nfpp(锐捷)(55页).doc
《nfpp(锐捷)(55页).doc》由会员分享,可在线阅读,更多相关《nfpp(锐捷)(55页).doc(54页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、-nfpp(锐捷)-第 54 页NFPP配置 概述网络基础保护策略 (Network Foundation Protection Policy),简称NFPP。n NFPP的作用n NFPP的原理 NFPP的作用在网络环境中经常发现一些恶意的攻击,这些攻击会给交换机带来过重的负担,引起交换机CPU利用率过高,导致交换机无法正常运行。这些攻击具体表现在:n 拒绝服务攻击可能导致到大量消耗交换机内存、表项或者其它资源,使系统无法继续服务。n 大量的报文流砸向CPU,占用了整个送CPU的报文的带宽,导致正常的协议流和管理流无法被CPU处理,带来协议震荡或者无法管理,从而导致数据面的转发受影响,并引起
2、整个网络无法正常运行。n 大量的报文砸向CPU会消耗大量的CPU资源,使CPU一直处于高负载状态,从而影响管理员对设备进行管理或者设备自身无法运行。NFPP可以有效地防止系统受这些攻击的影响。在受攻击情况下,保护系统各种服务的正常运行,以及保持较低的CPU负载,从而保障了整个网络的稳定运行。 NFPP的原理如图1所描述的,NFPP系统处理数据流时,需要经过硬件过滤、CPU Protect Policy(简称CPP)、报文攻击检测/限速、Protocol/Manage/route流分类和集中限速等几个流程,并最终交给各个应用模块处理。首先,需要进行CPP的分类和限速,这样CPU处理的数据流不仅根
3、据CPP的服务分类原则进行了分类,而且这些服务报文还经过了硬件和软件的限速,从而避免了不同的服务报文之间相互抢占带宽,有效地解决了某一种服务报文的大流量攻击情况下,其他服务报文无法及时得到处理的问题。例如设备中同时存在OSPF服务报文和BPDU服务报文时,当其中某一个服务报文需要消耗大量CPU带宽的情况下,可以保证另一个服务报文的接收不受影响。 注意为了最大限度地利用NFPP中抗攻击功能,请根据具体的应用环境修改CPU Protect Policy中各种服务的限速值,也可以使用系统提供的推荐配置,这些推荐值可以通过命令show cpu-protect summary查看。图 1. NFPP系统
4、的数据流向图然后,针对报文所属的服务类型,对具体的报文服务类型实施不同的监控方式和策略,NFPP提供各种服务监控水线和策略的配置,管理员可以根据具体的网络环境灵活配置某一个服务报文的告警水线和限速水线,这些水线的设置可以基于端口,也可以基于网络中的主机,这里的告警水线是指当端口或者某台主机的某种服务报文接收速率达到需要向管理员发出警告或者进行隔离的阈值;限速水线是指当端口或者某台主机的某种服务报文接收速率达到需要进行限速的阈值。告警或者隔离动作是在检测到攻击后交由抗攻击策略执行的。如果是隔离,抗攻击策略会利用硬件的过滤器实现,这样保证该攻击报文不会再被送到CPU处理,从而保证了设备正常运行。
5、注意n NFPP在检测到某种服务的某个具体报文的攻击后,可以向管理员发出告警信息,但是为了防止告警信息频繁出现,如果攻击流持续存在,NFPP在发出告警后的连续60秒时间内不再重复告警。n 防止频繁打印日志消耗CPU资源,NFPP把攻击检测的日志信息写到缓冲区,然后以指定速率从缓冲区取出来打印。NFPP对TRAP没有限速。监控后的服务报文再经过Protocol/Manage/Route流分类,这里的分类是指将CPP中定义的各种服务按照管理类(Manage) 、转发类(Route)和协议类(Protocol)的原则进行的分类(具体分类如表1所列),每一类都拥有独立的带宽,不同类别之间的带宽不能共享
6、,超过带宽阈值的流将被丢弃。这样将不同的服务区分类别后,可以保证属于某类的各种服务报文在设备上得到优先处理。NFPP允许管理员根据实际的网络环境灵活分配三类报文的带宽,从而保障protocol类和manage类能得到优先处理,protocol类的优先处理保证了协议的正确运行,而manage类的优先处理保证了管理员能够实施正常管理,从而保障了设备的各种重要功能的正常运行,提高设备的抗攻击能力。表 3 三种分类原则三种属性分类CPU Protect Policy中定义服务类型(服务类型具体含义参见CPU Protect Policy配置指南)Protocoltp-guard,dot1x,rldp,
7、rerp,slow-packet,bpdu,isis dhcps,gvrp,ripng,dvmrp,igmp,mpls,ospf, pim,pimv6,rip,vrrp,ospf3,dhcp-relay-s,dhcp-relay-c,option82,tunnel-bpdu,tunnel-gvrpRouteunknown-ipmc,unknown-ipmcv6,ttl1,ttl0, udp-helper,ip4-packet-other,ip6-packet-other,non-ip-packet-other,arpManageip4-packet-local,ip6-packet-local
8、经过以上的分类限速后,再将所有的分类流集中一个队列中,这样当某一类服务处理效率较低时,队列上就会堆积该服务对应的报文,并可能最终耗尽该队列资源,NFPP允许管理员配置该队列中三类所占百分比,当某一类占用的队列长度超过总队列长度和该类所占百分比的乘积时,报文就会被丢弃。这样就有效地解决了某一类独占队列资源的问题。 配置NFPP我们将从以下几个方面描述如何配置NFPP:n NFPP的默认值n 配置每类报文允许的最大带宽n 配置每类报文占用队列的最大百分比n 各种协议抗攻击 NFPP的默认值管理类(Manage)的缺省流量带宽3000PPS,占用缓冲区百分比为30;转发类(Route) 的缺省流量带
9、宽3000PPS,占用缓冲区百分比为25;协议类(Protocol) 的缺省流量带宽3000PPS,占用缓冲区百分比为45。 配置每类报文允许的最大带宽在配置模式下,按如下步骤设置每类报文的流量带宽:命令作用Step 1Ruijie#configure terminal 进入全局配置模式。Step 2Ruijie(config)#cpu-protect sub-interface manage | protocol|route pps pps_vaule设置报文对应的队列的限速水线,pps为整数。有效值范围是1-8192Step 3Ruijie(config)#end退回到特权模式。Step
10、4Ruijie#show running-config查看全局配置Step 5Ruijie#copy running-config startup-config保存配置。 配置每类报文占用队列的最大百分比在配置模式下,按如下步骤设置每种类型报文占用队列的百分比:命令作用Step 1Ruijie#configure terminal 进入全局配置模式。Step 2Ruijie(config)#cpu-protect sub-interface manage | protocol | route percent percent_vaule设置报文对应的类型所占的队列的百分比,percent _va
11、ule为整数。有效值范围是1-100Step 3Ruijie(config)#end退回到特权模式。Step 4Ruijie#show running-config查看全局配置Step 5Ruijie#copy running-config startup-config保存配置。 注意配置某类型所占百分比的有效值区间,必须小于等于百分之百减去其它两种类型百分比之和的差值。 各种协议抗攻击n ARP抗攻击n IP防扫描n ICMP抗攻击n DHCP抗攻击n DHCPv6抗攻击n ND抗攻击n NFPP日志信息 ARP抗攻击ARP抗攻击简介在局域网中,通过ARP协议把IP地址转换为MAC地址。AR
12、P协议对网络安全具有重要的意义。通过网络向网关发送大量非法的ARP报文,造成网关不能为正常主机提供服务,这就是基于ARP的拒绝服务攻击。对于这种攻击,防范措施是一方面对ARP报文限速,另一方面检测出攻击源,对攻击源头采取隔离措施。ARP攻击识别分为基于主机和基于物理端口两个类别。基于主机又细分为基于源IP地址/VLAN ID/物理端口和基于链路层源MAC地址/ VLAN ID /物理端口。每种攻击识别都有限速水线和告警水线。当ARP报文速率超过限速水线时,超限报文将被丢弃。当ARP报文速率超过告警水线时,将打印警告信息,发送TRAP,基于主机的攻击识别还会对攻击源头采取隔离措施。ARP抗攻击还
13、能检测出ARP扫描。ARP扫描是指链路层源MAC地址固定而源IP地址变化,或者链路层源MAC地址和源IP地址固定而目标IP地址不断变化。由于存在误判的可能,对检测出有ARP扫描嫌疑的主机不进行隔离,只是提供给管理员参考。需要说明的是,ARP抗攻击只是针对攻击交换机本身的ARP拒绝服务服务攻击,而不是针对ARP欺骗或者是解决网络中的ARP攻击问题。ARP抗攻击的配置命令包括:n 打开ARP抗攻击功能n 设置对攻击者的隔离时间n 设置对攻击者的监控时间n 设置受监控主机的最大数目n 基于主机限速和识别攻击n 基于端口限速和识别攻击n 清除受监控n 清除ARP扫描表n 查看ARP抗攻击的相关信息 打
14、开ARP抗攻击功能您可以在nfpp配置模式或者接口配置模式下打开ARP抗攻击功能,缺省情况下是打开的。命令作用Step 1Ruijie#configure terminal 进入全局配置模式。Step 2Ruijie(config)#nfpp进入NFPP配置模式。Step 3Ruijie(config-nfpp)#arp-guard enable全局打开ARP抗攻击功能,缺省情况下打开。Step 4Ruijie(config-nfpp)#end退回到特权模式。Step 5Ruijie#configure terminal 进入全局配置模式。Step 6Ruijie(config)#interf
15、ace interface-name进入接口配置模式。Step 7Ruijie(config-if)#nfpp arp-guard enable在端口上打开ARP抗攻击功能,缺省情况是端口没有配置局部开关,采用全局开关。Step 8Ruijie(config-if)#end退回到特权模式。Step 9Ruijie#show nfpp arp-guard summary核对配置参数Step 10Ruijie#copy running-config startup-config保存配置。 注意当关闭ARP抗攻击功能时,系统将自动清除受监控的主机和扫描主机。 设置对攻击者的隔离时间对攻击者的隔离时间
16、分为全局隔离时间和基于端口的隔离时间(即局部隔离时间)。对于某个端口,如果没有配置基于端口的隔离时间,那么采用全局隔离时间;否则,采用基于端口的隔离时间。命令作用Step 1Ruijie#configure terminal进入全局配置模式。Step 2Ruijie(config)#nfpp进入NFPP配置模式Step 3Ruijie(config-nfpp)#arp-guard isolate-period seconds | permanent配置对攻击者的全局隔离时间。取值范围为0秒,30秒到86400秒(即一天),缺省值为0秒,表示不隔离;permanent表示永久隔离。Step 4R
17、uijie(config-nfpp)#end返回特权模式Step 5Ruijie#configure terminal进入全局配置模式。Step 6Ruijie(config)#interface interface-name进入接口配置模式。Step 7Ruijie(config-if)#nfpp arp-guard isolate-period seconds | permanent在端口上配置对攻击者的隔离时间。取值范围为0秒,180秒到86400秒(即一天),缺省情况是没有配置局部隔离时间,采用全局隔离时间。0秒表示不隔离;permanent表示永久隔离。Step 8Ruijie(co
18、nfig-if)#end退回到特权模式。Step 9Ruijie#show nfpp arp-guard summary核对配置参数Step10Ruijie#copy running-config startup-config保存配置。如果要把全局隔离时间恢复成缺省值,在nfpp配置模式执行命令“no arp-guard isolate-period”。如果一个端口原来配置了局部隔离时间,现在想采用全局隔离时间,那么在端口配置模式下执行命令“no nfpp arp-guard isolate-period”把局部隔离时间配置删除。 设置对攻击者的监控时间如果隔离时间为0(即不隔离),防攻击模块
19、将自动根据配置的监控时间对攻击者进行软件监控,提供当前系统中存在哪些攻击者的信息。当把隔离时间配置成非零值后,防攻击模块将自动对软件监控的主机采取硬件隔离。命令作用Step 1Ruijie#configure terminal进入全局配置模式。Step 2Ruijie(config)#nfpp进入NFPP配置模式Step 3Ruijie(config-nfpp)#arp-guard monitor-period seconds配置对攻击者的监控时间。取值范围为180秒到86400秒(即一天),缺省值为600秒。Step 4Ruijie(config-nfpp)#end退回到特权模式。Step
20、5Ruijie#show nfpp arp-guard summary核对配置参数Step 6Ruijie#copy running-config startup-config保存配置。如果要把监控时间恢复成缺省值,在nfpp配置模式执行命令“no arp-guard monitor-period”。 注意n 检测出攻击者的时候,如果隔离时间为0,将对攻击者进行软件监控,超时为监控时间。在软件监控过程中,当隔离时间被配置为非零值时,将自动对软件监控的攻击者采取硬件隔离,并且把超时设置为隔离时间。监控时间在隔离时间为0的情况下才有意义。n 如果把隔离时间从非零值改成零,将直接把相关端口的攻击者删
21、除,而不是进行软件监控。 设置受监控主机的最大数目命令作用Step 1Ruijie#configure terminal 进入全局配置模式。Step 2Ruijie(config)#nfpp进入NFPP配置模式。Step 3Ruijie(config-nfpp)#arp-guard monitored-host-limit number配置受监控主机的最大数目。取值范围为1到4294967295,缺省情况下受监控主机的最大数目为1000个。Step 4Ruijie(config-nfpp)#end退回到特权模式。Step 5Ruijie#show nfpp arp-guard summary核
22、对配置参数Step 6Ruijie#copy running-config startup-config保存配置。如果要把配置的受监控主机数恢复成缺省值,在nfpp配置模式执行命令“no arp-guard monitored-host-limit”。如果受监控主机数已经达到默认的1000个,此时管理员把受监控主机的最大数目设置成小于1000,不会删除已有的受监控主机,而是打印信息“%ERROR: The value that you configured is smaller than current monitored hosts 1000(配置的受监控主机数) ,please clear
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- nfpp 锐捷 55
限制150内