头条新闻

英语翻译器在线翻译,华为S系列交换机 3步确认进犯类型,5173游戏交易平台

当设备遭受进犯时,一般伴随着如下现象:

  • 用户无法获取ARP。
  • 用户上线成功率较低。
  • 用户无法访问网络。

当很多用户或固定某个端口下的一切用户呈现上述现象时,能够先经过如下定位手法剖析是否为进犯问题。

过程 1 履行命令display cpu-usage检查设备CPU占用率的计算信息,CPU Usage表明的是CPU占用率,TaskName表明的是设备当时正在运转的使命称号。

假如CPU利用率持续较高,而且bcmRX、FTS、SOCK或许VPR使命过高(一般协议报文进犯会导致这些使命过高),则较大或许是收到的报文过多,接下来需求履行过程2持续判别设备收到的报文类型。

一般状况下,交换机长期运转时CPU占用率不超越80%,短时间内CPU占用率不超越95%,能够为交换机状况是正常的。

过程 2 履行命令display cpu-defend statistics all检查相关协议是否有CPCAR丢包、丢包是否多,并承认现网设备是否扩大相关协议的CPCAR值。假如CPCAR存在很多丢包,就根本能够承认现网存在进犯,依据丢包的协议,选用相关防进犯办法。详细有哪些常见的丢包协议,请参见表1-1。

表1-1 丢包协议以及相应的防进犯布置手法

Packet Type

能够参阅的进犯类型

arp-reply、arp-request

1.2.1 ARP进犯、1.2.8 TC进犯

arp-miss

1.2.2 ARP-Miss进犯

dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request

1.2.3 DHCP进犯

icmp

1.2.4 ICMP进犯

ttl-expired

1.2.5 TTL进犯

tcp

1.2.6 TCP进犯

ospf

1.2.7 OSPF进犯

ssh、telnet

1.2.9 SSH/Telnet进犯

vrrp

1.2.10 VRRP进犯

igmp

1.2.11 IGMP进犯

pim

1.2.12 PIM进犯

V200R003版别以及之后版别支撑端口防进犯功用,关于V200R003版别以及之后版别,有或许存在这样的状况:即便Drop计数不再增加,也是有或许存在进犯的。所以关于V200R003版别以及之后版别,还需求持续履行过程3进一步承认丢包协议。

过程 3 能够经过如下两种办法承认。

办法一:在确诊视图中履行命令display auto-port-defend statistics [ slot slot-id ]检查是否有对应协议的丢包。详细有哪些常见的丢包协议,请参见表1-2。

表1-2 丢包协议以及相应的防进犯布置手法

Protocol

能够参阅的进犯类型

arp-reply、arp-request

1.2.1 ARP进犯、1.3.8 TC进犯

arp-miss

1.2.2 ARP-Miss进犯

dhcp-client、dhcp-server、dhcpv6-reply、dhcpv6-request

1.2.3 DHCP进犯

icmp

1.2.4 ICMP进犯

ttl-expired

1.2.5 TTL进犯

tcp

1.2.6 TCP进犯

ospf

1.2.7 OSPF进犯

ssh、telnet

1.2.9 SSH/Telnet进犯

vrrp

1.2.10 VRRP进犯

igmp

1.2.11 IGMP进犯

pim

1.2.12 PIM进犯

办法二:关于历史上从前触发过端口防进犯也能够经过日志来确认。日志格局如下,其间AttackProtocol表明的是进犯报文的协议类型。

SECE/4/PORT_ATTACK_OCCUR:Auto port-defend started.(SourceAttackInterface=[STRING], AttackProtocol=[STRING])

SECE/6/PORT_ATTACK_END:Auto port-defend stop.(SourceAttackInterface=[STRING], AttackProtocol=[STRING])

推荐新闻