IDP 性能和容量调整
本主题概述了入侵检测和防御 (IDP) 会话的性能和容量调整。
有关详细信息,请参阅以下主题:
IDP 的性能和容量调整概述
本主题概述了入侵检测和防御 (IDP) 会话的性能和容量调整。
如果要部署 IDP 策略,则可以配置设备以增加 IDP 会话容量。通过使用提供的命令更改系统分配资源的方式,您可以获得更高的 IDP 会话容量。
通过使用 最大化 IDP 会话 命令,您可以增加 IDP 会话容量。在此模式下,默认情况下,设备会为防火墙功能分配更大的权重值。根据您的 IDP 策略,您可以将权重转移到 IDP 函数上,以最大限度地提高 IDP 性能。通过转移权重,您可以为给定的服务增加容量并分配更多的处理能力。
如果您未使用 IDP 策略,则不应将设备配置为增加 IDP 会话容量。
设备附带隐式默认会话容量设置。此默认值会增加防火墙会话的权重。您可以通过将 最大化 idp 会话 设置添加到配置中来手动覆盖默认值。执行此操作时,除了 IDP 会话扩展之外,您还可以选择为防火墙和 IDP 函数分配相等、防火墙或 IDP 权重值。通常,当您在 IDP 策略中仅包含 IDP 建议的攻击或客户端到服务器攻击时,IDP 函数消耗较少的 CPU 资源,因此,您将选择权重防火墙以最大限度地提高设备性能。或者,如果您将服务器到客户端攻击添加到 IDP 策略,IDP 函数会消耗更高的 CPU 资源。因此,您将选择权重 IDP 以最大限度地提高性能。本质上,您需要根据所需的 IDP 策略和性能配置权重。为此,您可以使用 show security 监控 fpc number 命令检查数据包转发引擎上的 CPU 资源利用率。
参见
为 IDP 配置会话容量(CLI 过程)
本主题中的配置说明介绍了如何修改 IDP 策略的会话容量。
为此,请添加 最大化 idp 会话 命令,然后添加权重选项以指定 IDP 会话。
权重选项取决于所设置的 最大化 idp 会话 命令。
要关闭 最大化 idp 会话 设置,请移除 最大化 idp 会话 配置。
您必须重新启动设备才能使任何 最大化 IDP 会话 设置更改生效。