锐捷交换机——安全功能:NFPP

最新推荐文章于 2023-12-07 08:34:58 发布
最新推荐文章于 2023-12-07 08:34:58 发布
阅读量2.1k 收藏 5
点赞数 1
分类专栏: 锐捷网络 文章标签: 安全 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57099902/article/details/133751414
版权
文章详细介绍了NFPP在网络中的应用场景、功能特性,特别是针对ARP-Guard和IP-Guard的配置要点,以及如何根据网络规模调整参数以防止攻击占用CPU资源。还提供了实际的配置案例,包括如何在核心和接入设备上配置NFPP以保证网络稳定性。
摘要由CSDN通过智能技术生成

目录

Ⅰ  NFPP应用场景和功能介绍

Ⅱ  NFPP配置案例

 

Ⅰ  NFPP应用场景和功能介绍

应用场景:

      NFPP作为保护交换机自身CPU不受攻击,不能替代防范ARP欺骗相关的安全功能,设备缺省支持并打开NFPP,建议保留开启并适当调整。

      调整原则:

       1、在接入设备上,通常无需调整,因为非网关设备,没有配置网关IP地址也不会运行一些复杂路由,管理协议等,无需额外消耗CPU,所以很少会遭受攻击。

2、在汇聚设备上,默认的基于端口的限速100PPS/攻击200 PPS阈值偏小,当端口下用户较多,ARP攻击较多时,可能导致用户正常的ARP报文丢弃,导致用户端丢包,需要放大。经验值调整为每端口限速500PPS/攻击800PPS较为合理,其他基于IP/MAC的限速攻击检测无需调整。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
你可知这世上再难遇我
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
锐捷交换机——安全功能:CPP
君逍遥o
10-10 553
现场一台S5750E交换机与S8606交换机通过三层口互联,发现S8606交换机ping S5750E 18024字节的包,发现规律性丢包(ping1000个包大概丢3个),目前关闭两台交换机NFPP的ICMP-Guard功能依然出现这样的情况,后通过确认是S5750E的CPP保护导致丢包,现需要对S5750E交换机的CPP中的ICMP PPS值进行调整。
锐捷NFPP功能配置
11-19
锐捷NFPP功能,基于端口的,基于MAC的,基于IP的。
锐捷 NFPP
vx XIxi_AL
11-18 5534
NFPP作为保护交换机自身CPU不受攻击,不能替代防范ARP欺骗相关的安全功能,设备缺省支持并打开 NFPP,建议保留开启并适当调整。 调整原则: 1、在接入设备上,通常无需调整,因为非网关设备,没有配置网关IP地址也不会运行一些复杂路由, 管理协议等,无需额外消耗CPU,所以很少会遭受攻击。 2、在汇聚设备上,默认的基于端口的限速100PPS/攻击200 PPS阈值偏小,当端口下用户较多,ARP攻 击较多时,可能导致用户正常的ARP报文丢弃,导致用户端丢包,需要放大。经验值调整为每.
ARPGuard:android平台,ARP防护软件
06-25
ARPGuard android平台,ARP防护软件。 吐嘈: 让你用P2P终结者断我网!!!
锐捷交换机常用功能配置案例集(V1.0).zip
03-25
本资源"锐捷交换机常用功能配置案例集(V1.0).zip"显然是一个关于锐捷交换机配置的实践指南,包含了多个实际操作中的配置案例,旨在帮助用户更好地理解和掌握锐捷交换机的日常管理和维护。 在配置锐捷交换机时,...
锐捷交换机配置模版
02-25
### 锐捷交换机配置模版解析 ...通过对这些命令的理解和应用,网络管理员可以实现对锐捷交换机的有效管理和控制,确保网络环境的安全性和高效运行。这些配置对于构建稳定、可靠的网络基础设施至关重要。
python 华为锐捷交换机备份.zip
06-02
本文将围绕"Python 脚本 交换机备份"这一主题,详细讲解如何使用Python编写脚本来实现华为和锐捷交换机的配置备份。 首先,我们要理解交换机配置文件备份的重要性。当设备出现故障或需要进行升级时,拥有备份的配置...
锐捷交换机产品典型配置案例集V2.0
07-30
本文档适用于锐捷以下交换机系列产品: S20系列(包括RG-S2026F、RG-S2026G、RG-S2052G) S23系列(包括RG-S2328G、RG-S2352G) S2300G-P系列(包括RG-S2312G-P、RG-S2320G-P) S26系列(包括RG-S2628G、RG-S2652G...
\ARPGuard防火墙
04-23
ip防护,防火墙,攻击检测,ip绑定 手动绑定,局域网ip绑定,防止ip攻击
锐捷交换机安装配置命令行以及升级固件合集
07-23
教程名称:锐捷交换机安装配置命令行以及升级固件合集       课程目录: 【】RG 锐捷版实验手册(锐捷路由及交换) 【】交换机配置手册(锐捷) 【】锐捷RG-S3760-24交换机配置手册...
物理安全配置
最新发布
weixin_55444377的博客
12-07 128
为了防止大量网关发送的正常的相关报文(特别是网关发送的ARP请求或回应报文)被接入交换机误认为是攻击被丢弃,从而导致下联用户无法获取网关的ARP信息而无法上网,需要将上联口的NFPP功能关闭。默认交换机NFPP功能是开启的,二层交换机参数无需调整,只需将上联口NFPP关闭,同时由于开启了DAI的原因,需要调整放大CPP。半衰期为30秒,解除抑制时间为1500秒,开始抑制门限为10000,最长抑制时间为 100 秒。关闭接口的ARP-guard功能,关闭该功能后,该接口进入的数据报文不进行NFPP检测。
计算机网络——网络防护
WallisEdward的博客
09-09 768
端口攻击 通过攻击程序,来攻陷网卡再进入操作系统,即通过网络端口进入操作系统 端口起到保护系统的作用,也是所有服务进程的入口。 服务端口可分为3大类 (1)公认端口(WellKnown Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。 (2)注册端口(RegisteredPorts):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。 (3)动态和/或私有端口(Dynamic and/or P
锐捷交换机部署snooping+DAI功能
cheems404的博客
11-12 3837
Ruijie(config)#ip dhcp snooping #开启DHCP snooping功能 Ruijie(config)#ip arp inspection vlan 1 #针对VLAN1中的用户启用DAI(arp防御)
总公司路由排错?
weixin_34351321的博客
05-21 361
------------------------------------ == 在交换机和路由器中, 要清除 设备上的 某些功能 配置的命令: 是 clear, 但是 模式是在 特权模式下: sw# clear nfpp -------------------------------------== mac地址供48bit, 其中一半即24位是厂商的mac地址编号, 即6位H16进制数. 如锐捷的...
神州数码基础知识配置总结
weixin_43822708的博客
11-30 6662
神州数码命令总结
ARP协议的缺陷及ARP欺骗的防范――兼谈ARPGuard的工作原理
FreeXploiT
01-09 3725
ARP协议的缺陷及ARP欺骗的防范――兼谈ARPGuard的工作原理by wawahaha一、ARP协议工作原理 在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址(物理地址)寻址的。因此,必须建立IP地址与MAC地址之间的对应(映射)关系,ARP协议就是为完成这个工作而设计的。 TCP/IP协议栈维护着一个ARP cache
*Jul 10 12:52:51: %NFPP_ARP_GUARD-4-SCAN: Host<IP=172.16.108.7,MAC=c809.a84b.854d,port=Gi0/1,VLAN=108> was detected.(2023-7-10 12:52:51)
07-12
您好!您的问题是关于网络安全方面的告警信息。根据提供的信息,我们可以看到在2023年7月10日12点52分51秒,检测到了一个名为 "Host" 的主机,该主机的IP地址为172.16.108.7,MAC地址为c809.a84b.854d,连接的端口为Gi0/1,所属的VLAN为108。这个告警信息表明该主机可能存在安全风险或异常行为,需要进一步的调查和处理。如果您有其他相关问题,请随时提问!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你可知这世上再难遇我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值