H3C 75E交换机SA单板传输SSH及ICMP报文慢问题的解决方法

H3C S75E交换机SA单板传输SSH/SCP及ICMP报文慢问题的解决方法

SA单板在传输SCP协议报文及传输ICMP报文时其速率比较慢，原因是SA单板为防止网络中有人利用SSH 及ICMP报文对设备进行攻击，从而对相应的报文进行了硬件限速。

可以通过以下方法放开SA单板该类报文的硬件限速，不过存在安全隐患。取消硬件限速后设备对于ssh之类的攻击不会再有硬件car的防护，如果遭到类似的攻击，设备cpu会持续高。

实际中如遇到SA的该问题，首选的方式更换SA单板为SC等其他类型的单板。

下面以R6635版本关闭对ICMP报文的限速为例说明具体过程：

1、查看4槽位SA单板上ICMP报文对应的协议index号：

dis qos policy control-plane pre-defined slot 4

===================================================================

 Pre-defined Control-plane Policy Slot 4

-------------------------------------------------------------------

  Index |   PacketType              |  Priority  |  BandWidth(Kbps)

-------------------------------------------------------------------

  1          ISIS                         5           512

  16         IPV4_IGMP                    3           512

  29         ARP                          2           256

  30         ARP_REPLY                    3           256

  35         DOT1X                        2           128

  36         STP                          6           256

  37         LACP                         6           64

  38         GVRP                         3           256

  41         ICMP                         1           512

  53         LLDP                         4           64

  54         DLDP                         4           64

  61         TELNET/SSH                   1           512

  77         IPV6_TELNET/SSH              1           512

  106        IPV6_CPUDST_CAR              3           256

================================================================

2、通过MQC方式配置QOS，对ICMP报文的限速改为2Mbps。

[H3C]traffic classifier copp

[H3C-classifier-copp]if-match system-index 41

[H3C]traffic behavior copp

[H3C-behavior-copp]car cir 2048

[H3C]qos policy copp

[H3C-qospolicy-copp]classifier copp behavior copp

3、在4槽位SA单板上下发该QOS是限速生效。

[H3C]control-plane slot 4

[H3C-cp-slot4]qos apply policy copp inbound

4、查看配置结果

dis qos policy control-plane pre-defined slot 4

===================================================================

 Pre-defined Control-plane Policy Slot 4

-------------------------------------------------------------------

  Index |   PacketType              |  Priority  |  BandWidth(Kbps)

-------------------------------------------------------------------

  1          ISIS                         5           512

  16         IPV4_IGMP                    3           512

  29         ARP                          2           256

  30         ARP_REPLY                    3           256

  35         DOT1X                        2           128

  36         STP                          6           256

  37         LACP                         6           64

  38         GVRP                         3           256

  41         ICMP                         1           2048

  53         LLDP                         4           64

  54         DLDP                         4           64

  61         TELNET/SSH                   1           512

  77         IPV6_TELNET/SSH              1           512

  106        IPV6_CPUDST_CAR              3           256

================================================================

说明：R6635版本才支持通过该方式关闭对ssh的限速，R661x系列版本支持通过该方式配置ICMP的限速。