一、流量抑制
1.概述
网络中存在的问题:
- 正常情况下,当设备某个二层以太接口收到广播、未知组播或未知单播报文时,会向同一VLAN内的其他二层以太接口转发这些报文,从而导致流量泛洪,降低设备转发性能。
- 当设备某个以太接口收到已知组播或已知单播报文时,如果某种报文流量过大则可能会对设备造成冲击,影响其他业务的正常处理。
可用的解决方案:
流量抑制可以通过配置阈值来限制广播、未知组播、未知单播、已知组播和已知单播报文的速率,防止广播、未知组播报文和未知单播报文产生流量泛洪,阻止已知组播报文和已知单播报文的大流量冲击。
2.流量抑制工作原理
在接口入方向上,设备支持对广播、未知组播、未知单播、已知组播和已知单播报文按百分比、包速率和比特速率进行流量抑制。设备监控接口下的各类报文速率并和配置的阈值相比较,当入口流量超过配置的阈值时,设备会丢弃超额的流量。
在VLAN视图下,设备支持对广播报文按比特速率进行流量抑制。设备监控同一VLAN内广播报文的速率并和配置的阈值相比较,当VLAN内流量超过配置的阈值时,设备会丢弃超额的流量。
流量抑制还可以通过配置阈值的方式对ICMP报文进行限速,防止大量ICMP报文上送CPU处理,导致其他业务功能异常。
3.流量抑制的应用
流量抑制通过对不同类型的报文采取不同的限制措施,达到限制报文发送速率的目的。具体实施可分为以下三种情况:
- 在交换机接口的入方向,例如下图中SW1的GE0/0/1入方向,通过流量抑制功能可以限制任意报文的发送速率。
- 在交换机接口出方向,例如下图中SW1的GE0/0/1出方向,通过流量抑制功能可以阻塞广播,未知组播和未知单播报文。
- 在交换机的VLAN视图下,通过配置VLAN 内流量抑制限制VLAN内广播报文。
4.流量抑制配置命令介绍
(可选)配置流量抑制模式:
[Huawei] suppression mode { by-packets | by-bits }缺省情况下,缺省的抑制模式为packets,在bits模式下,流量抑制的粒度更小、抑制更精确。
配置流量抑制:
[Huawei-GigabitEthernet0/0/1] { broadcast-suppression | multicast-suppression | unicast-suppression} { percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }
接口下配置流量抑制时,抑制模式需与全局的流量抑制模式保持一致。
配置在接口出方向上阻塞报文:
[Huawei-GigabitEthernet0/0/1] { broadcast-suppression | multicast-suppression | unicast-suppression } block outbound配置VLAN的广播抑制速率:
[Huawei-vlan2] broadcast-suppression threshold-valuedisplay flow-suppression interface interface-type interface-number查看流量抑制配置信息。
5.流量抑制配置举例
配置要求:
- 在GE0/0/1接口视图下配置流量抑制功能,限制二层网络转发的广播、未知组播和未知单播报文的能力。
- 配置广播流量抑制,按百分比抑制,百分比值为60%。
- 配置未知组播流量抑制,按百分比抑制,百分比值为70%。
- 配置未知单播流量抑制,按百分比抑制,百分比值为80%。
Switch配置如下:
[Switch]suppression mode by-packets
[Switch-GigabitEthernet0/0/1] unicast-suppression 80
[Switch-GigabitEthernet0/0/1] multicast-suppression 70
[Switch-GigabitEthernet0/0/1] broadcast-suppression 60配置验证:
[Switch]dis flow-suppression interface GigabitEthernet 0/0/1
storm type rate mode set rate value
-------------------------------------------------------------------------------
unknown-unicast percent percent: 80%
multicast percent percent: 70%
broadcast percent percent: 60%
-------------------------------------------------------------------------------二、风暴控制
1.风暴控制概述
- 网络中存在的问题:正常情况下,当设备某个二层以太接口收到广播、未知组播或未知单播报文时,会向同一VLAN内的其他二层以太接口转发这些报文,如果网络存在环路,则会导致广播风暴,严重降低设备转发性能。
- 可用的解决方案:风暴控制可以通过阻塞报文或关闭端口来阻断广播、未知组播和未知单播报文的流量。
2.风暴控制工作原理
风暴控制可以用来防止广播、未知组播以及未知单播报文产生广播风暴。在风暴控制检测时间间隔内,设备监控接口下接收的三类报文的包平均速率与配置的最大阈值相比较。当报文速率大于配置的最大阈值时,风暴控制将根据配置的动作来对接口进行阻塞报文或关闭接口的处理。
流量抑制与风暴控制的主要区别是:风暴控制功能可以对端口下发惩罚动作(block和shutdown),而流量抑制功能只是对端口流量进行限制。
3.风暴控制的应用
风暴控制与流量抑制相比的优势是可以同时监控接口下的广播报文、未知组播报文和未知单播报文各自的包平均速率,并根据阈值对接口采取阻塞相关报文或者关闭物理接口的惩罚动作。
本例中,Switch作为二层网络到路由器的衔接点,当需要限制二层网络转发过来的用户广播、未知组播和未知单播报文时,可以通过在Switch的GE0/0/1上配置风暴控制功能来实现。
4.风暴控制配置命令介绍
配置接口对报文的风暴控制:
[Huawei-GigabitEthernet0/0/1] storm-control { broadcast | multicast | unicast } min-rate min-rate-value max-rate max-rate-value[Huawei-GigabitEthernet0/0/1] storm-control { broadcast | multicast | unicast } min-rate min-rate-value max-rate max-rate-value对接口上的广播、未知组播或未知单播报文进行风暴控制。
配置风暴控制的动作:
[Huawei-GigabitEthernet0/0/1] storm-control action { block | error-down }配置风暴控制的检测时间间隔:
[Huawei-GigabitEthernet0/0/1] storm-control interval interval-value配置使能接口状态自动恢复:
[Huawei-GigabitEthernet0/0/1] error-down auto-recovery cause storm-control interval interval-value使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间。
(可选)配置流量抑制及风暴控制白名单:
[Huawei] storm-control whitelist protocol { arp-request | bpdu | dhcp | igmp | ospf }*5.风暴控制配置举例
- 配置需求:在交换机Switch上需要配置防止二层网络转发的广播、未知组播和未知单播报文产生的广播风暴。
- 配置思路:通过在接口GE0/0/1上配置风暴控制限制二层网络的广播风暴的产生。
Switch配置如下:
[Switch] storm-control whitelist protocol arp-request
[Switch] interface gigabitethernet0/0/1
[Switch-GigabitEthernet0/0/1] storm-control broadcast min-rate 1000 max-rate 2000
[Switch-GigabitEthernet0/0/1] storm-control multicast min-rate 1000 max-rate 2000
[Switch-GigabitEthernet0/0/1] storm-control unicast min-rate 1000 max-rate 2000
[Switch-GigabitEthernet0/0/1] storm-control interval 90
[Switch-GigabitEthernet0/0/1] storm-control action block
[Switch-GigabitEthernet0/0/1] storm-control enable trap
#使能风暴控制上报告警配置验证执行命令display storm-control interface查看GE0/0/1接口下的风暴控制配置情况:
[Switch]display storm-control interface GigabitEthernet 0/0/1
PortName Type Rate Mode Action Punish- Trap Log Int Last-
(Min/Max) Status Punish-Time
----------------------------------------------------------------------------------------------------------
GE0/0/1 Multicast 1000 Pps Block Normal On Off 90
/2000
GE0/0/1 Broadcast 1000 Pps Block Normal On Off 90
/2000
GE0/0/1 Unicast 1000 Pps Block Normal On Off 90
/2000
