Seguridad del Plano de control

99 0 0 0

Seguridad del plano de control

Seguridad del plano de control

Como se mencionó en Vista holística de seguridad, la CPU es la mayor parte en la seguridad del plano de control. Un uso elevado de la CPU puede hacer que el dispositivo esté fuera de la administración, anormalidad del servicio y desconexión del usuario o una velocidad de acceso a la red lenta. Este capítulo describe cómo proteger la seguridad de la CPU.

1.1 Cómo asegurar el funcionamiento normal de la CPU

Limitar el número de paquetes enviados a la CPU es un método importante para garantizar que la CPU se ejecute normalmente. El conmutador proporciona los siguientes métodos para limitar la cantidad de paquetes enviados a la CPU.

 

1.1.1 Establecimiento de un límite de tasa apropiado

·         Establezca un valor de CPCAR apropiado para los paquetes enviados a la CPU.

La velocidad de acceso confirmada del plano de control (CPCAR) limita la velocidad de los paquetes enviados a la CPU.

182359k31dhmdjj8owj850.png?image.png


La Figura 1-1 muestra la limitación de velocidad de CPCAR en tres niveles: protocolo, cola y todos los paquetes. La tabla 1-1 describe el mecanismo.

 

Tabla 1-1 mecanismo de limitación de velocidad CPCAR

 

 

Nivel

Mecanismo

Protocol

Establezca un límite de   frecuencia para cada tipo de paquetes de protocolo enviados a la CPU.

El interruptor tiene límites   de tasa predeterminados, que son configurables.

Queue

Clasifique los paquetes de   protocolo y agregue ciertos protocolos a la cola especificada. Por ejemplo,   los protocolos de administración como Telnet y SSH se agregan a una cola y   los protocolos de enrutamiento se agregan a otra cola. Luego se realizan la   programación y la limitación de velocidad para cada cola.

Para ver las colas y los   protocolos en colas, ejecute el comando display cpu-defend configuration   slot 

El switch tiene límites de   tasa predeterminados, que no son configurables.

All packets

Establecer límite para todos   los paquetes enviados a la CPU.

El switch tiene límites de   tasa predeterminados, que no son configurables.

 

De forma predeterminada, el conmutador ha definido los valores de CPCAR para los paquetes de protocolo enviados a la CPU. Para ver los valores de CPCAR predeterminados, ejecute el comando display cpu-defend configuration all. Los valores de CPCAR se pueden ajustar de acuerdo con los requisitos de la red. Nota: Los valores de CPCAR incorrectos afectarán los servicios de red. Para ajustar los valores de CPCAR, se recomienda contactar al personal de soporte técnico.

 

La limitación de velocidad de CPCAR basada en protocolo tiene dos propiedades:

 

l Umbral: tasas máximas (CIR y CBS) de paquetes de protocolo enviados a la CPU

 

CIR se refiere a la tasa promedio de paquetes enviados a la CPU dentro de un período determinado. CBS se refiere al número máximo de paquetes enviados a la CPU dentro de un período de tiempo. Es la tasa de tráfico de ráfaga permitida por la CPU.

 

l Medida de castigo: acción (caída) realizada cuando la tasa de paquetes enviados a la CPU supera el umbral.

 

Por ejemplo, para evitar ataques ARP, establezca el CIR de los paquetes de solicitud ARP a 64 kbit / s, CBS a 33000 bytes y la medida de castigo a caer.

[Switch-cpu-defend-policy-test] car packet-type arp-request cir 64 cbs 33000

 

El umbral consiste en CIR 64 kbit / sy CBS 33000 bytes. Cuando la tasa de paquetes de solicitud ARP enviados a la CPU supera el umbral, se eliminan los paquetes excesivos.

 

Ø   Configure la ACL y establezca el valor de CPCAR para los flujos definidos por el usuario.

El switch puede utilizar ACL para limitar la velocidad de los flujos definidos por el usuario. Nota:

 

l    Si el permiso se establece en la regla ACL, la tasa de paquetes se limita según la regla, y los paquetes que exceden el umbral se eliminan.

l   Si denegar se establece en la regla de ACL, se eliminan todos los paquetes que coinciden con la ACL.

1.     La configuración es la siguiente:

Configure el flujo definido por el usuario.

[Switchacl number 2000

[Switch-acl-basic-2001] rule permit source 192.168.32.1 0   //Allow the packets from source IP address 192.168.32.1.

[Switch-acl-basic-2001] quit

[Switch] cpu-defend policy test

[Switch-cpu-defend-policy-test] user-defined-flow 2 acl 2001   //Configure ACL 2001 to specify user-defined flow 2.

2.     Establezca threshold.

 

[Switch-cpu-defend-policy-test] car user-defined-flow 2 cir 64 cbs 33000   //Set the C*****d CBS for user-defined flow 2. Drop the packets from source IP address 192.168.32.1 that exceed the threshold.

[Switch-cpu-defend-policy-test] quit

3. Aplicar traffic policy.

 

[Switch] cpu-defend-policy test global   //Apply the policy to all LPUs. Otherwise, the policy does not take effect.

 

Nota: La configuración de CPCAR basada en protocolo, CPCAR basada en ACL para flujos definidos por el usuario y las configuraciones en la vista de defensa de ataque surten efecto solo después de que se aplique la política de defensa de ataque.

 

Limite la cantidad de paquetes enviados a la CPU según la dirección MAC del usuario.

 

Si el entorno de red tiene riesgos de seguridad (se transmiten muchos paquetes de protocolo), la cantidad de paquetes enviados a la CPU se puede limitar según las direcciones MAC del usuario.

La configuración es la siguiente:

[Switch] cpu-defend host-car enable   //Enable user-level rate limiting globally. By default, user-level rate limiting is enabled.

[Switch] cpu-defend host-car mac-address 000a-000b-000c pps 20   //Set the threshold of packets sent from the user with MAC address 000a-000b-000c to the CPU to 20 pps. The threshold of each type of protocol packets is 20 pps.

[Switch] cpu-defend host-car all    //Apply the setting to all types of packets, including ARP request, ARP reply, ND, DHCP Request, DHCPv6 Request, and 802.1x packets. The packet types depend on the device model.

1.1.2 Configuring Attack Defense Policy

Además de limitar el número de paquetes enviados a la CPU, puede preconfigurar la política de defensa contra ataques. Cuando el número de paquetes enviados a la CPU exceda el umbral del protocolo correspondiente, registre un registro o ejecute la acción de castigo. El interruptor soporta defensa de ataque basada en puerto.

Defensa de ataque de puerto: cuando se envían demasiados paquetes de protocolo a la CPU desde un puerto dentro de un período, los paquetes de protocolo no se pueden enviar a la CPU. Se toman algunas medidas para prevenir los ataques.

El proceso de defensa de ataque portuario es el siguiente:

Figura 1-2 Proceso de defensa de ataque de puerto

 

182502hwkzh5fe2wfg52sp.png?image.png

 

análisis de acket

Analice los paquetes de protocolo enviados a la CPU en función del puerto. El conmutador puede analizar los paquetes de protocolo, como la solicitud ARP, la respuesta ARP, DHCP, ICMP, IGMP y fragmentos de IP, que son configurables.

2) análisis del tráfico

Muestra los paquetes enviados a la CPU. Por ejemplo, si la frecuencia de muestreo es 5, se analizará 1 paquete de 5. Si este paquete se envía desde un puerto y pertenece a un protocolo, se considera que todos los 5 paquetes pertenecen al mismo protocolo y se envían desde el mismo puerto.

Precaución: El resultado de la medición basada en la frecuencia de muestreo puede ser inexacto. Una pequeña frecuencia de muestreo hace que el resultado de la medición sea más preciso, pero se ocupa más uso de la CPU. Por lo tanto, establecer una tasa de muestreo adecuada. La frecuencia de muestreo predeterminada en el interruptor es 5.

3) Identificación del ataque.

Si los paquetes de un protocolo enviado desde un puerto a la CPU exceden el umbral, se considera que un ataque de este protocolo ocurre en este puerto.

4) Limitar la tasa

Manejar los paquetes de ataque: los paquetes dentro del umbral se colocan en la cola de baja prioridad y luego se envían a la CPU para su procesamiento. Los paquetes que superan el umbral se eliminan.

Después de que se detecta un ataque, se informa una alarma al administrador si la función de alarma está habilitada.

5) Reducir el impacto en los servicios.

Detección de envejecimiento

Cuando un switche detecta una interfaz de ataque, limita la velocidad de los paquetes dentro del tiempo de antigüedad (suponga que el tiempo de antigüedad es T segundos). Cuando el tiempo de caducidad caduca, el conmutador vuelve a analizar los paquetes en función del puerto. Si la tasa de paquetes supera el umbral (ocurre un ataque), el conmutador limita continuamente la tasa de paquetes. De lo contrario, el interruptor deja de limitar la velocidad.

Lista blanca para la defensa del ataque del puerto

Si los paquetes de un tipo son importantes, para evitar que se restrinjan por error, puede configurar una ACL y agregarla a una lista blanca.

Configure la defensa de ataque de puerto de la siguiente manera:

 

[Switch] cpu-defend policy test

[Switch-cpu-defend-policy-test] auto-port-defend enable   //Enabled by default.

[Switch-cpu-defend-policy-test] auto-port-defend protocol arp-reply   //If the command is run multiple times, the last configuration takes effect.

[Switch-cpu-defend-policy-test] auto-port-defend sample 4   //Set the sampling rate of protocol packets to 4.

[Switch-cpu-defend-policy-test] auto-port-defend alarm enable

[Switch-cpu-defend-policy-test] auto-port-defend protocol arp-reply threshold 60   //Set the threshold of ARP Reply packets to 60 pps.

[Switch-cpu-defend-policy-test] auto-port-defend aging-time 350   //Set the aging detection interval to 350s.

[Switch] acl 2000

[Switch-acl-basic-2000] rule permit source 10.1.1.1 0

[Switch-acl-basic-2000] quit

[Switch] cpu-defend policy test

[Switch-cpu-defend-policy-test] auto-port-defend whitelist 1 acl 2000   //Exclude the packets from source IP address 10.1.1.1 from port defense processing.

[Switch-cpu-defend-policy-test] auto-port-defend whitelist 1 interface gigabitethernet 0/0/1  //Exclude the packets from GE0/0/1 from port defense processing.

 

1.2 Cómo lidiar con un alto uso de la CPU

La causa de una CPU alta puede ser el aleteo de la red, el bucle y el ataque.

Cuando se producen fallas en la red, una red cambiará con frecuencia y el conmutador estará ocupado procesando eventos de conmutación de red, lo que provocará un alto uso de la CPU. Por ejemplo, STP flapping causará que la CPU actualice con frecuencia la dirección MAC y las entradas de ARP, y el enrutamiento de ruta hará que la CPU calcule rutas con frecuencia.

Bucle de red: un bucle de red provocará un aleteo de la dirección MAC. Una gran cantidad de paquetes de protocolo se envían a la CPU, abrumando a la CPU.

Ataque de red: un host de usuario o dispositivo de red envía una gran cantidad de paquetes de ataque para abrumar a la CPU.

Para resumir, hay dos causas de un alto uso de la CPU. La primera es que la CPU necesita manejar demasiados eventos, y la segunda es que la CPU necesita manejar demasiados paquetes. La CPU maneja los eventos de manera diferente. Esta sección describe cómo manejar el alto uso de CPU causado por paquetes excesivos.

 

1.2.1 Método de Identificación

 

1. Borrar estadísticas sobre los paquetes enviados a la CPU.

<Switch> reset cpu-defend statistics

 

2.         Espere unos segundos y verifique las estadísticas de los paquetes enviados a la CPU.

<Switch> display cpu-defend statistics all

Statistics on slot 2:

-----------------------------------------------------------------------------

Packet Type         Pass(Bytes)  Drop(Bytes)   Pass(Packets)   Drop(Packets)

-----------------------------------------------------------------------------

dhcp-client         40800         35768          600               52600

La salida del comando muestra que una gran cantidad de paquetes de clientes DHCP se envían nuevamente a la CPU y se eliminan en unos segundos.

 

1.2.2 Se envían demasiados paquetes de servicio a la CPU

 

Se envían demasiados paquetes a la CPU porque el valor de CPCAR no es apropiado. Puede cambiar el valor de CPCAR para reducir la cantidad de paquetes enviados a la CPU.

Por ejemplo, para cambiar el CIR de los paquetes del cliente DHCP enviados a la CPU de 512 kbit / sa 256 kbit / s, ejecute los siguientes comandos:

 

[Switch] cpu-defend policy test

[Switch-cpu-defend-policy-test] car packet-type dhcp-client cir 256

 

Cuando el uso elevado de la CPU es causado por demasiados paquetes de servicio, cambie los valores de CPCAR para reducir el uso de la CPU. Sin embargo, si se ejecutan muchos servicios en una red, cambiar los valores de CPCAR no puede resolver el problema. El número de servicios en ejecución debe reducirse (los servicios clave no pueden verse afectados).

 

Por ejemplo, el protocolo FTP ocupa poco ancho de banda y poco recurso de CPU cuando no se transfiere ningún archivo. Sin embargo, cuando FTP transfiere archivos, se utiliza un gran ancho de banda. En esta situación, no puede simplemente reducir el valor de CPCAR de FTP. Un conmutador puede usar los siguientes métodos para proteger servicios clave.

 

Tabla 1-2 

Metodo

Descripción

Configurar la protección de   enlace dinámico

Esta función garantiza que los   servicios clave se ejecuten normalmente cuando el uso de la CPU es alto, por   ejemplo, FTP, SSH, HTTPS, TFTP, Telnet, BGP y OSPF.

Una vez que se establece el   límite de velocidad para la protección del enlace dinámico, la limitación de   velocidad basada en el protocolo no tiene efecto.

Configurar la lista blanca

Puede crear una lista blanca   en un dispositivo y agregar los paquetes con características específicas a la   lista blanca. El dispositivo luego procesa los paquetes que coinciden con   estas características primero.

Sólo los conmutadores   modulares admiten listas blancas.

 

Configurar la protección de enlace dinámico.

 

[Switch] cpu-defend policy test

[Switch-cpu-defend-policy-test] linkup-car packet-type ftp cir 2048   //Set the CPCAR value for FTP connection setup.

[Switch-cpu-defend-policy-test] quit

[Switch] cpu-defend application-apperceive enable

[Switch] cpu-defend application-apperceive ftp enable   //Enable dynamic link protection for FTP.

Configurar la lista blanca.

[Switch] acl 2000

[Switch-acl-basic-2000] rule permit source 10.1.1.1 0   //Configure the ACL to match the packets with source IP address 10.1.1.1.

[Switch-acl-basic-2000] quit

[Switch] cpu-defend policy test

[Switch-cpu-defend-policy-test] whitelist 1 acl 2002   //Add the packets matching ACL 2002 to the whitelist.

 

1.2.3 Se envían demasiados paquetes de ataque a la CPU

Si un ataque a la red es causado por paquetes excesivos enviados a la CPU, configure el seguimiento de la fuente del ataque para localizar la fuente del ataque. También puede configurar una lista negra para eliminar los paquetes de ataque.

 

Rastreo de fuente de ataque

El conmutador analiza y recopila estadísticas sobre los paquetes enviados a la CPU y considera los paquetes que exceden el umbral como paquetes de ataque. Luego, el conmutador localiza el usuario o puerto de origen del ataque según la información del paquete de ataque, y luego genera un registro o alarma, o elimina los paquetes de ataque.

El rastreo de la fuente de ataque y la defensa de ataque de puerto tienen mecanismos similares. Ambos se utilizan para defenderse contra el ataque DoS. La diferencia es que la defensa de ataque de puerto tiene un impacto menor en los servicios que el rastreo de la fuente de ataque. El rastreo de la fuente de ataque no solo evita los ataques basados en el puerto, sino que también localiza la fuente del ataque (fuente IP / MAC) y toma medidas sobre la fuente del ataque.

El rastreo de la fuente de ataque incluye cinco etapas.

Figura 1-3 Proceso de rastreo de la fuente de ataque


182518z2z53idn5vpwwfun.png?image.png


 Análisis de paquetes

De forma predeterminada, el conmutador puede analizar los paquetes 802.1x, ARP, DHCP, DHCPv6, ICMP, ICMPv6, IGMP, MLD, ND, TCP y Telnet. Los tipos de paquetes son configurables.

Un conmutador puede analizar paquetes según la dirección IP, la dirección MAC y la interfaz + VLAN. Los tres modos son aplicables a diferentes escenarios:

l  Basado en la dirección IP de origen: defiende contra paquetes de ataque de Capa 3

l  Basado en la dirección MAC de origen: defiende contra los paquetes de ataque con una dirección MAC de origen fija.

l  Basado en la interfaz + VLAN: defiende contra los paquetes con direcciones MAC variables.

 

Análisis de tráfico.

Al igual que en la defensa de ataque portuario, el análisis del tráfico también funciona en base a la frecuencia de muestreo.

Por ejemplo, si la frecuencia de muestreo es 5, se analiza 1 paquete de 5 en función del modo de rastreo de la fuente de ataque. Si este paquete coincide con el modo de seguimiento de origen, se considera que todos los 5 paquetes coinciden con el modo de seguimiento de origen y se cuentan en el análisis de tráfico. Si este paquete no coincide con el modo de seguimiento de origen, se considera que los 5 paquetes no coinciden con el modo de seguimiento de origen.

Identificación de la fuente del ataque.

Los paquetes que exceden el umbral se consideran como paquetes de ataque. Después del análisis de paquetes, puede obtener detalles sobre el origen del ataque.

Por ejemplo, el umbral se establece en 60 pps y el modo se basa en la dirección IP de origen. Cuando la tasa de paquetes ARP enviados desde una dirección IP de origen a la CPU supera los 60 pps, los paquetes ARP de esta dirección IP de origen se consideran paquetes de ataque.

 

Manejo de ataques.

 

Después de detectar una fuente de ataque, el switch registra un registro de manera predeterminada. El interruptor también es compatible con la acción de alarma y castigo (incluidos la eliminación de paquetes y el error).

 

Reducir el impacto en los servicios.

Si no desea realizar un seguimiento de origen de ataque en algunos usuarios o interfaces, no importa si se produce un ataque. Puede configurar una ACL y agregar estos usuarios o interfaces a la lista blanca.

La configuración es la siguiente:

 

[Switch-cpu-defend-policy-test] auto-defend protocol arp   //Only the ARP packets sent to the CPU need to be parsed.

[Switch-cpu-defend-policy-test] auto-defend trace-type source-ip   //Set the attack source tracing mode to source IP address.

[Switch-cpu-defend-policy-test] auto-defend attack-packet sample 2    //Set the sampling rate to 2.

[Switch-cpu-defend-policy-test] auto-defend threshold 200   //Set the threshold.

[Switch-cpu-defend-policy-test] auto-defend alarm enable    //Configure alarm.

[Switch-cpu-defend-policy-test] auto-defend action deny   //Set the punishment action to drop.

[Switch] acl 2000

[Switch-acl-basic-2000] rule permit source 10.1.1.1 0

[Switch-acl-basic-2000] quit

[Switch] cpu-defend policy test

[Switch-cpu-defend-policy-test] auto-defend enable

[Switch-cpu-defend-policy-test] auto-defend whitelist 1 acl 2000   //Exclude the user with IP address 10.1.1.1 from attack source tracing.

[Switch-cpu-defend-policy-test] auto-defend whitelist 1 interface gigabitethernet 0/0/1  //Exclude GE0/0/1 from attack source tracing.

 Blacklist

 

El Blacklist se configura en función de ACL. El dispositivo descarta todos los paquetes que coincidan con las características de la lista negra. Puedes agregar los atacantes conocidos a la lista negra. Configure la lista negra de la siguiente manera:

 

[Switch] acl 2000

[Switch-acl-basic-2000] rule permit source 10.1.1.1 0

[Switch-acl-basic-2000] quit

[Switch] cpu-defend policy test

[Switch-cpu-defend-policy-test] blacklist 1 acl 2001   //Drop all packets with source IP address 10.1.1.1.

1.3 Ejemplo para configurar el control de seguridad de la CPU

 

En la Figura 1-4, un conmutador está conectado a tres subredes y hay una gran cantidad de usuarios en las subredes. Por lo tanto, la CPU del switch necesita procesar una gran cantidad de paquetes de protocolo. Si un usuario malintencionado envía muchos paquetes de ataque, el uso de la CPU del conmutador aumentará considerablemente y afectará a los servicios. El administrador tiene los siguientes requisitos:

l   Monitorear el estado de seguridad de la CPU. Cuando la CPU es atacada, el administrador puede detectar el ataque inmediatamente.

l   El switch a menudo recibe muchos paquetes de solicitud ARP y ICMP. El administrador quiere reducir el uso de la CPU

l   Los usuarios en Net1 a menudo inician ataques, por lo que el administrador quiere rechazar el acceso de los usuarios de Net1. Los usuarios de Net2 son usuarios autorizados fijos

l   El administrador a menudo carga archivos al conmutador a través de FTP, por lo que la transmisión de datos entre la computadora del administrador y el conmutador debe ser confiable y estable

Figura 1-4 Ejemplo de configuración de control de seguridad de la CPU


182532iq1qu4b79991d3gb.png?image.png


Configuración Roadmap

1. Configure el rastreo de la fuente de ataque, las alarmas y el castigo para que el interruptor pueda enviar una alarma al administrador cuando detecte una fuente de ataque y realice acciones de castigo automáticamente.

 

2. Agregue usuarios de Net2 a la lista blanca para excluirlos del análisis y el castigo de la fuente de ataque.

 

3. Agregue usuarios de Net1 a la lista negra para rechazar su acceso.

 

4. Configure el CPCAR para paquetes de Solicitud ARP para limitar la tasa de paquetes de Solicitud ARP enviados a la CPU. Esto reduce el impacto de los paquetes de solicitud ARP en la CPU.

 

5. Habilitar la defensa contra ataques de inundación de ICMP.

 

6. Establezca el límite de velocidad para los paquetes de FTP enviados a la CPU durante la configuración de la conexión de FTP para garantizar la confiabilidad y la estabilidad de la transmisión de datos entre la computadora del administrador y el conmutador. (ALP está habilitado para FTP de forma predeterminada, por lo que no es necesario volver a habilitarlo).

 

Procedimiento.

Configure la regla para filtrar paquetes enviados a la CPU.

<Switch> system-view

[Switch] acl number 2001

[Switch-acl-basic-2001] rule permit source 10.1.1.0 0.0.0.255

[Switch-acl-basic-2001] quit

[Switch] acl number 2002

[Switch-acl-basic-2002] rule permit source 10.2.2.0 0.0.0.255

[Switch-acl-basic-2002] quit

Configurar una política de defensa de ataque.

 

[Switch] cpu-defend policy policy1  //Create an attack defense policy.

[Switch-cpu-defend-policy-policy1] auto-defend enable  //Enable the attack source tracing.

[Switch-cpu-defend-policy-policy1] auto-defend alarm enable  //Enable attack source tracing alarm.

[Switch-cpu-defend-policy-policy1] auto-defend whitelist 1 acl 2002  //Configure a whitelist for attack source tracing.

[Switch-cpu-defend-policy-policy1] auto-defend action deny  //Set the punishment action to drop.

[Switch-cpu-defend-policy-policy1] car packet-type arp-request cir 120  //Set the CPCAR for ARP Request packets to 120 kbit/s.

[Switch-cpu-defend-policy-policy1] blacklist 1 acl 2001  //Configure the blacklist for CPU defense.

[Switch-cpu-defend-policy-policy1] linkup-car packet-type ftp cir 5000  //Set the rate of FTP packets sent to the CPU to 5000 kbit/s.

[Switch-cpu-defend-policy-policy1] quit

Aplicar la política de defensa de ataque a nivel mundial.

 

[Switch] cpu-defend-policy policy1 global

 

 Habilite la defensa de ataque de inundación ICMP y establezca la tasa de recepción de paquetes ICMP a 15000 kbit / s.

 

[Switch] anti-attack icmp-flood enable

[Switch] anti-attack icmp-flood car cir 15000

[Switch] quit

 

Verificar configuración.

 

# Mostrar la configuración del rastreo de la fuente de ataque.

<Switch> display auto-defend configuration

-------------------------------------------------------------------------

 Name  : policy1

 Related slot : <0>

 auto-defend                      : enable

 auto-defend attack-packet sample : 5

 auto-defend threshold            : 60 (pps)

 auto-defend alarm                : enable

 auto-defend trace-type           : source-mac source-ip

 auto-defend protocol             : arp icmp dhcp igmp tcp telnet 8021x

 auto-defend action               : deny (Expired time : 300 s)

 auto-defend whitelist 1          : acl number 2002

 -------------------------------------------------------------------------

# Mostrar la configuración de la política de defensa de ataque.

 

<Switch> display cpu-defend policy policy1

 Related slot : <0>

Configuration :

   Blacklist 1 ACL number : 2001

   Car packet-type arp-request : CIR(120)  CBS(22560)

   Linkup-car packet-type  ftp : CIR(5000)  CBS(940000)

# Mostrar configuración  CPCAR.

 

<Switch> display cpu-defend configuration packet-type arp-request slot 0

Car configurations on slot 0.

----------------------------------------------------------------------

Packet Name           Status   Cir(Kbps)   Cbs(Byte)  Queue  Port-Type

----------------------------------------------------------------------

arp-request          Enabled    120          22560       3       NA         

----------------------------------------------------------------------

 

# Mostrar las estadísticas en la defensa de ataque ICMP.

 

<Switch> display anti-attack statistics

Packets Statistic Information:                                                 

-------------------------------------------------------------------------

AntiAtkType  TotalPacketNum        DropPacketNum         PassPacketNum         

             (H)        (L)        (H)        (L)        (H)        (L)        

-------------------------------------------------------------------------

URPF          0          0          0          0          0          0

Abnormal      0          0          0          0          0          0

Fragment      0          0          0          0          0          0

Tcp-syn       0          0          0          0          0          0

Udp-flood     0          0          0          0          0          0

Icmp-flood    0          0          0          0          0          0

-------------------------------------------------------------------------

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba