【交换机】网关设备上NFPP相关参数的推荐配置

发布时间: 2013-09-25 点击量:1245 打印 字体:

1)关闭NFPP日志打印的方法(对其它功能日志无影响,logs  0可以适当调整,可以保障打印log缓慢,0为不打印log):

nfpp

 log-buffer entries 1024    //nfpp日志缓冲区的大小,默认是256条

 log-buffer logs 0 interval 3600   //log-buffer logs number interval seconds,表示每隔seconds秒从nfpp的日志缓存区取number个日志消息打印出来

 

2)NFPP默认配置:

nfpp

ip-guard enable

icmp-guard enable

arp-guard enable

arp-guard默认配置下:

基于端口限速值                         100PPS

基于用户源IP限速值                   4PPS

基于用户源MAC限速值               4PPS

全局CPP限速值                          10000PPS

每端口支持下联用户数                 约100

整机支持下联用户数                    CMII LITE板验证支持1000用户、攻击2000PPS情况下不影响业务

注:整机支持用户数主要受CPU性能制约,这里考虑的用户数是并发情况,一般情况下不太可能所有用户同时发出ARP请求,实际支持用户可能会多于上述值。

ip-guard默认配置下:

基于端口限速值                         100PPS

基于用户源IP限速值                   20PPS

基于用户源MAC限速值               无

 

3)用户总数,流量不大的情况下,按默认值配置即可,考虑到冗余,防止基于端口的突发流量较大造成误判,推荐值如下:

nfpp

arp-guard rate-limit per-port 500

 

4)如果检测到攻击行为,可通过show cpu-protect slot命令查看实际每张线卡的攻击流量,如果线卡上的总流量(所有端口之和)未超过2000PPS,保持默认配置即可,如果线卡上的流量超过2000PPS,则建议开启硬件隔离,建议配置如下:

nfpp

log-buffer entries 1024

log-buffer logs 1 interval 3600

ip-guard isolate-period 600(硬件隔离时间10分钟)

ip-guard attack-threshold per-src-ip 30

arp-guard isolate-period 600

arp-guard rate-limit per-port 200   //建议与每端口带机总数相近

arp-guard rate-limit per-src-mac 15

arp-guard attack-threshold per-src-ip 15

arp-guard attack-threshold per-src-mac 30

arp-guard attack-threshold per-port 300    //建议是每端口带机总数的1.5倍

 

00 分享 纠错
相关条目