CPCAR

CPCAR通过对上送控制平面的不同业务的协议报文分别进行限速，来保护控制平面的安全。报文限速主要分为如下几类：基于每个协议的限速、基于队列的调度和限速和所有报文统一限速。如图1所示。

• 基于协议报文的限速：是指CPCAR中可以针对每种协议单独设置承诺信息速率CIR（Committed Information Rate）和承诺突发尺寸CBS（Committed Burst Size），对于超过该速率值的协议报文，设备直接予以丢弃，从而可以保证每种协议对应的业务能够得到正常处理，同时可以保证协议之间不会相互影响，避免因为某种协议的流量过大导致其它协议报文得不到处理的情况发生。
• 基于队列的调度和限速：协议限速之后，设备可对一类协议再分配一个队列，比如Telnet、SSH等管理类协议分为一个队列，路由协议分为一个队列，各个队列之间按照权重或优先级方式调度，保证各类业务的优先级，优先级高的业务被CPU调度的几率更大，在有冲突的情况下保证高优先级业务优先处理。同时，可以针对每个队列进行限速，限制各个队列向CPU上送报文的最大速率。对于超过最大速率的协议报文，设备会直接丢弃。
• 所有报文统一限速：所有报文统一限速是为了限制CPU处理的报文总数，保证CPU在其正常处理能力范围内尽可能多的处理报文，而不会造成CPU异常，保证了设备CPU的正常运行。

• 当三种限速方式同时生效时，设备以最小限速值进行限速。
• 以上所有CPU防攻击功能对设备的管理网口不起作用。针对设备管理网口下的网络存在的攻击，一旦攻击较为严重，可能会导致用户无法从管理网口登录并管理设备，此时建议用户对该网络上的PC（Personal Computer）进行杀毒或者重新规划组网。
• 多协议并行时，上送CPU的协议报文可能会由于超出CIR/CBS、队列上送CPU报文的最大速率、或者CPU处理的报文总数被丢弃，出现协议震荡。

为了解决固定的默认CPCAR值无法满足实际应用中协议报文上送速度的动态需求，设备还提供了根据业务规模、报文的丢包行为以及CPU占用率自动调整协议报文的默认CPCAR值的功能。

动态链路保护功能

动态链路保护功能，是指设备针对基于会话的应用层数据的保护，例如FTP Session数据、BGP Session数据和OSPF Session数据等，它可以保证已有业务受到攻击时仍能够正常运行。当协议连接建立后，基于协议的限速就不再起作用，设备以动态链路保护功能设定的限速值对匹配相应Session的报文进行限速，由此保证此Session相关业务运行的可靠性和稳定性。

黑名单功能

CPU防攻击提供的黑名单功能，是指通过定义ACL来设置黑名单，设备会将后续匹配黑名单特征的报文全部丢弃，因此可以将已确定为攻击者的非法用户设置到黑名单中。

用户自定义流功能

CPU防攻击提供的用户自定义流功能，是指通过定义ACL来设置用户自定义流，限制匹配符合用户自定义流特征的报文上送CPU。由于ACL规则中可以灵活指明攻击流数据的特征，因此用户自定义流能够应用于网络中出现不明攻击的场景。