交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
1)关闭NFPP日志打印的方法(对其它功能日志无影响,logs 0可以适当调整,可以保障打印log缓慢,0为不打印log):
nfpp
log-buffer entries 1024 //nfpp日志缓冲区的大小,默认是256条
log-buffer logs 0 interval 3600 //log-buffer logs number interval seconds,表示每隔seconds秒从nfpp的日志缓存区取number个日志消息打印出来
2)NFPP默认配置:
nfpp
ip-guard enable
icmp-guard enable
arp-guard enable
arp-guard默认配置下:
基于端口限速值 100PPS
基于用户源IP限速值 4PPS
基于用户源MAC限速值 4PPS
全局CPP限速值 10000PPS
每端口支持下联用户数 约100
整机支持下联用户数 CMII LITE板验证支持1000用户、攻击2000PPS情况下不影响业务
注:整机支持用户数主要受CPU性能制约,这里考虑的用户数是并发情况,一般情况下不太可能所有用户同时发出ARP请求,实际支持用户可能会多于上述值。
ip-guard默认配置下:
基于端口限速值 100PPS
基于用户源IP限速值 20PPS
基于用户源MAC限速值 无
3)用户总数,流量不大的情况下,按默认值配置即可,考虑到冗余,防止基于端口的突发流量较大造成误判,推荐值如下:
nfpp
arp-guard rate-limit per-port 500
4)如果检测到攻击行为,可通过show cpu-protect slot命令查看实际每张线卡的攻击流量,如果线卡上的总流量(所有端口之和)未超过2000PPS,保持默认配置即可,如果线卡上的流量超过2000PPS,则建议开启硬件隔离,建议配置如下:
nfpp
log-buffer entries 1024
log-buffer logs 1 interval 3600
ip-guard isolate-period 600(硬件隔离时间10分钟)
ip-guard attack-threshold per-src-ip 30
arp-guard isolate-period 600
arp-guard rate-limit per-port 200 //建议与每端口带机总数相近
arp-guard rate-limit per-src-mac 15
arp-guard attack-threshold per-src-ip 15
arp-guard attack-threshold per-src-mac 30
arp-guard attack-threshold per-port 300 //建议是每端口带机总数的1.5倍