- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
21-协议报文限速命令
本章节下载: 21-协议报文限速命令 (133.36 KB)
1.1.2 anti-attack protocol enable
1.1.3 anti-attack protocol flow-threshold
1.1.4 anti-attack protocol priority
1.1.5 anti-attack protocol threshold
1.1.6 display anti-attack protocol
仅WX2500H-WiNet系列不支持slot参数。
anti-attack enable命令用来开启报文限速功能。
undo anti-attack enable命令用来关闭报文限速功能。
【命令】
anti-attack enable [ slot slot-number ]
undo anti-attack enable [ slot slot-number ]
【缺省情况】
报文限速功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
【参数】
slot slot-number:开启指定成员设备上的报文限速功能,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示开启所有成员设备上的报文限速功能。
【使用指导】
若要对协议报文进行限速,必须同时开启报文限速和具体协议类型的限速功能。
【举例】
# 开启slot 1上的报文限速功能。
<Sysname> system-view
[Sysname] anti-attack enable slot 1
【相关命令】
· anti-attack protocol enable
anti-attack protocol enable命令用来开启所有协议或指定协议的报文限速功能。
undo anti-attack protocol enable命令用来关闭所有协议或指定协议的报文限速功能。
【命令】
anti-attack protocol { all | protocol } enable [ slot slot-number ]
undo anti-attack protocol { all | protocol } enable [ slot slot-number ]
【缺省情况】
所有协议的报文限速功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:所有协议。
protocol:指定协议类型,为1~31个字符的字符串,不区分大小写,目前支持的协议类型如表1-1所示。
|
协议类型 |
描述 |
|
acsei |
ACSEI(ACFP Client and Server Exchange Information,ACFP客户端和服务器端信息交互协议)协议报文 |
|
arp |
ARP协议报文 |
|
capwap_ctrl |
CAPWAP协议中的控制报文 |
|
capwap_data |
CAPWAP协议中的数据报文 |
|
dhcp |
DHCP协议报文 |
|
dot11_action |
802.11 ACK确认报文 |
|
dot11_assoc |
802.11关联请求报文 |
|
dot11_auth |
802.11认证报文 |
|
dot11_ctrl |
802.11其他类型报文 |
|
dot11_deauth |
802.11解除认证报文 |
|
dot11_disassoc |
802.11取消关联请求报文 |
|
dot11_null |
802.11空数据报文 |
|
dot11_reassoc |
802.11重关联请求报文 |
|
dot1x |
802.1X认证报文 |
|
ethernet |
未被识别为表中其他协议类型的报文都会被识别为以太报文 |
|
http |
HTTP协议报文 |
|
iactp |
IACTP(Inter Access Controller Tunneling Protocol,访问控制器隧道协议)协议报文 |
|
icmp |
ICMP协议报文 |
|
icmpv6_nd |
ICMPv6邻居发现协议报文 |
|
icmpv6_other |
除ICMPv6邻居发现协议外的其他ICMPv6协议报文 |
|
igmp |
IGMP协议报文 |
|
ip |
IPv4协议报文 |
|
ipv6 |
IPv6协议报文 |
|
ntp |
NTP协议报文 |
|
portal_syn |
Portal重定向报文 |
|
radius |
RADIUS协议报文 |
|
snmp |
SNMP协议报文 |
|
tcp |
TCP协议报文 |
|
telnet |
Telnet协议报文 |
|
udp |
UDP协议报文 |
|
vrrp |
VRRP协议报文 |
slot slot-number:开启指定成员设备上的协议报文限速功能,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示开启所有成员设备上的协议报文限速功能。
【使用指导】
开启报文限速功能和指定协议报文限速功能后,协议报文限速功能才能生效。
【举例】
# 开启slot 1上的ARP协议报文的限速功能。
<Sysname> system-view
[Sysname] anti-attack protocol arp enable slot 1
【相关命令】
· anti-attack enable
anti-attack protocol flow-threshold命令用来开启基于流的协议报文限速功能,并限制指定协议报文的流速率。
undo anti-attack protocol flow-threshold命令用来关闭基于流的协议报文限速功能。
【命令】
anti-attack protocol protocol flow-threshold flow-rate-limit [ slot slot-number ]
undo anti-attack protocol protocol flow-threshold [ slot slot-number ]
【缺省情况】
所有协议基于流的协议报文限速功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
network-operator
【参数】
protocol:指定协议类型,为1~31个字符的字符串,不区分大小写,设备支持的协议类型的介绍,请参见命令anti-attack protocol enable。
flow-rate-limit:基于流的协议报文限速速率,取值范围为0~102400,单位为包每秒(pps)。
slot slot-number:开启指定成员设备上的基于流的协议报文限速功能,并限制指定协议报文的流速率,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示开启所有成员设备上的基于流的协议报文限速功能,并限制指定协议报文的流速率。
【使用指导】
当指定协议的报文的流速率超过指定的流限速速率时,此协议的报文将被设备丢弃。
基于流的协议报文限速功能是指对来自同一个IP地址或MAC地址的协议报文进行限速,从而实现CPU对其它报文流的正常处理。
同时开启基于流的协议报文限速功能和按照协议报文进行限速功能后,首先进行基于流的协议报文限速,再进行协议报文的限速速率限速。
【举例】
# 设置slot 1上的ARP协议的流限速速率为50包每秒。
<Sysname> system-view
[Sysname] anti-attack protocol arp flow-threshold 50 slot 1
anti-attack protocol priority命令用来设置协议报文的处理优先级。
undo anti-attack protocol priority命令用来将指定协议报文的处理优先级恢复为缺省情况。
【命令】
anti-attack protocol protocol priority priority [ slot slot-number ]
undo anti-attack protocol protocol priority [ slot slot-number ]
【缺省情况】
各协议报文的缺省处理优先级与设备的型号有关,请以设备的实际情况为准。
可以在未修改协议报文处理优先级的情况下,通过display anti-attack protocol命令查看缺省优先级。
【视图】
系统视图
【缺省用户角色】
network-admin
network-operator
【参数】
protocol:指定协议类型,为1~31个字符的字符串,不区分大小写,设备支持的协议类型的介绍,请参见命令anti-attack protocol enable。
priority:协议报文的处理优先级,取值范围为0~4,数值越小,优先级越高。
slot slot-number:设置指定成员设备上协议报文的处理优先级,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示设置所有成员设备上协议报文的处理优先级。
【使用指导】
当指定协议报文的速率超过限速速率时,低优先级的报文最先被丢弃。
【举例】
# 设置slot 1上的ARP协议报文的处理优先级为0。
<Sysname> system-view
[Sysname] anti-attack protocol arp priority 0 slot 1
anti-attack protocol threshold命令用来限制指定协议报文的限速速率。
undo anti-attack protocol threshold命令用来将指定协议报文的限速速率恢复为缺省情况。
【命令】
anti-attack protocol protocol threshold rate-limit [ slot slot-number ]
undo anti-attack protocol protocol threshold [ slot slot-number ]
【缺省情况】
各协议报文的缺省限速速率与设备的型号有关,请以设备的实际情况为准。
可以在未修改缺省限速速率的情况下,通过display anti-attack protocol命令查看缺省限速速率。
【视图】
系统视图
【缺省用户角色】
network-admin
network-operator
【参数】
protocol:指定协议类型,为1~31个字符的字符串,不区分大小写,设备支持的协议类型的介绍,请参见命令anti-attack protocol enable。
rate-limit:协议限速速率,取值范围为0~102400,单位为包每秒(pps)。
slot slot-number:配置指定成员设备上协议报文限速速率,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示配置所有成员设备上协议报文限速速率。
【使用指导】
当指定协议的报文的速率超过指定协议报文限速速率时,此协议的报文将被设备丢弃。
【举例】
# 设置slot 1上的ARP协议的限速速率为1000包每秒。
<Sysname> system-view
[Sysname] anti-attack protocol arp threshold 1000 slot 1
【相关命令】
· display anti-attack protocol
display anti-attack protocol命令用来显示所有协议或指定协议的限速信息。
【命令】
display anti-attack protocol [ protocol ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
protocol:指定协议类型,为1~31个字符的字符串,不区分大小写,设备支持的协议类型的介绍,请参见命令anti-attack protocol enable。若不指定该参数,则表示显示所有协议的限速信息。
slot slot-number:显示指定成员设备上所有协议或指定协议的限速信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示显示所有成员设备上所有协议或指定协议的限速信息。
【举例】
# 显示slot 1上的所有协议类型的限速信息。
<Sysname> display anti-attack protocol slot 1
Slot 1:
Anti-attack statistics
Protocol anti-attack Priority Limit(pps) Rate(pps) Passed Dropped
dot1x enable 1 1024 0 0 0
dhcp enable 2 2000 0 0 0
igmp enable 2 1024 0 0 0
ntp enable 2 256 0 0 0
arp enable 1 1024 0 17907 0
snmp enable 0 1024 0 0 0
telnet enable 0 100 0 0 0
icmp enable 0 20 0 0 0
icmpv6_nd enable 0 1024 0 0 0
icmpv6_other enable 0 1024 0 0 0
iactp enable 1 2560 0 0 0
acsei enable 2 128 0 0 0
http enable 1 1024 0 0 0
udp enable 2 20 0 0 0
tcp enable 2 1 0 0 0
ip enable 4 2560 0 0 0
ipv6 enable 2 128 0 0 0
ethernet enable 2 128 0 0 0
radius enable 1 2048 0 0 0
vrrp enable 1 2048 0 0 0
capwap_ctrl enable 1 2048 0 0 0
capwap_data enable 1 2048 0 0 0
dot11_auth enable 1 256 0 0 0
dot11_assoc enable 1 256 0 0 0
dot11_reassoc enable 1 256 0 0 0
dot11_null enable 1 1024 0 0 0
dot11_disassoc enable 1 256 0 0 0
dot11_deauth enable 1 256 0 0 0
dot11_action enable 1 256 0 0 0
dot11_ctrl enable 1 512 0 0 0
portal_syn enable 1 1024 0 0 0
表1-1 display anti-attack protocol命令显示信息描述表
|
字段 |
描述 |
|
Protocol |
协议类型 |
|
Anti-attack |
协议状态: · Enabled 协议报文限速功能处于开启状态 · Disabled 协议报文限速功能处于关闭状态 |
|
Priority |
协议报文的处理优先级,数值越小,优先级越高 |
|
Limit(pps) |
协议报文限速值,单位为包每秒 |
|
Rate(pps) |
协议报文的当前速率,单位为包每秒 |
|
Passed |
发送给CPU处理的协议报文数目 |
|
Dropped |
丢弃掉的协议报文数目 |
# 显示slot 1上的ARP协议类型的限速信息。
<Sysname> display anti-attack protocol arp slot 1
Slot 1:
Anti-attack statistics
Protocol anti-attack Priority Limit(pps) Rate(pps) Passed Dropped
arp enable 1 1024 0 17907 0
FlowSource FlowLimit(pps) FlowRate(pps) Passed Dropped
00e0-fc12-7723 1000 0 2 0
0011-e212-8801 1000 0 17905 0
表1-2 display anti-attack protocol arp命令显示信息描述表
|
字段 |
描述 |
|
FlowSource |
报文源,部分协议的报文源是源MAC |
|
FlowLimit(pps) |
该条流的限速值,单位为包每秒 |
|
FlowRate(pps) |
该条流的当前速率,单位为包每秒 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
