nfpp(锐捷).doc

nfpp(锐捷).docNFPP 配置
概述
网络基础保护策略 (Network Foundation Protection Policy), 简称 NFPP 。
NFPP 的作用
NFPP 的原理
NFPP 的作用
在网络环境中经常发现一些恶意的攻击，这些攻击会给交换机带来过重的负担，引起交
换机 CPU 利用率过高，导致交换机无法正常运行。这些攻击具体表现在：
拒绝服务攻击可能导致到大量消耗交换机内存、表项或者其它资源 ,使系统无法继续
服务。
大量的报文流砸向 CPU ，占用了整个送 CPU 的报文的带宽，导致正常的协议流和 管理流无法被 CPU 处理, 带来协议震荡或者无法管理，从而导致数据面的转发受 影响，并引起整个网络无法正常运行。
大量的报文砸向 CPU 会消耗大量的 CPU 资源，使 CPU 一直处于高负载状态，从 而影响管理员对设备进行管理或者设备自身无法运行。
NFPP 可以有效地防止系统受这些攻击的影响。 在受攻击情况下， 保护系统各种服务的正 常运行，以及保持较低的 CPU 负载，从而保障了整个网络的稳定运行。
NFPP 的原理
如图 1 所描述的， NFPP 系统处理数据流时， 需要经过硬件过滤、 CPU Protect Policy （简 称 CPP ）、报文攻击检测 /限速、 Protocol/Manage/route 流分类和集中限速等几个流 程，并最终交给各个应用模块处理。
首先， 需要进行 CPP 的分类和限速， 这样 CPU 处理的数据流不仅根据 CPP 的服务分类 原则进行了分类，而且这些服务报文还经过了硬件和软件的限速，从而避免了不同的 服务报文之间相互抢占带宽，有效地解决了某一种服务报文的大流量攻击情况下，其 他服务报文无法及时得到处理的问题。 例如设备中同时存在 OSPF 服务报文和 BPDU 服务报文时，当其中某一个服务报文需要消耗大量 CPU 带宽的情况下，可以保证另 一个服务报文的接收不受影响。
为了最大限度地利用 NFPP中抗攻击功能，请根据具体的应用环境修改 CPU Protect
注意 Policy中各种服务的限速值，也可以使用系统提供的推荐配置， 这些推荐值可以通过
命令 show cpu-protect summary 查看。
图1. NFPP系统的数据流向图
然后，针对报文所属的服务类型，对具体的报文服务类型实施不同的监控方式和策略， NFPP提供各种服务监控水线和策略的配置，管理员可以根据具体的网络环境灵活配 置某一个服务报文的告警水线和限速水线，这些水线的设置可以基于端口，也可以基 于网络中的主机，这里的告警水线是指当端口或者某台主机的某种服务报文接收速率 达到需要向管理员发出警告或者进行隔离的阈值；限速水线是指当端口或者某台主机 的某种服务报文接收速率达到需要进行限速的阈值。告警或者隔离动作是在检测到攻 击后交由抗攻击策略执行的。如果是隔离，抗攻击策略会利用硬件的过滤器实现，这 样保证该攻击报文不会再被送到 CPU处理，从而保证了设备正常运行。
NFPP在检测到某种服务的某个具体报文的攻击后，可以向管理员发岀告警信息， 但是为了防止告警信息频繁岀现，如果攻击流持续存在， NFPP在发岀告警后
注意 的连续60秒时间内不再重复告警。
防止频繁打印日志消耗 CPU资源，NFPP把攻击检测的日志信息写到缓冲区，然
后以指定速率从缓冲区取岀来打印。 NFPP对TRAP没有限速。
监控后的服务报文再经过 Protocol/Manage/Route 流分类，这里的分类是指将 CPP中定
义的各种服务按照管理类 (Manage)、转发类(Route)和协议类(Protocol)的原则进行的 分类(具体分类如表 1所列)，每一类都拥有独立的带宽，不同类别之间的带宽不能 共享，超过带宽阈值的流将被丢弃。这样将不同的服务区分类别后，可以保证属于某 类的各种服务报文在设备上得到优先处理。 NFPP允许管理员根据实际的网络环境灵
活分配三类报文的带宽，从而保障protocol类和man age类能得到优先处理，protocol 类的优先处理保证了协议的正确运行， 而man age类的优先处理保证了管理员能够实
施正常管理，从而保障了设备的各种重要功能的正常运行，提高设备的抗攻击能力。
表3三种分类原则
三种属性分类
CPU Protect Policy 中定义服务类型
(服务类型具体含义参见 CPU Protect Policy 配置指南)
Protocol
tp-guard ， dot1x， rldp， rerp， slow-packet ， bpdu， isis dhcps ， gvrp，ripng， dvmrp，