华为交换机配置本机防攻击示例

如图所示，位于不同网段的用户通过Switch接入Internet。由于接入了大量用户，因此Switch的CPU会处理大量收到的协议报文。如果存在恶意用户发送大量攻击报文，会导致CPU使用率过高，影响正常业务。

管理员发现Switch收到了大量的ARP Request报文，因处理这些ARP Request报文导致CPU使用率大幅度提高，希望能够降低CPU使用率，防止影响正常业务。

配置思路：配置ARP Request报文的CPCAR值，将ARP Request报文上送CPU处理的速率限制在更小的范围内，减少CPU处理ARP Request报文对正常业务的影响。

操作步骤：

1、配置防攻击策略，上送CPU报文的限速规则

配置ARP Request报文的CPCAR值为120kbit/s。

[Switch] cpu-defend policy policy1
[Switch-cpu-defend-policy-policy1] car packet-type arp-request cir 120

2、全局应用防攻击策略

[Switch] cpu-defend-policy policy1 global

3、查看配置的CPCAR的信息

 display cpu-defend configuration packet-type arp-request slot 0
Car configurations on slot 0.
----------------------------------------------------------------------          
Packet Name           Status   Cir(Kbps)   Cbs(Byte)  Queue  Port-Type          
----------------------------------------------------------------------          
arp-request       Enabled       120       22560    3       UNI