提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
cpu-defend
前言
设备的软件CPU处理速度有限,为了防止过多的报文拥塞处理,所以需要配置cpu-denfend命令来对协议报文的上传速率进行限制而确保协议报文的优先处理
一、cpu-defend是什么?
cpu-defend是一种修改设备CPU处理速率和协议报文队列的模板
二、测试技巧
1.持续打含有防攻击参数的协议流,观察设备回包是否匹配防攻击模板速率
2.保存配置重启,持续打含有防攻击参数的协议流,观察设备回包是否匹配防攻击模板速率
3.配置队列优先级及pps值,持续打含有防攻击参数的协议流,观察若超过设备极限CPU处理速度需按照wrr队列分权比重进行划分流
假设设备CPU处理速度为220pps,配置cpu模板,icmp队列为1,tcp队列为4,权重比例为1:4,则存在以下测试用例
当两个流都打200pps,加起来400>220,则需要对该流量比例进行划分,icmp的收包率应该是220×1÷5=44,tcp的收包率应该是220×4÷5=176(该权重比例假设和队列一致情况下)
当icmp流pps为150,tcp的流为100,加起来250>220,则需要对该流量比例进行划分,250-220=30,4x30÷5=24,150-24=126,100-(30-24)=94.则结果为icmp的协议流为126,tcp的流为94
当tcp流为150,icmp的流为100,加起来250>220,则需要对该流量进行划分,250-220=30,4x30÷5=24,150-(30-24)=144、100-24=76
则结果为icmp的协议流为76,tcp的流为144
当tcp流为100,icmp的流为100,加起来200<220,则不需要对该流量进行权重比例划分,各自速率仍为原值
总结
cpu防攻击常见测试着重点就两个,一个是速率限制,一个是队列权重。