最佳答案
一、 问题描述:
在使用H3C S3600V2交换机时,使用管理设备ping交换机的管理地址时,在ping大包或快速ping时会出现个别包延迟较大或丢包的情况。
二、 分析过程:
在S3600V2交换机上存在ping保护机制,这种防攻击机制主要是通过对ICMP协议报文进行硬件、软件带宽限制来保证其他重要协议报文能够得到优先处理,同时确保交换机的CPU不会受到非法的ICMP协议报文的冲击。
数据平面接收到ICMP协议报文会送到控制平面进行处理,如果上送控制平面的ICMP报文速率超过了系统预定义的限速带宽,那么上送控制平面的ICMP报文会得不到正确转发或及时处理。为了解决此问题,用户可以把QoS策略应用在控制平面上,放大对ICMP协议报文上送控制平面的带宽。
系统通过软件CAR的方式,限制每类协议报文上送CPU的带宽,即每秒允许的上CPU报文的个数。如果上送CPU的ICMP报文较多,就会丢弃一部分报文,从而达到保护CPU的目的。在测试时,可以放大软件CAR的限速阈值,临时放开软件CAR的保护限制。
三、 解决方法:
关闭ping保护。本文介绍的关闭ping保护方法,并不是完全将这一保护机制关闭,而是将交换机对ICMP协议报文的硬件、软件限速值放大。具体步骤分为两步:
1. 修改Copp限速
# 查看控制平面对于ICMP协议报文设置的默认带宽
===================================================================
Pre-defined Control-plane Policy Slot 1
-------------------------------------------------------------------
Index | PacketType | Priority | BandWidth(Kbps)
-------------------------------------------------------------------
1 ISIS 22 256
29 ARP 6 64
30 ARP_REPLY 10 64
35 DOT1X 6 256
36 STP 28 128
37 LACP 23 64
38 GVRP 7 256
41 ICMP 4 640
53 LLDP 19 256
54 DLDP 15 64
106 IPV6_CPUDST_CAR 3 640
# 通过MQC方式配置QoS策略,对ICMP报文的限速调整为2Mbps
traffic classifier copp operator and
if-match system-index 41
#
traffic behavior copp
car cir 2048 cbs 128000 ebs 512 green pass red discard yellow pass
#
qos policy copp
classifier copp behavior copp
#
control-plane slot 1
qos apply policy copp inbound //在控制平面视图下下发QoS策略
#
# 配置完成后,再次查看控制平面应用的QoS策略的信息,确认ICMP协议报文的带宽已经修改为2Mbps
===================================================================
Pre-defined Control-plane Policy Slot 1
-------------------------------------------------------------------
Index | PacketType | Priority | BandWidth(Kbps)
-------------------------------------------------------------------
1 ISIS 22 256
29 ARP 6 64
30 ARP_REPLY 10 64
35 DOT1X 6 256
36 STP 28 128
37 LACP 23 64
38 GVRP 7 256
41 ICMP 4 2048
53 LLDP 19 256
54 DLDP 15 64
106 IPV6_CPUDST_CAR 3 640
================================================================
2. 修改softcar
# 进入诊断模式
[H3C]en_Diag
CAUTION : Now you enter an en_diag command view for developer"s testing, some commands may be dangerous, please carefully use it with our engineer"s direction.
# 查看软件CAR对于ICMP协议报文的处理速率,默认CPU每秒处理1280个ICMP报文
[H3C-diagnose]debug rxtx softcar show 1
ID Type Pkt_PSec DisPkt_All Pps Dynamic Switch Hash ACLmax
40 BGP 0 0 200 S On SMAC 8
41 ICMP 0 0 1280 S On SMAC 8
42 IPV4_TTL 0 0 100 S On SMAC 8
#修改软件CAR对于ICMP协议报文的处理速率为5000pps
[H3C-diagnose]debug rxtx softcar 41 pps 5000 1 //最后的“1”表示槽位号,设备如果做了IRF2堆叠,则为设备的Member ID
#再次查看软件CAR,确认已经修改成功
[H3C-diagnose]debug rxtx softcar show 1
ID Type Pkt_PSec DisPkt_All Pps Dynamic Switch Hash ACLmax
40 BGP 0 0 200 S On SMAC 8
41 ICMP 0 0 5000 S On SMAC 8
42 IPV4_TTL 0 0 100 S On SMAC 8
四、 注意事项:
1、 由于交换机CPU性能的限制,在测试网络性能时,不建议将管理设备ping交换机上接口IP地址的时延大小和丢包情况作为判断依据。交换机对数据报文的转发,是依靠交换芯片完成的,ping交换机的接口IP地址,只能用来检查设备是否还“活着”,不能用来检查设备是否工作正常,也不能反映设备的性能高低;
2、 测试结束后,必须把相关的硬件、软件限速恢复默认值,以防止网络中的错误操作或恶意攻击对交换机的运行造成影响;
3、 管理设备ping交换机的接口IP地址时,ICMP报文需要上送设备的CPU处理,而上送设备CPU处理的报文有时会比较多,包括各种协议报文,如ARP 报文、BPDU报文等,其中ICMP报文优先级最低,上送CPU后不会被优先处理。因此,如果同一时刻上CPU的报文数量较大时 ,那么ping迟延就会增大;同时上CPU的报文数量较小,延迟就小。
- 2020-10-20回答
- 评论(2)
- 举报
-
(0)
重新编辑了
没有访问权限
重新编辑了
您好,请知:
只要PING包延迟不是一直很大,只要不影响业务使用,就无需关注,可能是设备的PING保护机制。
如果PING包延迟一直都很大,需要进一步检查设备的运行状态、路由、物理链路。
- 2020-10-20回答
- 评论(0)
- 举报
-
(2)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明