大象流攻击

1.1.7  attack-defense cpu-core action

attack-defense cpu-core action命令用来配置CPU核的攻击防范动作。

undo attack-defense cpu-core action命令用来恢复缺省情况。

【命令】

attack-defense cpu-core action { drop | isolate | per-packet-balance }

undo attack-defense cpu-core action

【缺省情况】

CPU核的攻击防范动作为丢弃。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

drop：配置动作为丢弃。当某CPU核受到攻击时，驱动会将后续上送此CPU核的报文直接丢弃。

isolate：配置动作为隔离。当某CPU核受到攻击时，驱动会识别出当前消耗CPU最多的一条流量，然后将此条流量后续上送此CPU核的报文放在驱动隔离队列，降低这些报文被处理的优先级。此参数同一时间只能对一条流量起作用。

per-packet-balance：配置动作为逐包负载分担。当某CPU核受到攻击时，驱动会将后续上送此CPU核的所有报文逐包负载分担给其他CPU核进行处理。

【配置指导】

当某CPU核的利用率达到攻击防范阈值（通过context-capability inbound unicast total命令配置），并且驱动公共队列已满，系统则认为该CPU核受到了攻击。这时，系统将按照配置的单核CPU攻击防范动作对报文进行相应的处理。其动作包括如下四种：

·     丢弃：当某CPU核受到攻击时，此CPU核将按照CPU最高主频的百分比的能力进行处理报文，超出此处理能力的报文将被驱动直接丢弃，以达到将此CPU核利用率降低至阈值以下的目的。当某CPU核受到攻击时，此方式也会对正常业务处理产生一定的影响。

·     逐包负载分担：当某CPU核受到攻击时，此CPU核将按照CPU最高主频的百分比的能力进行处理报文，超出此处理能力的报文将会被驱动逐包负载分担给其他CPU核进行处理。此方式在一定程度上可以保证业务的正常处理，同时也有导致其他CPU核被攻击的风险。

·     隔离：当某CPU核受到攻击时，驱动会识别出当前消耗CPU最多的一条流量，然后将此条流量后续上送此CPU核的报文放在驱动隔离队列，降低这些报文被处理的优先级。当驱动公共队列中没有需要待处理的报文后，再将驱动隔离队列中的报文上送此CPU核继续处理，在一定程度上可以保证业务的正常处理。但是因为驱动公共队列中的报文仍会被分配到此CPU核进行处理，所以此种方式不利于降低此CPU核的利用率。

有关context-capability inbound unicast total命令详细介绍，请参见“虚拟化技术命令参考”中的“Context”。

【举例】

# 配置CPU核的攻击防范动作为逐包负载分担。

<Sysname> system-view

[Sysname] attack-defense cpu-core action per-packet-balance

【相关命令】

·     context-capability inbound unicast total（虚拟化技术命令参考/Context）

·     display attack-defense cpu-core flow info