一、流量抑制
1.概述
網(wǎng)絡(luò)中存在的問(wèn)題:
- 正常情況下,當(dāng)設(shè)備某個(gè)二層以太接口收到廣播、未知組播或未知單播報(bào)文時(shí),會(huì)向同一VLAN內(nèi)的其他二層以太接口轉(zhuǎn)發(fā)這些報(bào)文,從而導(dǎo)致流量泛洪,降低設(shè)備轉(zhuǎn)發(fā)性能。
- 當(dāng)設(shè)備某個(gè)以太接口收到已知組播或已知單播報(bào)文時(shí),如果某種報(bào)文流量過(guò)大則可能會(huì)對(duì)設(shè)備造成沖擊,影響其他業(yè)務(wù)的正常處理。
可用的解決方案:
流量抑制可以通過(guò)配置閾值來(lái)限制廣播、未知組播、未知單播、已知組播和已知單播報(bào)文的速率,防止廣播、未知組播報(bào)文和未知單播報(bào)文產(chǎn)生流量泛洪,阻止已知組播報(bào)文和已知單播報(bào)文的大流量沖擊。
2.流量抑制工作原理
在接口入方向上,設(shè)備支持對(duì)廣播、未知組播、未知單播、已知組播和已知單播報(bào)文按百分比、包速率和比特速率進(jìn)行流量抑制。設(shè)備監(jiān)控接口下的各類(lèi)報(bào)文速率并和配置的閾值相比較,當(dāng)入口流量超過(guò)配置的閾值時(shí),設(shè)備會(huì)丟棄超額的流量。
在VLAN視圖下,設(shè)備支持對(duì)廣播報(bào)文按比特速率進(jìn)行流量抑制。設(shè)備監(jiān)控同一VLAN內(nèi)廣播報(bào)文的速率并和配置的閾值相比較,當(dāng)VLAN內(nèi)流量超過(guò)配置的閾值時(shí),設(shè)備會(huì)丟棄超額的流量。
流量抑制還可以通過(guò)配置閾值的方式對(duì)ICMP報(bào)文進(jìn)行限速,防止大量ICMP報(bào)文上送CPU處理,導(dǎo)致其他業(yè)務(wù)功能異常。
3.流量抑制的應(yīng)用
流量抑制通過(guò)對(duì)不同類(lèi)型的報(bào)文采取不同的限制措施,達(dá)到限制報(bào)文發(fā)送速率的目的。具體實(shí)施可分為以下三種情況:
- 在交換機(jī)接口的入方向,例如下圖中SW1的GE0/0/1入方向,通過(guò)流量抑制功能可以限制任意報(bào)文的發(fā)送速率。
- 在交換機(jī)接口出方向,例如下圖中SW1的GE0/0/1出方向,通過(guò)流量抑制功能可以阻塞廣播,未知組播和未知單播報(bào)文。
- 在交換機(jī)的VLAN視圖下,通過(guò)配置VLAN 內(nèi)流量抑制限制VLAN內(nèi)廣播報(bào)文。
4.流量抑制配置命令介紹
(可選)配置流量抑制模式:
[Huawei] suppression mode { by-packets | by-bits }
缺省情況下,缺省的抑制模式為packets,在bits模式下,流量抑制的粒度更小、抑制更精確。
配置流量抑制:
[Huawei-GigabitEthe.NET0/0/1] { broadcast-suppression | multicast-suppression | unicast-suppression} { percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }
接口下配置流量抑制時(shí),抑制模式需與全局的流量抑制模式保持一致。
配置在接口出方向上阻塞報(bào)文:
[Huawei-GigabitEthernet0/0/1] { broadcast-suppression | multicast-suppression | unicast-suppression } block outbound
配置VLAN的廣播抑制速率:
[Huawei-vlan2] broadcast-suppression threshold-value
display flow-suppression interface interface-type interface-number查看流量抑制配置信息。
5.流量抑制配置舉例
配置要求:
- 在GE0/0/1接口視圖下配置流量抑制功能,限制二層網(wǎng)絡(luò)轉(zhuǎn)發(fā)的廣播、未知組播和未知單播報(bào)文的能力。
- 配置廣播流量抑制,按百分比抑制,百分比值為60%。
- 配置未知組播流量抑制,按百分比抑制,百分比值為70%。
- 配置未知單播流量抑制,按百分比抑制,百分比值為80%。
Switch配置如下:
[Switch]suppression mode by-packets
[Switch-GigabitEthernet0/0/1] unicast-suppression 80
[Switch-GigabitEthernet0/0/1] multicast-suppression 70
[Switch-GigabitEthernet0/0/1] broadcast-suppression 60
配置驗(yàn)證:
[Switch]dis flow-suppression interface GigabitEthernet 0/0/1
storm type rate mode set rate value
-------------------------------------------------------------------------------
unknown-unicast percent percent: 80%
multicast percent percent: 70%
broadcast percent percent: 60%
-------------------------------------------------------------------------------
二、風(fēng)暴控制
1.風(fēng)暴控制概述
- 網(wǎng)絡(luò)中存在的問(wèn)題:正常情況下,當(dāng)設(shè)備某個(gè)二層以太接口收到廣播、未知組播或未知單播報(bào)文時(shí),會(huì)向同一VLAN內(nèi)的其他二層以太接口轉(zhuǎn)發(fā)這些報(bào)文,如果網(wǎng)絡(luò)存在環(huán)路,則會(huì)導(dǎo)致廣播風(fēng)暴,嚴(yán)重降低設(shè)備轉(zhuǎn)發(fā)性能。
- 可用的解決方案:風(fēng)暴控制可以通過(guò)阻塞報(bào)文或關(guān)閉端口來(lái)阻斷廣播、未知組播和未知單播報(bào)文的流量。
2.風(fēng)暴控制工作原理
風(fēng)暴控制可以用來(lái)防止廣播、未知組播以及未知單播報(bào)文產(chǎn)生廣播風(fēng)暴。在風(fēng)暴控制檢測(cè)時(shí)間間隔內(nèi),設(shè)備監(jiān)控接口下接收的三類(lèi)報(bào)文的包平均速率與配置的最大閾值相比較。當(dāng)報(bào)文速率大于配置的最大閾值時(shí),風(fēng)暴控制將根據(jù)配置的動(dòng)作來(lái)對(duì)接口進(jìn)行阻塞報(bào)文或關(guān)閉接口的處理。
流量抑制與風(fēng)暴控制的主要區(qū)別是:風(fēng)暴控制功能可以對(duì)端口下發(fā)懲罰動(dòng)作(block和shutdown),而流量抑制功能只是對(duì)端口流量進(jìn)行限制。
3.風(fēng)暴控制的應(yīng)用
風(fēng)暴控制與流量抑制相比的優(yōu)勢(shì)是可以同時(shí)監(jiān)控接口下的廣播報(bào)文、未知組播報(bào)文和未知單播報(bào)文各自的包平均速率,并根據(jù)閾值對(duì)接口采取阻塞相關(guān)報(bào)文或者關(guān)閉物理接口的懲罰動(dòng)作。
本例中,Switch作為二層網(wǎng)絡(luò)到路由器的銜接點(diǎn),當(dāng)需要限制二層網(wǎng)絡(luò)轉(zhuǎn)發(fā)過(guò)來(lái)的用戶(hù)廣播、未知組播和未知單播報(bào)文時(shí),可以通過(guò)在Switch的GE0/0/1上配置風(fēng)暴控制功能來(lái)實(shí)現(xiàn)。
4.風(fēng)暴控制配置命令介紹
配置接口對(duì)報(bào)文的風(fēng)暴控制:
[Huawei-GigabitEthernet0/0/1] storm-control { broadcast | multicast | unicast } min-rate min-rate-value max-rate max-rate-value
[Huawei-GigabitEthernet0/0/1] storm-control { broadcast | multicast | unicast } min-rate min-rate-value max-rate max-rate-value
對(duì)接口上的廣播、未知組播或未知單播報(bào)文進(jìn)行風(fēng)暴控制。
配置風(fēng)暴控制的動(dòng)作:
[Huawei-GigabitEthernet0/0/1] storm-control action { block | error-down }
配置風(fēng)暴控制的檢測(cè)時(shí)間間隔:
[Huawei-GigabitEthernet0/0/1] storm-control interval interval-value
配置使能接口狀態(tài)自動(dòng)恢復(fù):
[Huawei-GigabitEthernet0/0/1] error-down auto-recovery cause storm-control interval interval-value
使能接口狀態(tài)自動(dòng)恢復(fù)為Up的功能,并設(shè)置接口自動(dòng)恢復(fù)為Up的延時(shí)時(shí)間。
(可選)配置流量抑制及風(fēng)暴控制白名單:
[Huawei] storm-control whitelist protocol { arp-request | bpdu | dhcp | igmp | ospf }*
5.風(fēng)暴控制配置舉例
- 配置需求:在交換機(jī)Switch上需要配置防止二層網(wǎng)絡(luò)轉(zhuǎn)發(fā)的廣播、未知組播和未知單播報(bào)文產(chǎn)生的廣播風(fēng)暴。
- 配置思路:通過(guò)在接口GE0/0/1上配置風(fēng)暴控制限制二層網(wǎng)絡(luò)的廣播風(fēng)暴的產(chǎn)生。
Switch配置如下:
[Switch] storm-control whitelist protocol arp-request
[Switch] interface gigabitethernet0/0/1
[Switch-GigabitEthernet0/0/1] storm-control broadcast min-rate 1000 max-rate 2000
[Switch-GigabitEthernet0/0/1] storm-control multicast min-rate 1000 max-rate 2000
[Switch-GigabitEthernet0/0/1] storm-control unicast min-rate 1000 max-rate 2000
[Switch-GigabitEthernet0/0/1] storm-control interval 90
[Switch-GigabitEthernet0/0/1] storm-control action block
[Switch-GigabitEthernet0/0/1] storm-control enable trap
#使能風(fēng)暴控制上報(bào)告警
配置驗(yàn)證執(zhí)行命令display storm-control interface查看GE0/0/1接口下的風(fēng)暴控制配置情況:
[Switch]display storm-control interface GigabitEthernet 0/0/1
PortName Type Rate Mode Action Punish- Trap Log Int Last-
(Min/Max) Status Punish-Time
----------------------------------------------------------------------------------------------------------
GE0/0/1 Multicast 1000 Pps Block Normal On Off 90
/2000
GE0/0/1 Broadcast 1000 Pps Block Normal On Off 90
/2000
GE0/0/1 Unicast 1000 Pps Block Normal On Off 90
/2000
