07-安全命令参考

23-协议报文限速命令

本章节下载 23-协议报文限速命令  (98.66 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WX/H3C_WX3000/Command/Command_Manual/H3C_CR(E3703P61_R2509P61_R3709P61)-6W108/07/201707/1012810_30005_0.htm

23-协议报文限速命令


1 协议报文限速命令

1.1  协议报文限速命令

1.1.1  anti-attack enable

【命令】

anti-attack enable

undo anti-attack enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

anti-attack enable命令用来使能无线控制器的协议报文限速功能。undo anti-attack enable命令用来关闭协议报文限速功能。

缺省情况下,协议报文限速功能处于关闭状态。

【举例】

# 使能无线控制器的协议报文限速功能。

<Sysname> system-view

[Sysname] anti-attack enable

1.1.2  anti-attack protocol enable

【命令】

anti-attack protocol { all | protocol } enable

undo anti-attack protocol { all | protocol } enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

all:所有协议。

protocol:指定协议类型,取值范围为1~31个字符。

【描述】

anti-attack protocol enable命令用来使能所有协议或指定协议的总带宽限速功能。undo anti-attack protocol enable命令用来关闭所有协议或指定协议的总带宽限速功能。

缺省情况下,所有协议的总带宽限速功能都为关闭状态。

【举例】

# 使能ARP协议的总带宽限速功能。

<Sysname> system-view

[Sysname] anti-attack protocol arp enable

1.1.3  anti-attack protocol threshold

【命令】

anti-attack protocol protocol threshold limit-rate

undo anti-attack protocol protocol threshold

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

protocol:协议名称,取值范围为1~31个字符。

limit-rate:协议限速速率,限速速率是协议所能拥有的总带宽,超过该带宽的流量都会被限速模块限制并丢弃掉,取值范围为0~102400,单位为包每秒(pps)。

【描述】

anti-attack protocol protocol threshold limit-rate 命令用来单独设定某个协议的限速总带宽。undo anti-attack protocol protocol threshold 命令用来将协议的限速总带宽恢复到缺省情况。

缺省情况下,设备为支持的每种协议设置了缺省的限速总带宽,可以在未修改协议限速总带宽速率的情况下,通过display anti-attack protocol protocol命令来查看默认限速值。

【举例】

# 设置ARP协议的限速速率为1000包每秒(pps)。

<Sysname> system-view

[Sysname] anti-attack protocol arp threshold 1000

1.1.4  anti-attack protocol flow-threshold

【命令】

anti-attack protocol protocol flow-threshold flow-limit-rate

undo anti-attack protocol protocol flow-threshold

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

protocol:协议名称,取值范围为1~31个字符。

flow-limit-rate:协议按流限速速率,按流限速速率是指用户的某类协议报文所能拥有的最大带宽。超过该带宽的流量都会被限速模块限制并丢弃掉,取值范围为0~102400,单位为包每秒(pps)。

【描述】

anti-attack protocol protocol flow-threshold flow-limit-rate 命令用来开启协议按流限速功能,并设定协议的流带宽。undo anti-attack protocol protocol flow-threshold 命令用来关闭按流限速功能。

缺省情况下,所有协议的按流限速功能都为关闭状态。

【举例】

# 设置ARP协议的流限速速率为50包每秒(pps)。

<Sysname> system-view

[Sysname] anti-attack protocol arp flow-threshold 50

1.1.5  display anti-attack

【命令】

display anti-attack { all | protocol [ protocol ] }

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

all:所有协议。

protocol [ protocol ]:协议类型,取值范围为1~31个字符。

【描述】

display anti-attack 命令用来显示所有协议或指定协议的限速信息。

【举例】

# 显示当前各种协议类型的限速使能状态。

<Sysname> display anti-attack protocol

Enable Protocols: dhcp arp                                                    

 Disable Protocols: default udp tcp dot1x igmp ntp snmp telnet icmp lwapp      

 loopback pppoe iactp acsei iec wlanex stp meshaction lwapp_data dot11_ctrl    

 iactp_eapol svp ipc http ip ipv6 ethernet radius vrrp capwap_ctrl             

 capwap_data dot11_auth dot11_assoc dot11_reassoc dot11_null                      

表1-1 display anti-attack protocol命令显示信息描述表

字段

描述

Enable Protocols

已开启限速的协议

Disable Protocols

未开启限速的协议

 

# 显示所有协议类型的限速信息。

<Sysname> display anti-attack all                                                   

                        Anti-attack statistics                                 

--------------------------------------------------------------------------------

Protocol       Priority  Limit(pps)       Rate(pps)      Passed     Dropped    

--------------------------------------------------------------------------------

default        2         256              0              3          0          

udp            2         2048             0              0          0          

tcp            2         1024             0              0          0          

dot1x          1         1024             0              0          0          

dhcp           2         2000             0              0          0          

igmp           2         1024             0              0          0          

ntp            2         256              0              0          0          

arp            1         1024             0              1          0          

snmp           0         1024             0              0          0          

telnet         0         1024             0              0          0          

icmp           0         1024             0              4          0          

lwapp          1         2048             0              0          0          

loopback       2         40               0              0          0          

pppoe          1         1024             0              0          0          

iactp          1         2560             0              0          0          

acsei          2         128              0              0          0          

iec            0         128              0              0          0          

wlanex         2         2048             0              0          0          

stp            2         2048             0              0          0          

meshaction     2         1024             0              0          0          

lwapp_data     1         2048             0              0          0          

dot11_ctrl     1         512              0              0          0          

iactp_eapol    1         2048             0              0          0          

svp            2         40               0              0          0          

ipc            2         40               0              0          0          

http           1         1024             0              0          0          

ip             2         2560             0              0          0          

ipv6           2         128              0              0          0          

ethernet       2         128              0              0          0           

radius         1         2048             0              0          0          

vrrp           1         2048             0              0          0          

capwap_ctrl    1         2048             0              0          0          

capwap_data    1         2048             0              0          0          

dot11_auth     1         256              0              0          0          

dot11_assoc    1         256              0              0          0          

dot11_reassoc  1         256              0              0          0          

dot11_null     1         1024             0              0          0          

表1-2 display anti-attack all命令显示信息描述表

字段

描述

Protocol

协议名称

Priority

协议报文的处理优先级,取值范围(0~4),数值越小,优先级越高

Limit(pps)

协议报文限速值,如果未重新配置,则是缺省值

Rate(pps)

协议报文的当前速率

Passed  

通过的报文数量统计

Dropped    

丢弃的报文数量统计

 

# 显示ICMP协议类型的限速信息。

<Sysname> display anti-attack protocol icmp                                           

                        Anti-attack statistics                                 

--------------------------------------------------------------------------------

Protocol       Priority  Limit(pps)       Rate(pps)      Passed     Dropped    

--------------------------------------------------------------------------------

icmp           0         1024             4              50         0          

                                                                               

                                                                                

--------------------------------------------------------------------------------

Flow-Source                               FlowRate(pps)  Passed     Dropped    

--------------------------------------------------------------------------------

1.1.1.10                                  2              40         0          

1.1.1.20                                  1              10         0          

                            

表1-3 display anti-attack protocol icmp命令显示信息描述表

字段

描述

Flow-Source

报文源,部分协议的报文源是源MAC

FlowRate(pps)

该条流的当前速率

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们