13.6. Команды защиты CPU

Назначение

Данная команда служит для включения и входа в режим защиты трафика на уровне CPU.

Команда no cpu-traffic-protect служит для отключения режима защиты трафика на уровне CPU.

Требования

Синтаксис

cpu-traffic-protect (arp|dhcp)

no cpu-traffic-protect (arp|dhcp)

Режим ввода

Global Config

Состояние по умолчанию

Нет

Применение

Если настроена защита ARP-трафика на уровне CPU, по умолчанию включен режим черного списка. Если настроена защита DHCP-трафика на уровне CPU, включается защита трафика процессора от DHCP на уровне порта.

Примеры

В примере ниже показано, как включить и войти в режим защиты трафика процессора:

Switch# configure terminal
Switch(config)# cpu-traffic-protect arp
Switch(config-cpu-traffic-protect)#

Связанные команды

Нет

Назначение

Данная команда служит для включения отслеживания атак.

Команда no trace enable служит для отключения отслеживания атак.

Требования

Синтаксис

trace enable

no trace enable

Режим ввода

CPU traffic Protect Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

В примере ниже показано, как включить отслеживание атак:

Switch# configure terminal
Switch(config)# cpu-traffic-protect arp
Switch(config-cpu-traffic-protect)# trace enable

Связанные команды

Нет

Назначение

Данная команда служит для настройки типа трассировки атак.

Команда no trace type служит для установки типа по умолчанию.

Требования

Синтаксис

trace type (sender-ip|src-mac|target-ip|source-portvlan|src-interface)

no trace type

Режим ввода

CPU traffic Protect Configuration

Состояние по умолчанию

Тип отслеживания по умолчанию для ARP: SRC-MAC;

Тип отслеживания по умолчанию для DHCP: SRC-интерфейс.

Применение

Тип трассировки DHCP поддерживает только SRC-интерфейс, а тип трассировки ARP включает все, кроме SRC-интерфейса.

Примеры

В примере ниже показано, как настроить тип отслеживания атаки на IP-адрес отправителя и IP-адрес назначения:

Switch# configure terminal
Switch(config)# cpu-traffic-protect arp
Switch(config-cpu-traffic-protect)# trace type sender-ip target-ip

Связанные команды

Нет

Назначение

Данная команда служит для настройки частоты регистрации отслеживания атаки. Команда no trace sample чтобы установить значение по умолчанию.

Требования

Синтаксис

trace sample SAMPLE-RATE

no trace sample

Режим ввода

CPU traiffic Protect Configuration

Состояние по умолчанию

Частота регистрации отслеживания атаки для ARP: 8;

Частота регистрации отслеживания атаки для ARP: 1.

Применение

Нет

Примеры

В примере ниже показано, настроить частоту регистрации отслеживания атаки на 16:

Switch# configure terminal
Switch(config)# cpu-traffic-protect arp
Switch(config-cpu-traffic-protect)# trace sample 16

Связанные команды

Нет

Назначение

Данная команда служит настройки порога проверки отслеживания атак.

Команда no trace threshold служит для установки значения по умолчанию.

Требования

Синтаксис

trace threshold THRESHOLD

no trace threshold

Режим ввода

CPU traiffic Protect Configuration

Состояние по умолчанию

Порог отслеживания по умолчанию для ARP: 128;

Порог отслеживания по умолчанию для DHCP: 64.

Применение

Нет

Примеры

В примере ниже показано, как настроить порог отслеживания атак на 10:

Switch# configure terminal
Switch(config)# cpu-traffic-protect arp
Switch(config-cpu-traffic-protect)# trace threshold 10

Связанные команды

Нет

Назначение

Данная команда служит для настройки таймаута устаревания отслеживания.

Команда no trace timeout служит для установки таймаута устаревания по умолчанию.

Требования

Синтаксис

trace timeout AGING-TIMEOUT

no trace timeout

Режим ввода

CPU traiffic Protect Configuration

Состояние по умолчанию

Тайм-аут отслеживания по умолчанию для ARP: 300 с.

Применение

Нет

Примеры

В примере ниже показано, как настроить таймаут отслеживания атак на 400 секунд:

Switch# configure terminal
Switch(config)# cpu-traffic-protect arp
Switch(config-cpu-traffic-protect)# trace timeout 400

Связанные команды

Нет

Назначение

Данная команда служит для настройки действия при обнаружении атаки.

Команда trace action служит для установки действия по умолчанию.

Требования

Синтаксис

trace action deny (recover time RECOVER-TIME| )

no trace action

Режим ввода

CPU traiffic Protect Configuration

Состояние по умолчанию

300

Применение

Используется только для защиты DHCP-трафика, по умолчанию запрещает DHCP-пакеты и восстанавливается через 300 с.

Примеры

В примере ниже показано, как настроить время восстановления действия при обнаружении атаки на 600 с:

Switch# configure terminal
Switch(config)# cpu-traffic-protect dhcp
Switch(config-cpu-traffic-protect)# trace action deny recover time 600

Связанные команды

cpu-traffic-protect manual recover dhcp

Назначение

Данная команда служит для настройки правил фильтра защиты ARP.

Команда no apply access-list служит для отключения правил.

Требования

Синтаксис

apply access-list NAME (mode (blacklist|whitelist(rate RATE| ))| )

no apply access-list ACL-NAME

Режим ввода

CPU traiffic Protect Configuration

Состояние по умолчанию

Скорость: 32 пакета/сек, режим черного списка.

Применение

Скорость рассчитывается с использованием пакета размером 64 байта.

Примеры

В примере ниже показано, как настроить правила фильтрации ARP-защиты с помощью списка “ACL 2” и установить режим белого списка и скорость 64 пакета/сек:

Switch# configure terminal
Switch(config)# cpu-traffic-protect arp
Switch(config-cpu-traffic-protect)# apply access-list 2 mode whitelist rate 64

Связанные команды

Нет

Назначение

Данная команда служит для ручного восстановления DHCP на портах, на которые наложена защита трафика CPU.

Требования

Синтаксис

cpu-traffic-protect manual recover dhcp (interface (IFPHYSICAL|IFAGG|IFVLAN)|all )

Режим ввода

Privileged EXEC

Состояние по умолчанию

Нет

Применение

Нет

Примеры

В примере ниже показано, как вручную восстановить DHCP на порте “eth-0-1”:

Switch# cpu-traffic-protect manual recover dhcp interface eth-0-1

Связанные команды

trace action

Назначение

Данная команда служит для вывода защищенных интерфейсов и времени восстановления протокола DHCP.

Требования

Синтаксис

show cpu traffic-protect dhcp recover table

Режим ввода

Privileged EXEC

Состояние по умолчанию

Нет

Применение

Нет

Примеры

В примере ниже показано, как вывести защищенные интерфейсы:

Switch# show cpu traffic-protect dhcp recover table
Dhcp Recover State Table:
------------------------------------------------------------------------
Interface RecoverTime(s)
------------------------------------------------------------------------
eth-0-1 30
------------------------------------------------------------------------
Total: 1

Связанные команды

trace protect delay-time

Назначение

Данная команда служит для отображения информации об атаке.

Требования

Синтаксис

show cpu traffic-protect (arp|dhcp) trace (history| )

Режим ввода

Privileged EXEC

Состояние по умолчанию

Нет

Применение

Нет

Примеры

В примере ниже показано, как вывести информацию об ARP-атаках:

Switch# show cpu traffic-protect arp trace
Attack Source User Table :
------------------------------------------------------------------------
MacAddress Interface Vlan:O/I AttackTime TotalPackets
------------------------------------------------------------------------
0000.0b00.0200 eth-0-3 - 2023-01-02 15:18:21 1712
------------------------------------------------------------------------
Total: 1
Attack Source Port Table :
------------------------------------------------------------------------
Interface Vlan:O/I AttackTime TotalPackets
------------------------------------------------------------------------
------------------------------------------------------------------------
Total: 0
Attack Sender IP Table :
| ------------------------------------------------------------------------
IPAddress AttackTime TotalPackets
------------------------------------------------------------------------
1.2.3.4 2023-01-02 15:21:24 184
------------------------------------------------------------------------
Total: 1
Attack Target IP Table :
------------------------------------------------------------------------
IPAddress AttackTime TotalPackets
------------------------------------------------------------------------
4.3.2.1 2023-01-02 15:21:24 184
------------------------------------------------------------------------
Total: 1

Связанные команды

clear cpu traffic-protect trace

Назначение

Данная команда служит для вывода информации о настройках отслеживания атак.

Требования

Синтаксис

show cpu traffic-protect (arp|dhcp) trace config

Режим ввода

Privileged EXEC

Состояние по умолчанию

Нет

Применение

Нет

Примеры

В примере ниже показано, как вывести информацию о настройках защиты от ARP-атак:

Switch# show cpu traffic-protect arp trace config
Trace arp configuration:
Reason :16
Enable :1
Mode :0x1
Sample :18
Threshold :35
Aging timeout :300

Связанные команды

Нет

Назначение

Данная команда служит для очистки истории отслеживания атак.

Требования

Синтаксис

clear cpu traffic-protect (arp|dhcp) trace (history| )

Режим ввода

Privileged EXEC

Состояние по умолчанию

Нет

Применение

Нет

Примеры

В примере ниже показано, как очистить историю отслеживания ARP-атак:

Switch# clear cpu traffic-protect arp trace history

Связанные команды

Нет