- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
06-H3C S12500 基于控制平面应用QoS策略典型配置举例
本章节下载: 06-H3C S12500 基于控制平面应用QoS策略典型配置举例 (166.56 KB)
H3C S12500 基于控制平面应用QoS策略配置举例
|
Copyright © 2013 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
本文档介绍了基于控制平面应用QoS策略的配置举例。
为了防止从数据平面上送控制平面的报文速率超过控制平面的处理能力,从而影响协议的正常运行,用户可以把QoS策略应用在控制平面上,通过对上送控制平面的报文进行过滤、限速等QoS处理,达到保护控制平面正常报文的收发、维护控制平面正常处理状态的目的。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解基于控制平面应用QoS策略特性。
如图1所示,将Host连接到交换机的端口GE3/0/1。Host对Switch A发起DoS攻击(ARP广播报文),要求在Switch A上配置基于控制平面应用QoS策略,匹配预定义的ARP广播报文,对上送控制平面的ARP广播报文进行限速,限速值为10pps。
图1 基于控制平面应用QoS策略典型配置组网图
缺省情况下,设备会在控制平面上应用预定义的QoS策略(如表1所示),并默认生效。预定义的QoS策略通过system-index来标识各种上送控制平面的报文类型,并对不同类型的报文设置有缺省的限速值。
|
系统预定义匹配字段索引号(system-index) |
匹配字段内容 |
缺省限速值(pps) |
|
1 |
STP |
200 |
|
2 |
ARP-BC |
600 |
|
3 |
IGMP |
2048 |
|
4 |
GVRP |
100 |
|
5 |
MLD |
500 |
|
6 |
PIM |
2000 |
|
7 |
DHCP |
400 |
|
8 |
802.3ah |
100 |
|
9 |
TTL(1) |
20 |
|
10 |
HopLimit(1) |
20 |
|
11 |
ARP-UC |
600 |
|
12 |
LACP |
100 |
|
13 |
CFD |
20000 |
|
14 |
802.1X |
4096 |
|
15 |
RRPP |
300 |
|
16 |
DLDP |
100 |
|
17 |
LLDP |
200 |
|
18 |
Loopback |
100 |
|
19 |
DHCP Snooping |
600 |
|
20 |
Portal |
400 |
|
21 |
VRRP/VRRP3 |
4000 |
|
22 |
RSVP |
2000 |
|
23 |
UDP Helper |
500 |
|
24 |
DHCPv6 |
400 |
|
25 |
ICMP ping |
1000 |
|
26 |
OSPF |
1000 |
|
27 |
SNMP |
200 |
|
28 |
ISIS |
1500 |
|
29 |
BGP |
400 |
|
30 |
LDP |
1600 |
从表1中可以查到ARP广播报文(ARP-BC)对应的system-index为2,对应的报文缺省限速值为600 pps。根据需求,需要将ARP广播报文的限速值修改为10pps,可以在流分类视图下通过if-match命令引用对应的system-index来进行报文分类,然后在对应的流行为下通过packet-rate命令配置期望的限速值。
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
当引用system-index字段进行流分类时,此流分类中不能再定义其它匹配规则,并且此流分类对应的流行为下只能配置限速动作,即只能配置packet-rate命令。
# 配置接口GE3/0/1和相关的VLAN属性,使其与Host三层互通。
<SwitchA> system-view
[SwitchA] interface GigabitEthernet 3/0/1
[SwitchA-GigabitEthernet3/0/1] undo shutdown
[SwitchA-GigabitEthernet3/0/1] quit
[SwitchA] interface Vlan-interface 1
[SwitchA-Vlan-interface1] undo shutdown
[SwitchA-Vlan-interface1] ip address 1.1.1.254 24
[SwitchA-Vlan-interface1] quit
# 在Switch A上配置基于控制平面应用QoS策略规则,规则内容匹配预定义的ARP广播报文,动作为对该控制平面的ARP报文进行限速。
[SwitchA] traffic classifier ARP
[SwitchA-classifier-ARP] if-match system-index 2
[SwitchA-classifier-ARP] quit
[SwitchA] traffic behavior ARP
[SwitchA-behavior-ARP] packet-rate 10
[SwitchA-behavior-ARP] quit
[SwitchA] qos policy COPP
[SwitchA-qospolicy-COPP] classifier ARP behavior ARP
[SwitchA-qospolicy-COPP] quit
[SwitchA] control-plane slot 3
[SwitchA-cp-slot3] qos apply policy COPP inbound
指定Host以Burst方式发送10000个ARP报文到SwitchA,通过命令行查询该单板上送控制平面的ARP报文数量,可见控制平面仅收到10个左右的ARP报文,多于的ARP报文已经被过滤。在使用display to-cpu-packet命令查询之前务必先使用命令reset to-cpu-packet statistics清空原有的统计信息。
<SwitchA> reset to-cpu-packet statistics slot 3
<SwitchA> display to-cpu-packet statistics slot 3 | include ARP
ARP-unicast 0
ARP-multicast 9
#
traffic classifier ARP operator and
if-match system-index 2
#
traffic behavior ARP
packet-rate 10
#
qos policy COPP
classifier ARP behavior ARP
#
control-plane slot 3
qos apply policy COPP inbound
#
interface Vlan-interface1
ip address 1.1.1.254 255.255.255.0
如图2所示,将Host连接到交换机的端口GE3/0/1。Host对Switch A发起DoS攻击,要求在Switch A上配置基于控制平面应用QoS策略,过滤从该接口收到的上送控制平面的协议报文。
图2 基于控制平面应用QoS策略典型配置组网图
过滤从某一接口收到的上送控制平面的协议报文,可以通过在流分类中使用inbound-interface关键字匹配该接口,然后再在对应的流行为下配置过滤动作,最后将QoS策略应用到指定槽位的控制平面上。
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
· 使用inbound-interface关键字指定的接口必须与对应QoS策略应用的控制平面所在的槽位一致,否则功能应用失败。
· 当使用inbound-interface关键字时,此流分类对应的流行为下只能配置流量过滤动作或流量监管动作,即只能配置filter或car命令。
# 配置接口GE3/0/1和相关的VLAN属性,使其与Host三层互通。
<SwitchA> system-view
[SwitchA] interface GigabitEthernet 3/0/1
[SwitchA-GigabitEthernet3/0/1] undo shutdown
[SwitchA-GigabitEthernet3/0/1] quit
[SwitchA] interface Vlan-interface 1
[SwitchA-Vlan-interface1] undo shutdown
[SwitchA-Vlan-interface1] ip address 1.1.1.254 24
[SwitchA-Vlan-interface1] quit
# 在SwitchA上配置基于控制平面应用QoS策略规则,规则内容匹配接口GE3/0/1,动作为对该接口所有协议报文文进行过滤。
[SwitchA] traffic classifier TC
[SwitchA-classifier-TC] if-match inbound-interface GigabitEthernet 3/0/1
[SwitchA-classifier-TC] quit
[SwitchA] traffic behavior TB
[SwitchA-behavior-TB] filter deny
[SwitchA-behavior-TB] quit
[SwitchA] qos policy COPP
[SwitchA-qospolicy-COPP] classifier TC behavior TB
[SwitchA-qospolicy-COPP] quit
[SwitchA] control-plane slot 3
[SwitchA-cp-slot3] qos apply policy COPP inbound
指定Host以Burst方式发送10000个ARP报文到SwitchA,通过命令行查询该单板上送控制平面的ARP报文数量,可见控制平面无法收到任何ARP报文。在使用display to-cpu-packet命令查询之前务必先使用命令reset to-cpu-packet statistics清空原有的统计信息。
<SwitchA> reset to-cpu-packet statistics slot 3
<SwitchA> display to-cpu-packet statistics slot 3 | include ARP
ARP-unicast 0
ARP-multicast 0
#
traffic classifier TC operator and
if-match inbound-interface GigabitEthernet 3/0/1
#
traffic behavior TB
filter deny
#
qos policy COPP
classifier TC behavior TB
#
control-plane slot 3
qos apply policy COPP inbound
#
interface Vlan-interface1
ip address 1.1.1.254 255.255.255.0
如图3所示,将Host连接到交换机的端口GE3/0/1。Host对Switch A发起DoS攻击(ARP报文),要求在SwitchA上配置基于控制平面应用QoS策略,匹配ARP报文,对上送控制平面的ARP报文进行过滤。
图3 基于控制平面应用QoS策略典型配置组网图
对上送控制平面的特定协议报文(本例中为ARP协议报文)进行过滤,可以通过在流分类中使用protocol关键字匹配该协议(目前该关键字仅支持匹配ARP、IP和IPv6三种协议),然后再在对应的流行为下配置过滤动作,最后将QoS策略应用到指定槽位的控制平面上。
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
# 配置接口GE3/0/1和相关的VLAN属性,使其与Host三层互通。
<SwitchA> system-view
[SwitchA] interface GigabitEthernet 3/0/1
[SwitchA-GigabitEthernet3/0/1] undo shutdown
[SwitchA-GigabitEthernet3/0/1] quit
[SwitchA] interface Vlan-interface 1
[SwitchA-Vlan-interface1] undo shutdown
[SwitchA-Vlan-interface1] ip address 1.1.1.254 24
[SwitchA-Vlan-interface1] quit
# 在SwitchA上配置基于控制平面应用QoS策略规则,规则内容匹配ARP报文,动作为对该控制平面的ARP报文进行过滤。
[SwitchA] traffic classifier ARP
[SwitchA-classifier-ARP] if-match protocol arp
[SwitchA-classifier-ARP] quit
[SwitchA] traffic behavior ARP
[SwitchA-behavior-ARP] filter deny
[SwitchA-behavior-ARP] quit
[SwitchA] qos policy COPP
[SwitchA-qospolicy-COPP] classifier ARP behavior ARP
[SwitchA-qospolicy-COPP] quit
[SwitchA] control-plane slot 3
[SwitchA-cp-slot3] qos apply policy COPP inbound
指定Host以Burst方式发送10000个ARP报文到SwitchA,通过命令行查询该单板上送控制平面的ARP报文数量,可见控制平面无法收到任何ARP报文。在使用display to-cpu-packet命令查询之前务必先使用命令reset to-cpu-packet statistics清空原有的统计信息。
<SwitchA> reset to-cpu-packet statistics slot 3
<SwitchA> display to-cpu-packet statistics slot 3 | include ARP
ARP-unicast 0
ARP-multicast 0
#
traffic classifier ARP operator and
if-match protocol arp
#
traffic behavior ARP
filter deny
#
qos policy COPP
classifier ARP behavior ARP
#
control-plane slot 3
qos apply policy COPP inbound
#
interface Vlan-interface1
ip address 1.1.1.254 255.255.255.0
· 《H3C S12500系列路由交换机 ACL和QoS配置指导》中的“QoS”
· 《H3C S12500系列路由交换机 ACL和QoS命令参考》中的“QoS”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
