发布时间:2013-09-12
点击量:4568功能介绍:
原理:
本地防攻击是对送CPU处理的各种类型报文进行限速处理,以达到防止大量报文送CPU处理,避免CPU高从而影响整机数据转发的一种报文限速技术。
使用原则:
由于是针对报文类型限速,就有可能把正常的报文也限速,从而影响正常报文的转发(比如正常的分片报文需要送CPU处理),所以,通常情况下,在干净的网络环境中不推荐开启本功能。(除RSR77设备,其余默认关闭防攻击功能)
命令解析:
control-plane
!
control-plane protocol
no acpp //协议平面总的限速
!
control-plane manage
no port-filter //过滤本地未开启的TCP、UDP服务
no arp-car //arp限速
no acpp //管理平面总的限速
!
control-plane data
no glean-car //匹配直连路由但未解析IP的报文
no acpp //数据平面总的限速
使用场景:
1、存在大量异常送CPU处理报文,导致CPU高的场景。导致CPU高的可能情况有:
1) 分片报文很多,分片报文需要CPU重组:用data平面的acpp控制。
2)无法路由的报文,CPU需要处理并回复路由不可达:用data平面的glean-car控制
3)针对本地IP地址的攻击:用data平面的acpp控制
等等。。
2、已经可预见到网络中特定报文大小,那么可以配置一个阀值,防止异常攻击发生。比如,可预见每秒正常ARP报文会有10个,那么可以配置:
control-plane manage
port-filter
arp-car 10
no acpp
推荐配置:
如果要实施本地防攻击,无特殊要求情况下,推荐以下配置:
control-plane
!
control-plane protocol
acpp bw-rate 300 bw-burst-rate 600
!
control-plane manage
port-filter
arp-car 10
acpp bw-rate 300 bw-burst-rate 600
!
control-plane data
glean-car 5
acpp bw-rate 300 bw-burst-rate 600
