华为交换机特价清仓

华为CE交换机

只有更好的服务,才有更多的用户

  • 华为交换机在组网中如何避免CPU过高

    发布时间:2023年11月16日
    1. 合理规划网络,预先配置破环协议,同时使能环回检测功能,避免网络成环。
      • 全局视图下配置loopback-detect untagged mac-address ffff-ffff-ffff,此命令保证设备环路探测报文BPDU报文为广播报文,不会被其他设备终结。
      • 接口视图下配置loopback-detect enable,使能环回检测功能。

      当设备所有使能环回检测功能的接口下的VLAN个数总和超过1024时,建议通过命令loopback-detect action shutdown配置接口检测到环路时的处理动作为shutdown。(对于每个端口,每加入到一个VLAN,VLAN个数就加1,即使是多个端口同时加入同一个VLAN。)

    2. 配置ARP安全功能,防止设备受到ARP和ARP-Miss协议报文攻击。

      设备提供了多种ARP安全的解决方案,请参考产品文档的“配置指南-安全配置-ARP安全配置”的“ARP安全解决方案”进行配置。

    3. 在经常出现DHCP、ARP协议报文攻击的网络(如校园网),配置基于DHCP、ARP协议报文的本机防攻击策略。

      下面给出通用情况下本机防攻击策略的建议配置,由于不同的设备和版本可能在少数地方存在差异,不同的场景也对各种协议报文的上送存在不同的要求,不能一概而论。在实际配置的时候请根据具体的设备型态、版本并按照现网实际的业务要求,对配置进行审视之后再操作,避免出现配置不成功甚至业务受损的问题。

      • 框式主控板 
        # 
cpu-defend policy main-board
 auto-defend enable   //V200R009后的版本为默认配置
 undo auto-defend trace-type source-portvlan   //V200R009后的版本为默认配置
 undo auto-defend protocol tcp igmp telnet ttl-expired  //V200R009版本为auto-defend protocol arp dhcp
 auto-defend action deny  
 auto-defend whitelist 1 interface GigabitEthernet x/x/x  //将互联口加入白名单
 auto-defend whitelist 2 interface GigabitEthernet x/x/x  //将上行口加入白名单
#
cpu-defend-policy main-board
#
      • 框式接口板 
        # 
cpu-defend policy io-board
 auto-defend enable       //V200R009后的版本为默认配置
 undo auto-defend trace-type source-portvlan   //V200R009后的版本为默认配置
 undo auto-defend protocol tcp igmp telnet ttl-expired //V200R009版本为auto-defend protocol arp dhcp
 auto-defend action deny 
 auto-defend whitelist 1 interface GigabitEthernet x/x/x  //将互联口加入白名单
 auto-defend whitelist 2 interface GigabitEthernet x/x/x  //将上行口加入白名单
# 
cpu-defend-policy io-board global
#
      • 盒式交换机 
        # 
cpu-defend policy main 
 auto-defend enable    //V200R009后的版本为默认配置
 undo auto-defend trace-type source-portvlan    //V200R009后的版本为默认配置
 undo auto-defend protocol tcp igmp telnet ttl-expired //V200R009版本为auto-defend protocol arp dhcp
 auto-defend action deny 
 auto-defend whitelist 1 interface GigabitEthernet x/x/x  //将互联口加入白名单
 auto-defend whitelist 2 interface GigabitEthernet x/x/x  //将上行口加入白名单
#
cpu-defend-policy main global
#
    4. 管理用户通过SSH、Telnet、SNMP等方式登录设备时,配置基于ACL的访问限制,只允许指定的管理用户登录设备。

      # 在VTY0~14用户界面上,通过ACL指定只有源IP为10.1.1.1/32的用户可以登录到本设备。

      <HUAWEI> system-view
[HUAWEI] acl 2001
[HUAWEI-acl-adv-2001] rule 5 permit source 10.1.1.1 0
[HUAWEI-acl-adv-2001] quit
[HUAWEI] user-interface vty 0 14
[HUAWEI-ui-vty0-14] acl 2001 inbound
    5. 当端口组成员个数超过40,批量加入4K VLAN时,可能导致CPU占用率短时间内超过80%,因此,建议该端口组批量加入的VLAN个数不超过500。
    6. 当超过20个端口同时切换类型时,可能导致CPU占用率短时间内超过80%,因此,建议逐个切换端口类型,避免批量切换。
    7. MAC频繁漂移可能导致CPU占用率高,因此,在可能产生MAC频繁漂移场景,建议通过命令mac-address flapping action error-down配置接口发生MAC漂移后的处理动作为error-down。
    8. 及时加载并激活版本对应**新的补丁文件。

      请登录***网站获取补丁的软件和安装补丁需要参考的文档(包括补丁说明书和补丁安装指导书)。

    9. 定期给设备下接的PC或服务器杀毒,减少攻击。
    10. 设备针对每类协议报文都有缺省的CPCAR值,一般情况下,缺省的CPCAR值即可满足需要。如果存在正常业务的流量过大的问题,请联系华为交换机经销商根据实际业务规模和具体的用户网络环境进行调整。
  • 企业信息
  • 状态:匆匆过客
  • 核实:        
  • IP属地:北京
  • 联系方式
  • 联系人:---
  • 手机:---
  • 微信:---
  • 地址:---