- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
21-協議報文限速命令
本章節下載: 21-協議報文限速命令 (202.71 KB)
目 錄
1.1.2 anti-attack protocol enable
1.1.3 anti-attack protocol flow-threshold
1.1.4 anti-attack protocol priority
1.1.5 anti-attack protocol threshold
1.1.6 display anti-attack protocol
由於WX1800H係列、WX2500H係列、MAK係列和WX3000H係列無線控製器不支持IRF功能,因此不支持IRF模式的命令行配置。
anti-attack enable命令用來開啟報文限速功能。
undo anti-attack enable命令用來關閉報文限速功能。
【命令】
(獨立運行模式)
anti-attack enable
undo anti-attack enable
(IRF模式)
anti-attack enable [ slot slot-number ]
undo anti-attack enable [ slot slot-number ]
【缺省情況】
報文限速功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
【參數】
slot slot-number:開啟指定成員設備上的報文限速功能,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示開啟所有成員設備上的報文限速功能。(IRF模式)
【使用指導】
若要對協議報文進行限速,必須同時開啟報文限速和具體協議類型的限速功能。
【舉例】
# 開啟報文限速功能。(獨立運行模式)
<Sysname> system-view
[Sysname] anti-attack enable
# 開啟指定slot上的報文限速功能。(IRF模式)
<Sysname> system-view
[Sysname] anti-attack enable slot 1
【相關命令】
· anti-attack protocol enable
anti-attack protocol enable命令用來開啟所有協議或指定協議的報文限速功能。
undo anti-attack protocol enable命令用來關閉所有協議或指定協議的報文限速功能。
【命令】
(獨立運行模式)
anti-attack protocol { all | protocol } enable
undo anti-attack protocol { all | protocol } enable
(IRF模式)
anti-attack protocol { all | protocol } enable [ slot slot-number ]
undo anti-attack protocol { all | protocol } enable [ slot slot-number ]
【缺省情況】
所有協議的報文限速功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
all:所有協議。
protocol:指定協議類型,為1~31個字符的字符串,不區分大小寫,目前支持的協議類型如表1-1所示。
|
協議類型 |
描述 |
|
acsei |
ACSEI(ACFP Client and Server Exchange Information,ACFP客戶端和服務器端信息交互協議)協議報文 |
|
arp |
ARP協議報文 |
|
capwap_ctrl |
CAPWAP協議中的控製報文 |
|
capwap_data |
CAPWAP協議中的數據報文 |
|
dhcp |
DHCP協議報文 |
|
dot11_action |
802.11 ACK確認報文 |
|
dot11_assoc |
802.11關聯請求報文 |
|
dot11_auth |
802.11認證報文 |
|
dot11_ctrl |
802.11其他類型報文 |
|
dot11_deauth |
802.11解除認證報文 |
|
dot11_disassoc |
802.11取消關聯請求報文 |
|
dot11_null |
802.11空數據報文 |
|
dot11_reassoc |
802.11重關聯請求報文 |
|
dot1x |
802.1X認證報文 |
|
ethernet |
未被識別為表中其他協議類型的報文都會被識別為以太報文 |
|
http |
HTTP協議報文 |
|
iactp |
IACTP(Inter Access Controller Tunneling Protocol,訪問控製器隧道協議)協議報文 |
|
icmp |
ICMP協議報文 |
|
icmpv6_nd |
ICMPv6鄰居發現協議報文 |
|
icmpv6_other |
除ICMPv6鄰居發現協議外的其他ICMPv6協議報文 |
|
igmp |
IGMP協議報文 |
|
ip |
IPv4協議報文 |
|
ipv6 |
IPv6協議報文 |
|
ntp |
NTP協議報文 |
|
portal_syn |
Portal重定向報文 |
|
radius |
RADIUS協議報文 |
|
snmp |
SNMP協議報文 |
|
tcp |
TCP協議報文 |
|
telnet |
Telnet協議報文 |
|
udp |
UDP協議報文 |
|
vrrp |
VRRP協議報文 |
slot slot-number:開啟指定成員設備上的協議報文限速功能,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示開啟所有成員設備上的協議報文限速功能。(IRF模式)
【使用指導】
開啟報文限速功能和指定協議報文限速功能後,協議報文限速功能才能生效。
【舉例】
# 開啟ARP協議報文的限速功能。(獨立運行模式)
<Sysname> system-view
[Sysname] anti-attack protocol arp enable
# 開啟指定slot上的ARP協議報文的限速功能。(IRF模式)
<Sysname> system-view
[Sysname] anti-attack protocol arp enable slot 1
【相關命令】
· anti-attack enable
anti-attack protocol flow-threshold命令用來開啟基於流的協議報文限速功能,並限製指定協議報文的流速率。
undo anti-attack protocol flow-threshold命令用來關閉基於流的協議報文限速功能。
【命令】
(獨立運行模式)
anti-attack protocol protocol flow-threshold flow-rate-limit
undo anti-attack protocol protocol flow-threshold
(IRF模式)
anti-attack protocol protocol flow-threshold flow-rate-limit [ slot slot-number ]
undo anti-attack protocol protocol flow-threshold [ slot slot-number ]
【缺省情況】
所有協議基於流的協議報文限速功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
protocol:指定協議類型,為1~31個字符的字符串,不區分大小寫,設備支持的協議類型的介紹,請參見命令anti-attack protocol enable。
flow-rate-limit:基於流的協議報文限速速率,取值範圍為0~102400,單位為包每秒(pps)。
slot slot-number:開啟指定成員設備上的基於流的協議報文限速功能,並限製指定協議報文的流速率,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示開啟所有成員設備上的基於流的協議報文限速功能,並限製指定協議報文的流速率。(IRF模式)
【使用指導】
當指定協議的報文的流速率超過指定的流限速速率時,此協議的報文將被設備丟棄。
基於流的協議報文限速功能是指對來自同一個IP地址或MAC地址的協議報文進行限速,從而實現CPU對其它報文流的正常處理。
同時開啟基於流的協議報文限速功能和按照協議報文進行限速功能後,首先進行基於流的協議報文限速,再進行協議報文的限速速率限速。
【舉例】
# 設置ARP協議的流限速速率為50包每秒。(獨立運行模式)
<Sysname> system-view
[Sysname] anti-attack protocol arp flow-threshold 50
# 設置指定slot上的ARP協議的流限速速率為50包每秒。(IRF模式)
<Sysname> system-view
[Sysname] anti-attack protocol arp flow-threshold 50 slot 1
anti-attack protocol priority命令用來設置協議報文的處理優先級。
undo anti-attack protocol priority命令用來將指定協議報文的處理優先級恢複為缺省情況。
【命令】
(獨立運行模式)
anti-attack protocol protocol priority priority
undo anti-attack protocol protocol priority
(IRF模式)
anti-attack protocol protocol priority priority [ slot slot-number ]
undo anti-attack protocol protocol priority [ slot slot-number ]
【缺省情況】
各協議報文的缺省處理優先級與設備的型號有關,請以設備的實際情況為準。
可以在未修改協議報文處理優先級的情況下,通過display anti-attack protocol命令查看缺省優先級。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
protocol:指定協議類型,為1~31個字符的字符串,不區分大小寫,設備支持的協議類型的介紹,請參見命令anti-attack protocol enable。
priority:協議報文的處理優先級,取值範圍為0~4,數值越小,優先級越高。
slot slot-number:設置指定成員設備上協議報文的處理優先級,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示設置所有成員設備上協議報文的處理優先級。(IRF模式)
【使用指導】
當指定協議報文的速率超過限速速率時,低優先級的報文最先被丟棄。
【舉例】
# 設置ARP協議報文的處理優先級為0。(獨立運行模式)
<Sysname> system-view
[Sysname] anti-attack protocol arp priority 0
# 設置指定slot上的ARP協議報文的處理優先級為0。(IRF模式)
<Sysname> system-view
[Sysname] anti-attack protocol arp priority 0 slot 1
anti-attack protocol threshold命令用來限製指定協議報文的限速速率。
undo anti-attack protocol threshold命令用來將指定協議報文的限速速率恢複為缺省情況。
【命令】
(獨立運行模式)
anti-attack protocol protocol threshold rate-limit
undo anti-attack protocol protocol threshold
(IRF模式)
anti-attack protocol protocol threshold rate-limit [ slot slot-number ]
undo anti-attack protocol protocol threshold [ slot slot-number ]
【缺省情況】
各協議報文的缺省限速速率與設備的型號有關,請以設備的實際情況為準。
可以在未修改缺省限速速率的情況下,通過display anti-attack protocol命令查看缺省限速速率。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
protocol:指定協議類型,為1~31個字符的字符串,不區分大小寫,設備支持的協議類型的介紹,請參見命令anti-attack protocol enable。
rate-limit:協議限速速率,取值範圍為0~102400,單位為包每秒(pps)。
slot slot-number:配置指定成員設備上協議報文限速速率,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示配置所有成員設備上協議報文限速速率。(IRF模式)
【使用指導】
當指定協議的報文的速率超過指定協議報文限速速率時,此協議的報文將被設備丟棄。
【舉例】
# 設置ARP協議的限速速率為1000包每秒。(獨立運行模式)
<Sysname> system-view
[Sysname] anti-attack protocol arp threshold 1000
# 設置指定slot上的ARP協議的限速速率為1000包每秒。(IRF模式)
<Sysname> system-view
[Sysname] anti-attack protocol arp threshold 1000 slot 1
【相關命令】
· display anti-attack protocol
display anti-attack protocol命令用來顯示所有協議或指定協議的限速信息。
【命令】
(獨立運行模式)
display anti-attack protocol [ protocol ]
(IRF模式)
display anti-attack protocol [ protocol ] [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
protocol:指定協議類型,為1~31個字符的字符串,不區分大小寫,設備支持的協議類型的介紹,請參見命令anti-attack protocol enable。若不指定該參數,則表示顯示所有協議的限速信息。
slot slot-number:顯示指定成員設備上所有協議或指定協議的限速信息,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示顯示所有成員設備上所有協議或指定協議的限速信息。(IRF模式)
【舉例】
# 顯示所有協議類型的限速信息。(獨立運行模式)
<Sysname> display anti-attack protocol
Anti-attack statistics
Protocol anti-attack Priority Limit(pps) Rate(pps) Passed Dropped
dot1x enable 1 1024 0 0 0
dhcp enable 2 2000 0 0 0
igmp enable 2 1024 0 0 0
ntp enable 2 256 0 0 0
arp enable 1 1024 0 17907 0
snmp enable 0 1024 0 0 0
telnet enable 0 100 0 0 0
icmp enable 0 20 0 0 0
icmpv6_nd enable 0 1024 0 0 0
icmpv6_other enable 0 1024 0 0 0
iactp enable 1 2560 0 0 0
acsei enable 2 128 0 0 0
http enable 1 1024 0 0 0
https enable 1 1024 0 0 0
openflow enable 1 1024 0 0 0
portal enable 1 1024 0 0 0
udp enable 2 20 0 0 0
tcp enable 2 1 0 0 0
ip enable 4 2560 0 0 0
ipv6 enable 2 128 0 0 0
ethernet enable 2 128 0 0 0
radius enable 1 2048 0 0 0
vrrp enable 1 2048 0 0 0
capwap_ctrl enable 1 2048 0 0 0
capwap_data enable 1 2048 0 0 0
dot11_auth enable 1 256 0 0 0
dot11_assoc enable 1 256 0 0 0
dot11_reassoc enable 1 256 0 0 0
dot11_null enable 1 1024 0 0 0
dot11_disassoc enable 1 256 0 0 0
dot11_deauth enable 1 256 0 0 0
dot11_action enable 1 256 0 0 0
dot11_ctrl enable 1 512 0 0 0
portal_syn enable 1 1024 0 0 0
lacp enable 1 256 0 0 0
# 顯示指定slot上的所有協議類型的限速信息。(IRF模式)
<Sysname> display anti-attack protocol slot 1
Slot 1:
Anti-attack statistics
Protocol anti-attack Priority Limit(pps) Rate(pps) Passed Dropped
dot1x enable 1 1024 0 0 0
dhcp enable 2 2000 0 0 0
igmp enable 2 1024 0 0 0
ntp enable 2 256 0 0 0
arp enable 1 1024 0 17907 0
snmp enable 0 1024 0 0 0
telnet enable 0 100 0 0 0
icmp enable 0 20 0 0 0
icmpv6_nd enable 0 1024 0 0 0
icmpv6_other enable 0 1024 0 0 0
iactp enable 1 2560 0 0 0
acsei enable 2 128 0 0 0
http enable 1 1024 0 0 0
https enable 1 1024 0 0 0
openflow enable 1 1024 0 0 0
portal enable 1 1024 0 0 0
udp enable 2 20 0 0 0
tcp enable 2 1 0 0 0
ip enable 4 2560 0 0 0
ipv6 enable 2 128 0 0 0
ethernet enable 2 128 0 0 0
radius enable 1 2048 0 0 0
vrrp enable 1 2048 0 0 0
capwap_ctrl enable 1 2048 0 0 0
capwap_data enable 1 2048 0 0 0
dot11_auth enable 1 256 0 0 0
dot11_assoc enable 1 256 0 0 0
dot11_reassoc enable 1 256 0 0 0
dot11_null enable 1 1024 0 0 0
dot11_disassoc enable 1 256 0 0 0
dot11_deauth enable 1 256 0 0 0
dot11_action enable 1 256 0 0 0
dot11_ctrl enable 1 512 0 0 0
portal_syn enable 1 1024 0 0 0
lacp enable 1 256 0 0 0
表1-2 display anti-attack protocol命令顯示信息描述表
|
字段 |
描述 |
|
Protocol |
協議類型 |
|
Anti-attack |
協議狀態: · Enabled 協議報文限速功能處於開啟狀態 · Disabled 協議報文限速功能處於關閉狀態 |
|
Priority |
協議報文的處理優先級,數值越小,優先級越高 |
|
Limit(pps) |
協議報文限速值,單位為包每秒 |
|
Rate(pps) |
協議報文的當前速率,單位為包每秒 |
|
Passed |
發送給CPU處理的協議報文數目 |
|
Dropped |
丟棄掉的協議報文數目 |
# 顯示ARP協議類型的限速信息。(獨立運行模式)
<Sysname> display anti-attack protocol arp
Anti-attack statistics
Protocol anti-attack Priority Limit(pps) Rate(pps) Passed Dropped
arp enable 1 1024 0 17907 0
FlowSource FlowLimit(pps) FlowRate(pps) Passed Dropped
00e0-fc12-7723 1000 0 2 0
0011-e212-8801 1000 0 17905 0
# 顯示指定slot上的ARP協議類型的限速信息。(IRF模式)
<Sysname> display anti-attack protocol arp slot 1
Slot 1:
Anti-attack statistics
Protocol anti-attack Priority Limit(pps) Rate(pps) Passed Dropped
arp enable 1 1024 0 17907 0
FlowSource FlowLimit(pps) FlowRate(pps) Passed Dropped
00e0-fc12-7723 1000 0 2 0
0011-e212-8801 1000 0 17905 0
表1-3 display anti-attack protocol arp命令顯示信息描述表
|
字段 |
描述 |
|
FlowSource |
報文源,部分協議的報文源是源MAC |
|
FlowLimit(pps) |
該條流的限速值,單位為包每秒 |
|
FlowRate(pps) |
該條流的當前速率,單位為包每秒 |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
