登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

16-安全配置指導

目錄

21-協議報文限速配置

本章節下載 21-協議報文限速配置  (211.87 KB)

21-協議報文限速配置

  錄

1 協議報文限速

1.1 協議報文限速簡介

1.2 命令行支持情況

1.3 協議報文限速配置限製和指導

1.4 配置協議報文限速

1.5 協議報文限速顯示和維護

1.6 協議報文限速典型配置舉例

1.6.1 基於協議的報文限速配置舉例

1.6.2 基於流的協議報文限速配置舉例

 

1 協議報文限速

1.1  協議報文限速簡介

協議報文限速功能通過對上送CPU的報文基於協議進行分類並加以限速處理,避免指定協議報文占用過多的CPU資源,導致合法服務請求得不到及時處理。協議報文限速功能可以有效防範設備受到泛洪攻擊和DoS攻擊。

設備支持兩種方式的協議報文限速:

·     基於協議的報文限速:限製指定協議報文的最大傳輸速率,超過該傳輸速率的流量會被丟棄。

·     基於流的協議報文限速:對同一個源IP或源MAC的指定協議報文進行限速。同時基於流的協議報文限速功能會記錄用戶的指定協議報文的流量統計情況,為網絡管理者判斷該用戶是否存在流量異常行為提供依據。

1.2  命令行支持情況

由於WX1800H係列、WX2500H係列、MAK係列和WX3000H係列無線控製器不支持IRF功能,因此不支持IRF模式的命令行配置。

1.3  協議報文限速配置限製和指導

針對同一協議類型的報文,可以同時配置兩種方式的協議報文限速功能。同時配置的情況下,首先對報文按照流速率進行限製,然後再按照報文的最大傳輸速率進行限製。

1.4  配置協議報文限速

(1)     進入係統視圖。

system-view

(2)     開啟報文限速功能。

(獨立運行模式)

anti-attack enable

(IRF模式)

anti-attack enable [ slot slot-number ]

缺省情況下,報文限速功能處於關閉狀態。

(3)     開啟所有協議或指定協議的報文限速功能。

(獨立運行模式)

anti-attack protocol { all | protocol } enable

(IRF模式)

anti-attack protocol { all | protocol } enable [ slot slot-number ]

缺省情況下,所有協議的報文限速功能處於關閉狀態。

(4)     (可選)配置指定協議報文的最大傳輸速率。

(獨立運行模式)

anti-attack protocol protocol threshold rate-limit

(IRF模式)

anti-attack protocol protocol threshold rate-limit [ slot slot-number ]

缺省情況下,各協議報文的缺省限速速率與設備的型號有關,請以設備的實際情況為準。

可以在未修改缺省限速速率的情況下,通過display anti-attack protocol命令查看缺省限速速率。

(5)     (可選)配置協議報文處理優先級。

(獨立運行模式)

anti-attack protocol protocol priority priority

(IRF模式)

anti-attack protocol protocol priority priority [ slot slot-number ]

缺省情況下,各協議報文的缺省處理優先級與設備的型號有關,請以設備的實際情況為準。

可以在未修改協議報文處理優先級的情況下,通過display anti-attack protocol命令查看缺省優先級。

(6)     開啟基於流的協議報文限速功能,並限製指定協議報文的流速率。

(獨立運行模式)

anti-attack protocol protocol flow-threshold flow-rate-limit

(IRF模式)

anti-attack protocol protocol flow-threshold flow-rate-limit [ slot slot-number ]

缺省情況下,所有協議基於流的協議報文限速功能處於關閉狀態。

該步驟僅用於基於流的協議報文限速。

1.5  協議報文限速顯示和維護

在完成上述配置後,在任意視圖下執行display命令可以顯示協議報文限速的相關情況,通過查看顯示信息驗證配置的效果。

表1-1 協議報文限速顯示和維護

操作

命令

顯示所有協議或指定協議的限速信息

(獨立運行模式)

display anti-attack protocol [ protocol ]

(IRF模式)

display anti-attack protocol [ protocol ] [ slot slot-number ]

 

1.6  協議報文限速典型配置舉例

1.6.1  基於協議的報文限速配置舉例

1. 組網需求

在AC上限製ARP協議報文的最大傳輸速率為1000包每秒。

2. 組網圖

圖1-1 基於協議的報文限速配置組網圖

 

3. 配置步驟

# 開啟報文限速功能。

<AC> system-view

[AC] anti-attack enable

# 開啟ARP協議報文的限速功能。

[AC] anti-attack protocol arp enable

# 設置ARP協議報文的限速速率為1000包每秒(pps)。

[AC] anti-attack protocol arp threshold 1000

4. 驗證配置

# 當Client 1和Client 2用戶接入後,可以通過display anti-attack protocol arp命令查看到ARP協議報文的限速信息。

[AC] display anti-attack protocol arp

                        Anti-attack statistics

Protocol       anti-attack Priority Limit(pps)  Rate(pps) Passed    Dropped

arp            enable      1        1000        0         17907     0

 

arp Flow-limit is not enable.

1.6.2  基於流的協議報文限速配置舉例

1. 組網需求

在AC上限製ARP協議報文的流限速速率為50包每秒。

2. 組網圖

圖1-2 基於流的協議報文限速配置組網圖

 

3. 配置步驟

# 開啟報文限速功能。

<AC> system-view

[AC] anti-attack enable

# 開啟ARP協議報文的限速功能。

[AC] anti-attack protocol arp enable

# 設置ARP協議報文的流限速速率為50包每秒(pps)。

[AC] anti-attack protocol arp flow-threshold 50

4. 驗證配置

# 當Client 1和Client 2用戶接入後,可以通過display anti-attack protocol arp命令查看到ARP協議報文的限速信息。

[AC] display anti-attack protocol arp

                        Anti-attack statistics

Protocol       anti-attack Priority Limit(pps)  Rate(pps) Passed    Dropped

arp            enable      1        1024        0         17907     0

FlowSource              FlowLimit(pps)    FlowRate(pps)   Passed    Dropped

00e0-fc12-7723          50                0               2         0

0011-e212-8801          50                0               17905     0

 

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們