1. 步骤一 -- 调整CPU保护机制中ARP阈值500pps
Ruijie(config)# cpu-protect type arp bandwidth 500
默认交换机的NFPP功能是开启的,二层交换机参数无需调整,只需将上联口NFPP关闭,同时由于开启了DAI的原因,需要调整放大CPP。如果没有使用DAI,CPP也无需调整。
2. 步骤二 -- 关闭上联口的NFPP功能的ARP检测
Ruijie(config)# int g0/1
Ruijie(config-if-GigabitEthernet 0/1)# no nfpp arp-guard enable
为了防止大量网关发送的正常的相关报文(特别是网关发送的ARP请求或回应报文)被接入交换机误认为是攻击被丢弃,从而导致下联用户无法获取网关的ARP信息而无法上网,需要将上联口的NFPP功能关闭
关闭接口的ARP-guard功能,关闭该功能后,该接口进入的数据报文不进行NFPP检测
还有的数据包类型dhcp-guard dhcpv6-guard icmp-guard ip-guard nd-guard
要求关闭上联口的NFPP功能。那就全关一遍,猜的
3. 步骤三 -- 全局设置NFPP日志缓存容量为1024
Ruijie(config)#nfpp
Ruijie(config-nfpp)#log-buffer entries 1024
设置NFPP log缓存的容量为1024条(默认256)
4. 步骤四 -- 打印相同log的阈值为300s
Ruijie(config)#nfpp
Ruijie(config-nfpp)#log-buffer logs 1 interval 300
调整log打印频率为300S打印1次
5. 步骤五 -- 接口开启 IP 事件惩罚
半衰期为30秒,解除抑制时间为1500秒,开始抑制门限为10000,最长抑制时间为 100 秒。
Ruijie(config)#interface VLAN 10
Ruijie(config-if-VLAN 10)#no ip proxy-arp
Ruijie(config-if-VLAN 10)#dampening 30 1500 10000 100