CPCAR

CPCAR通過對上送控制平面的不同業務的協議報文分別進行限速，來保護控制平面的安全。報文限速主要分為如下幾類：基于每個協議的限速、基于隊列的調度和限速和所有報文統一限速。如圖1所示。

• 基于協議報文的限速：是指CPCAR中可以針對每種協議單獨設置承諾信息速率CIR（Committed Information Rate）和承諾突發尺寸CBS（Committed Burst Size），對于超過該速率值的協議報文，設備直接予以丟棄，從而可以保證每種協議對應的業務能夠得到正常處理，同時可以保證協議之間不會相互影響，避免因為某種協議的流量過大導致其它協議報文得不到處理的情況發生。
• 基于隊列的調度和限速：協議限速之后，設備可對一類協議再分配一個隊列，比如Telnet、SSH等管理類協議分為一個隊列，路由協議分為一個隊列，各個隊列之間按照權重或優先級方式調度，保證各類業務的優先級，優先級高的業務被CPU調度的幾率更大，在有沖突的情況下保證高優先級業務優先處理。同時，可以針對每個隊列進行限速，限制各個隊列向CPU上送報文的最大速率。對于超過最大速率的協議報文，設備會直接丟棄。
• 所有報文統一限速：所有報文統一限速是為了限制CPU處理的報文總數，保證CPU在其正常處理能力范圍內盡可能多的處理報文，而不會造成CPU異常，保證了設備CPU的正常運行。

• 當三種限速方式同時生效時，設備以最小限速值進行限速。
• 以上所有CPU防攻擊功能對設備的管理網口不起作用。針對設備管理網口下的網絡存在的攻擊，一旦攻擊較為嚴重，可能會導致用戶無法從管理網口登錄并管理設備，此時建議用戶對該網絡上的PC（Personal Computer）進行殺毒或者重新規劃組網。
• 多協議并行時，上送CPU的協議報文可能會由于超出CIR/CBS、隊列上送CPU報文的最大速率、或者CPU處理的報文總數被丟棄，出現協議震蕩。

為了解決固定的默認CPCAR值無法滿足實際應用中協議報文上送速度的動態需求，設備還提供了根據業務規模、報文的丟包行為以及CPU占用率自動調整協議報文的默認CPCAR值的功能。

動態鏈路保護功能

動態鏈路保護功能，是指設備針對基于會話的應用層數據的保護，例如FTP Session數據、BGP Session數據和OSPF Session數據等，它可以保證已有業務受到攻擊時仍能夠正常運行。當協議連接建立后，基于協議的限速就不再起作用，設備以動態鏈路保護功能設定的限速值對匹配相應Session的報文進行限速，由此保證此Session相關業務運行的可靠性和穩定性。

黑名單功能

CPU防攻擊提供的黑名單功能，是指通過定義ACL來設置黑名單，設備會將后續匹配黑名單特征的報文全部丟棄，因此可以將已確定為攻擊者的非法用戶設置到黑名單中。

用戶自定義流功能

CPU防攻擊提供的用戶自定義流功能，是指通過定義ACL來設置用戶自定義流，限制匹配符合用戶自定義流特征的報文上送CPU。由于ACL規則中可以靈活指明攻擊流數據的特征，因此用戶自定義流能夠應用于網絡中出現不明攻擊的場景。