交换机安全(本机防攻击&风暴抑制 CloudEngine 16800, 8800, 6800系列交换机)

Posted by uki on in Swith

1、本机防攻击:CPU防攻击
操作步骤
配置防攻击策略。
# 创建防攻击策略。
[*SW8800] commit
[~SW8800] cpu-defend policy test1
# 配置ARP Request报文上送CPU的速率限制。
[*SW8800-cpu-defend-policy-test1] car packet-type arp-request pps 128
[*SW8800-cpu-defend-policy-test1] quit
[*SW8800] commit

全局应用防攻击策略。
[~SW8800] cpu-defend-policy test1
[*SW8800] commit

检查配置结果
# 查看配置的防攻击策略的信息。
[~SW8800] display cpu-defend policy test1
# 查看配置的CAR的信息。
[~SW8800] display cpu-defend configuration all

配置文件
SW8800的配置文件
cpu-defend policy test1
car packet-type arp-request pps 128
#
cpu-defend-policy test1
#
return

2、风暴抑制
A、配置接口入方向的流量抑制
操作步骤
[~SW8800] interface 100ge 1/0/1
[~SW8800-100GE1/0/1] portswitch
配置广播流量抑制,按承诺信息速率CIR进行抑制,限制广播报文的最大速率为100kbit/s。
[*SW8800-100GE1/0/1] storm suppression broadcast cir 100
配置未知组播流量抑制,按百分比(即报文速率和接口速率的比值)抑制,百分比值为80%。
[*SW8800-100GE1/0/1] storm suppression multicast 80
配置未知单播流量抑制,按承诺信息速率CIR进行抑制,限制未知单播报文的最大速率为100kbit/s。
[*SW8800-100GE1/0/1] storm suppression unknown-unicast cir 100
[*SW8800-100GE1/0/1] quit
[*SW8800] commit
检查配置结果
# 查看接口入方向流量抑制的配置信息。
[~SW8800] display storm suppression broadcast interface 100ge 1/0/1

配置脚本
SW8800
interface 100GE1/0/1
storm suppression broadcast cir 100 kbps
storm suppression multicast 80
storm suppression unknown-unicast cir 100 kbps
#
return

B、配置风暴控制
操作步骤
[~SW8800] interface 100ge 1/0/1
[~SW8800-100GE1/0/1] portswitch
配置广播、未知组播和未知单播报文的风暴控制高低阈值。在风暴控制检测时间间隔内,当接口接收广播、未知组播或未知单播报文的平均速率大于2000pps时,则对该接口对应类型的报文进行风暴控制;当接口接收广播、未知组播或未知单播报文的平均速率小于1000pps时,则将该接口对应类型的报文恢复到正常转发状态。
[*SW8800-100GE1/0/1] storm control broadcast min-rate 1000 max-rate 2000
[*SW8800-100GE1/0/1] storm control multicast min-rate 1000 max-rate 2000
[*SW8800-100GE1/0/1] storm control unknown-unicast min-rate 1000 max-rate 2000
配置风暴控制的动作为阻塞报文。
[*SW8800-100GE1/0/1] storm control action block
配置风暴控制的检测时间间隔为90秒。
[*SW8800-100GE1/0/1] storm control interval 90
使能在风暴控制时记录日志的功能。
[*SW8800-100GE1/0/1] storm control enable log
[*SW8800-100GE1/0/1] quit
[*SW8800] commit
检查配置结果
# 查看风暴控制的配置信息。
[~SW8800] display storm control interface 100ge 1/0/1

配置脚本
#
interface 100GE1/0/1
storm control broadcast min-rate 1000 max-rate 2000
storm control multicast min-rate 1000 max-rate 2000
storm control unknown-unicast min-rate 1000 max-rate 2000
storm control interval 90
storm control action block
storm control enable log
#
return