рдпрд╣ рд▓реЗрдЦ Huawei NE Series рд░реВрдЯрд░реНрд╕ рдХреЗ рдХрдВрдЯреНрд░реЛрд▓ рдкреНрд▓реЗрди рдХреЗ рд╕реБрд░рдХреНрд╖рд╛ рдкрд╣рд▓реБрдУрдВ рдкрд░ рдЪрд░реНрдЪрд╛ рдХрд░рддрд╛ рд╣реИред NE40e рдХреЗ рд▓рд┐рдП рдЙрджрд╛рд╣рд░рдг рджрд┐рдП рдЧрдП рд╣реИрдВ, рд╕реЙрдлреНрдЯрд╡реЗрдпрд░ рдХреЗ рд╕рд╛рде: рд╡реАрдЖрд░рдкреА V800R008ред рдЕрдиреНрдп рдкреНрд░рдХрд╛рд░ рдХреЗ рд░рд╛рдЙрдЯрд░ (рдЬреИрд╕реЗ NE5k) рдФрд░ рдПрдХ рдЕрд▓рдЧ рд╕реЙрдлреНрдЯрд╡реЗрдпрд░ рд╕рдВрд╕реНрдХрд░рдг рдХреЗ рд╕рд╛рде, рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдереЛрдбрд╝рд╛ рднрд┐рдиреНрди рд╣реЛ рд╕рдХрддрд╛ рд╣реИред
рдЗрд╕ рдореБрджреНрджреЗ рдХреЗ рдЕрдзрд┐рдХ рд╡рд┐рд╕реНрддреГрдд рдЕрдзреНрдпрдпрди рдХреЗ рд▓рд┐рдП, рдореИрдВ рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛ RFC 6192 (рд░рд╛рдЙрдЯрд░ рдХрдВрдЯреНрд░реЛрд▓ рдкреНрд▓реЗрди рдХреА рд╕реБрд░рдХреНрд╖рд╛) рд╕реЗ рдЦреБрдж рдХреЛ рдкрд░рд┐рдЪрд┐рдд рдХрд░ рд╕рдХрддрд╛ рд╣реВрдВред
рд╡реАрдЖрд░рдкреА рдореЗрдВ, рд░рд╛рдЙрдЯрд░ рдХреЗ рдирд┐рдпрдВрддреНрд░рдг рд╡рд┐рдорд╛рди рдХрд╛ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рдирд┐рджрд╛рди рдФрд░ рд╕реБрд░рдХреНрд╖рд╛ рдХрд░рдиреЗ рдХреЗ рдХрдИ рддрд░реАрдХреЗ рд╣реИрдВред рд╣рд╛рд▓рд╛рдВрдХрд┐, рджрд╕реНрддрд╛рд╡реЗрдЬрд╝реАрдХрд░рдг рдХреА рдХрдореА рдФрд░ рдЕрд╕реНрдкрд╖реНрдЯрддрд╛ рдХреЛ рджреЗрдЦрддреЗ рд╣реБрдП, рдореЗрд░рд╛ рд╕реБрдЭрд╛рд╡ рд╣реИ рдХрд┐ рдЖрдк рдЕрднреА рднреА рд╕реБрд░рдХреНрд╖рд╛ рдХреЗ рдкрд╛рд░рдВрдкрд░рд┐рдХ рддрд░реАрдХреЗ рдХрд╛ рдкрд╛рд▓рди рдХрд░реЗрдВ: рдЖрд╡рд╢реНрдпрдХ рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдФрд░ рд╕реЗрд╡рд╛рдУрдВ рдХреЗ рд▓рд┐рдП рд╕рдлреЗрдж рд╕реВрдЪреА рдмрдирд╛рдирд╛ рдФрд░ рдмрд╛рдХреА рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреЛ рдмрдВрдж рдХрд░рдирд╛ред
рдореБрдЦреНрдп рдиреАрддрд┐ рдЕрдиреБрднрд╛рдЧ рдЗрд╕ рдкреНрд░рдХрд╛рд░ рд╣реИ:
cpu-defend policy 1 process-sequence whitelist user-defined-flow blacklist cp-acl ip-pool enable whitelist disable blacklist acl 3900 blacklist ipv6 acl 3950 application-apperceive disable ip urpf loose
рдкреНрд░рдХреНрд░рд┐рдпрд╛-рдЕрдиреБрдХреНрд░рдо рдиреАрддрд┐ рдХреЗ рдЕрдиреБрдХреНрд░рдо рдХреЛ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд░рддрд╛ рд╣реИ: рд╕рдлреЗрдж рд╕реВрдЪреА (рдЬреЛ рд╣рдорд╛рд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ рдмрдВрдж рд╣реИ), рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛-рдкрд░рд┐рднрд╛рд╖рд┐рдд-рдкреНрд░рд╡рд╛рд╣, рдХрд╛рд▓реА рд╕реВрдЪреА (IPv4 рдХреЗ рд▓рд┐рдП рдирд┐рдпрдо 3900 рдФрд░ IPv6 рдХреЗ рд▓рд┐рдП 3950)ред
рдпрд╣ рджреЗрдЦрддреЗ рд╣реБрдП рдХрд┐ рд╣рдо рдЕрдиреБрдордд рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рд╕реНрд╡рдпрдВ рдирд┐рд░реНрдзрд╛рд░рд┐рдд рдХрд░реЗрдВрдЧреЗ, рд╢реЗрд╖ рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреЛ рдПрдХ рдмреНрд▓реИрдХрд▓рд┐рд╕реНрдЯ рджреНрд╡рд╛рд░рд╛ рдлрд╝рд┐рд▓реНрдЯрд░ рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ - рдЗрд╕рдХреЗ рд▓рд┐рдП рдПрдкреНрд▓рд┐рдХреЗрд╢рди-рдПрдкрд░рд┐рд╕рд┐рд╡ рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХреА рдХреЛрдИ рдЖрд╡рд╢реНрдпрдХрддрд╛ рдирд╣реАрдВ рд╣реИред
URPf (Unicast Reverse Path Forwarding) рддрдВрддреНрд░ рдПрдХ рд░реВрдврд╝рд┐рд╡рд╛рджреА рдвреАрд▓реЗ рд╕реНрддрд░ рдкрд░ рд╕рдХреНрд╖рдо рд╣реИред
IPv4 рдФрд░ IPv6 рдХреЗ рд▓рд┐рдП рдмреНрд▓реИрдХ рд▓рд┐рд╕реНрдЯ рдЗрд╕ рдкреНрд░рдХрд╛рд░ рд╣реИрдВ:
acl number 3900 description --- ACL For IPv4 Discard --- rule 5 deny tcp rule 10 deny udp rule 15 deny ip # acl ipv6 number 3950 description --- ACL For IPv6 Discard --- rule 5 deny tcp rule 10 deny udp rule 15 deny ipv6
рдкреЙрд▓рд┐рд╕реА рдХреЛ рдкреНрд░рддреНрдпреЗрдХ рд╕реНрд▓реЙрдЯ рдкрд░ рд▓рд╛рдЧреВ рдХрд┐рдпрд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдП:
slot 1 cpu-defend-policy 1 # slot 2 cpu-defend-policy 1 тАж
рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ, рдирд┐рдореНрди рд╕реБрд░рдХреНрд╖рд╛ рддрдВрддреНрд░ рд╕рдХреНрд╖рдо рд╣реИрдВ:
udp-packet-defend enable fragment-flood enable abnormal-packet-defend enable tcpsyn-flood enable attack-source-trace enable
рдпрд╣ рдЕрдиреБрд╢рдВрд╕рд╛ рдХреА рдЬрд╛рддреА рд╣реИ рдХрд┐ рдЖрдк рдорд╛-рдмрдЪрд╛рд╡ рдЕрдиреБрднрд╛рдЧ рдореЗрдВ рд╕рднреА рдЕрдкреНрд░рдпреБрдХреНрдд рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдФрд░ рд╕реЗрд╡рд╛рдУрдВ рдХреЛ рдмрдВрдж рдХрд░ рджреЗрдВред рдЗрд╕ рд╡рд┐рдХрд▓реНрдк рдХреЛ рд╡рд┐рд╢реНрд╡ рд╕реНрддрд░ рдкрд░ рдФрд░ рд╕реНрд▓реЙрдЯреНрд╕ рджреЛрдиреЛрдВ рджреНрд╡рд╛рд░рд╛ рд╕рдХреНрд╖рдо рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП:
system-view ma-defend global-policy protocol OSPF deny protocol RIP deny
рдпрд╛
system-view ma-defend slot-policy 1 protocol тАж deny
рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛-рдкрд░рд┐рднрд╛рд╖рд┐рдд рдиреАрддрд┐ рдХрд╛ рд╡рд░реНрдгрди рдХрд░рддрд╛ рд╣реИред рд╕рд╛рдорд╛рдиреНрдп рдирд┐рдпрдореЛрдВ рдХрд╛ рд╕рд╛рд░ рдиреАрдЪреЗ рджреА рдЧрдИ рддрд╛рд▓рд┐рдХрд╛ рдореЗрдВ рджрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рдЧрддрд┐ / рдкреНрд░рд╛рдердорд┐рдХрддрд╛ рдХреЗ рдорд╛рдиреЛрдВ рдХреЛ рдПрдХ рдЙрджрд╛рд╣рд░рдг рдХреЗ рд░реВрдк рдореЗрдВ рдЗрдВрдЧрд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рдФрд░ "рдЕрдВрддрд┐рдо рд╕рддреНрдп" рд╣реЛрдиреЗ рдХрд╛ рджрд╛рд╡рд╛ рдирд╣реАрдВ рдХрд░рддреЗ рд╣реИрдВред рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛-рдкрд░рд┐рднрд╛рд╖рд┐рдд рдиреАрддрд┐ рдореЗрдВ рддрддреНрд╡реЛрдВ рдХреА рдЕрдзрд┐рдХрддрдо рд╕рдВрдЦреНрдпрд╛ 64 рд╣реИред
| рдпрд╛рддрд╛рдпрд╛рдд рдХрд╛ рдкреНрд░рдХрд╛рд░ | рдЧрддрд┐ | рдкреНрд░рд╛рдердорд┐рдХрддрд╛ | рдирд┐рдпрдо рд╕рдВрдЦреНрдпрд╛ |
|---|
| BGP | 1 рдПрдордмреА / рдПрд╕ | рдЙрдЪреНрдЪ | 3901 |
| рдПрд▓рдбреАрдкреА | 1 рдПрдордмреА / рдПрд╕ | рдЙрдЪреНрдЪ | 3902 |
| IS-IS | рдПрди \ _ рдП | рдПрди \ _ рдП | рдПрди \ _ рдП |
| VRRP | 1 рдПрдордмреА / рдПрд╕ | рдЙрдЪреНрдЪ | 3904 |
| BFD | 1 рдПрдордмреА / рдПрд╕ | рдЙрдЪреНрдЪ | 3905 |
| MCAST | 1 рдПрдордмреА / рдПрд╕ | рдЙрдЪреНрдЪ | 3906 |
| SSH | 512 рдХреЗрдмреА / рдПрд╕ | рдмреАрдЪ | 3907 |
| рдПрдлрд╝рдЯреАрдкреА | 5 рдПрдордмреА / рдПрд╕ | рдХрдо | 3908 |
| рдбреАрдПрдирдПрд╕ | 512 рдХреЗрдмреА / рдПрд╕ | рдХрдо | 3909 |
| SNMP | 1 рдПрдордмреА / рдПрд╕ | рдмреАрдЪ | 3910 |
| рдЯреАрдПрд╕реАрдПрд╕реАрдПрд╕ + | 1 рдПрдордмреА / рдПрд╕ | рдХрдо | 3911 |
| рдПрдирдЯреАрдкреА | 512 рдХреЗрдмреА / рдПрд╕ | рдХрдо | 3912 |
| ICMP, рдЯреНрд░реЗрд╕, lsp-ping | 512 рдХреЗрдмреА / рдПрд╕ | рдХрдо | 3913 |
рдЕрдЧрд▓рд╛, рд╕рдВрдмрдВрдзрд┐рдд рдкреНрд░реЛрдЯреЛрдХреЙрд▓ / рд╕реЗрд╡рд╛рдУрдВ рдХреЗ рд▓рд┐рдП рдПрд╕реАрдПрд▓ рдлрд┐рд▓реНрдЯрд░ рдкрд░ рд╡рд┐рдЪрд╛рд░ рдХрд░реЗрдВред
3901. рдмреАрдЬреАрдкреА рдкреНрд░реЛрдЯреЛрдХреЙрд▓ред
рдмреАрдЬреАрдкреА рдХреЛ рдЫрд╛рдирдиреЗ рдХрд╛ рдирд┐рдпрдо рдпрд╛ рддреЛ рд╕рд░рд▓реАрдХреГрдд рд░реВрдк рдореЗрдВ рд╣реЛ рд╕рдХрддрд╛ рд╣реИ:
acl number 3901 rule permit tcp destination-port eq bgp rule permit tcp source-port eq bgp
рдпрд╛, рдкреНрд░рддреНрдпреЗрдХ рджрд╛рд╡рдд рдХреЗ рд▓рд┐рдП рдЕрд▓рдЧ рд╕реЗ:
acl ip-pool BGP-Peers ip address 10.1.1.1 0.0.0.0 acl number 3901 rule permit tcp source-pool BGP-Peers 0 destination-port eq bgp rule permit tcp source-pool BGP-Peers 0 source-port eq bgp
3902. рдПрд▓рдбреАрдкреА рдкреНрд░реЛрдЯреЛрдХреЙрд▓ред
rule 5 permit tcp source-pool Lo0_P2P destination-port eq 646 rule 10 permit tcp source-pool Lo0_P2P source-port eq 646 rule 15 permit udp source-pool Lo0_P2P destination-port eq 646 rule 20 permit udp source-pool Lo0_P2P source-port eq 646
3904. рд╡реАрдЖрд░рдЖрд░рдкреА
acl ip-pool VRRP_Peers ip address 10.1.1.1 0.0.0.0 acl number 3904 rule permit 112 source-pool VRRP_Peers
3905. рдмреАрдПрдлрдбреА
acl number 3343 rule permit udp source-pool Lo0_P2P destination-port eq 3784 rule permit udp source-pool Lo0_P2P source-port eq 3784
3906. рд╕рднреА MCAST (IGMP, PIM, MSDP)
acl number 3906 rule permit 103 rule permit igmp rule permit udp destination-port eq 639 rule permit udp source-port eq 639 rule permit tcp destination-port eq 639 rule permit tcp source-port eq 639
3907. рдПрд╕рдПрд╕рдПрдЪ
acl number 3907 description ### SSH access ### rule 5 permit tcp source-pool MGMT source-port eq 22 rule 10 permit tcp source-pool MGMT destination-port eq 22 rule 15 permit tcp source-pool MGMT destination-port eq 830
3908. рдПрдлрд╝рдЯреАрдкреАред рдПрдлрд╝рдЯреАрдкреА рдбреЗрдЯрд╛
acl port-pool ftp eq 20 eq 21 acl number 3908 rule 10 permit tcp source-pool MGMT source-port-pool ftp rule 15 permit tcp source-pool MGMT destination-port-pool ftp
3909. рдбреАрдПрдирдПрд╕
acl ip-pool DNS ip address 1.1.1.1 0.0.0.0 ip address 8.8.8.8 0.0.0.0 acl number 3909 rule 5 permit udp source-pool DNS source-port eq dns
3910. рдПрд╕рдПрдирдПрдордкреА
acl number 3909 rule 5 permit udp source-pool SNMP source-port eq snmp rule 10 permit udp source-pool SNMP destination-port eq snmp
3911. рдЯреАрдПрд╕реАрдПрд╕реАрдПрд╕ +
acl number 3911 rule 5 permit tcp source-pool TACACS source-port eq tacacs rule 10 permit udp source-pool TACACS source-port eq tacacs-ds
3912. рдПрдирдЯреАрдкреА
acl number 3911 rule 5 permit udp source-pool NTP source-port eq ntp rule 10 permit udp source-pool NTP destination-port eq ntp
3913. рдЖрдИрд╕реАрдПрдордкреА
acl number 3342 rule permit icmp icmp-type echo rule permit icmp icmp-type echo-reply rule permit icmp icmp-type ttl-exceeded rule permit icmp icmp-type port-unreachable rule permit icmp icmp-type Fragmentneed-DFset rule permit icmp rule permit udp destination-port range 33434 33678 rule permit udp destination-port eq 3503
3951. рдЖрдИрдкреАрд╡реА 6 рдХреЗ рд▓рд┐рдП рдмреАрдЬреАрдкреА
acl ipv6 number 3951 rule 5 permit tcp destination-port eq bgp
3952. ICMPv6
acl ipv6 number 3952 rule 30 permit icmpv6 rule 35 permit udp destination-port range 33434 33678
рдЪрд╛рджрд░реЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдЖрдкрдХреЛ рдЙрдиреНрд╣реЗрдВ рдирд┐рдореНрдирд╛рдиреБрд╕рд╛рд░ рд╕реАрдкреАрдпреВ-рд░рдХреНрд╖рд╛ рдиреАрддрд┐ рдореЗрдВ рдмрд╛рдВрдзрдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ:
cpu-defend policy 1 ... user-defined-flow 1 acl 3901 user-defined-flow 2 acl 3902 user-defined-flow 4 acl 3904 user-defined-flow 5 acl 3905 user-defined-flow 6 acl 3906 user-defined-flow 7 acl 3907 user-defined-flow 8 acl 3908 user-defined-flow 9 acl 3909 user-defined-flow 10 acl 3910 user-defined-flow 11 acl 3911 user-defined-flow 12 acl 3912 user-defined-flow 13 acl 3913 user-defined-flow 51 ipv6 acl 3951 user-defined-flow 52 ipv6 acl 3952 car blacklist cir 0 cbs 0 car user-defined-flow 1 cir 1000 car user-defined-flow 2 cir 1000 car user-defined-flow 4 cir 1000 car user-defined-flow 5 cir 1000 car user-defined-flow 6 cir 1000 car user-defined-flow 7 cir 512 car user-defined-flow 8 cir 5000 car user-defined-flow 9 cir 512 car user-defined-flow 10 cir 1000 car user-defined-flow 11 cir 1000 car user-defined-flow 12 cir 512 car user-defined-flow 13 cir 512 car user-defined-flow 51 cir 10000 car user-defined-flow 52 cir 512 priority user-defined-flow 1 high priority user-defined-flow 2 high priority user-defined-flow 4 high priority user-defined-flow 5 high priority user-defined-flow 6 high priority user-defined-flow 7 middle priority user-defined-flow 8 low priority user-defined-flow 9 low priority user-defined-flow 10 middle priority user-defined-flow 11 low priority user-defined-flow 12 low priority user-defined-flow 13 low priority user-defined-flow 51 high priority user-defined-flow 52 low
рдЯреНрд░реИрд╢рдЬ рдкрд░ рдЕрд▓рд░реНрдЯ рд╕реЗрдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдЖрдк рдирд┐рдореНрди рдлрд╝рдВрдХреНрд╢рди рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:
cpu-defend policy 1 ... alarm drop-rate user-defined-flow 7 threshold 100 interval 60
рдпрд╣рд╛рдБ рдереНрд░реЗрд╢рд╣реЛрд▓реНрдб рдорд╛рди рдкреИрдХреЗрдЯ рдореЗрдВ рд╕реЗрдЯ рд╣реИ, рдФрд░ рд╕реЗрдХрдВрдб рдореЗрдВ рдЕрдВрддрд░рд╛рд▓ред
CoPP рдлрд╝рд┐рд▓реНрдЯрд░ рдХреЗ рд╕рдВрдЪрд╛рд▓рди рдкрд░ рдЖрдВрдХрдбрд╝реЗ рдкреНрд░рджрд░реНрд╢рди рд╕реАрдкреАрдпреВ-рд░рдХреНрд╖рд╛ рдЕрдиреБрднрд╛рдЧ рдореЗрдВ рдкрд╛рдП рдЬрд╛ рд╕рдХрддреЗ рд╣реИрдВ ...
рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХреЛ рдкреВрд░рд╛ рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж, рдпрд╣ рд░реВрдЯрд░ рдХреЛ рд╕реНрдХреИрди рдХрд░рдиреЗ рдХреЗ рдЕрддрд┐рд░рд┐рдХреНрдд рд╣реИред
рдЕрдВрдд рдореЗрдВ, рдореИрдВ рдпрд╣ рдиреЛрдЯ рдХрд░рдирд╛ рдЪрд╛рд╣рддрд╛ рд╣реВрдВ рдХрд┐ Huawei (рдХрд┐рд╕реА рднреА рдЖрдзреБрдирд┐рдХ рд╡рд┐рдХреНрд░реЗрддрд╛ рдХреА рддрд░рд╣) рдЕрдкрдиреЗ рд░рд╛рдЙрдЯрд░ рдХреЗ рдирд┐рдпрдВрддреНрд░рдг рд╡рд┐рдорд╛рди рдХреА рд╕реБрд░рдХреНрд╖рд╛ рдХреЗ рд▓рд┐рдП рд╕рднреА рдЖрд╡рд╢реНрдпрдХ рддрд░реАрдХреЗ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИред рдФрд░ рд╕рдордп-рд╕рдордп рдкрд░ рдкрд╛рдП рдЬрд╛рдиреЗ рд╡рд╛рд▓реЗ рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рд╕рдВрджреЗрд╢ рджрд┐рдЦрд╛рдИ рджреЗрддреЗ рд╣реИрдВ рдХрд┐ рдЗрди рдЙрдкрдХрд░рдгреЛрдВ рдХреА рдЙрдкреЗрдХреНрд╖рд╛ рдирд╣реАрдВ рдХреА рдЬрд╛рдиреА рдЪрд╛рд╣рд┐рдПред