口编号,如GigabitEthernet0/0/1 |
NA |
/huawei-traffic:defend/policy/policy-list/auto-defend/whitelist/whitelist-id-list/acl |
攻击溯源的白名单对应的ACL编号。 |
整数形式,取值范围是2000~3999。 |
与/huawei-traffic:defend/policy/policy-list/auto-defend/whitelist/whitelist-id-list/interface-name互斥。 |
/huawei-traffic:defend/policy/policy-list/auto-defend/action |
攻击溯源的惩罚措施。 |
枚举值类型:
|
NA |
/huawei-traffic:defend/policy/policy-list/auto-defend/recover-timer |
丢弃攻击报文的周期。 |
整数形式,取值范围是1~86400 |
配置该节点时/huawei-traffic:defend/policy/policy-list/auto-defend/action节点须配置为deny。 |
/huawei-traffic:defend/policy/policy-list/auto-defend/protocol-list/protocol |
攻击溯源防范的报文类型。 |
枚举值类型:
|
其中eap对应8021x报文类型。也就是说配置节点值为eap,实际设备中下发的报文类型为8021x。 |
/huawei-traffic:defend/policy/policy-list/auto-defend/trace-type |
攻击溯源的溯源模式。 |
枚举值类型:
|
NA |
/huawei-traffic:defend/policy/policy-list/apply-list/applied-type |
防攻击策略应用类型。 |
枚举值类型:
|
不支持堆叠的设备不支持mainboard |
/huawei-traffic:defend/errordown-recover-timer |
由于auto-defend保护而被error-down的接口自动恢复为Up的延迟时间。 |
整数形式,取值范围是30~86400,单位是秒。 |
NA |
/huawei-traffic:defend/policy/policy-list/car/packet/packet-type |
对上送CPU的指定协议报文进行限速或丢弃。 |
枚举值类型,具体支持的协议报文类型信息请参考防攻击报文类型汇总,不支持的协议报文类型无法下发。 |
NA |
/huawei-traffic:defend/policy/policy-list/car/packet/cir |
指定协议报文上送CPU的承诺信息速率。 |
整数形式,取值范围是8~4294967295,具体取值范围根据协议报文类型不同而不同,单位是kbit/s。 |
该节点不能与/huawei-traffic:defend/policy/policy-list/car/packet/deny节点同时配置。 |
/huawei-traffic:defend/policy/policy-list/car/packet/cbs |
指定协议报文上送CPU的承诺突发尺寸。 |
整数形式,取值范围是10000~4294967295,具体取值范围根据协议报文类型不同而不同,单位是byte。 |
配置该节点前,需要先配置/huawei-traffic:defend/policy/policy-list/car/packet/cir节点。 |
/huawei-traffic:defend/policy/policy-list/car/packet/deny |
将协议报文上送CPU的动作设置成丢弃。 |
- |
该节点不能与/huawei-traffic:defend/policy/policy-list/car/packet/cir节点同时配置。 |
/hw-traffic:defend/policy/policy-list/blacklist/blacklist-number |
指定黑名单编号。 |
整数形式,取值范围是1~8。 |
NA |
/hw-traffic:defend/policy/policy-list/blacklist/acl-number |
指定IPv4黑名单对应的ACL编号。 |
整数形式,取值范围是2000~4999:
|
NA |
配置用户级限速示例
本章节主要介绍通过edit-config方法配置用户级限速。
操作 |
XPATH |
---|---|
edit-config |
|
数据需求1:配置用户级限速
项目 |
数据 |
描述 |
---|---|---|
用户级限速使能 |
true |
用户级限速使能。 |
配置用户级限速的报文类型 |
eap、arp |
配置用户级限速的报文类型为8021x和ARP报文。 |
指定MAC地址的限速值 |
MAC2地址:02:00:00:22:22:aa 限速值2:13 MAC1地址:00:00:00:22:22:aa 限速值1:12 |
MAC地址为00:00:00:22:22:aa用户的限速值为12pps。 MAC地址为02:00:00:22:22:aa用户的限速值为13PPS。 |
用户级限速的限速值 |
7 |
配置用户级限速的限速值为7pps。 |
请求示例
<?xml version='1.0' encoding='UTF-8'?> <rpc message-id="1" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0"> <edit-config> <target> <running/> </target> <config> <hw-traffic:defend xmlns:hw-traffic="urn:huawei:params:xml:ns:yang:huawei-traffic"> <hw-traffic:host-car> <hw-traffic:enable>true</hw-traffic:enable> <hw-traffic:protocol> <hw-traffic:protocol-typelist> <hw-traffic:protocol-type>eap</hw-traffic:protocol-type> </hw-traffic:protocol-typelist> <hw-traffic:protocol-typelist> <hw-traffic:protocol-type>arp</hw-traffic:protocol-type> </hw-traffic:protocol-typelist> </hw-traffic:protocol> <hw-traffic:user> <hw-traffic:user-list> <hw-traffic:mac-address>02:00:00:22:22:aa</hw-traffic:mac-address> <hw-traffic:threshold>13</hw-traffic:threshold> </hw-traffic:user-list> <hw-traffic:user-list> <hw-traffic:mac-address>00:00:00:22:22:aa</hw-traffic:mac-address> <hw-traffic:threshold>12</hw-traffic:threshold> </hw-traffic:user-list> </hw-traffic:user> <hw-traffic:threshold>7</hw-traffic:threshold> </hw-traffic:host-car> </hw-traffic:defend> </config> </edit-config> </rpc>
响应示例
配置成功响应示例。
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <ok/> </rpc-reply>
配置失败响应示例。
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <rpc-error> <error-type>application</error-type> <error-tag>operation-failed</error-tag> <error-severity>error</error-severity> <error-message>parse rpc config error.</error-message> </rpc-error> </rpc-reply>
数据需求2:配置用户级限速
项目 |
数据 |
描述 |
---|---|---|
接口下去使能用户级限速 |
false |
接口下去使能用户级限速。 |
请求示例
<?xml version='1.0' encoding='UTF-8'?> <rpc message-id="7" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0"> <edit-config> <target> <running/> </target> <config> <hw-traffic:defend xmlns:hw-traffic="urn:huawei:params:xml:ns:yang:huawei-traffic"> <hw-traffic:host-car> <hw-traffic:enable>true</hw-traffic:enable> </hw-traffic:host-car> </hw-traffic:defend> <if:interfaces xmlns:if="urn:ietf:params:xml:ns:yang:ietf-interfaces"> <if:interface> <if:name>GigabitEthernet0/0/1</if:name> <if:type xmlns:iana-if-type="urn:ietf:params:xml:ns:yang:iana-if-type">iana-if-type:ethernetCsmacd</if:type> <hw-traffic:host-car xmlns:hw-traffic="urn:huawei:params:xml:ns:yang:huawei-traffic"> <hw-traffic:enable>false</hw-traffic:enable> </hw-traffic:host-car> </if:interface> </if:interfaces> </config> </edit-config> </rpc>
响应示例
配置成功响应示例。
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <ok/> </rpc-reply>
配置失败响应示例。
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <rpc-error> <error-type>application</error-type> <error-tag>operation-failed</error-tag> <error-severity>error</error-severity> <error-message>parse rpc config error.</error-message> </rpc-error> </rpc-reply>
配置端口防攻击示例
本章节主要介绍通过edit-config方法配置端口防攻击。
操作 |
XPATH |
---|---|
edit-config |
|
数据需求:配置端口防攻击
项目 |
数据 |
描述 |
---|---|---|
防攻击策略名称 |
test |
防攻击策略名称为test。 |
使能端口防攻击功能 |
true |
使能端口防攻击功能。 |
策略应用类型 |
all |
将防攻击策略test应用到设备的所有接口板。 |
防攻击可以防范的报文类型 |
dhcp |
设置端口防攻击可以防范的报文类型为DHCP。 |
请求示例
<?xml version='1.0' encoding='UTF-8'?> <rpc message-id="6" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0"> <edit-config> <target> <running/> </target> <config> <hw-traffic:defend xmlns:hw-traffic="urn:huawei:params:xml:ns:yang:huawei-traffic"> <hw-traffic:policy> <hw-traffic:policy-list> <hw-traffic:name>test</hw-traffic:name> <hw-traffic:auto-port-defend> <hw-traffic:enable>true</hw-traffic:enable> <hw-traffic:protocol> <hw-traffic:protocol-port-type-list> <hw-traffic:protocol-port-type>dhcp</hw-traffic:protocol-port-type> </hw-traffic:protocol-port-type-list> </hw-traffic:protocol> </hw-traffic:auto-port-defend> <hw-traffic:apply-list> <hw-traffic:applied-type>all</hw-traffic:applied-type> </hw-traffic:apply-list> </hw-traffic:policy-list> </hw-traffic:policy> </hw-traffic:defend> </config> </edit-config> </rpc>
响应示例
配置成功响应示例。
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="3"> <ok/> </rpc-reply>
配置失败响应示例。
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="7"> <rpc-error> <error-type>application</error-type> <error-tag>operation-failed</error-tag> <error-severity>error</error-severity> <error-message>parse rpc config error.</error-message> </rpc-error> </rpc-reply>
配置攻击溯源的白名单示例
本章节主要介绍通过edit-config方法配置攻击溯源的白名单。
操作 |
XPATH |
---|---|
edit-config |
|
数据需求1:配置攻击溯源的白名单
项目 |
数据 |
描述 |
---|---|---|
防攻击策略名称 |
test |
防攻击策略名称为test。 |
使能攻击溯源功能 |
true |
使能攻击溯源功能。 |
白名单编号 |
5 |
攻击溯源的白名单编号为5。 |
白名单对应的ACL编号 |
3001 |
攻击溯源白名单对应的ACL编号为3001。 |
请求示例
<?xml version='1.0' encoding='UTF-8'?> <rpc message-id="8" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0"> <edit-config> <target> <running/> </target> <config> <hw-traffic:defend xmlns:hw-traffic="urn:huawei:params:xml:ns:yang:huawei-traffic"> <hw-traffic:policy> <hw-traffic:policy-list> <hw-traffic:name>test</hw-traffic:name> <hw-traffic:auto-defend> <hw-traffic:enable>true</hw-traffic:enable> <hw-traffic:whitelist> <hw-traffic:whitelist-id-list> <hw-traffic:whitelist-id>5</hw-traffic:whitelist-id> <hw-traffic:acl>3001</hw-traffic:acl> </hw-traffic:whitelist-id-list> </hw-traffic:whitelist> </hw-traffic:auto-defend> </hw-traffic:policy-list> </hw-traffic:policy> </hw-traffic:defend> </config> </edit-config> </rpc>
响应示例
配置成功响应示例。
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="3"> <ok/> </rpc-reply>
配置失败响应示例。
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="7"> <rpc-error> <error-type>application</error-type> <error-tag>operation-failed</error-tag> <error-severity>error</error-severity> <error-message>parse rpc config error.</error-message> </rpc-error> </rpc-reply>
数据需求2:查询攻击源信息
项目 |
数据 |
描述 |
---|---|---|
查询攻击源信息 |
0 |
查看slot0攻击源信息。 |
查询端口防攻击的溯源信息 |
0 |
查看slot0端口防攻击的溯源信息。 |
请求示例
<?xml version="1.0" encoding="UTF-8"?>
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1e50634f-2b46-11e8-8554-e04c4a198245">
<hw-traffic:attack-user xmlns:hw-traffic="urn:huawei:params:xml:ns:yang:huawei-traffic">
<hw-traffic:slot>0</hw-traffic:slot>
</hw-traffic:attack-user>
</rpc>
响应示例
配置成功响应示例。
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1e50634f-2b46-11e8-8554-e04c4a198245"> <result> <attack-user> <user> <trace-type>mac</trace-type> </user> <user> <trace-type>ip</trace-type> </user> </attack-user> </result> </rpc-reply>
配置失败响应示例。
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="4c26fa70-2b49-11e8-a720-e04c4a198245"> <rpc-error xmlns="urn:ietf:params:xml:ns:netconf:base:1.0"> <error-type>application</error-type> <error-tag>operation-failed</error-tag> <error-severity>error</error-severity> <error-app-tag>1</error-app-tag> <error-path/> <error-message>The configuration/operation does not support.</error-message> </rpc-error> </rpc-reply>
配置协议报文上送CPU限速示例
本章节主要介绍通过edit-config方法配置协议报文上送CPU限速。
操作 |
XPATH |
---|---|
edit-config |
|
数据需求1:配置协议报文上送CPU限速
项目 |
数据 |
描述 |
---|---|---|
防攻击策略名称 |
test |
配置防攻击策略名称为test。 |
对上送CPU的指定协议报文进行限速或丢弃 |
arp-request |
对上送CPU的ARP请求报文进行限速。 |
指定协议报文上送CPU的承诺信息速率 |
8 |
指定ARP请求报文上送CPU的承诺信息速率为8kbit/s。 |
指定协议报文上送CPU的承诺突发尺寸 |
10000 |
指定ARP请求报文上送CPU的承诺突发尺寸为10000bytes。 |
指定对上送CPU进行限速或丢弃的协议报文类型 |
vbst |
丢弃上送CPU的VBST报文。 |
将协议报文上送CPU的动作设置成丢弃 |
- |
丢弃上送CPU的VBST报文。 |
请求示例
<?xml version="1.0" encoding="utf-8"?> <rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <edit-config> <target> <running/> </target> <config> <defend xmlns="urn:huawei:params:xml:ns:yang:huawei-traffic"> <policy> <policy-list> <name>test</name> <car> <packet> <packet-type>arp-request</packet-type> <cir>8</cir> <cbs>10000</cbs> </packet> <packet> <packet-type>vbst</packet-type> <deny/> </packet> </car> </policy-list> </policy> </defend> </config> </edit-config> </rpc>
响应示例
# 配置成功响应示例。
##### Ok Reply or Operation Successful ##### <?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <ok/> </rpc-reply>
# 配置失败响应示例。
<?xml version="1.0" encoding="utf-8"?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message>This packet-type capwap does not support.</error-message> <error-info>Error on node /huawei-traffic:defend/policy/policy-list[name="test"]/car</error-info> </rpc-error> </rpc-reply>
数据需求2:删除协议报文上送CPU限速配置
删除数据需求1中的配置。
请求示例
<?xml version="1.0" encoding="utf-8"?> <rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="2"> <edit-config> <target> <running/> </target> <config> <defend xmlns="urn:huawei:params:xml:ns:yang:huawei-traffic"> <policy> <policy-list> <name>test</name> <car nc:operation="remove" xmlns:nc="urn:ietf:params:xml:ns:netconf:base:1.0"> <packet> <packet-type>arp-request</packet-type> <cir>8</cir> <cbs>10000</cbs> </packet> <packet> <packet-type>vbst</packet-type> <deny/> </packet> </car> </policy-list> </policy> </defend> </config> </edit-config> </rpc>
响应示例
# 配置成功响应示例。
##### Ok Reply or Operation Successful ##### <?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="2"> <ok/> </rpc-reply>
# 配置失败响应示例。
<?xml version="1.0" encoding="utf-8"?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="2"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message>The configuration/operation does not support.</error-message> <error-info>Error on node /huawei-traffic:defend/policy/policy-list[name="test"]/car</error-info> </rpc-error> </rpc-reply>