锐捷交换机——安全功能：CPP_交换机cpp

应用场景：

CPP属于设备默认配置，自动开启，通常无需调整，只在特定场景下，例如DAI防范ARP欺骗方案下，接入交换机需要调整ARP报文的CPP阀值、网络中某一类协议报文的速率太高，比如CDP，导致CPU异常时可以进行限速控制。否则CPU正常值范围值（30%以内），都不建议修改CPP默认值。

功能简介：

CPP：CPU保护策略是一种设备自身CPU的保护功能，（CPU Protect Policy，CPP）用于避免网络设备的CPU收到网络上不必要和具有恶意攻击目的的数据流，提高网络设备自身安全性能，还可以通过设置QoS过滤机制来保护网络设备的控制平台（Control Plane ，简称CP）在遭受攻击和高负载的情况下仍能保持数据转发和协议状态的稳定。

如上图，CPU Protect Policy(CPP)功能通过报文识别、报文带宽控制、报文优先级队列映射以及队列调度这四项技术实现交换机处理器资源保护以及重要报文保障。

1）、报文识别

所有送到交换机进行协议处理的报文首先通过报文识别处理过程将报文进行分类，例如ARP、BPDU、GVRP等等(各产品的数据分类参看CPU Protect默认值章节)。

2）、报文带宽控制

管理员可以配置每种类型报文带宽，通过这种方式可以有效地抑制网络中高速率的攻击报文。

3）、报文优先级队列映射

交换机处理器共有8个优先级队列，通过配置每种类型报文的优先级队列可以将报文映射到相应的队列中。

4）、队列调度

为了保证不同优先级队列的协议报文都能及时的送往CPU处理，当前采用轮询调度算法。在轮询调度算法中，每个队列的调度权重相等。

一、组网需求

 现场一台S5750E交换机与S8606交换机通过三层口互联，发现S8606交换机ping S5750E 18024字节的包，发现规律性丢包（ping1000个包大概丢3个），目前关闭两台交换机NFPP的ICMP-Guard功能依然出现这样的情况，后通过确认是S5750E的CPP保护导致丢包，现需要对S5750E交换机的CPP中的ICMP PPS值进行调整。

二、配置要点

由于不同系列的交换机命令的配置及查看方式有所不同，对于CPP的调试命令都是在全局模式下以cpu-protect开头，可以在命令后面打？形式来确认，例如要调整CPP中ARP的PPS值为20000。对于S5750E系列交换机命令如下：

Ruijie(config)#cpu-protect ?

  cpu            Set cpu bandwidth

  mac-address    Mac address storm control

  sub-interface  Set globle control to packet

  traffic-class  Set traffic-class' configure

  type           Set packet's configure

Ruijie(config)#cpu-protect type arp-request bandwidth 20000

Ruijie(config)#cpu-protect type arp-reply bandwidth 20000 

查看命令如下：

Ruijie#show cpu-protect  

%cpu port bandwidth: 10000(pps)

Traffic-class   Bandwidth(pps)  Rate(pps)

-------------   --------------  ---------

0               1000            0       

1               1000            0       

2               1500            0       

3               8000            0       

4               1500            0       

5               1500            0       

6               3500            0       

Packet Type       Traffic-class  Bandwidth(pps)  Rate(pps)  Drop(pps)

----------------  -------------  --------------  ---------  ---------

bpdu              6              1000            0          0      

arp-request    2              20000          0          0 

对于S8600系列交换机命令如下：

Ruijie(config)#  cpu-protect ?

  sub-interface  Config sub-interface pps or percent

  type           Add an extend type

Ruijie(config)#cpu-protect type arp pps 20000

查看命令如下：

Ruijie#show cpu-protect summary

 Type                Pps       Pri

 ------------------- --------- ---------

 tp-guard             128         7       

 arp                      20000     3       

三、网络拓扑

四、配置步骤  

1）S5750E交换机的配置命令：

Ruijie(config)#cpu-protect type icmp bandwidth 5000    ------>更改ICMP的PPS值为5000

Ruijie(config)#cpu-protect traffic-class id 3 bandwidth 8000     ------>由于ICMP对应的class为3，故也需要调整class 3的pps值，这里更改为8000

Ruijie(config)#cpu-protect cpu bandwidth 10000           ------>更改送CPU处理的PPS值为10000

2）S8606交换机如果需要调整ICMP的PPS值，可以使用如下命令：

Ruijie(config)#cpu-protect type ipv4-icmp-local pps 10000     ------>更改S86交换机ICMP的PPS值为10000，默认是4096

五、功能验证

1）查看S5750E交换机CPP的ICMP相关信息：

查看S5750E交换机ICMP的队列值及pps值

查看队列3对应的pps值：

查看到CPP后每秒送CPU处理的最大PPS值：

2）S86上查看CPP相关参数

查看CPP默认值：

查看引擎每种报文的CPP统计值

查看线卡每种报文的CPP统计值

查看ICMP报文的CPP值：