cpu-defend host-car 命令功能 cpu-defend host-car命令用来配置用户级限速可以限制的报文类型。 缺省情况下,用户级限速支持限制的报文类型为ARP Request、ARP Reply、ND、DHCP Request、DHCPv6 Request和8021x报文,不支持限制IGMP和HTTPS-SYN报文。 仅S5731-H-K、S5731-H、S5731-S、S5731S-H、S5731S-S、S573...
cpu-defend dynamic-car enable命令用来使能动态调整协议报文的默认CPCAR值功能。 undo cpu-defend dynamic-car enable命令用来去使能动态调整协议报文的默认CPCAR值功能。 缺省情况下,全局的动态调整协议报文的默认CPCAR值功能已使能,动态调整VRRP和ARP协议报文的默认CPCAR值功能未使能。
cpu-defend policy io-board car packet-type ttl-expired cir 8 cbs 10000 car packet-type tcp cir 64 cbs 12032 car packet-type fib-hit cir 16 cbs 10000 auto-defend enable auto-defend attack-packet sample 5 auto-defend threshold 30 auto-defend trace-type source-mac source-ip source-...
Rate-limit all-packets : 1500(pps)(default) 在cpu-defend的策略里面添加黑名单,并在全局下面启用,启用cpu黑名单之后,路由器不会吧acl里面mac地址发送的arp报文上传到cpu处理,而是直接敷略,这样路由器也不会学习到他们的arp信息,这样的话,为了让他们正常通信还需要通过手动的方式添加静态arp <AR2220>display arp...
reset cpu-defend statistics命令用来清除上送CPU报文的统计信息。
cpu-defend packet-type 命令功能 cpu-defend packet-type命令用来配置AP设备上送CPU报文的限制速率。 undo cpu-defend packet-type命令用来恢复AP设备上送CPU报文的限制速率为缺省值。 缺省情况下,使用default策略的缺省限速值对上送CPU的报文进行速率限制。
需要先通过命令cpu-defend host-car enable使能用户级限速功能,才可以配置该命令。 如果限速值设置过高,可能不能有效阻止攻击用户,造成设备CPU负担。 如果同时配置了cpu-defend host-carmac-addressmac-addressppspps-value和cpu-defend host-carppspps-value,则特定MAC的pps值由cpu-defend host-carmac-addressmac-add...
CPU-Defend Policy本机防攻击 本机防攻击可保护CPU,解决CPU因处理大量正常上送CPU的报文或者恶意攻击报文造成的业务中断问题。 安全策略介绍 本机防攻击包括CPU防攻击、攻击溯源两部分功能。 CPU防攻击可以针对上送CPU的报文进行限制和约束,使单位时间内上送CPU报文的数量限制在一定的范围之内,从而保护CPU的安全,保证...
cpu-defend-policy命令用来应用防攻击策略。 undo cpu-defend-policy命令用来取消应用防攻击策略。 缺省情况下,设备应用名称为default的防攻击策略。 命令格式 对于不支持堆叠的设备形态,支持如下命令格式: cpu-defend-policy policy-name global undo cpu-defend-policy { policy-name global | global } 其他设备形态...
cpu-defend policy 命令功能 cpu-defend policy命令用来创建防攻击策略,并进入防攻击策略视图。 undo cpu-defend policy命令用来删除配置的防攻击策略。 缺省情况下,设备中有一个名称为default的防攻击策略,默认应用到设备上,不允许删除,也不允许修改参数。