【摘要】 通過(guò)漏桶上送的報(bào)文一般都是與網(wǎng)關(guān)有交互，根據(jù)實(shí)際情況，考慮配置以下漏桶，對(duì)丟棄頻繁的漏桶進(jìn)行限流配置。

【關(guān)鍵詞】 漏桶 攻擊 配置

一、引言

松原局s8016設(shè)備曾被病毒惡意攻擊過(guò)，經(jīng)過(guò)認(rèn)真核實(shí)，訪問(wèn)列表等都已經(jīng)設(shè)置了，但是CPU的占用率為100%，這顯然是不正常的現(xiàn)象，為了有效遏制病毒攻擊，我們及時(shí)與華為工程師溝通，采取了有效的措施及時(shí)地進(jìn)行障礙診斷處理，對(duì)該設(shè)備的漏桶進(jìn)行重新設(shè)置。因?yàn)橥ㄟ^(guò)漏桶上傳的報(bào)文一般都是與網(wǎng)關(guān)有交互，需要到MPU處理的協(xié)議報(bào)文或者ping網(wǎng)關(guān)及telnet、FTP等報(bào)文，根據(jù)實(shí)際情況，考慮配置以下漏桶，對(duì)丟棄頻繁的漏桶進(jìn)行限流配置。

二、故障現(xiàn)象描述：

首先查看漏桶：

[8016]display system-bucket 1

****Token information****

#The slot number： 1 /*板號(hào)*/

#The token ID： 1 /*漏桶號(hào)*/

The time of the last packets arrive：36403113 /*上次報(bào)文到來(lái)的時(shí)間ms*/

The number of present tokens： 32716 /*當(dāng)前剩余的令牌*/

The traffic rate of the token： 32K /*漏桶通道大小*/

The height of the token bucket：32768 /*漏桶深度*/

The number of the discarded packets： 0 /*丟棄報(bào)文數(shù)*/

三、障礙處理過(guò)程

根據(jù)網(wǎng)上設(shè)備運(yùn)行經(jīng)驗(yàn)：如果單板ARP數(shù)小于100個(gè)，則漏桶可以配置為2K；如果單板的ARP數(shù)小于500個(gè)，對(duì)于ARP攻擊建議將漏桶配置成4K；如果大于500個(gè)，建議漏桶配置值為8K。通過(guò)上述的配置，在一般情況或者攻擊很少的情況對(duì)正常業(yè)務(wù)影響不大。具體配置如下：

apply system-bucket 1 22 traffic-rate 4/*將1號(hào)板的22號(hào)漏桶ARP配置為4K*/每個(gè)漏桶的報(bào)文類型可以通過(guò)？命令查看“display system-bucket ？”

<156>display system-bucket 7 ？

1 Default bucket，any packet not list here use this bucket

缺省類型，也就是表中沒(méi)有列出的其他類型報(bào)文都公用這一個(gè)桶

2 ARP Miss message，use it to form ARP entry

ARP MISS 消息（請(qǐng)求下一跳的ARP）

3 FIB Miss Message，use it to form host route entry

FIB MISS消息（掃描網(wǎng)段時(shí)經(jīng)常發(fā)生，上送觸發(fā)ARP請(qǐng)求）

4 PPP protocol control frame

PPP控制報(bào)文

5 Packet MFIB Miss ，use it to form （S，G） route

組播路由MISS后導(dǎo)致的上送消息

6 ARP response packet

回應(yīng)S8016的ARP應(yīng)答報(bào)文

8 ISIS protocol packet

ISIS報(bào)文

9 IP multicast packet which destIP address is 224.0.0.2（used by IGMP， LDP

etc）

224.0.0.2：所有組播路由器，應(yīng)用的協(xié)議：IGMP、LDP

10 IP multicast packet which destIP address is 224.0.0.5（used by OSPF） 224.0.0.5：OSPF路由器

11 IP multicast packet which destIP address is 224.0.0.6（used by OSPF） 224.0.0.6：OSPF指定路由器

12 IP multicast packet which destIP address is 224.0.0.9（used by RIP2） 224.0.0.9：RIP2路由器

14 IP multicast packet which destIP address is 224.0.0.13（used by PIM）

15 Other IP multicast packet which destIP address is in

224.0.0.0-224.0.0.255（excluded.2 .5 .6 .9 .10 .13 .18）

其他組播報(bào)文應(yīng)用不多，本參數(shù)應(yīng)該可以滿足

16 HGMP protocol packet

HGMP報(bào)文上送

17 GVRP protocol packet

GVRP報(bào)文上送

19 BPDU protocol packet

BPDU報(bào)文上送

21 Packet length exceed MTU and DF flag is set，it is used by host to discover the MTU in the route

MTU超值且DF置位上送

22 ARP request packet send by all the host，use it to learning host route

ARP 請(qǐng)求報(bào)文，一般用戶發(fā)出或者下級(jí)設(shè)備發(fā)出

23 DHCP protocol packet

DHCP報(bào)文

24 Arp request packet witch destIP is in NAT pool

NAT地址池的ARP請(qǐng)求報(bào)文，應(yīng)用很少

25 Register packet used in PIM SIM protocol

組播注冊(cè)報(bào)文

27 Packet which destIP is ip address of gateway， exclude ICMP and TCP

目的地址為網(wǎng)關(guān)的報(bào)文，不報(bào)括ICMP和TCP，通常為UDP報(bào)文等

28 ICMP request packet witch destIP is webswitch’s VIP

和CLPU板相關(guān)，應(yīng)用很少

30 IP multicast packet which destIP address is 224.0.0.18（used by VRRP） VRRP組播報(bào)文，如果有VRRP配置時(shí)會(huì)有

31 ICMP packet which destIP is ip address of gateway， for example， ping packet

目的地址為網(wǎng)關(guān)的ICMP報(bào)文，典型的為ping

32 TCP packet which destIP is ip address of gateway， for example， FTP， BGP peer， LDP session

目的地址為網(wǎng)關(guān)的的TCP報(bào)文，如果沒(méi)有BGP和LDP，注意此漏桶的攻擊，默認(rèn)帶寬較大，有256K

33 RIP1 protocol packet

RIP協(xié)議報(bào)文

A：想查看8016的CPU占用率，只需要在系統(tǒng)視圖下輸入display cpu命令。

四、故障總結(jié)

通過(guò)本次故障處理，讓我更進(jìn)一步了解了S8016的性能，掌握了交換機(jī)受攻擊的處理流程，學(xué)習(xí)到了以前不了解的知識(shí)，在今后的維護(hù)工作中一定會(huì)有所幫助。