交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
1)sh int几次看下接口下的no buffer计数是否有增长;如果有大量的增长,则说明的处理能力下降,可按从以下两方面进行优化
a.关闭非必要功能;如:NPE不需要启用流控功能,可以关闭二三层识别(命令为:no layer23 classify enable)、应用识别(命令为:no identify-application enable)和流审计功能(命令为:no flow-audit enable);
b.优化ACL配置,包括:NAT、策略和接口下调用的ACL;优化原则:汇总、精简;同时将命中率高、大流量的ACL条目放置在ACL最前端;
2)如果同等流量下平时使用均正常,只是会不定时出现ktimer增长,需要同时看下:
sh ip fpm st //多show几次,如果active flow一直在100W以上,或者变化非常大,则说明设备流表被攻击
sh ip fpm c //多show几次,可以看到异常报文类型
如果设备被攻击,可以参见文档《NPE防攻击优化配置及故障信息收集》,对npe配置进行优化,同时尽快找到攻击源并进行隔离或者杀毒。
3)如果可以确认攻击源,则可以通过ip session filter将攻击源过滤;同时ip session fitler只运行合法数据流建立流表,从而防止内网变源IP的攻击;
4)如果内网有ACE或防火墙设备,同样部署仅允许内网合法IP段的策略;同时对每IP进行会话数进行控制,减轻攻击;