ZXDSL9000系统安全防护参数设置.docVIP

技术通知单 编号： 拟制： 审核： 固网上海用服部 2008年02月21日 各营销事业部办事处：（报营销事业部工程处） 关于ZXDSL9000系统安全防护参数设置的技术通知单 本技术通知单涉及的ZXDSL9000包括ZXDSL9210、9210M、9203。 综合前期全国各地ZXDSL9000相关故障：由于网络上大量的广播包、洪泛包、攻击等引起ZXDSL9000的故障，特建议如下：(以下操作1、2、3条一般都可以直接远程操作，对正常网管、业务不会造成不良影响，4、5、6请根据实际局方情况处理) 过滤无关VLAN洪泛流量(前提：局方网管、业务都是正常tag上行，不用vlan 1或者其他untag上行的业务)；操作方法： con add-vlan 4093 con no vlan 1 16/1-8 （部分老版本不支持这一条，可以暂时略过） con interface eth 16/x pvid 4093 ingress discard 以上命令更改上联口pvid号后，设置过滤开关丢弃与本网元无关的vlan流量(如果下来的报文的vlan号在9210上不存在，则直接丢弃该报文) 系统特殊设置命令，从3.1.2H以后版本(包括5.0系列)，增加了一些特殊命令，建议设置如下： con system special auto-arp 120 定时上发arp，避免由于mac老化时间不一致导致的网管时通时断； con system spe spec-mac 4 自动检测并清除以太口异常mac。 由于现场组网的多样性，各地常有发现其他接入设备下挂用户的报文被转发到9210的以太口，曾发现当用户中毒、主动攻击、或者某些种类的modem都会变换自身mac不断向上发数据包，其中有部分是模拟组播mac，而9210为了优化组播，对上联口收到的组播mac老化时间相当长，导致在上联组网多个用户长时间发生异常的情况下，9210的mac表被迅速占满，影响正常用户上网。本命令设置了系统自动清除异常mac，最后的参数表示速率，一般设为4-6，不宜太高。 pvlan隔离命令，9000系列可以通过启用pvlan功能，防止本网元用户之间互相干扰。9210V5.0.0P还增加了pvlan cascade-port设置功能，避免多台设备级联的情况下，主网元用户直接干扰级联网元同一vlan用户。注意要先设置好上联口、级联口然后在启用pvlan，否则会造成业务中断。 （如果有一台9210下多个用户二层互通的需求，则不要启用pvlan） con pvlan uplink-port-group 16/1 (组16/1代表16/1-8) con pvlan cascade-port 1 16/3-4 100 (假设16/3-4是级联口，共用vlan 100) con pvlan enable 启用pvlan后，还增加了防止mac地址反复快速迁移的功能，不影响一般用户，但在有时候局内测试用同一电脑在几个槽位之间(例如slot A--slot B—slot A)反复测试，可能会造成几分钟内A槽位用该电脑无法拨号（如果abcefd不重复槽位的测试则没问题），请向用户事先解释，如需多个槽位快速反复测试，可以暂时pvlan disable，或者轮回来时更改该电脑mac。 上联口关闭自适应，设置为强制全双工，并且要求对端直连设备也做同样设置。注意要避免一端强制一端自适应的情况。如果电口对接交换机，一般应该用交叉网线。用GFHA子卡的应升级系统到5.0.0o以上版本。 (注意如果网线不对或者对端设置不一致的情况，更改本参数后可能会造成中断，因此本条一般尽可能现场操作，并确认设置后对接能通) 洪泛开关。ZXDSL9210V3.1.2f/9203V1.0.2f开始新增命令：system special flood-unknown。该命令是设置ZXDSL9000对于未知单播包的转发策略：disable意味着对目的mac未知的单播包丢弃。系统缺省为enable。如果没有下面可能受到影响的业务，则建议关闭洪泛，并设置端口洪泛抑制。 con system spe flood disable con slot dsl n band-supp unknownunicast 5 , 设置该槽位下行洪泛抑制为每秒5个包，注意当中的参数各版本不同，也可能为unicast或者unknowncast。 关闭洪泛可能影响的业务： 9210下某些VPN服务器，可能受到影响(一般不会)。 9210上联交换机/路由器的老化时间太长，则9210下级连的一些不会主动发arp的交换机或者dslam（例如8426）的远程管理有可能受到影响、时通时断。这种情况也可尝试打开洪泛或者适当加大9