2024年1月2日发(作者:)
S12700, S12700E 系列敏捷交换机配置指南-安全7 流量抑制及风暴控制配置77.1 流量抑制及风暴控制简介7.2 流量抑制原理描述7.3 风暴控制原理描述7.4 流量抑制应用场景7.5 风暴控制应用场景 流量抑制及风暴控制配置7.6 流量抑制及风暴控制配置注意事项7.7 流量抑制及风暴控制缺省配置7.8 配置流量抑制7.9 配置风暴控制7.10 流量抑制及风暴控制配置举例7.11 流量抑制及风暴控制常见配置错误7.1 流量抑制及风暴控制简介定义流量抑制可以通过配置阈值来限制广播、未知组播、未知单播、已知组播和已知单播报文的速率,防止广播、未知组播报文和未知单播报文产生广播风暴,防止已知组播报文和已知单播报文的大流量冲击。风暴控制可以通过阻塞报文或关闭端口来阻断广播、未知组播和未知单播报文的流量。目的当设备某个二层以太接口收到广播、未知组播或未知单播报文时,如果根据报文的目的MAC地址设备不能明确报文的出接口,设备会向同一VLAN内的其他二层以太接口转发这些报文,这样可能导致广播风暴,降低设备转发性能。文档版本 02 (2021-03-17)版权所有 © 华为技术有限公司226
S12700, S12700E 系列敏捷交换机配置指南-安全7 流量抑制及风暴控制配置当设备某个以太接口收到已知组播或已知单播报文时,某种报文流量过大可能会对设备造成冲击,影响其他业务的正常处理。引入流量抑制和风暴控制特性,可以有效地控制这几类报文流量。7.2 流量抑制原理描述流量抑制特性按以下三种形式来限制广播、组播和单播报文。●在接口视图下,入方向上,设备支持对广播、未知组播、未知单播、已知组播和已知单播报文按百分比、包速率和比特速率进行流量抑制。设备监控接口下的各类报文速率并和配置的阈值相比较,当入口流量超过配置的阈值时,设备会丢弃超额的流量。●●在接口视图下,出方向上,设备支持对广播、未知组播和未知单播报文的阻塞(Block)。在VLAN视图下,设备支持对广播、未知组播和未知单播报文按比特速率进行流量抑制。设备监控同一VLAN内各类报文的速率并和配置的阈值相比较,当VLAN内流量超过配置的阈值时,设备会丢弃超额的流量。流量抑制还可以通过配置阈值的方式对ICMP报文进行限速,防止大量ICMP报文上送CPU处理,导致其他业务功能异常。缺省情况下,设备支持MAC漂移触发流量抑制功能。在设备开启MAC漂移检测功能时,若检测到MAC地址发生漂移,将触发对漂移端口的流量抑制功能,表现为对未知单播以50%的百分比进行流量抑制。说明如果端口通过命令unicast-suppression配置了对未知单播的流量抑制功能且流量抑制百分比配置为非100,或者通过命令storm-control配置了对未知单播的风暴控制功能,该端口MAC漂移将不会触发流量抑制功能。7.3 风暴控制原理描述风暴控制可以用来防止广播、未知组播以及未知单播报文产生广播风暴。设备支持对接口下的这三类报文分别按包速率进行风暴控制。在一个检测时间间隔内,设备监控接口下接收的三类报文的平均速率并和配置的最大阈值相比较,当报文速率大于配置的最大阈值时,设备会对该接口进行风暴控制,执行配置好的风暴控制动作。风暴控制动作包括阻塞报文和关闭接口。●●如果对报文进行阻塞,当接口上接收报文的平均速率小于指定的最小阈值时,风暴控制会放开在接口上对该报文的阻塞。如果动作为关闭接口,则需要手动执行命令来开启接口,或者使能接口状态自动恢复为UP功能。文档版本 02 (2021-03-17)版权所有 © 华为技术有限公司227
S12700, S12700E 系列敏捷交换机配置指南-安全7 流量抑制及风暴控制配置7.4 流量抑制应用场景图7-1 流量抑制典型应用组网图
如图7-1所示,●●在二层网络内的设备上,可以配置VLAN内的流量抑制来限制VLAN内的广播、未知组播和未知单播报文。SwitchA作为二层网络到路由器的衔接点,当需要限制二层网络转发的来自用户的广播、未知组播和未知单播报文时,可以通过在SwitchA的二层以太接口GE1/0/1上配置流量抑制功能来实现;当需要限制二三层网络转发已知组播和已知单播报文时,可以通过在SwitchA的以太接口GE1/0/1和GE1/0/2上配置流量抑制功能来实现。在接口GE1/0/1出方向上,可以采取阻塞广播、未知组播和未知单播报文的方式,保证二层网络内用户和其他网络设备的安全性。●7.5 风暴控制应用场景图7-2 风暴控制典型应用组网图
如图7-2所示,SwitchA作为二层网络到路由器的衔接点,当需要限制二层网络转发的来自用户的广播、未知组播和未知单播报文时,可以通过在SwitchA的二层以太接口GE1/0/1上配置风暴控制功能来实现。7.6 流量抑制及风暴控制配置注意事项涉及网元无需其他网元配合。文档版本 02 (2021-03-17)版权所有 © 华为技术有限公司228
S12700, S12700E 系列敏捷交换机配置指南-安全7 流量抑制及风暴控制配置License支持本特性是交换机的基本特性,无需获得License许可即可应用此功能。V200R020C00版本特性支持情况S12700, S12700E系列交换机中所有款型均支持流量抑制及风暴控制。说明如需了解交换机软件配套详细信息,请点击硬件查询工具。特性依赖和限制不同视图支持情况接口视图和VLAN视图支持的流量抑制及风暴控制特性如表7-1所示。表7-1 不同视图支持情况视图接口视图交换机支持的流量抑制及风暴控制特性●对广播、未知组播、未知单播、已知组播和已知单播报文配置流量抑制。●对广播、未知组播和未知单播报文配置风暴控制。●对ICMP报文配置流量抑制。VLAN视图
流量抑制和风暴控制的区别●从原理来看,两者对流量控制的形式不一样:–流量抑制中,可以为接口入方向的报文流量配置阈值,当流量超过阈值时,系统将丢弃多余的流量,阈值范围内的报文可以正常通过,从而将流量限制在合理的范围内。此外,流量抑制还支持对接口出方向的流量进行阻塞。风暴控制中,只可以为接口入方向的报文流量配置阈值。当流量超过阈值时,系统会阻塞该接口收到的该类型报文流量或者直接将该接口关闭。对广播、未知组播和未知单播报文配置流量抑制。–●对于同一个接口下同种报文的入方向流量,交换机仅允许同时配置流量抑制或风暴控制两种功能中的一种。其他特性依赖和限制●对于X系列单板,流量抑制按照每秒包速率进行配置时,配置值小于24则按照24进行流量抑制,配置值大于等于24则按照实际配置值进行流量抑制。7.7 流量抑制及风暴控制缺省配置流量抑制及风暴控制缺省值如表7-2和表7-3所示。文档版本 02 (2021-03-17)版权所有 © 华为技术有限公司229
S12700, S12700E 系列敏捷交换机配置指南-安全7 流量抑制及风暴控制配置表7-2 流量抑制缺省值参数接口的流量抑制缺省值●广播报文的流量抑制:使能●未知组播、未知单播、已知组播和已知单播报文的流量抑制:未使能接口的流量抑制方式百分比抑制比例值百分比方式广播报文流量的百分比抑制比例值为10%,其他报文流量的百分比抑制比例值为100%未使能未使能未使能缺省情况下,全局ICMP报文限速阈值为256pps,接口下的ICMP报文限速阈值为192pps。接口出方向阻塞报文VLAN的流量抑制ICMP(Internet Control MessageProtocol)报文流量抑制ICMP报文接口限速阈值
表7-3 风暴控制缺省值参数风暴控制记录日志和上报告警检测时间间隔
缺省值未使能未使能5秒7.8 配置流量抑制7.8.1 配置接口的流量抑制背景信息为了限制接口的广播、未知组播、未知单播、已知组播和已知单播报文的速率,防止广播风暴或大流量冲击,可以在该接口上配置对应报文类型的流量抑制功能。说明设备支持在接口上同时配置对广播、未知组播、未知单播、已知组播和已知单播报文的流量抑制功能。当二层端口对应的三层接口接入VLL时,如果该端口下配置的流量抑制不为0,则该端口的流量抑制不生效。SA系列单板仅支持按照packets这一种模式进行流量抑制。文档版本 02 (2021-03-17)版权所有 © 华为技术有限公司230
S12700, S12700E 系列敏捷交换机配置指南-安全7 流量抑制及风暴控制配置前置任务在配置接口的流量抑制之前,需完成以下任务:●配置接口的链路层协议参数,使接口的链路协议状态为Up。操作步骤步骤1执行命令system-view,进入系统视图。步骤2执行命令interface
interface-type
interface-number,进入接口视图。步骤3执行命令{ broadcast-suppression | multicast-suppression | unicast-suppression |known-multicast-suppression | known-unicast-suppression } {
percent-value |cir
cir-value [ cbs
cbs-value ] | packets
packets-per-second },配置流量抑制。步骤4执行命令{ broadcast-suppression | multicast-suppression | unicast-suppression } block outbound,配置在接口出方向上阻塞报文。----结束7.8.2 配置VLAN的流量抑制背景信息为了限制进入VLAN的广播、未知组播或未知单播类型报文的速率,防止广播风暴,可以在该VLAN内配置对应报文类型的流量抑制功能。前置任务在配置VLAN的流量抑制之前,需完成以下任务:●配置VLAN内接口的链路层协议参数,使VLAN内接口的链路协议状态为Up。操作步骤步骤1执行命令system-view,进入系统视图。步骤2执行命令vlan
vlan-id,进入VLAN视图。步骤3执行命令{ broadcast-suppression | multicast-suppression | unicast-suppression }
car-name [ share ],配置VLAN的流量抑制。----结束7.8.3 配置ICMP报文流量抑制背景信息网络中经常存在攻击者发送大量ICMP报文进行攻击,如果设备全部将这些ICMP报文上送CPU处理,会消耗大量CPU资源,导致其他业务功能异常。此时在设备上配置ICMP报文流量抑制功能,可以有效防范ICMP报文攻击。配置ICMP报文流量抑制功能后,当接口每秒钟上送的ICMP报文超出配置的阈值时,设备会将ICMP报文丢弃。文档版本 02 (2021-03-17)版权所有 © 华为技术有限公司231
S12700, S12700E 系列敏捷交换机配置指南-安全7 流量抑制及风暴控制配置ICMP报文流量抑制功能生效需要使用命令undo icmp-reply fast去使能ICMP-Replyfast功能。前置任务在配置ICMP报文流量抑制之前,需完成以下任务:●配置接口的链路层协议参数,使接口的链路协议状态为Up。操作步骤步骤1执行命令system-view,进入系统视图。步骤2执行命令icmp rate-limit enable,使能ICMP流量抑制功能。缺省情况下,ICMP流量抑制功能未使能。步骤3执行命令icmp rate-limit { total | interface
interface-type
interface-number [ tointerface-number ] } threshold
threshold-value,配置接口和全局的ICMP报文限速阈值。缺省情况下,全局ICMP报文限速阈值为256pps,接口下的ICMP报文限速阈值为192pps。----结束7.8.4 检查流量抑制的配置结果操作步骤●使用命令display flow-suppression interface
interface-type
interface-number查看流量抑制配置信息。----结束7.9 配置风暴控制背景信息为了限制进入接口的广播、未知组播或未知单播类型报文的速率,防止广播风暴,可以在该接口上配置对应报文类型的风暴控制功能。说明对于S系列单板,风暴控制模式配置为字节模式或者百分比模式时,风暴控制实际根据检测到接口上包速率,按照报文长度64字节、帧间隙20字节转换为字节模式的速率或者百分比模式的速率。对于报文长度不为64字节的情况,可能存在误差,因此对于S系列单板,风暴控制模式推荐配置为包模式。当进入接口的报文为JUMBO帧时,建议配置风暴控制模式为字节模式。前置任务在配置风暴控制之前,需完成以下任务:●配置接口的链路层协议参数,使接口的链路协议状态为Up。版权所有 © 华为技术有限公司232文档版本 02 (2021-03-17)
S12700, S12700E 系列敏捷交换机配置指南-安全7 流量抑制及风暴控制配置操作步骤步骤1执行命令system-view,进入系统视图。步骤2执行命令interface
interface-type
interface-number,进入接口视图。步骤3执行命令storm-control { broadcast | multicast | unicast } min-rate
min-rate-value max-rate
max-rate-value、storm-control { broadcast | multicast |unicast } min-rate cir
min-rate-value-cir max-rate cir
max-rate-value-cir或storm-control { broadcast | multicast | unicast } min-rate percent
min-rate-value-percent max-rate percent
max-rate-value-percent,对接口上的广播、未知组播或未知单播报文进行风暴控制。步骤4执行命令storm-control action { block | error-down },配置风暴控制的动作。步骤5(可选)执行命令storm-control enable { log | trap },使能风暴控制时记录日志或者上报告警。步骤6(可选)执行命令storm-control interval
interval-value,配置风暴控制的检测时间间隔。----结束检查配置结果使用命令display storm-control [ interface
interface-type
interface-number ],查看接口的风暴控制信息。后续处理接口被Error-Down时,建议先排除引起接口Error-Down的原因。有以下两种方式可以恢复接口状态:●手动恢复(Error-Down发生后)。当处于Error-Down状态的接口数量较少时,可在该接口视图下依次执行命令shutdown和undo shutdown,或者执行命令restart,重启接口。●自动恢复(Error-Down发生前)。如果处于Error-Down状态的接口数量较多,逐一手动恢复接口状态将产生大量重复工作,且可能出现部分接口配置遗漏。为避免这一问题,用户可在系统视图下执行命令error-down auto-recovery cause storm-control interval
interval-value使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间。可以通过执行命令display error-down recovery查看接口状态自动恢复信息。说明此方式对已经处于Error-Down状态的接口不生效,只对配置该命令后进入Error-Down状态的接口生效。7.10 流量抑制及风暴控制配置举例7.10.1 配置流量抑制示例文档版本 02 (2021-03-17)版权所有 © 华为技术有限公司233
S12700, S12700E 系列敏捷交换机配置指南-安全7 流量抑制及风暴控制配置组网需求如图7-3所示,SwitchA作为二层网络到三层路由器的衔接点,需要限制二层网络转发的广播、未知组播和未知单播报文,防止产生广播风暴,同时限制二三层网络转发的已知组播和已知单播报文,防止大流量冲击。图7-3 配置流量抑制组网图GE1/0/0L2 networkSwitch ARouterGE2/0/0L3 network
配置思路用如下的思路配置流量抑制。1.2.通过在GE1/0/0接口视图下配置流量抑制功能,限制二层网络转发的广播、未知组播和未知单播报文。通过GE1/0/0和GE2/0/0接口视图下配置流量抑制功能,限制二三层网络转发的已知组播和已知单播报文。操作步骤步骤1进入接口GE1/0/0视图
S12700, S12700E 系列敏捷交换机配置指南-安全[SwitchA-GigabitEthernet2/0/0] known-unicast-suppression cir 100[SwitchA-GigabitEthernet2/0/0] quit7 流量抑制及风暴控制配置步骤10验证配置结果执行命令display flow-suppression interface查看GE1/0/0接口下的流量抑制配置情况。[SwitchA] display flow-suppression interface gigabitethernet 1/0/0 storm type rate mode set rate value------------------------------------------------------------------------------- unknown-unicast bps cir: 100(kbit/s), cbs: 18800(byte) multicast percent percent: 80% broadcast bps cir: 100(kbit/s), cbs: 18800(byte) known-unicast bps cir: 100(kbit/s), cbs: 18800(byte) known-multicast percent percent: 80%-------------------------------------------------------------------------------执行命令display flow-suppression interface查看GE2/0/0接口下的流量抑制配置情况。[SwitchA] display flow-suppression interface gigabitethernet 2/0/0 storm type rate mode set rate value------------------------------------------------------------------------------- unknown-unicast percent percent: 100% multicast percent percent: 100% broadcast percent percent: 10%
known-unicast bps cir: 100(kbit/s), cbs: 18800(byte) known-multicast percent percent: 80%
-----------------------------------------------------------------------------------结束配置文件SwitchA的配置文件#sysname SwitchA#interface GigabitEthernet1/0/0 unicast-suppression cir 100 cbs 18800 multicast-suppression 80 broadcast-suppression cir 100 cbs 18800 known-unicast-suppression cir 100 cbs 18800 known-multicast-suppression 80#interface GigabitEthernet2/0/0 known-unicast-suppression cir 100 cbs 18800 known-multicast-suppression 80#return7.10.2 配置风暴控制示例组网需求如图7-4所示,SwitchA作为二层网络到三层路由器的衔接点,需要防止二层网络转发的广播、未知组播或未知单播报文产生广播风暴。文档版本 02 (2021-03-17)版权所有 © 华为技术有限公司235
S12700, S12700E 系列敏捷交换机配置指南-安全7 流量抑制及风暴控制配置图7-4 配置风暴控制组网图GE1/0/0L2 networkSwitch ARouterGE2/0/0L3 network
配置思路用如下的思路配置风暴控制。1.通过在GE1/0/0接口视图下配置风暴控制功能,实现防止二层网络转发的广播、未知组播或未知单播报文产生广播风暴。操作步骤步骤1进入接口视图
/2000
GE1/0/0 Multicast 1000 Pps Block Normal Off On 90 -
/2000
GE1/0/0 Unicast 1000 Pps Block Normal Off On 90 -
文档版本 02 (2021-03-17)版权所有 © 华为技术有限公司236
S12700, S12700E 系列敏捷交换机配置指南-安全 /2000
--------------------------------------------------------------------------------7 流量抑制及风暴控制配置----结束配置文件SwitchA的配置文件#sysname SwitchA#interface GigabitEthernet1/0/0 storm-control broadcast min-rate 1000 max-rate 2000 storm-control multicast min-rate 1000 max-rate 2000 storm-control unicast min-rate 1000 max-rate 2000 storm-control interval 90 storm-control action block storm-control enable log#return7.11 流量抑制及风暴控制常见配置错误7.11.1 广播流量抑制无效故障现象接口配置了广播流量抑制功能后,仍然出现了广播报文引起的广播风暴,导致正常流量中断。常见原因本类故障的常见原因主要包括:●●接口下没有配置广播流量抑制或者配置的广播流量抑制值过大。广播风暴报文在入接口没有丢弃。说明●请保存以下步骤的执行结果,以便在故障无法解决时快速收集和反馈信息。●本文以广播流量抑制故障处理为例,未知组播和未知单播流量抑制的故障处理步骤与此类似。操作步骤步骤1检查接口下的流量抑制配置。用户视图下执行命令display flow-suppression interface
interface-type interface-number,查看输出信息中broadcast字段对应的rate mode和set rate value值,看其是否合适:●如果不合适,请在接口视图下执行命令broadcast-suppression {
percent-value |cir
cir-value [ cbs
cbs-value ] | packets
packets-per-second }修改广播流量抑制参数。版权所有 © 华为技术有限公司237文档版本 02 (2021-03-17)
S12700, S12700E 系列敏捷交换机配置指南-安全7 流量抑制及风暴控制配置●如果合适,执行步骤2。步骤2检查广播报文在接口入方向是否被丢弃。有两种方法:●用户视图下执行命令display interface
interface-type interface-number,查看输出信息中Input bandwidth utilization是否在抑制前后有较大变化。正常情况下,在配置流量抑制之后,接口丢弃超过阈值限制的报文,接口带宽利用率会降低。如果没有变化或变化很小,请执行步骤3。准备另外一个接口B,将要检查的接口A(即配置流量抑制的接口)和接口B加入相同VLAN,查看接口B的出方向流量是否为接口A上配置的抑制后的流量。如果不是,说明报文没有在接口A的入方向被丢弃。请执行步骤3。上述步骤的执行结果。设备的配置文件、日志信息、告警信息。●步骤3请收集如下信息,并联系技术支持人员。●●----结束文档版本 02 (2021-03-17)版权所有 © 华为技术有限公司238
发布评论