华为hcie认证工程师CPU防护-ielab,在网络中,存在大量针对CPU的恶意攻击报文,这些报文会导致CPU繁忙的处理,频繁中断,从而引发其他业务的断续的恶意攻击,导致CPU性能下降、使用率过高的问题产生。需要针对于CPU的安全进行防护。
CPU的防护,保证了CPU对正常业务的正常处理。CPU防护通过针对CPU的报文进行限制和约束,使单位时间内上送CPU报文的数量限制在一定的范围之内。针对于CPU的防护,采取了黑名单功能以及CPCAR( Control Plane Committed Access Rate)功能。
所谓的CPCAR,是指通过对控制平面的不同业务的协议报文分别进行限速,来保护控制平面的安全。主要分为基于队列的调度和限速以及针对所有报文的统一限速。
用于调度的队列分为独享队列,设备将动态的为该类业务分配队列资源。当该业务结束时,设备将回收为其分配的队列资源;共享队列,设备会自动将新开启的所有业务都分配到共享队列中,通过共享队列来进行限速。
所有报文统一限速是为了限制CPU处理的报文总数,保证CPU在其正常处理能力范围内尽可能多的处理报文,而不会造成CPU异常,保证了设备CPU的正常运行。
如很进行CPU防护配置呢?
先创建防攻击策略,然后在创建的防攻击策略中配置本机防攻击功能。
[if !supportLists]1. [endif]执行命令cpu-defend policy policy-name // 创建防攻击策略,设备最多支持17个防攻击策略。devicename-default为系统自动生成的缺省策略,该策略默认应用到设备上,不允许删除,也不允许修改。其余16个允许用户创建、修改和删除。
[if !supportLists]2. [endif]执行命令description text // 配置防攻击策略的描述信息。缺省情况下,防攻击策略没有配置描述信息。华为hcie认证工程师CPU防护-ielab
