NFPP 配置 63.1 概述 网络基础保护策略 (Network Foundation Protection Policy),简称NFPP。 63.1.1 NFPP 的作用 63.1.2 NFPP 的原理 63.1.1 NFPP 的作用 在网络环境中经常发现一些恶意的攻击,这些攻击会给交换机带来过重的负担,引起交换机CPU 利用率过高,导致交换机无法正常运行。这些攻击具体表现在: 拒绝服务攻击可能导致到大量消耗交换机内存、表项或者其它资源,使系统无法继续服务。 大量的报文流砸向 CPU,占用了整个送 CPU 的报文的带宽,导致正常的协议流和管理流无法被 CPU 处理,带来协议震荡或者无法管理,从而导致数据面的转发受影响,并引起整个网络无法正常运行。 大量的报文砸向 CPU 会消耗大量的CPU 资源,使 CPU 一直处于高负载状态,从而影响管理员对设备进行管理或者设备自身无法运行。 NFPP 可以有效地防止系统受这些攻击的影响。在受攻击情况下,保护系统各种服务的正常运行,以及保持较低的CPU 负载,从而保障了整个网络的稳定运行。 63.1.2 NFPP 的原理 如图 1 所描述的,NFPP 系统处理数据流时,需要经过硬件过滤、CPU Protect Policy(简称CPP)、报文攻击检测/限速、Protocol/Manage/route 流分类和集中限速等几个流程,并最终交给各个应用模块处理。 首先,需要进行CPP 的分类和限速,这样 CPU 处理的数据流不仅根据 CPP 的服务分类原则进行了分类,而且这些服务报文还经过了硬件和软件的限速,从而避免了不同的服务报文之间相互抢占带宽,有效地解决了某一种服务报文的大流量攻击情况下,其他服务报文无法及时得到处理的问题。例如设备中同时存在OSPF 服务报文和 BPDU服务报文时,当其中某一个服务报文需要消耗大量CPU 带宽的情况下,可以保证另一个服务报文的接收不受影响。 注意 为了最大限度地利用NFPP 中抗攻击功能,请根据具体的应用环境修改CPU Protect Policy 中各种服务的限速值,也可以使用系统提供的推荐配置,这些推荐值可以通过命令show cpu-protect summary查看。 图 1. NFPP 系统的数据流向图 然后,针对报文所属的服务类型,对具体的报文服务类型实施不同的监控方式和策略,NFPP 提供各种服务监控水线和策略的配置,管理员可以根据具体的网络环境灵活配置某一个服务报文的告警水线和限速水线,这些水线的设置可以基于端口,也可以基于网络中的主机,这里的告警水线是指当端口或者某台主机的某种服务...
VIP
