Como lidiar con los fallos de la defensa de CPU para el protocolo plano de control.

Publicado 2019-1-11 12:34:03 79 0 0 0

Hola chicos,

 

De vez en cuando, en el logbuffer, verá algunos mensajes como a continuación que indican que algunos paquetes de protocolo se descartan porque exceden el CPCAR:

 

xx xxxxxxxxxx %% 01DEFD / 6 / CPCAR_DROP_LPU (l) [32]: La tasa de paquetes a la CPU superó el límite de CPCAR en la LPU en la ranura 1. (Protocolo = ospf, ExceededPacketCount = 010)

 

Entonces, ¿de qué viene CPCAR?

 

La velocidad de acceso confirmada del plano de control (CPCAR) limita la velocidad de los paquetes de protocolo enviados al plano de control y programa los paquetes para proteger el plano de control. CPCAR proporciona protección jerárquica de dispositivos: límite de velocidad basado en protocolos, programación y límite de frecuencia basado en colas y límite de velocidad para todos los paquetes.

 

¿Cómo funciona?

 

Si el volumen de tráfico de un protocolo es demasiado grande, otros paquetes de protocolo no se pueden procesar a tiempo. CPCAR admite la configuración de Velocidad de información comprometida (CIR) y Tamaño de ráfaga confirmada (CBS) para cada protocolo. El dispositivo descarta los paquetes de protocolo que exceden el límite de velocidad. Esto asegura que todos los protocolos puedan procesarse y que los protocolos no se afecten entre sí.

 

Debajo de los paquetes se muestra la protección jerárquica que mencioné anteriormente.

023137v1jbu2u1kb8m3n8z.png

Perdón por la introducción, ahora volvamos al caso.

 

Una vez que el registro de descartes se encuentra en logbuffer, debemos verificar las estadísticas de cpu-defend en pantalla para ver exactamente qué protocolos se descartan:

023211njcixqjjzjgm4rjc.png

El contador de paquetes de caída estaba aumentando para los protocolos BGP y OSFP.

 

Vamos a encontrar una solución para hacer frente a este problema.

 

 

1. Podemos usar la función de lista blanca para proteger y autorizar que los paquetes OSPF y BGP se procesen primero.

 

Una vez que se configura una ACL para permitir que los paquetes de un puerto o un puerto se agreguen a la lista blanca, el dispositivo no rastrea la fuente ni limita la velocidad de los paquetes desde este puerto.

 

Crearemos una lista blanca para permitir pares de ospf y bgp.

023226iydkm92xzm962xe2.png

Aplica la política al MPU:

023239y6l14uhldsfi4364.png

2. Habilitar ALP para sesiones BGP y OSPF.

 

El conmutador habilita la protección de enlace activo (ALP) para proteger los datos basados en sesiones en la capa de aplicación, incluidos los datos de sesiones FTP, sesiones BGP o sesiones OSPF. ALP garantiza servicios ininterrumpidos cuando ocurren ataques. Después de configurar un FTP, un BGP o una conexión OSPF, el límite de velocidad basado en el protocolo no tendrá efecto. El límite de velocidad se realiza según los protocolos de la capa de aplicación.


023252nnzgvonosqu8fyun.png

Espero encuentren esta información útil 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba