评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置设备丢弃TTL超期的IP报文
背景信息
TTL是IP报文中的一个字段,用于限制IP报文在网络中存在的时间。TTL值由IP报文的发送者设置,每经过一个转发设备,TTL值就会减1。如果转发设备收到一个IP报文其TTL值为0且该报文的目的IP地址不是本设备,则设备丢弃该报文。
当收到大量TTL值为1的IP报文时,设备可能受到网络攻击。此时可以使能丢弃TTL超期的IP报文的功能。这样,设备会直接丢弃TTL值为1的报文,而不是上送到CPU进行处理。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令ip ttl-expired drop,使能丢弃TTL超期的IP报文的功能。
缺省情况下,未使能丢弃TTL超期的IP报文。
仅S5720-EI、S5720-HI、S5720I-SI、S5720S-SI、S5720-SI、S5735-L、S5735S-L、S5735S-L-M、S5735-S、S5735S-S、S5735-S-I、S5730-HI、S5730S-EI、S5730-SI、S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-EI、S6720-HI、S6720-LI、S6720S-EI、S6720S-LI、S6720S-SI、S6720-SI、S6730-H-K、S6730-H、S6730S-H、S6730-S和S6730S-S支持此命令。
当设备受到网络攻击,执行ip ttl-expired drop命令使能丢弃TTL超期的IP报文的功能后,会导致一部分TTL值为1的且确实需要上送到CPU进行处理的报文被误丢弃。这种情况下,可以待网络攻击排除之后,再执行undo ip ttl-expired drop命令去使能丢弃TTL超期的IP报文的功能。
