[Partage d'initiés] Comment traiter avec le CPU défendre les rejets pour le protocole de plan de commande

58 0 0 0

[Partage d'initiés] Comment traiter avec le CPU défendre les rejets pour le protocole de plan de commande 

 

 

Salut, les gars. 

 

Depuis le temps, dans le tampon de journalisation, vous verrez quelques messages comme ci-dessous qui disent que certains paquets de protocole sont rejetés parce qu'il dépasse le CPCAR.

 

xx xxxxxxxxxx %DEFD/6/CPCAR_DROP_LPU(l)[32]:Rate of packets to cpu exceeded the CPCAR limit on the LPU in slot 1. (Protocol=ospf, ExceededPacketCount=010)

 

Alors de quoi vient CPCAR ?

 

Control Plane Committed Access Rate (CPCAR) limite le taux des paquets de protocole envoyés au plan de commande et planifie les paquets pour protéger le plan de commande. CPCAR fournit une protection hiérarchique du dispositif : Limite de vitesse basée sur les protocoles, la programmation et la limite de vitesse sur la base des files d'attente, et limite de vitesse pour tous les paquets.

 

Comment ça marche ?

Si le volume de trafic d'un protocole est trop grand, d'autres paquets de protocole ne peuvent pas être traités en temps opportun. CPCAR prend en charge le réglage du Committed Information Rate (CIR) and Committed Burst Size (CBS) pour chaque protocole. Le dispositif rejette les paquets de protocole dépassant la limite de vitesse. Ceci garantit que tous les protocoles peuvent être traités et que les protocoles ne s'affectent pas.

Les paquets ci-dessous montrent la protection hiérarchique que j'ai déjà mentionnée.

https://forum.huawei.com/enterprise/en/data/attachment/forum/dm/ecommunity/uploads/2014/0730/20/53d8e5137aafd.PNG



Désolé pour l'intro, revenons à l'affaire.

 

Après que le rejet de journal est repéré dans le tampon de journalisation, nous devons vérifier display cpu-defend statistics pour voir exactement quels protocoles sont rejetés :

 

display cpu-defend statistics

 

Statistiques sur le slot 1 :

-------------------------------------------------------------------------------
Packet Type         Pass(Bytes)  Drop(Bytes)   Pass(Packets)   Drop(Packets)

bgp                   308551605       208952         4251197             375

ospf                32227526758    610727782       237525545         1953770

 

 

Le compteur de paquets rejetés  augmentait pour les protocoles BGP et OSFP. 

Trouvons une solution pour régler ce problème. 

 

1.    Nous pouvons utiliser la fonction white-list pour protéger et autoriser les paquets OSPF et BGP à traiter d'abord.

Une fois qu'une ACL est configurée pour permettre aux paquets d'un port ou d'un port est ajoutée au whitelist, le dispositif ne trace pas la source ou limite le taux des paquets de ce port.

Nous allons créer une whitelist pour permettre aux pairs ospf et bgp.

[[Switch] acl number 2001
[Switch-acl-basic-2001] rule 5 permit source 1.1.1.0 0.0.0.3
[Switch-acl-basic-2001] rule 5 permit source 1.1.2.0 0.0.0.3
[Switch-acl-basic-2001] rule 5 permit source 1.1.3.0 0.0.0.3
[Switch-acl-basic-2001] rule 5 permit source 1.1.4.0 0.0.0.3

Configure the whitelist

[Switch] cpu-defend policy policy1
[Switch-cpu-defend-policy-policy1] whitelist 1 acl 2001

Apply the policy to MPU:

[Switch] cpu-defend-policy policy1

 

 

2.    Activer ALP pour les sessions BGP et OSPF. 

Le commutateur permet une protection de liaison active (ALP) pour protéger des données basées sur la session sur la couche d'application, y compris des données de sessions FTP, des sessions BGP ou des sessions OSPF. ALP assure des services ininterrompus lorsque des attaques se produisent. Après un FTP, une BGP ou une connexion OSPF est configurée, la limite de vitesse basée sur le protocole ne prend pas effet. La limite de vitesse est exécutée sur la base des protocoles de couche d'application.

[HUAWEI] cpu-defend application-apperceive bgp enable
[HUAWEI] cpu-defend application-apperceive ospf enable

Pour que cette fonctionnalité prenne effet, vous devrez redémarrer la session BGP/OSPF. 

 

J'espère que vous trouverez cette information utile ! 

 

  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier