如何演示ping NE40E上IP全通效果

发布时间:  2014-09-15 浏览次数:  1587 下载次数:  0
问题描述
某客户组网:Juniper MX960-NE40E-A-NE40E-B-NE40E-C-Cisco ASR 9010中,Cisco与Juniper工程师都反馈从他们设备ping华为NE40E上IP有丢包,如下图。
告警信息
无。
处理过程
1.放大NE40E主控板cpu芯片处理icmp报文的car阈值。
cpu-defend policy 2                      
car icmp cir 1000000 cbs 9000000
slot 7
cpu-defend-policy 2
小包ping全通,用大包Ping测效果不明显。在NE40E-A、NE40E-C之间互ping带上-s 1000 –m 5参数也有丢包。

2.在NE40B对NE40E-A、NE40E-C之间ping测查看icmp报文转发情况为:
<NE40E-B>display cpu-defend application-apperceive statistics slot 7
Slot      Attack-Type               Total-Packets Passed-Packets Dropped-Packets
--------------------------------------------------------------------------------
7         Application-Apperceive             2313           2313              0
--------------------------------------------------------------------------------
          ICMP                             2000           2000              0
<NE40E-B>display cpu-defend total-packet statistics
Slot      Attack-Type               Total-Packets Passed-Packets Dropped-Packets
--------------------------------------------------------------------------------
1         total-packet                   37561549       37561549              0
--------------------------------------------------------------------------------
3         total-packet                   17773638       17773638              0
--------------------------------------------------------------------------------
7         total-packet                   21826383       21826383              0

<NE40E-B>display cpu-defend car statistics slot 7 protocol icmp
  ==============================================================================
  CarName           Pass-Pkt      Drop-Pkt       Pass-Bytes      Drop-Bytes    
  CauseNewIcmp      2000          0              2084000         0             
说明:NE40E-B对过路的icmp报文全部转发,无丢弃。

3.在NE40E-A、NE40E-C大包互ping现象依旧。NE40E还有保护主控板cpu资源的软件层面机制anti-attack,anti-attack限制分片报文数量。大包Ping NE40E上IP,需要主控板cpu处理,会受到anti-attack限制,出现规律丢包。对过路icmp报文由业务板NP芯片直接转发,不会丢弃。当前在用版本anti-attack无法调整。
根因
从上图可见,用大包Ping NE40E上IP出现规律丢包,很有可能是接收的icmp报文超过NE40E处理上限。
建议与总结
1.放大NE40E car阈值,ping测速率不超过icmp报文car阈值情况下,小包快ping测可演示全通效果。
2.大包Ping测虽出现丢包,不说明设备转发业务异常。Ping NE40E上IP,需要主控板cpu处理,才出现规律丢包。对过路报文由业务板NP芯片直接转发,不需主控板cpu处理,所以不受影响。
3.建议新版本能调整anti-attack,可以演示ping全通的效果。

END