S系列交換機(jī)CPU文檔版 發(fā)布日 04-09S系列交換機(jī)S系列交換機(jī)CPU目錄02(2020-04-02(2020-04-版權(quán)所有?目錄S系列交換機(jī)CPU占用率 簡(jiǎn) 前提條 CPU占用率高介 CPU和CPU占用率原 CPU和CPU占用率簡(jiǎn) CPU處理報(bào)文原理（框式交換機(jī) CPU處理報(bào)文原理（盒式交換機(jī) CPU占用率高造成的影 CPU占用率高屬于正?，F(xiàn)象的場(chǎng) CPU占用率高故障定位指 查看設(shè)備及版本信 查看CPU占用 根據(jù)任務(wù)的CPU占用率排序判斷初步原因（框式交換機(jī) 根據(jù)任務(wù)的CPU占用率排序判斷初步原因（盒式交換機(jī) 如何解決CPU占用率 判斷為硬件故障引 判斷為網(wǎng)絡(luò)攻擊引 判斷為網(wǎng)絡(luò)震蕩引 判斷為網(wǎng)絡(luò)環(huán)路引 如何盡量避免CPU占用率 附 CPU占用率高相關(guān)命令/告警/日志/網(wǎng)管OID信 命令信 告警信 日志信 網(wǎng)管OID信 本機(jī)防攻擊策 功能介 攻擊溯 端口防攻 黑名 配置本機(jī)防攻擊策 CPU各任務(wù)名稱及功能說(shuō) CPU各任務(wù)名稱及功能說(shuō)明（框式交換機(jī) CPU各任務(wù)名稱及功能說(shuō)明（盒式交換機(jī) 相關(guān)信 S系列交換機(jī)S系列交換機(jī)CPU1S系列交換機(jī)CPU02(2020-04-02(2020-04-版權(quán)所有?S系列交換機(jī)CPU

CPUCPU和CPUCPU如何解決CPU如何盡量避免CPUCPU通過(guò)本節(jié)內(nèi)容，您可以快速了解并掌握U占用率高的相關(guān)知識(shí)，包括U占用率高造成的影響、引起U占用率高的常見(jiàn)原因、如何定位U占用率高、如何解決U用率高和如何盡量避免U占用率高，更多詳細(xì)信息，請(qǐng)查看后續(xù)章節(jié)。CPU和CPUCPU和CPU交換機(jī)的核心--圖1-1圖1-2CPU

U占用率表示交換機(jī)在某個(gè)時(shí)間點(diǎn)的運(yùn)行任務(wù)情況。如圖1-所示，A任務(wù)占用10ms，任務(wù)占用30m，然后空閑60m，再又是A任務(wù)占10ms，任務(wù)占30m，空閑60ms。如果在一段時(shí)間內(nèi)都是如此，那么這段時(shí)間內(nèi)的占用率為%。U越高，說(shuō)明交換機(jī)在這個(gè)時(shí)間上運(yùn)行了很多任務(wù)，反之則很少。圖1-3任務(wù)占用CPUCPU處理報(bào)文原理（框式交換機(jī)華為交換機(jī)由轉(zhuǎn)發(fā)芯片轉(zhuǎn)發(fā)普通數(shù)據(jù)報(bào)文，無(wú)需CPUCPU所有目的地址為本機(jī)的報(bào)文均需要上送CPU各種協(xié)議控制報(bào)文，如STP、LLDP、LNP、LACP、VCMP、DLDP、EFMGVRP、VRRP路由更新報(bào)文，如RIP、OSPF、BGP、IS-ISSNMP、Telnet、SSHARP、ND帶option選項(xiàng)的ICMP帶hop-by-hop選項(xiàng)的IPv6TTL小于或等于1的IPv4/IPv6目的IPARP/ND/FIBMiss應(yīng)用了ACL，需要CPU開(kāi)啟logging功能后，通過(guò)ACLdeny流策略重定向到CPUPIM、IGMP、MLD、MSDP未知IPDHCPARP、NDT軟轉(zhuǎn)發(fā)的協(xié)議報(bào)文（僅unnel片硬件轉(zhuǎn)發(fā)）圖1-4如圖1-所示，每個(gè)芯片/邏輯的限速主要分為三類：基于協(xié)議的限速、基于隊(duì)列的限速、基于端口的所有報(bào)文統(tǒng)一限速。如下以7版本0非E系列的業(yè)務(wù)板為例，介紹U限速等的缺省情況（其他款型、其他版本可以通過(guò)命令ydtnl查看）。圖1-5上送CPU表1-1S9300業(yè)務(wù)板限速值主控板限速值eoam-3ah、mpls-one-業(yè)務(wù)板限速值主控板限速值fib6-hit、mpls-fib-dhcp-表1-2業(yè)務(wù)板上CPU處理不同報(bào)文的隊(duì)列劃分(隊(duì)列ID越大，轉(zhuǎn)發(fā)優(yōu)先級(jí)越高vp（VRRPV2R10版本從隊(duì)列5移到隊(duì)列ttl-expired、表1-3主控板上CPU處理不同報(bào)文的隊(duì)列劃分(隊(duì)列ID越大，轉(zhuǎn)發(fā)優(yōu)先級(jí)越高保持一致，VRRPV2R10版本從隊(duì)列5移到隊(duì)ttl-expired、sFlow、交換機(jī)根據(jù)報(bào)文的層次（管理/控制/轉(zhuǎn)發(fā)）及其重要性來(lái)指定將報(bào)文發(fā)送到哪個(gè)U列。U隊(duì)列具有相對(duì)優(yōu)先級(jí)。例如，t管理報(bào)文和t協(xié)議報(bào)文同時(shí)排隊(duì)，U將優(yōu)先處理號(hào)隊(duì)列的t管理報(bào)文，通過(guò)該機(jī)制確保U高負(fù)荷下設(shè)備穩(wěn)定可管理。同時(shí)，U還通過(guò)加權(quán)調(diào)度機(jī)制防止低優(yōu)先級(jí)隊(duì)列的報(bào)文得不到處理。在穩(wěn)定的網(wǎng)絡(luò)環(huán)境下，上送U的報(bào)文數(shù)量控制在適當(dāng)?shù)姆秶鷥?nèi)，U占用率也穩(wěn)定在一個(gè)合理的區(qū)間。如果一段時(shí)間內(nèi)上送U的報(bào)文數(shù)量過(guò)大，則U會(huì)因?yàn)槊τ谔幚磉@些報(bào)文而表現(xiàn)為U占用率過(guò)高。CPU處理報(bào)文原理（盒式交換機(jī)所有目的地址為本機(jī)的報(bào)文均需要上送CPU各種協(xié)議控制報(bào)文，如STP、LLDP、LNP、LACP、VCMP、DLDP、EFMGVRP、VRRP路由更新報(bào)文，如RIP、OSPF、BGP、IS-ISSNMP、Telnet、SSHARP、ND帶option選項(xiàng)的ICMP帶hop-by-hop選項(xiàng)的IPv6TTL小于或等于1的IPv4/IPv6目的IPARP/ND/FIBMiss基于ACL開(kāi)啟logging功能后，通過(guò)ACLdeny流策略重定向到CPUPIM、IGMP、MLD、MSDP未知IPDHCPARP、ND廣播請(qǐng)求報(bào)文，二層交換機(jī)配置動(dòng)態(tài)ARP檢測(cè)DAI（DynamicARPT軟轉(zhuǎn)發(fā)的協(xié)議報(bào)文（僅unnel件轉(zhuǎn)發(fā)）N:1VLANmapping第一個(gè)報(bào)文上送CPU交換機(jī)采用機(jī)制處理上送U的報(bào)文，確保重要報(bào)文優(yōu)先處理。交換機(jī)將上送的不同類型的報(bào)文劃分到優(yōu)先級(jí)不同的個(gè)隊(duì)列，不同交換機(jī)款型支持上送U的報(bào)文種類可能不同。以S5700LIS5720-L形態(tài)為例，部分典型報(bào)文上送U的隊(duì)列劃分如表1-和圖1-所示，隊(duì)列D值越大，優(yōu)先級(jí)越高。表1-4CPU隊(duì)列IPC、RPC、ARPARPMiss、FTP、sFlow、圖1-6將不同類型報(bào)文分發(fā)到CPU交換機(jī)根據(jù)報(bào)文的層次（管理/控制/轉(zhuǎn)發(fā)）及其重要性來(lái)指定將報(bào)文發(fā)送到哪個(gè)U列。U隊(duì)列具有相對(duì)優(yōu)先級(jí)。例如，t管理報(bào)文和T軟件透?jìng)鲄f(xié)議報(bào)文同時(shí)排隊(duì)，U將優(yōu)先處理號(hào)隊(duì)列的t管理報(bào)文，通過(guò)該機(jī)制確保U高負(fù)荷下設(shè)備穩(wěn)定可管理。同時(shí)，U還通過(guò)加權(quán)調(diào)度機(jī)制防止低優(yōu)先級(jí)隊(duì)列的報(bào)文得不到處CPUSNMPMAC/IPPing交換機(jī)不能及時(shí)轉(zhuǎn)發(fā)或回應(yīng)客戶端請(qǐng)求，導(dǎo)致DHCP失敗或IEEE802.1xSTP交換機(jī)通過(guò)U周期性的接收U報(bào)文維持其e端口角色，如果因上游設(shè)備U繁忙導(dǎo)致U報(bào)文不能及時(shí)發(fā)出或本機(jī)U繁忙不能及時(shí)處理收到的U報(bào)文，交換機(jī)會(huì)認(rèn)為到根橋的原路徑故障而重新選擇t重新收斂；如果交換機(jī)原來(lái)同時(shí)存在e端口，則將e端口作為新的t端口，這時(shí)就可能導(dǎo)致網(wǎng)絡(luò)出現(xiàn)環(huán)路。動(dòng)態(tài)路由協(xié)議的?；钣蒛完成，如果因U繁忙不能及時(shí)接收和發(fā)送o報(bào)文，就會(huì)導(dǎo)致路由震蕩，如F震蕩、P震蕩、P震蕩。h、g、P、D、SM等檢測(cè)協(xié)議均由U完成定時(shí)保活，如果因?yàn)閁影響相關(guān)業(yè)務(wù)流量轉(zhuǎn)發(fā)。LACP類型的Eth-Trunk通過(guò)CPUCPU對(duì)于P，U占用率同實(shí)例數(shù)和活躍端口數(shù)成正比。對(duì)于T，由于每個(gè)VLA獨(dú)立運(yùn)行一個(gè)實(shí)例，因此在相同VLA和端口數(shù)目下，T比P占用更多的U資源。在路由表更新過(guò)程中影響CPU集群/交換機(jī)在執(zhí)行copycfcard:/或輸出信息量大的debug導(dǎo)致CPU端口使能了StickyMAC功能后，快速學(xué)習(xí)將大量端口同時(shí)加入大量VLAN（VLAN、修改大批端口的鏈路類型等頻繁或大量的IGMP大量并發(fā)的P請(qǐng)求（如交換機(jī)作為P接）ARP大量不能由轉(zhuǎn)發(fā)芯片直接轉(zhuǎn)發(fā)的數(shù)據(jù)報(bào)文上送CPU（如ARP-端口頻繁CPUCPU圖1-7判斷CPU使用displayversion和displaydevice命令查看交換機(jī)的版本信息及部件類型，將獲步驟1通過(guò)displayversion#使用displayversion<HUAWEIFutureMatrix><HUAWEIFutureMatrix>displayHuaweiVersatileRoutingPlatformVRP(R)software,Version5.160(S7700V200R021C00)Copyright(C)2000-2020HUAWEITECHCO.,LTDQuidwayS7703TerabitRoutingSwitchuptimeis0week,0day,1hour,3minutesBKP0versioninformation: Version:LE02BAKBSupportingPoE:Board :MPUSlotQuantity:LPUSlotQuantity:關(guān)注“P)ta,n0”字段，可以看出這臺(tái)0系列框式交換機(jī)為1版本。步驟2通過(guò)displaydevice命令的回顯，查看交換機(jī)的型號(hào)、是否是集群/堆疊系統(tǒng)、交換機(jī)#使用displaydevice<HUAWEIFutureMatrix><HUAWEIFutureMatrix>displayS7712'sDeviceSlotSub Online 1014ES0D0X4UXC00PresentES0D0F48TC00PresentES0D0G24SC00PresentPowerOnRegisteredPowerOnRegisteredPowerOnRegisteredPresentPowerOffUnregisteredES0D00SRUA00PresentPowerOnPWR1- PresentPowerOnRegisteredNormalCMU1-LE0DCMUA0000PresentPowerOnRegisteredNormalFAN1-- PresentPowerOnRegisteredNormalNAFAN2-- PresentPowerOnRegisteredNormalNAFAN3-- PresentPowerOnRegisteredNormalNAFAN4-- PresentPowerOnRegisteredNormalNA----查看CPU查看CPU執(zhí)行displaycpu-usage命令，查看CPU隔幾秒連續(xù)執(zhí)行displaycpu-usage命令，觀察“CPUUsage”字段是否持續(xù)保持說(shuō)明一般情況下，交換機(jī)長(zhǎng)時(shí)間運(yùn)行時(shí)CPU占用率不超過(guò)80%，短時(shí)間內(nèi)CPU95%查看設(shè)備的CPUdisplaycpu-usageslotslot-CPU<HUAWEIFutureMatrix>displaycpu-<HUAWEIFutureMatrix>displaycpu-CPUUsageStat.Cycle:10CPU :88%Max:CPUUsageStat.Time:2021-12-18CPUutilizationforfiveseconds:68%:oneminute:60%:fiveminutes:55%.MaxCPUUsageStat.Time:2015-01-2710:08:10.CPURuntime(CPUTickHigh/TickLow)Task8/4c8b1ffDOPRAOperation可以看出，這臺(tái)交換機(jī)CPU占用率高達(dá)88%后續(xù)處理：通過(guò)顯示信息，獲取U占用率較高的任務(wù)，并重點(diǎn)關(guān)注占用率最高的前個(gè)任務(wù)（5及后續(xù)版本，顯示信息中“e”會(huì)以U占用率高低來(lái)排序），以判斷引起U占用率高的初步原因，詳細(xì)信息請(qǐng)參考1.5.3根據(jù)任務(wù)的CP占用率排序判斷初步原因（框式交換機(jī)）和1.5.4根據(jù)任務(wù)的CP用率排序判斷初步原因（盒式交換機(jī)）。當(dāng)交換機(jī)部署了網(wǎng)管系統(tǒng)時(shí)，可以在網(wǎng)管系統(tǒng)上查看CPU當(dāng)CPU占用率超過(guò)告警閾值（可在系統(tǒng)視圖下通過(guò)setcpu-usagethreshold配查看日志是否有CPU通過(guò)查看系統(tǒng)日志文件或執(zhí)行displaylogbuffer命令查看設(shè)備的日志信息，查看系統(tǒng)日志可以查看歷史及當(dāng)前是否有CPU相關(guān)日志信息為：OSCPU/4/CPU_SAGE_HIG查看日志信息。根據(jù)任務(wù)的CPU占用率排序判斷初步原因（框式交換機(jī)通過(guò)查看displaycpu-usage命令的顯示信息，獲取CPU占用率較高的任務(wù)，并重點(diǎn)關(guān)實(shí)現(xiàn)IPv4SNMP協(xié)議棧，網(wǎng)實(shí)現(xiàn)實(shí)現(xiàn)IPv4SNMP協(xié)議棧，網(wǎng)實(shí)現(xiàn)IPv6SNMP協(xié)議棧，網(wǎng)CAR1.1.6.2判斷為網(wǎng)絡(luò)2.聯(lián)系華為交換機(jī)經(jīng)解決TC芯片0MAC請(qǐng)參考1.6.4判斷芯片2MAC芯片0linkscan任務(wù)，掃描lin中斷上報(bào)過(guò)多或者m訪問(wèn)耗時(shí)。Link中斷由光模塊斷（類情況）芯片1linkscan任務(wù)，掃描芯片2linkscan任務(wù)，掃描CAPWAPsocket創(chuàng)建，成DHCPSnooping及DHCPCPU遭受IPv6FIB表項(xiàng)管理，維護(hù)軟在FC0、FC1等任務(wù)HTTP協(xié)議任務(wù)，處理負(fù)責(zé)IPforwarding-If0packets丟包MPLS大量LSPMPLSPM則可能CPURSVPLSPRSVPLSP震蕩一般是統(tǒng)計(jì)空閑業(yè)務(wù)的CPUAP定時(shí)ap-pingMAPDEV處理P上線時(shí)的狀態(tài)變遷，維護(hù)狀態(tài)機(jī)（處理）P批量上下線、P升級(jí)、射頻周期上報(bào)的采集信息APWebServer令行：undohttpserverenable（關(guān)閉議登錄）和undohttpsecure-server如果您的交換機(jī)的CPU占用率高任務(wù)不在以上表格里，請(qǐng)參考1.8.4CPU各任務(wù)名稱及如果您的交換機(jī)CPU占用率高任務(wù)既不在以上表格里，也不在1.8.4CPU各任務(wù)名稱及查手段進(jìn)行問(wèn)題定位并處理，詳細(xì)信息請(qǐng)參考1.6如何解決CPU占用率高。根據(jù)任務(wù)的CPU占用率排序判斷初步原因（盒式交換機(jī)通過(guò)查看displaycpu-usage命令的顯示信息，獲取CPU占用率較高的任務(wù)，并重點(diǎn)關(guān)請(qǐng)根據(jù)表1-6來(lái)查詢引起CPU表1-6常見(jiàn)CPUCPUlin中斷上報(bào)過(guò)多或者m訪問(wèn)耗時(shí)。Link中斷由光模塊S中斷過(guò)多的異常中斷（情況）實(shí)現(xiàn)IPv4SNMP實(shí)現(xiàn)IPv6SNMP請(qǐng)參考1.6.1判斷為硬CAPWAPsocketDHCPSnooping及DHCPRelay等大量協(xié)議報(bào)文上送IPv6FIB表項(xiàng)管FC0、FC1大量協(xié)議報(bào)文上送時(shí)，該任務(wù)的U率就會(huì)出現(xiàn)顯著的升高。CPU1.1.6.2判斷為網(wǎng)絡(luò)攻擊引起和1.6.4判斷2.聯(lián)系華為交換機(jī)經(jīng)銷forwarding-If0packets丟包計(jì)大量LSP大量協(xié)議報(bào)文上送時(shí)，該任務(wù)的U率就會(huì)出現(xiàn)顯著的升高。CPU1.1.6.2判斷為網(wǎng)絡(luò)攻擊引起和1.6.4判斷2.聯(lián)系華為交換機(jī)經(jīng)銷WebServer處理大量HTTP行：undohttpservere（關(guān)閉用戶通過(guò)TP協(xié)議登錄）和ohpsecuserer（關(guān)閉B用戶通過(guò)TS協(xié)議登錄）WEB降低WEB解決TC芯片0MAC表項(xiàng)C漂移：采取破參考1.6.4判斷為網(wǎng)絡(luò)環(huán)路引起MACMAC漂移、HASHMACAP定時(shí)ap-pingAP自P的消息，會(huì)導(dǎo)致該任務(wù)占用U高20個(gè)/S如果您的交換機(jī)的CPU占用率高任務(wù)不在以上表格里，請(qǐng)參考1.8.5CPU各任務(wù)名稱及如果您的交換機(jī)CPU占用率高任務(wù)既不在以上表格里，也不在1.8.5CPU各任務(wù)名稱及查手段進(jìn)行問(wèn)題定位并處理，詳細(xì)信息請(qǐng)參考1.6如何解決CPU占用率高。如何解決CPU當(dāng)通過(guò)1.5.3根據(jù)任務(wù)的CP占用率排序判斷初步原因（框式交換機(jī)）或者1.5.4根據(jù)任務(wù)的CP占用率排序判斷初步原因（盒式交換機(jī)）判斷可能為硬件故障，即觀察到TT/FMCK/SRM任務(wù)U占用率高時(shí)，請(qǐng)聯(lián)系華為交換機(jī)經(jīng)銷商確認(rèn)是否為硬件故障并進(jìn)行處理。說(shuō)明的非正常網(wǎng)絡(luò)交互請(qǐng)求，具體表現(xiàn)均為某些任務(wù)大量占用CPU，導(dǎo)致CPU常見(jiàn)的網(wǎng)絡(luò)攻擊包括P、-Miss以及P等協(xié)議報(bào)文攻擊，這些攻擊行為的共同特點(diǎn)是攻擊源產(chǎn)生大量的協(xié)議報(bào)文對(duì)設(shè)備進(jìn)行沖擊，因此可以在設(shè)備上看到大量上送U的報(bào)文統(tǒng)計(jì)。ARP協(xié)議報(bào)文攻擊和ARP-MissARP和ARP-MissARPDHCPICMPDDoSTTL-expired目的IP為設(shè)備IPSSH/FTP/Telnet步驟1使用displayversion和displaydevice命令查看交換機(jī)的版本信息及部件類型，將獲步驟2使用displaycpu-defendstatistics命令查看上送CPU報(bào)文的統(tǒng)計(jì)信息，判斷是否存在執(zhí)行resetcpu-defendstatistics命令，清除上送CPU隔幾秒displaycpu-defendstatistics命令，查看上送CPU<HUAWEIFutureMatrix>resetcpu-defend<HUAWEIFutureMatrix>displaycpu-defendstatisticsStatisticsonslotPacketPass(Bytes)arp- arp- 可以觀察到這臺(tái)設(shè)備出現(xiàn)過(guò)多被丟棄的t報(bào)文，如果現(xiàn)網(wǎng)不可能出現(xiàn)這么多的t報(bào)文，確定設(shè)備遭受到了P攻擊。步驟3<HUAWEIFutureMatrix>system-[HUAWEIFutureMatrix]<HUAWEIFutureMatrix>system-[HUAWEIFutureMatrix]aclnumber[HUAWEIFutureMatrix-acl-basic-2000]rule5permitsource0//為網(wǎng)關(guān)IP地址[HUAWEIFutureMatrix-acl-basic-2000]quit[HUAWEIFutureMatrix][HUAWEIFutureMatrix]cpu-defendpolicy[HUAWEIFutureMatrix-cpu-defend-policy-policy1]auto-defendenable//使能攻擊溯源功能（缺utuxend-polic-policy1]odtae-typesouportvlan//配置攻擊溯源的溯源模式為基于源C地址和源P地址（缺省情況下，攻擊溯源的溯源模式為基于源C地址、基于源P地址和基于源接口+VLA。一般是使用odtatype命令來(lái)刪除不需要的攻擊溯源模式。）[HUAWEIFutureMatrix-cpu-defend-policy-policy1]undoauto-defendprotocol8021xdhcpicmpigmptcptelnetttl-expiredudp//刪除攻擊溯源防范的報(bào)文類型（缺省情況下，攻擊溯源防[HUAWEIFutureMatrix-cpu-defend-policy-policy1]auto-defendwhitelist1acl2000//將網(wǎng)關(guān)IP[HUAWEIFutureMatrix-cpu-defend-policy-policy1]9之后版本，攻擊溯源的配置模型進(jìn)行重新設(shè)計(jì)，攻擊溯源默認(rèn)使能，溯源的協(xié)議按照正常的使用習(xí)慣，設(shè)計(jì)成覆蓋式。[HUAWEIFutureMatrix][HUAWEIFutureMatrix]cpu-defendpolicy[HUAWEIFutureMatrix-cpu-defend-policy-policy1]auto-defendprotocolarp//只溯源攻擊溯源Telnet、TTL-expired和UDP。V200R010新增支持IPv6類型的、UDP、DHCPv6，ND，ICMPv6，[HUAWEIFutureMatrix-cpu-defend-policy-policy1]auto-defendwhitelist1acl2000//將網(wǎng)關(guān)[HUAWEIFutureMatrix-cpu-defend-policy-policy1]<HUAWEIFutureMatrix>system-view<HUAWEIFutureMatrix>system-view[HUAWEIFutureMatrix]cpu-defend-policypolicy1[HUAWEIFutureMatrix]quit說(shuō)明<HUAWEIFutureMatrix><HUAWEIFutureMatrix>system-[HUAWEIFutureMatrix]cpu-defend-policypolicy2<HUAWEIFutureMatrix><HUAWEIFutureMatrix>system-[HUAWEIFutureMatrix]slot[HUAWEIFutureMatrix-slot-1]cpu-defend-policy<HUAWEIFutureMatrix><HUAWEIFutureMatrix>system-[HUAWEIFutureMatrix]cpu-defend-policypolicy1<HUAWEIFutureMatrix><HUAWEIFutureMatrix>system-<HUAWEIFutureMatrix><HUAWEIFutureMatrix>system-[HUAWEIFutureMatrix]cpu-defend-policypolicy1配置基于攻擊溯源的本機(jī)防攻擊功能后，可以執(zhí)行displayauto-defendattack-source和displayauto-defendattack-sourceslotslot-id命令，查看攻擊源信說(shuō)明識(shí)別的攻擊源MAC中可能包含網(wǎng)關(guān)的MAC----配置ARP安全功能，防范ARP針對(duì)P和-Miss協(xié)議報(bào)文攻擊，可以部署P受這類攻擊。<HUAWEIFutureMatrix>system-<HUAWEIFutureMatrix>system-[HUAWEIFutureMatrix]cpu-defendpolicy[HUAWEIFutureMatrix-cpu-defend-policy-policy1]auto-defendenable//使能攻擊溯源功能（缺[HUAWEIFutureMatrix-cpu-defend-policy-policy1]auto-defendactiondenytimer300//（缺如果判斷攻擊源為特定用戶的惡意報(bào)文（假設(shè)攻擊源為4）攻擊，可以通過(guò)L把符合特定特征的用戶納入到黑名單中，被納入黑名單的用戶所發(fā)的報(bào)文到達(dá)設(shè)備后均會(huì)被丟棄。#配置ACL2001匹配源/24的報(bào)文，命中該ACL的特征報(bào)文將被設(shè)備直[HUAWEIFutureMatrix][HUAWEIFutureMatrix]aclnumber[HUAWEIFutureMatrix-acl-basic-2001]rulepermitsource[HUAWEIFutureMatrix-acl-basic-2001][HUAWEIFutureMatrix]cpu-defendpolicy[HUAWEIFutureMatrix-cpu-defend-policy-policy1]blacklist1acl須知須知#配置攻擊溯源的懲罰措施為將攻擊報(bào)文進(jìn)入的端口shutdown<HUAWEIFutureMatrix><HUAWEIFutureMatrix>system-[HUAWEIFutureMatrix]cpu-defendpolicy[HUAWEIFutureMatrix-cpu-defend-policy-policy1]auto-defendenable//使能攻擊溯源功能（缺[HUAWEIFutureMatrix-cpu-defend-policy-policy1]auto-defendactionerror-STP

在P頻繁震蕩時(shí)，設(shè)備需要不斷進(jìn)行P拓?fù)溆?jì)算，更新C表、P表等轉(zhuǎn)發(fā)表，引起U占用率高。–當(dāng)懷疑網(wǎng)絡(luò)中存在頻繁的STP震蕩時(shí)，可以通過(guò)隔幾秒連續(xù)執(zhí)行displaystp#隔幾秒連續(xù)執(zhí)行一次該命令，查看設(shè)備上STP拓?fù)渥兓y(tǒng)計(jì)信息，觀察“Numberoftopologychanges”是否有增長(zhǎng)。<HUAWEIFutureMatrix><HUAWEIFutureMatrix>displaystptopology-CISTtopologychangeinformationNumberoftopologychanges Timesincelasttopologychange :0days1h:7m:30sTopologychangeinitiator(notified):GigabitEthernet2/0/6Topologychangelastreceivedfrom :101b5498-d3e0Numberofgeneratedtopologychangetraps Numberofsuppressedtopologychange MSTI1topologychangeinformationNumberoftopologychanges 確認(rèn)存在頻繁的網(wǎng)絡(luò)拓?fù)渥兓?，隔幾秒連續(xù)執(zhí)行displaystptc-bpdu如果顯示信息中只有“)化，產(chǎn)生P震蕩。如果只是單個(gè)接口的“)蕩。如果顯示信息中“C(Send/Re”計(jì)數(shù)均有增長(zhǎng)，先查看本設(shè)備網(wǎng)管事件和日志信息排查本設(shè)備是否發(fā)生拓?fù)渥兓a(chǎn)生P與發(fā)生問(wèn)題的端口連接的設(shè)備是否產(chǎn)生P震蕩。#查看端口TC/TCN<HUAWEIFutureMatrix>displaystptc-bpduMSTID 系統(tǒng)視圖下，執(zhí)行命令snmp-agenttrapenablefeature-namemstp和stp缺省情況下，設(shè)備已啟用防拓?fù)渥兓艄δ埽趕tptc-protection只會(huì)處理stptc-protectionthreshold指定的最大數(shù)量的TC報(bào)文。hwMstpProTcGuarded接入側(cè)端口Up/Down引起的STP在接口視圖下通過(guò)stpedged-portenable命令將接入側(cè)端口配置為邊緣端口，并在系統(tǒng)視圖或STP進(jìn)程視圖下通過(guò)stpbpdu-protection命令開(kāi)執(zhí)行displaystp命令，觀察“CISTRoot/ERPC”是否為原預(yù)期的端口的在端口視圖下通過(guò)stproot-protection命令開(kāi)啟根保護(hù)功能，保證拓?fù)?lt;HUAWEIFutureMatrix><HUAWEIFutureMatrix>display-------[CISTGlobalInfo][ModeMSTP]-------CISTBridge:4096.707b-e8c8-00e9ConfigTimes:Hello2sMaxAge20sFwDly15sMaxHop20ActiveTimes:Hello2sMaxAge20sFwDly15sMaxHopCISTRoot/ERPC:4096.707b-e8c8-00e9/0(Thisbridgeistheroot)CISTRegRoot/IRPC:4096.707b-e8c8-00e9/0(Thisbridgeistheroot)CISTRootPortId:0.0CISTRootType:SecondaryrootTCorTCNreceived:1TCcountperSTPConvergeShareregion-configuration:EnabledTimesincelastTC:1days14h:25m:38sNumberofTC:2LastTCPortProtocol:EnabledPortPriority:128PortCost(Dot1T):Config=auto/Active=20000PortEdged:Config=default/Active=disabledTransitLimit:6packets/sProtectionType:NonePortSTPMode:STPPortProtocolType:Config=auto/Active=dot1sPortTimes:Hello2sMaxAge20sFwDly15sRemHop20TCorTCNsend:0TCorTCNreceived:0BPDUSent:11BPDU如果無(wú)法找到拓?fù)渥兓蚧蛘邎?zhí)行以上處理措施后故障依然存在，請(qǐng)收集組網(wǎng)信息（包括端口連接情況）和日志信息（可以是g以是執(zhí)行yr輸出的信息），聯(lián)系華為交換機(jī)經(jīng)銷商。OSPF路由協(xié)議震蕩會(huì)導(dǎo)致路由信息的重新擴(kuò)散和路由表的重新計(jì)算，對(duì)設(shè)備CPU根據(jù)輸出信息的“ImmediateReason”字段和“PrimaryReason”字段查看通過(guò)日志查看OSPF鄰居狀態(tài)DownOSPF/3/NBR_DOWN_REASON:NeighborstateleavesOSPF/3/NBR_DOWN_REASON:NeighborstateleavesfullorchangedtoDown.(ProcessId=[USHORT],NeighborRouterId=[IPADDR],NeighborAreaId=[ULONG],NeighborInterface=[STRING],NeighborDownImmediatereason=[STRING],NeighborDownImmediatereason關(guān)鍵字記錄的是OSPF鄰居DownOSPF鄰居DownNeighborDownDueto表示在deadtime時(shí)間（在接口視圖下通過(guò)ospftimerdead命令配置）內(nèi)沒(méi)displayospfpeerbrief命令，查看當(dāng)前是OSPF鄰居震蕩還是OSPF鄰居無(wú)OSPF設(shè)備上OSPFCPCAR值過(guò)小、接口鏈路震蕩或接口鏈路擁塞、大量LSA執(zhí)行命令ydstatistspace-tef查看上送U的F報(bào)文統(tǒng)計(jì)信息，如果F丟包過(guò)多，請(qǐng)排查設(shè)備是否受到F報(bào)文攻擊或F的R值設(shè)置過(guò)小。通過(guò)日志信息查看接口n鏈路擁塞，請(qǐng)對(duì)接口鏈路進(jìn)行檢查。ospftimerdeadinterval命令將OSPF鄰居失效時(shí)間配置為20s以建議F視圖下通過(guò)oe命令使能F的功能，允許設(shè)備通過(guò)U等非o報(bào)文維持鄰居關(guān)系，從而可以更靈敏的感知F鄰居的存在，使鄰居關(guān)系更加穩(wěn)定。OSPF排查兩端F視圖下的配置是否一致，如果區(qū)域D，區(qū)域類型區(qū)域、B區(qū)域、普通區(qū)域）等配置不一致，會(huì)導(dǎo)致鄰居無(wú)法建立。<HUAWEIFutureMatrix>displayospf1OSPFProcess1with<HUAWEIFutureMatrix>displayospf1OSPFProcess1withRouterIDArea:(MPLSTEnotIP StateCostBroadcastWaiting enable[process-id]areaarea-id將接口使能OSPF。displayospferror命令，查看Badauthenticationtype和Badauthenticationkey字段，確認(rèn)兩端設(shè)備的OSPF認(rèn)證信息是否匹<HUAWEIFutureMatrix><HUAWEIFutureMatrix>displayospf1OSPFProcess1withRouterIDOSPFerrorstatisticsGeneralpacket:IP:receivedmy:Bad :Bad:Bad:Badarea:Droponunnumbered:Badvirtual:Badauthentication :Badauthentication :Packettoo :Packetsize>ip :Transmit :Interface :Unknown :Badnet :Externoption如果Badauthenticationtype或者Badauthenticationkey計(jì)數(shù)持ospfauthentication-mode命令或者在OSPF區(qū)域視圖下執(zhí)行如果Badauthenticationtype或者Badauthenticationkey計(jì)數(shù)不增長(zhǎng)，說(shuō)明認(rèn)證信息匹配，且多次執(zhí)行命令displayospfpeer顯示NeighborDownDuetoKill表示因?yàn)榻涌贒own、BFDDown或執(zhí)行了resetospfprocess操作。NeighborDownDueto1-WayhelloReceived或NeighborDownDuetoSequenceNumMismatch其它導(dǎo)致OSPF鄰居Down的原因，請(qǐng)參考日志信息的“OSPF/3/設(shè)備CPU占用率超過(guò)80%設(shè)備上發(fā)生環(huán)路的VLAN設(shè)備出現(xiàn)頻繁的MAC通過(guò)Ping使用displayinterface命令查看接口統(tǒng)計(jì)信息時(shí)，發(fā)現(xiàn)接口收到大量廣播報(bào)設(shè)備下接的PC況）和日志信息（可以是log.log日志文件，也可以是執(zhí)行displaylogbuffer說(shuō)明如何盡量避免CPU全局視圖下配置loopback-detectuntaggedmac-addressffff-ffff-ffff，此接口視圖下配置loopback-detectenable當(dāng)設(shè)備所有使能環(huán)回檢測(cè)功能的接口下的VLA個(gè)數(shù)總和超過(guò)時(shí)，建議通過(guò)命令loopbac-detectactionw配置接口檢測(cè)到環(huán)路時(shí)的處理動(dòng)作為n。（對(duì)于每個(gè)端口，每加入到一個(gè)VLA，VLA個(gè)數(shù)就加1，即使是多個(gè)端口同時(shí)加入同一個(gè)VLA。）配置ARP安全功能，防止設(shè)備受到ARP和ARP-Miss在經(jīng)常出現(xiàn)DHCP、ARP協(xié)議報(bào)文攻擊的網(wǎng)絡(luò)（如校園網(wǎng)），配置基于DHCPARPcpu-defendcpu-defendpolicymain-auto-defendenable//V200R009undoauto-defendtrace-typesource-portvlan//V200R009undoauto-defendprotocoltcpigmptelnetttl-expired//V200R009版本為auto-defendprotocolarpdhcpauto-defendactionauto-defendwhitelist1interfaceGigabitEthernetx/x/x//將互聯(lián)口加入白名單auto-defendwhitelist2interfaceGigabitEthernetx/x/x//將上行口加入白名單cpu-defend-policymain-boardcpu-defendcpu-defendpolicyio-auto-defend //V200R009undoauto-defendtrace-typesource-portvlan//V200R009undoauto-defendprotocoltcpigmptelnetttl-expired//V200R009版本為auto-defendprotocolarpdhcpauto-defendactionauto-defendwhitelist1interfaceGigabitEthernetx/x/x//將互聯(lián)口加入白名單auto-defendwhitelist2interfaceGigabitEthernetx/x/x//將上行口加入白名單cpu-defend-policyio-boardglobalcpu-defendpolicyauto-defendenable//V200R009undoauto-defendtrace-typesource-portvlan//V200R009undoauto-defendprotocoltcpigmptelnetttl-expired//V200R009版本為auto-defendprotocolarpdhcpauto-defendactionauto-defendwhitelist1interfaceGigabitEthernetx/x/x//將互聯(lián)口加入白名單auto-defendwhitelist2interfaceGigabitEthernetx/x/x//將上行口加入白名單cpu-defend-policymainglobal管理用戶通過(guò)H、t、P等方式登錄設(shè)備時(shí)，配置基于L的訪問(wèn)限制，只允許指定的管理用戶登錄設(shè)備。#在VTY0~14用戶界面上，通過(guò)ACL指定只有源IP為/32的用戶可以登錄到<HUAWEIFutureMatrix><HUAWEIFutureMatrix>system-[HUAWEIFutureMatrix]acl[HUAWEIFutureMatrix-acl-adv-2001]rule5permitsource[HUAWEIFutureMatrix-acl-adv-2001]quit[HUAWEIFutureMatrix]user-interfacevty014

當(dāng)端口組成員個(gè)數(shù)超過(guò)40，批量加入4KVLAN時(shí)，可能導(dǎo)致CPU占用率短時(shí)間內(nèi)當(dāng)超過(guò)個(gè)端口同時(shí)切換類型時(shí)，可能導(dǎo)致U占用率短時(shí)間內(nèi)超過(guò)%此，建議逐個(gè)切換端口類型，避免批量切換。C頻繁漂移可能導(dǎo)致U占用率高，因此，在可能產(chǎn)生C頻繁漂移場(chǎng)景，建議通過(guò)命令ma-addsgactionerow配置接口發(fā)生C漂移后的處理動(dòng)作為ero。定期給設(shè)備下接的PCCPU占用率高相關(guān)命令/告警/日志/網(wǎng)管OID表1-7CPUdisplayinterface[interface-typecounters{inbound|outbounddisplaycpu-usage[slave|slotslot-id]查看設(shè)備CPUdisplaycpu-defendslotslot-id查看協(xié)議報(bào)文上送CPUdisplayarppacket查看ARPdisplaydhcp查看DHCPdisplaycpu-defendrate[packet-typepacket-type][slotslot-id|all]查看協(xié)議報(bào)文上送CPUdisplaycpu-defendpolicy[policy-name]displayauto-defendconfiguration[cpu-defendpolicypolicy-name|slotslot-id|mcu]displaycpu-defendslot-id|modulemodule-name|security|level{severity|level}]*displaytrapbuffer[sizevalue查看STP[instanceinstance-id][interfaceinterface-typeinterface-number|slotslot-id]tc-bpdustatistics查看STPTCBPDUresetcpu-defendstatistics[packet-typepacket-type][all|slotslot-id清除上送CPUcpu-defendpolicypolicy-blacklistblacklist-idaclacl-通過(guò)ACL通過(guò)ACL配置協(xié)議報(bào)文上送CPUauto-defendundoauto-defendtrace-{source-mac|source-ip|source-portvlan}*undoauto-defendprotocol{8021x|arp|dhcp|dhcpv6|icmp|icmpv6|igmp|mld|nd|tcp|telnet|ttl-expired|udp}*auto-defendwhitelistwhitelist-number{aclacl-number|interfaceinterface-typeinterface-number}auto-defendalarmauto-defendaction{deny[auto-port-defendwhitelistwhitelist-number{aclacl-number|interfaceinterface-typeinterface-number}系統(tǒng)視圖：cpu-defend-policypolicy-name[global]槽位視圖：cpu-defend-policypolicy-應(yīng)用防攻擊策略。（態(tài)、版本有關(guān)，此處僅以1版本框式交換機(jī)為例）ENTITYTRAP/4/ENTITYCPUALARM:OID[oid]CPUutilizationexceededthepre-alarmthreshold.EntityPhysicalIndex=[INTEGER],PhysicalName=[OCTET],EntityThresholdType=[INTEGER],ENTITYTRAP/4/ENTITYCPUALARM:OID[oid]CPUutilizationexceededthepre-alarmthreshold.EntityPhysicalIndex=[INTEGER],PhysicalName=[OCTET],EntityThresholdType=[INTEGER],EntityThresholdCurrent=[INTEGER],BASETRAP/2/CPUUSAGERISING:OID[oid]CPUutilizationexceededthepre-alarmthreshold.EventType=[INTEGER],PhysicalName="[OCTET]",BASETRAP/2/CPUUSAGERISING:OID[oid]CPUutilizationexceededthepre-alarmthreshold.EventType=[INTEGER],PhysicalName="[OCTET]",RelativeResource="[OCTET]",UsageValue=[INTEGER],UsageUnit=[INTEGER],FMMstpicGuad在啟用P的設(shè)備上啟用C保護(hù)功能，單位時(shí)間內(nèi)收到的C報(bào)文超過(guò)閾值，超過(guò)閾值的C消息將被延遲到C保護(hù)時(shí)間超時(shí)后處理。deferredtodealwithattheendofTCprotectiontime.(InstanceID=[INTEGER])FMMstpPocGuadP進(jìn)程啟用C保護(hù)功能，單位時(shí)間內(nèi)收到的C報(bào)文超過(guò)閾值，超過(guò)閾值的C消息將被延遲到該P(yáng)進(jìn)程C保護(hù)時(shí)間超時(shí)后處理。MSTP/1/PROTCGUARD:OID[OID]MSTPprocess'sinstancereceivedTCmessageexceededtheMSTP/1/PROTCGUARD:OID[OID]MSTPprocess'sinstancereceivedTCmessageexceededthethresholdwillbedeferredtodealwithattheendofTCprotectiontime.(ProcessID=[INTEGER],U//上送U的報(bào)文速率超出了主控板的R限制。DEFD/6/CPCAR_DROP_MPU:RateDEFD/6/CPCAR_DROP_MPU:RateofpacketstocpuexceededtheCPCARlimitontheMPU.(Protocol=[STRING],CIR/CBS=[ULONG]/[ULONG],ExceededPacketCount=[STRING])DEFD/6/CPCAR_DROP_LPU:RateofpacketstoDEFD/6/CPCAR_DROP_LPU:RateofpacketstocpuexceededtheCPCARlimitontheLPUinslot[STRING].(Protocol=[STRING],CIR/CBS=[ULONG]/[ULONG],SECE/4/PORT_ATTACK:Portattackoccurred.(Slot=[STRING],SourceAttackInterface=[STRING],OuterVlan/InnerVlan=[ULONG]/[ULONG],AttackProtocol=[STRING],AttackPackets=[ULONG]SECE/4/PORT_ATTACK:Portattackoccurred.(Slot=[STRING],SourceAttackInterface=[STRING],OuterVlan/InnerVlan=[ULONG]/[ULONG],AttackProtocol=[STRING],AttackPackets=[ULONG]packetspersecond)MPU或者LPU攻擊源外層VLA，如果只有單層VLA分。攻擊源內(nèi)層VLAN攻擊源報(bào)文速率（單位pps）SECE/4/USER_ATTACK:Userattackoccurred.(Slot=[STRING],SourceAttackInterface=[STRING],OuterVlan/InnerVlan=[ULONG]/[ULONG],UserMacAddress=[STRING],AttackProtocol=[STRING],AttackPackets=[ULONG]packetspersecond)SECE/4/USER_ATTACK//SECE/4/USER_ATTACK:Userattackoccurred.(Slot=[STRING],SourceAttackInterface=[STRING],OuterVlan/InnerVlan=[ULONG]/[ULONG],UserMacAddress=[STRING],AttackProtocol=[STRING],AttackPackets=[ULONG]packetspersecond)MPU或者LPU攻擊源外層VLA，如果只有單層VLA分。攻擊源內(nèi)層VLAN攻擊源MAC攻擊源報(bào)文速率（單位pps）SECE/4/SPECIFY_SIP_ATTACK:ThespecifiedsourceSECE/4/SPECIFY_SIP_ATTACK:ThespecifiedsourceIPaddressattackoccurred.(Slot=[STRING],SourceAttackIP=[STRING],AttackProtocol=[STRING],AttackPackets=[ULONG]packetspersecond)MPU或者LPU攻擊源IP攻擊源報(bào)文速率（單位pps）SECE/6/PORT_ATTACK_END:AutoSECE/6/PORT_ATTACK_END:Autoport-defendstop.(SourceAttackInterface=[STRING],VOSCPU/4/CPU_USAGE_HIGH//提示CPU超載，并顯示占用率前三位的任務(wù)及各VOSCPU/4/CPU_USAGE_HIGH:TheVOSCPU/4/CPU_USAGE_HIGH:TheCPUisoverloaded(CpuUsage=[ULONG]%,%),andthetaskswithtopthreeCPUoccupancyare:[CPU-resources-當(dāng)前CPUCPUOSPF/3/NBR_DOWN_REASON:NeighborstateleavesfullorchangedtoDown.(ProcessId=[USHORT],NeighborRouterId=[IPADDR],NeighborAreaId=[ULONG],NeighborInterface=[STRING],NeighborDownImmediatereason=[STRING],NeighborDownPrimeReason=[STRING],NeighborChangeTime=[STRING])OSPF/3/NBR_DOWN_REASON//OSPF/3/NBR_DOWN_REASON:NeighborstateleavesfullorchangedtoDown.(ProcessId=[USHORT],NeighborRouterId=[IPADDR],NeighborAreaId=[ULONG],NeighborInterface=[STRING],NeighborDownImmediatereason=[STRING],NeighborDownPrimeReason=[STRING],NeighborChangeTime=[STRING])鄰居區(qū)域IDNeighborDownDuetoInactivity：表示在DeadTime時(shí)間內(nèi)沒(méi)有收到Hello報(bào)文導(dǎo)致NeighborDownDuetoLLDownLLDown：表示在DeadTime時(shí)間內(nèi)沒(méi)有收到NeighborneoKillNeighbo：表示因?yàn)榻涌趎、Dn或執(zhí)行了esetfpo命令。此時(shí)，可以通過(guò)查看n字段判斷具體原因。NeighborDownDueto1-WayhelloReceived或NeighborDownDuetoSequenceNumMismatch：表示因?yàn)閷?duì)端OSPF狀態(tài)首先變成Down1-WayHello報(bào)文，導(dǎo)致本端OSPF狀態(tài)也變NeighborDownDuetoAdjOK?：表示NeighborDownDuetoBadLSreq：表示本鄰居DownHelloNotSeen：沒(méi)有收到HelloInterfaceParameterMismatch：鏈路兩端LogicalInterfaceStateChange：邏輯接口PhysicalInterfaceStateChange：物理接口OSPFProcessReset：OSPFArearesetAreaOptionMis-match：鏈路兩端接口所VlinkPeerNotReachable：虛連接鄰居不可Sham-LinkUnreachable：Sham-Link鄰居UndoNetworkCommand：network命令被UndoNBMAPeer：NBMA類型接口上的鄰PassiveInterfaceDownOpaqueCapabilityEnabled：使能了OpaqueCapabilityDisabled：去使能VirtualInterfaceStateChange：虛連接的BFDSessionDown：BFD會(huì)話DownRetransmissionLimitExceed：達(dá)到1-WayhelloReceived：收到1-Way的RouterStateChangefromDRorBDRtoNeighborStateChangefromDRorBDRtoNSSAAreaConfigureChange：NSSA區(qū)域StubAreaConfigureChange：Stub區(qū)域配ReceivedInvalidDDPacket：收到無(wú)效的NotReceivedDDduringM,I,MSbitorSequenceNumIncorrect：收UnableOpaqueCapability,Find9,10,11TypeLsa：收到了9,10,11類型的LSA，但是tNSSA,Find7eanSummaryt：本區(qū)域不屬于NSS，卻在Summar中發(fā)現(xiàn)了7LSALSrequestPacket,UnknownReason：由于NSSAorSTUBArea,Find5,11TypeLsa：Tpye-5、Tpye-11LSALStacttaistnLsd：鄰居向本進(jìn)程或區(qū)域通過(guò)請(qǐng)求一條LS，但該LSA不存在本進(jìn)程的中LSrequestPacket,existsamelsaintheLSrequestPacket,existnewerlsaintheNeighboreastfullnw：B已經(jīng)溢出，但是鄰居狀態(tài)機(jī)還沒(méi)有達(dá)到ullFilterLSAconfigurationchange：LSAACLchangedforFilterLSA：LSAfilter的ResetOspfPeer：重啟OSPFOID節(jié)點(diǎn)CPUread-CPU須知須知圖1-8交換機(jī)CPU使能攻擊溯源功能后，系統(tǒng)對(duì)上送U查閾值，將超過(guò)閾值的報(bào)文判定為攻擊報(bào)文，再根據(jù)攻擊報(bào)文信息找出攻擊源的接口、P等信息，最后通過(guò)日志上報(bào)管理用戶，同時(shí)為了對(duì)攻擊源進(jìn)行懲罰，系統(tǒng)也可以直接丟棄攻擊報(bào)文一段時(shí)間或者關(guān)閉受攻擊的接口。針對(duì)三層報(bào)文的攻擊，則配置基于源IP針對(duì)固定源MAC地址報(bào)文的攻擊，則配置基于源MAC針對(duì)變換源MAC地址報(bào)文的攻擊，則配置基于源接口和VLANTelnet、TTL為1、UDP，DHCPv6、mld、icmpv6ND在內(nèi)的報(bào)文單獨(dú)進(jìn)行溯如圖1-所示，當(dāng)溯源模式設(shè)置為基于源P地址，檢查閾值為個(gè)/單位時(shí)間，懲罰動(dòng)作為丟棄攻擊報(bào)文一段時(shí)間時(shí)，如果單位時(shí)間內(nèi)上送U的報(bào)文超過(guò)檢查閾值，系統(tǒng)將其認(rèn)定為攻擊，輸出顯示攻擊源為1的日志信息，并對(duì)其實(shí)施一段時(shí)間內(nèi)丟棄該報(bào)文的懲罰動(dòng)作。圖1-9考.3CPCAR）后再上送CPU處理。系統(tǒng)支持對(duì)報(bào)文類型為ARPRequest、ARPReply、DHCP、ICMP、IGMP和IP分并移入2號(hào)隊(duì)列，做低優(yōu)先級(jí)處理。1-10CPCAR（ControlPlaneCommittedAccessRate）通過(guò)對(duì)上送CPU的報(bào)文分別進(jìn)行限交換機(jī)共有D號(hào)為共個(gè)隊(duì)列，其中隊(duì)列D隊(duì)列信息可以通過(guò)命令ydtnl查看。在穩(wěn)定的網(wǎng)絡(luò)環(huán)境下，上送U的報(bào)文數(shù)量控制在適當(dāng)?shù)姆秶鷥?nèi)。如果一段時(shí)間內(nèi)上送U的報(bào)文數(shù)量過(guò)大，則U會(huì)因?yàn)槊τ谔幚磉@些報(bào)文而表現(xiàn)為U過(guò)高。為了限制U處理的報(bào)文總數(shù)，系統(tǒng)將所有報(bào)文最后再做統(tǒng)一限速，保證了U的正常運(yùn)行。圖1-11CPCAR須知須知一般情況下，設(shè)備上協(xié)議報(bào)文的CPCAR（如攻擊源的源MAC地址或者源IP地址），通過(guò)創(chuàng)建黑名單，把符合特定特征的用戶納入到黑名單中，設(shè)備將直接丟棄黑名單用戶上送的報(bào)文。如圖1-1所示，配置1號(hào)黑名單，匹配4的源報(bào)文；配置號(hào)黑名單，匹配4的源報(bào)文，當(dāng)這些報(bào)文上送U時(shí)，設(shè)備將直接丟棄該報(bào)1-12步驟1執(zhí)行命令system-view執(zhí)行命令cpu-defendpolicypolicy-name，創(chuàng)建防攻擊策略并進(jìn)入防攻擊策略視執(zhí)行命令auto-defendenable執(zhí)行命令auto-defendtrace-type{source-ip|source-mac|source-portvlan}*，配置攻擊溯源的溯源模式。執(zhí)行命令auto-defendprotocol{all|{8021x|arp|dhcp|icmp|igmptcp|telnet|ttl-expired|udp}*}執(zhí)行命令auto-defendwhitelistwhitelist-number{aclacl-numberinterfaceinterface-typeinterface-number}執(zhí)行命令auto-defendaction{deny[timertime-length]|error-down}，使能攻擊溯源的懲罰功能，并指定懲罰措施。執(zhí)行命令auto-port-defendenable，使能基于端口的防攻擊功能。執(zhí)行命令auto-port-defendprotocol{all|{arp-request|arp-reply|dhcp|icmp|igmp|ip-fragment}*}，配置端口防攻擊可以防范的報(bào)文類缺省情況下，端口防攻擊支持防范的報(bào)文類型為ARPRequest、ARPReply、配置協(xié)議報(bào)文限速CPCAR協(xié)議報(bào)文上送CPU的上送規(guī)則包括car和denycar命令和deny執(zhí)行命令car{packet-typepacket-type|user-defined-flowflow-id}circir-value[cbscbs-value]，配置對(duì)上送CPU的報(bào)文進(jìn)行CPCAR限速，并設(shè)置執(zhí)行命令denypacket-typepacket-type|user-defined-flowflow-id}，執(zhí)行命令blacklistblacklist-idaclacl-number，創(chuàng)建黑名單。說(shuō)明黑名單中應(yīng)用的ACL，無(wú)論其rule配置為permit還是deny，命中該ACL步驟2執(zhí)行命令system-view執(zhí)行命令cpu-defend-policypolicy-name1說(shuō)明執(zhí)行命令cpu-defend-policypolicy-name2global執(zhí)行命令slotslot-id執(zhí)行命令cpu-defend-policypolicy-name2執(zhí)行命令system-view執(zhí)行命令end-policypolicel，在設(shè)備上應(yīng)用防攻擊策略。執(zhí)行命令system-view執(zhí)行命令end-policypolicel，在所有堆疊設(shè)備上應(yīng)用防攻擊策略。執(zhí)行命令end-policypolic，在主設(shè)備上應(yīng)用防攻擊策略。----CPU實(shí)現(xiàn)Y.1731認(rèn)證/計(jì)費(fèi)/授權(quán)，實(shí)現(xiàn)與M、S理用戶認(rèn)證消息，維護(hù)認(rèn)證與授權(quán)表項(xiàng)信息適配層任務(wù)，維護(hù)動(dòng)態(tài)VLANMAC實(shí)現(xiàn)IPv4SNMP實(shí)現(xiàn)IPv6SNMP應(yīng)用層管理控制協(xié)議，用于SPU實(shí)現(xiàn)ARPAU消息處理任務(wù)，MAC學(xué)習(xí)和MAC表項(xiàng)下發(fā)使用AUMACUSB設(shè)備類管理任務(wù)（操作系統(tǒng)任務(wù)USB設(shè)備類I/O請(qǐng)求包管理任務(wù)（操作系統(tǒng)任務(wù)BusMUSB總線管理任務(wù)（操作系統(tǒng)任務(wù)Socket實(shí)現(xiàn)CSPF負(fù)責(zé)監(jiān)控上送CPU的流量，維護(hù)CPUSTP刪除MAC實(shí)現(xiàn)提供x認(rèn)證、C認(rèn)證以及旁路認(rèn)證功能，管理協(xié)議狀態(tài)機(jī)，維護(hù)協(xié)議相關(guān)的數(shù)據(jù)庫(kù)發(fā)送3AHUSBhost控制器驅(qū)動(dòng)任務(wù)（操作系統(tǒng)任務(wù)實(shí)現(xiàn)g協(xié)議棧，管理協(xié)議狀態(tài)機(jī)，維護(hù)協(xié)議相關(guān)的數(shù)據(jù)庫(kù)ECM捕獲CPU負(fù)責(zé)處理MOD在主控板生成IPv4IPv6FIB表項(xiàng)管理，維護(hù)軟件表項(xiàng)，并觸發(fā)適配層維護(hù)芯片表提供FTP適配層任務(wù)，負(fù)責(zé)芯片GRE用于HA負(fù)責(zé)IPIPCIPC在接口板實(shí)現(xiàn)D協(xié)議的偵聽(tīng)，實(shí)現(xiàn)頻道快速加入/離開(kāi)接口板下發(fā)IPv4接口板下發(fā)URPF、VRRP主控板適配URPF、VRRP實(shí)現(xiàn)LACPLicense根據(jù)License實(shí)現(xiàn)LDP協(xié)議棧，維護(hù)LDPLSP實(shí)現(xiàn)LDT端口Link實(shí)現(xiàn)LLDP負(fù)責(zé)LSP實(shí)現(xiàn)MFF實(shí)現(xiàn)MPLS負(fù)責(zé)MACCPUX號(hào)（其中X取值為0~7的整數(shù)）接口板下發(fā)IPv6NQA客戶端，響應(yīng)并處理NQA作為NQAServer端響應(yīng)并處理NQAVRPNETStream實(shí)現(xiàn)NTP實(shí)現(xiàn)MPLSOAM協(xié)議棧，管理協(xié)議狀態(tài)機(jī)，維護(hù)協(xié)議相關(guān)的數(shù)提供Ping接口板Ping快回處理任務(wù)，提供Ping主控板Ping快回處理，提供Ping實(shí)現(xiàn)QoS在接口板負(fù)責(zé)QoS表項(xiàng)的代理下發(fā)，維護(hù)已經(jīng)下發(fā)的QoS負(fù)責(zé)根據(jù)P首包建立流表，并對(duì)建立的流表進(jìn)行流量實(shí)時(shí)監(jiān)控與老化處理計(jì)算RSA實(shí)現(xiàn)RSVP協(xié)議棧，維護(hù)CR-LSP用于查看LSWTCP/IP實(shí)現(xiàn)E-TRUNK實(shí)現(xiàn)SmartLink協(xié)議棧，管理協(xié)議狀態(tài)機(jī)，維護(hù)協(xié)議相關(guān)的數(shù)偵聽(tīng)并處理IGMP和MLDIP負(fù)責(zé)與IPSession功能相關(guān)的DHCP報(bào)文交互，通過(guò)和認(rèn)證授權(quán)超級(jí)轉(zhuǎn)發(fā)任務(wù)，主要維護(hù)TRUNK實(shí)現(xiàn)STP臨時(shí)任務(wù)（操作系統(tǒng)任務(wù)USB插拔驅(qū)動(dòng)管理任務(wù)（操作系統(tǒng)任務(wù)TCP磁盤cache更新任務(wù)（操作系統(tǒng)任務(wù)異常處理任務(wù)（操作系統(tǒng)任務(wù)日志任務(wù)（操作系統(tǒng)任務(wù)網(wǎng)絡(luò)相關(guān)的處理任務(wù)（操作系統(tǒng)任務(wù)負(fù)責(zé)NQA完成VLL、VPLS及L3VPN虛擬終端遠(yuǎn)程登錄任務(wù)（操作系統(tǒng)任務(wù)Telnet服務(wù)端任務(wù)（操作系統(tǒng)任務(wù)負(fù)責(zé)NQAUSB插拔設(shè)備管理任務(wù)（操作系統(tǒng)任務(wù)調(diào)試代理任務(wù)（操作系統(tǒng)任務(wù)U與AAA等模塊交互，共同處理用戶狀態(tài),UDP通過(guò)USBUSBhostLIB庫(kù)（操作系統(tǒng)任務(wù)USBhostI/O請(qǐng)求LIB庫(kù)（操作系統(tǒng)任務(wù)統(tǒng)計(jì)空閑業(yè)務(wù)的CPU提供NQAVPLSMAC接收、發(fā)送單板間VP接收單板間VPVP發(fā)送單板間VP實(shí)現(xiàn)VRRP處理VTRUNK的Up/Down實(shí)現(xiàn)Web提供用戶通過(guò)WebCPU各任務(wù)名稱及功能說(shuō)明（框式交換機(jī)IPC接收任務(wù)，副核IPCVP接收任務(wù)，副核VP一次下發(fā)的ACLGVRPvlanifdown事件和CFD的邏SPUtimeUTASKARP組播VPNMDT組播VPNMVPNMAPsflowsflowSVFAS芯片0芯片1芯片2BCMDebug芯片0Ipfix業(yè)務(wù)流量統(tǒng)計(jì)任芯片2Ipfix業(yè)務(wù)流量統(tǒng)計(jì)任芯片0MAC芯片2MAC定時(shí)檢查芯片0定時(shí)檢查芯片1定時(shí)檢查芯片2芯片0芯片1端FBUF芯片2大量BFDtrace開(kāi)啟了traceBusMcapwapCdevrestoreCMNGHA，實(shí)現(xiàn)云管理CMPCOMPISSUWLANIPC提交ACL配置到AP大量AP可能出現(xiàn)CPUCSPF的TEDBDTLSAP通過(guò)DHCP刪除所有槽位的MAC為cfgmgrIP流量監(jiān)測(cè)協(xié)議cpu-defend上送CPU通過(guò)interal間隔大量協(xié)議報(bào)文上送發(fā)送802.3ahEMIDEMID大量協(xié)議報(bào)文上送VXLANEVPNOPSESAPEasopet功能管理任丁等FECDFMEAflashCPUGREGRE時(shí)評(píng)估不會(huì)CPUCPUhttp2clienthttp2clienttimerHACAHAHGMPHP2C任務(wù)http2client管理任HAhttpHTTP/HTTPSHWTACACSCR