漏桶问题的处理与预防措施

开篇：润墨网以专业的文秘视角，为您筛选了一篇漏桶问题的处理与预防措施范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

【摘要】 通过漏桶上送的报文一般都是与网关有交互，根据实际情况，考虑配置以下漏桶，对丢弃频繁的漏桶进行限流配置。

【关键词】 漏桶 攻击 配置

一、引言

松原局s8016设备曾被病毒恶意攻击过，经过认真核实，访问列表等都已经设置了，但是CPU的占用率为100%，这显然是不正常的现象，为了有效遏制病毒攻击，我们及时与华为工程师沟通，采取了有效的措施及时地进行障碍诊断处理，对该设备的漏桶进行重新设置。因为通过漏桶上传的报文一般都是与网关有交互，需要到MPU处理的协议报文或者ping网关及telnet、FTP等报文，根据实际情况，考虑配置以下漏桶，对丢弃频繁的漏桶进行限流配置。

二、故障现象描述：

首先查看漏桶：

[8016]display system-bucket 1

****Token information****

#The slot number： 1 /*板号*/

#The token ID： 1 /*漏桶号*/

The time of the last packets arrive：36403113 /*上次报文到来的时间ms*/

The number of present tokens： 32716 /*当前剩余的令牌*/

The traffic rate of the token： 32K /*漏桶通道大小*/

The height of the token bucket：32768 /*漏桶深度*/

The number of the discarded packets： 0 /*丢弃报文数*/

三、障碍处理过程

根据网上设备运行经验：如果单板ARP数小于100个，则漏桶可以配置为2K；如果单板的ARP数小于500个，对于ARP攻击建议将漏桶配置成4K；如果大于500个，建议漏桶配置值为8K。通过上述的配置，在一般情况或者攻击很少的情况对正常业务影响不大。具体配置如下：

apply system-bucket 1 22 traffic-rate 4/*将1号板的22号漏桶ARP配置为4K*/每个漏桶的报文类型可以通过？命令查看“display system-bucket ？”

display system-bucket 7 ？

1 Default bucket，any packet not list here use this bucket

缺省类型，也就是表中没有列出的其他类型报文都公用这一个桶

2 ARP Miss message，use it to form ARP entry

ARP MISS 消息（请求下一跳的ARP）

3 FIB Miss Message，use it to form host route entry

FIB MISS消息（扫描网段时经常发生，上送触发ARP请求）

4 PPP protocol control frame

PPP控制报文

5 Packet MFIB Miss ，use it to form （S，G） route

组播路由MISS后导致的上送消息

6 ARP response packet

回应S8016的ARP应答报文

8 ISIS protocol packet

ISIS报文

9 IP multicast packet which destIP address is 224.0.0.2（used by IGMP， LDP

etc）

224.0.0.2：所有组播路由器，应用的协议：IGMP、LDP

10 IP multicast packet which destIP address is 224.0.0.5（used by OSPF） 224.0.0.5：OSPF路由器

11 IP multicast packet which destIP address is 224.0.0.6（used by OSPF） 224.0.0.6：OSPF指定路由器

12 IP multicast packet which destIP address is 224.0.0.9（used by RIP2） 224.0.0.9：RIP2路由器

14 IP multicast packet which destIP address is 224.0.0.13（used by PIM）

15 Other IP multicast packet which destIP address is in

224.0.0.0-224.0.0.255（excluded.2 .5 .6 .9 .10 .13 .18）

其他组播报文应用不多，本参数应该可以满足

16 HGMP protocol packet

HGMP报文上送

17 GVRP protocol packet

GVRP报文上送

19 BPDU protocol packet

BPDU报文上送

21 Packet length exceed MTU and DF flag is set，it is used by host to discover the MTU in the route

MTU超值且DF置位上送

22 ARP request packet send by all the host，use it to learning host route

ARP 请求报文，一般用户发出或者下级设备发出

23 DHCP protocol packet

DHCP报文

24 Arp request packet witch destIP is in NAT pool

NAT地址池的ARP请求报文，应用很少

25 Register packet used in PIM SIM protocol

组播注册报文

27 Packet which destIP is ip address of gateway， exclude ICMP and TCP

目的地址为网关的报文，不报括ICMP和TCP，通常为UDP报文等

28 ICMP request packet witch destIP is webswitch’s VIP

和CLPU板相关，应用很少

30 IP multicast packet which destIP address is 224.0.0.18（used by VRRP） VRRP组播报文，如果有VRRP配置时会有

31 ICMP packet which destIP is ip address of gateway， for example， ping packet

目的地址为网关的ICMP报文，典型的为ping

32 TCP packet which destIP is ip address of gateway， for example， FTP， BGP peer， LDP session

目的地址为网关的的TCP报文，如果没有BGP和LDP，注意此漏桶的攻击，默认带宽较大，有256K

33 RIP1 protocol packet

RIP协议报文

A：想查看8016的CPU占用率，只需要在系统视图下输入display cpu命令。

四、故障总结

通过本次故障处理，让我更进一步了解了S8016的性能，掌握了交换机受攻击的处理流程，学习到了以前不了解的知识，在今后的维护工作中一定会有所帮助。