13.6. Команды защиты CPU

Назначение

Команда cpu-traffic-protect используется для включения и входа в режим защиты трафика на уровне CPU.

Команда no cpu-traffic-protect используется для отключения режима защиты трафика на уровне CPU.

Требования

Синтаксис

cpu-traffic-protect (arp|dhcp)

no cpu-traffic-protect (arp|dhcp)

Режим ввода

Global Config

Состояние по умолчанию

Нет

Применение

Если настроена защита ARP-трафика на уровне CPU, по умолчанию включен режим черного списка. Если настроена защита DHCP-трафика на уровне CPU, включается защита трафика процессора от DHCP на уровне порта.

Примеры

В примере ниже показано, как включить и войти в режим защиты трафика процессора:

Switch# configure terminal
Switch(config)# cpu-traffic-protect arp
Switch(config-cpu-traffic-protect)#

Связанные команды

Нет

Назначение

Команда trace enable используется для включения отслеживания атак.

Команда no trace enable используется для отключения отслеживания атак.

Требования

Синтаксис

trace enable

no trace enable

Режим ввода

CPU traffic Protect Configuration

Состояние по умолчанию

Нет

Применение

Нет

Примеры

В примере ниже показано, как включить отслеживание атак:

Switch# configure terminal
Switch(config)# cpu-traffic-protect arp
Switch(config-cpu-traffic-protect)# trace enable

Связанные команды

Нет

Назначение

Команда trace type используется для настройки типа трассировки атак.

Команда no trace type используется для установки типа по умолчанию.

Требования

Синтаксис

trace type (sender-ip|src-mac|target-ip|source-portvlan|src-interface)

no trace type

Режим ввода

CPU traffic Protect Configuration

Состояние по умолчанию

Тип отслеживания по умолчанию для ARP: SRC-MAC;

Тип отслеживания по умолчанию для DHCP: SRC-интерфейс.

Применение

Тип трассировки DHCP поддерживает только SRC-интерфейс, а тип трассировки ARP включает все, кроме SRC-интерфейса.

Примеры

В примере ниже показано, как настроить тип отслеживания атаки на IP-адрес отправителя и IP-адрес назначения:

Switch# configure terminal
Switch(config)# cpu-traffic-protect arp
Switch(config-cpu-traffic-protect)# trace type sender-ip target-ip

Связанные команды

Нет

Назначение

Команда trace sample используется для настройки частоты регистрации отслеживания атаки. Команда no trace sample чтобы установить значение по умолчанию.

Требования

Синтаксис

trace sample SAMPLE-RATE

no trace sample

Режим ввода

CPU traiffic Protect Configuration

Состояние по умолчанию

Частота регистрации отслеживания атаки для ARP: 8;

Частота регистрации отслеживания атаки для ARP: 1.

Применение

Нет

Примеры

В примере ниже показано, настроить частоту регистрации отслеживания атаки на 16:

Switch# configure terminal
Switch(config)# cpu-traffic-protect arp
Switch(config-cpu-traffic-protect)# trace sample 16

Связанные команды

Нет

Назначение

Команда trace threshold используется настройки порога проверки отслеживания атак.

Команда no trace threshold используется для установки значения по умолчанию.

Требования

Синтаксис

trace threshold THRESHOLD

no trace threshold

Режим ввода

CPU traiffic Protect Configuration

Состояние по умолчанию

Порог отслеживания по умолчанию для ARP: 128;

Порог отслеживания по умолчанию для DHCP: 64.

Применение

Нет

Примеры

В примере ниже показано, как настроить порог отслеживания атак на 10:

Switch# configure terminal
Switch(config)# cpu-traffic-protect arp
Switch(config-cpu-traffic-protect)# trace threshold 10

Связанные команды

Нет

Назначение

Команда trace timeout используется для настройки таймаута устаревания отслеживания.

Команда no trace timeout используется для установки таймаута устаревания по умолчанию.

Требования

Синтаксис

trace timeout AGING-TIMEOUT

no trace timeout

Режим ввода

CPU traiffic Protect Configuration

Состояние по умолчанию

Тайм-аут отслеживания по умолчанию для ARP: 300 с.

Применение

Нет

Примеры

В примере ниже показано, как настроить таймаут отслеживания атак на 400 секунд:

Switch# configure terminal
Switch(config)# cpu-traffic-protect arp
Switch(config-cpu-traffic-protect)# trace timeout 400

Связанные команды

Нет

Назначение

Команда trace action используется для настройки действия при обнаружении атаки.

Команда trace action используется для установки действия по умолчанию.

Требования

Синтаксис

trace action deny (recover time RECOVER-TIME| )

no trace action

Режим ввода

CPU traiffic Protect Configuration

Состояние по умолчанию

300

Применение

Используется только для защиты DHCP-трафика, по умолчанию запрещает DHCP-пакеты и восстанавливается через 300 с.

Примеры

В примере ниже показано, как настроить время восстановления действия при обнаружении атаки на 600 с:

Switch# configure terminal
Switch(config)# cpu-traffic-protect dhcp
Switch(config-cpu-traffic-protect)# trace action deny recover time 600

Связанные команды

cpu-traffic-protect manual recover dhcp

Назначение

Команда trace protect delay-time используется для настройки времени задержки защиты отслеживания.

Команда no trace protect delay-time используется для установки времени задержки защиты по умолчанию.

Требования

Синтаксис

trace protect delay-time DELAY-TIME

no trace delay-time

Режим ввода

Сpu-traffic-protect dhcp

Состояние по умолчанию

10

Применение

Используется только для защиты трафика CPU от DHCP. Защита включается только после непрерывной длительной DHCP-атаки.

Примеры

В примере ниже показано, как настроить время задержки защиты от атак на 15 сек:

Switch# configure terminal
Switch(config)# cpu-traffic-protect dhcp
Switch(config-cpu-traffic-protect)# trace protect delay-time 15

Связанные команды

Нет

Назначение

Команда apply access-list используется для настройки правил фильтра защиты ARP.

Команда no apply access-list используется для отключения правил.

Требования

Синтаксис

apply access-list NAME (mode (blacklist|whitelist(rate RATE| ))| )

no apply access-list ACL-NAME

Режим ввода

CPU traiffic Protect Configuration

Состояние по умолчанию

Скорость: 32 пакета/сек, режим черного списка.

Применение

Скорость рассчитывается с использованием пакета размером 64 байта.

Примеры

В примере ниже показано, как настроить правила фильтрации ARP-защиты с помощью списка “ACL 2” и установить режим белого списка и скорость 64 пакета/сек:

Switch# configure terminal
Switch(config)# cpu-traffic-protect arp
Switch(config-cpu-traffic-protect)# apply access-list 2 mode whitelist rate 64

Связанные команды

Нет

Назначение

Команда cpu-traffic-protect manual recover dhcp используется для ручного восстановления DHCP на портах, на которые наложена защита трафика CPU.

Требования

Синтаксис

cpu-traffic-protect manual recover dhcp (interface (IFPHYSICAL|IFAGG|IFVLAN)|all )

Режим ввода

Privileged EXEC

Состояние по умолчанию

Нет

Применение

Нет

Примеры

В примере ниже показано, как вручную восстановить DHCP на порте “eth-0-1”:

Switch# cpu-traffic-protect manual recover dhcp interface eth-0-1

Связанные команды

trace action

Назначение

Команда show cpu traffic-protect dhcp recover table используется для вывода защищенных интерфейсов и времени восстановления протокола DHCP.

Требования

Синтаксис

show cpu traffic-protect dhcp recover table

Режим ввода

Privileged EXEC

Состояние по умолчанию

Нет

Применение

Нет

Примеры

В примере ниже показано, как вывести защищенные интерфейсы:

Switch# show cpu traffic-protect dhcp recover table
Dhcp Recover State Table:
------------------------------------------------------------------------
Interface RecoverTime(s)
------------------------------------------------------------------------
eth-0-1 30
------------------------------------------------------------------------
Total: 1

Связанные команды

trace protect delay-time

Назначение

Команда show cpu traffic-protect trace используется для отображения информации об атаке.

Требования

Синтаксис

show cpu traffic-protect (arp|dhcp) trace (history| )

Режим ввода

Privileged EXEC

Состояние по умолчанию

Нет

Применение

Нет

Примеры

В примере ниже показано, как вывести информацию об ARP-атаках:

Switch# show cpu traffic-protect arp trace
Attack Source User Table :
------------------------------------------------------------------------
MacAddress Interface Vlan:O/I AttackTime TotalPackets
------------------------------------------------------------------------
0000.0b00.0200 eth-0-3 - 2023-01-02 15:18:21 1712
------------------------------------------------------------------------
Total: 1
Attack Source Port Table :
------------------------------------------------------------------------
Interface Vlan:O/I AttackTime TotalPackets
------------------------------------------------------------------------
------------------------------------------------------------------------
Total: 0
Attack Sender IP Table :
| ------------------------------------------------------------------------
IPAddress AttackTime TotalPackets
------------------------------------------------------------------------
1.2.3.4 2023-01-02 15:21:24 184
------------------------------------------------------------------------
Total: 1
Attack Target IP Table :
------------------------------------------------------------------------
IPAddress AttackTime TotalPackets
------------------------------------------------------------------------
4.3.2.1 2023-01-02 15:21:24 184
------------------------------------------------------------------------
Total: 1

Связанные команды

clear cpu traffic-protect trace

Назначение

Команда show cpu traffic-protect trace config используется для вывода информации о настройках отслеживания атак.

Требования

Синтаксис

show cpu traffic-protect (arp|dhcp) trace config

Режим ввода

Privileged EXEC

Состояние по умолчанию

Нет

Применение

Нет

Примеры

В примере ниже показано, как вывести информацию о настройках защиты от ARP-атак:

Switch# show cpu traffic-protect arp trace config
Trace arp configuration:
Reason :16
Enable :1
Mode :0x1
Sample :18
Threshold :35
Aging timeout :300

Связанные команды

Нет

Назначение

Команда clear cpu traffic-protect trace используется для очистки истории отслеживания атак.

Требования

Синтаксис

clear cpu traffic-protect (arp|dhcp) trace (history| )

Режим ввода

Privileged EXEC

Состояние по умолчанию

Нет

Применение

Нет

Примеры

В примере ниже показано, как очистить историю отслеживания ARP-атак:

Switch# clear cpu traffic-protect arp trace history

Связанные команды

Нет