Онлайн-демонстрация
Связаться с нами
15.4. Настройка ограничения трафика CPU
Назначение
Ограничение трафика процессора предназначено для защиты процессора от вредоносных потоков, содержащих большие объемы PDU.
Описание
Ограничение трафика процессора обеспечивает двухуровневую защиту процессора:
Низкоуровневое ограничение трафика может быть выполнено для каждого типа трафика, пересылаемого службой формирования очереди на CPU, для каждого типа PDU.
Высокоуровневое ограничение трафика может быть выполнено для всех типов трафика, пересылаемого службой формирования канала на CPU.
Благодаря двухуровневой защите может быть ограничена скорость передачи каждого PDU на процессор, а также скорость передачи любых PDU на процессор.
Типы трафика, передаваемые на CPU:
Тип |
Описание |
|---|---|
ARP |
Протокол разрешения адресов |
BPDU |
Блок данных протокола моста |
DHCP |
Протокол динамической настройки сетевого узла |
EAPOL |
Расширяемый протокол аутентификации по локальной сети |
ERPS |
Защитное переключение Ethernet-кольца |
FWD-to-CPU |
Пакеты, передающиеся на CPU |
ICMP-Redirect |
Сообщение перенаправления ICMP |
IGMP |
IGMP Snooping Protocol |
IP-Option |
Пакеты с параметрами IP |
IPDA |
IP Destination to Router-self |
SSH |
Пакеты протокола SSH |
TELNET |
Пакеты протокола Telnet |
MLAG |
Пакеты протокола MLAG |
TCP |
Пакеты протокола TCP |
LDP |
Протокол распределения меток |
MACSA-Mismatch |
Защита порта для изученного Source MAC |
MCAST-RPF-Fail |
Multicast-рассылка с отказом RPF или первый multicast-пакет |
MPLS-TTL-Fail |
Пакет MPLS с ошибкой TTL |
IP-MTU-Fail |
IP-пакет с ошибкой MTU |
OSPF |
Пакеты протокола OSPF |
PIM |
Пакеты протокола PIM |
PORT-Security-Discard |
Защита порта при превышении максимального числа FDB |
RIP |
Пакеты протокола RIP |
SFLOW-Egress |
Отобранный исходящий поток |
SFLOW-Ingress |
Отобранный входящий поток |
SLOW-Protocol |
Пакеты Slow Protocol включая EFM, LACP, SYNCE |
SMART-Link |
Пакеты протокола Smart Link |
UCAST-TTL-Fail |
Юникаст-пакеты с ошибкой TTL |
UDLD |
Пакеты протокола UDLD |
VLAN-Security-Discard |
Защита VLAN при превышении максимального числа FDB |
VRRP |
Пакеты протокола VRRP |
BFD-Learning |
Пакеты BFD-Learning |
Dot1x-MAC-Bypass |
Пакеты обхода MAC-авторизации |
BGP |
Пакеты протокола BGP |
Egress-TTL-Fail |
Ошибка TTL исходящего пакета |
ICMPv6 |
Пакеты протокола ICMPv6 |
L2Protocol-Tunnel |
L2-пакет туннельного протокола |
Loopback-Detection |
Пакеты обнаружения обратной петли |
Mirror-To-CPU |
Зеркалированные на CPU пакеты |
NDP |
Пакеты протокола NDP |
Tunnel-GRE-Keepalive |
Ответный пакетTunnel GRE keepalive |
Настройки по умолчанию для трафика, передаваемого на CPU:
Тип трафика |
Скорость (PPS) |
Класс |
|---|---|---|
ARP |
256 |
1 |
BPDU |
64 |
3 |
DHCP |
128 |
0 |
EAPOL |
128 |
0 |
ERPS |
128 |
3 |
FWD-to-CPU |
64 |
0 |
ICMP-Redirect |
128 |
0 |
IGMP |
128 |
2 |
IP-Option |
512 |
0 |
IPDA |
1000 |
0 |
SSH |
64 |
3 |
TELNET |
64 |
3 |
MLAG |
1000 |
1 |
TCP |
64 |
2 |
LDP |
512 |
1 |
MACSA-Mismatch |
128 |
0 |
Mcast-RPF-Fail |
128 |
1 |
MPLS-TTL-Fail |
64 |
0 |
IP-MTU-Fail |
64 |
0 |
OSPF |
256 |
1 |
PIM |
128 |
1 |
Port-Security-Discard |
128 |
0 |
RIP |
64 |
1 |
SFlow-Egress |
128 |
0 |
SFlow-Ingress |
128 |
0 |
Slow-Protocol |
256 |
1 |
Smart-Link |
128 |
2 |
UCast-TTL-Fail |
64 |
0 |
UDLD |
128 |
3 |
VLAN-Security-Discard |
128 |
0 |
VRRP |
512 |
1 |
BFD-Learning |
128 |
1 |
Dot1x-MAC-Bypass |
64 |
2 |
BGP |
256 |
1 |
Egress-TTL-Fail |
64 |
0 |
ICMPv6 |
64 |
2 |
L2Protocol-Tunnel |
1000 |
0 |
Loopback-Detection |
64 |
3 |
Mirror-to-CPU |
1000 |
0 |
NDP |
64 |
2 |
Tunnel-GRE-Keepalive |
64 |
0 |
Настройка
Шаг 1: Вход в режим “Global config”
Switch# configure terminal
Шаг 2: Установка общей скорости
По умолчанию значение общей скорости равно 2000, единица измерения - PPS (пакеты в секунду). Изменение общей скорости:
Switch(config)# cpu-traffic-limit total rate 3000
Шаг 3: Отдельная установка скорости
Установка скорости для пакетов RIP:
Switch(config)# cpu-traffic-limit reason rip rate 500
Шаг 4: Установка класса для трафика
Switch(config)# cpu-traffic-limit reason rip class 3
Диапазон значений класса трафика – от 0 до 3. Большее число указывает на более высокий приоритет.
Шаг 5: Выход из режима “Global config”
Switch(config)# end
Шаг 6: Проверка
Вывод конфигурации ограничения трафика процессора, в режиме “Privileged EXEC”:
Switch# show cpu traffic-limit
reason rate (pps) class
dot1x-mac-bypass 64 2
bpdu 64 3
slow-protocol 256 1
eapol 128 0
erps 128 3
smart-link 128 2
udld 128 3
loopback-detection 64 3
arp 256 1
dhcp 128 0
rip 500 3
ldp 512 1
ospf 256 1
pim 128 1
bgp 256 1
vrrp 512 1
ndp 64 2
icmpv6 64 2
ssh 64 3
telnet 64 3
mlag 1000 1
tcp 64 2
ipda 1000 0
icmp-redirect 128 0
mcast-rpf-fail 128 1
macsa-mismatch 128 0
port-security-discard 128 0
vlan-security-discard 128 0
egress-ttl-fail 64 0
ip-mtu-fail 64 0
bfd-learning 128 1
ptp 512 2
ip-option 512 0
tunnel-gre-keepalive 64 0
ucast-ttl-fail 64 0
mpls-ttl-fail 64 0
igmp 128 2
sflow-ingress 128 0
sflow-egress 128 0
fwd-to-cpu 64 0
l2protocol-tunnel 1000 0
mirror-to-cpu 1000 0
Total rate: 3000 (pps)
Вывод статистики трафика процессора, в режиме “Privileged EXEC”:
Switch# show cpu traffic-statistics receive all
statistics rate time is 5 second(s)
reason count(packets) rate(pps)
dot1x-mac-bypass 0 0
bpdu 0 0
slow-protocol 0 0
eapol 0 0
erps 0 0
smart-link 0 0
udld 0 0
loopback-detection 0 0
arp 0 0
dhcp 0 0
rip 0 0
ldp 0 0
ospf 0 0
pim 0 0
bgp 0 0
vrrp 0 0
rsvp 0 0
ndp 0 0
icmpv6 0 0
ssh 0 0
telnet 0 0
mlag 0 0
tcp 0 0
ipda 0 0
icmp-redirect 0 0
mcast-rpf-fail 0 0
macsa-mismatch 0 0
port-security-discard 0 0
vlan-security-discard 0 0
egress-ttl-fail 0 0
ip-mtu-fail 0 0
bfd-learning 0 0
ptp 0 0
ip-option 0 0
tunnel-gre-keepalive 0 0
ucast-ttl-fail 0 0
mpls-ttl-fail 0 0
igmp 0 0
sflow-ingress 0 0
sflow-egress 0 0
fwd-to-cpu 0 0
l2protocol-tunnel 0 0
mirror-to-cpu 0 0
mpls-tp-pwoam 0 0
other 0 0
Total 0 0