S6724交换机ICMP CPCAR值修改案例

发布时间:  2016-09-11 浏览次数:  484 下载次数:  48
问题描述

交换机版本:S6700 Version V200R003C00SPC300

防火墙版本:V300R001C01SPC700

 

1、网络拓扑如下:

 

2、网络配置说明:

1、两台防火墙Eudemon8000E配置为双机热备。Eth-trunk1上联S67交换机vlan2000,且启用vrrp

2、两台S6724交换机配置为主备模式,和防火墙互联的vlan2000配置VRRP track ,使能主备链路切换。

3、两台NE40路由器为主备互联网出口,本案例问题未涉及其配置。

3、故障现象说明

E8000E防火墙上ping对端S6724vlan2000接口地址,发现规律性丢包。如下所示。(S6724pingE8000E设备状况相同,截图略)

HRP_M[FW-E8000E]ping -c 1000 -s 1450 -m 100 10.10.10.1

15:51:31  2016/09/08

  PING 10.10.10.1: 1450  data bytes, press CTRL_C to break

    Reply from 10.10.10.1: bytes=1450 Sequence=1 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=2 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=3 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=4 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=5 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=6 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=7 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=8 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=9 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=10 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=11 ttl=254 time=5 ms

    Request time out

    Reply from 10.10.10.1: bytes=1450 Sequence=13 ttl=254 time=4 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=14 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=15 ttl=254 time=4 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=16 ttl=254 time=4 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=17 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=18 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=19 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=20 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=21 ttl=254 time=4 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=22 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=23 ttl=254 time=4 ms

    Request time out

    Reply from 10.10.10.1: bytes=1450 Sequence=25 ttl=254 time=7 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=26 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=27 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=28 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=29 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=30 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=31 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=32 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=33 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=34 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=35 ttl=254 time=5 ms

    Request time out

    Reply from 10.10.10.1: bytes=1450 Sequence=37 ttl=254 time=7 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=38 ttl=254 time=7 ms

    。。。。。。

 

4、设备配置脚本(见附件)

处理过程
 

1、使用display cpu-defend configuration all   来查看设备默认的cpcar值是多少,

发现ICMP Car值为128

2、推断ping  –m参数 Time in milliseconds to wait for sending next packet, the default is 500,该参数说明发包间隔为100毫秒,已经超过了CPCAR的值(128),因此会导致丢包,问题原因找到。

3、验证问题原因的正确性,更改ping –m参数为200,再次测试,发现无丢包,问题原因确诊。

根因
 

1、  排查网络环境,无环路;

2、  交换机与防火墙配置的vrrp vrid冲突导致,检查配置,发现无问题;

3、  交换机处理VRRP报文占用CPU资源,将VRRP取消,问题依旧。且ping目的地址为实地址,非VRRP虚地址;

3、使用display cpu-defend statistics all  命令查看交换机在心跳线连接和未连接状态下有无丢包情况发生,发现结果都一样,依然有丢包;

4、使用dislay logbuffer对日志进行分析,发现告警信息,截图如下

Sep  6 2016 00:18:08-05:13 1-1/S6724_1 %%01DEFD/4/CPCAR_DROP_MPU(l)[338]:Rate of packets to cpu exceeded the CPCAR limit on the MPU. (Protocol=arp-miss, CIR/CBS=64/10000, ExceededPacketCount=27)

Sep  6 2016 00:08:08-05:13 1-1/S6724_1 %%01DEFD/4/CPCAR_DROP_MPU(l)[339]:Rate of packets to cpu exceeded the CPCAR limit on the MPU. (Protocol=arp-miss, CIR/CBS=64/10000, ExceededPacketCount=20)

Sep  5 2016 23:58:08-05:13 1-1/S6724_1 %%01DEFD/4/CPCAR_DROP_MPU(l)[340]:Rate of packets to cpu exceeded the CPCAR limit on the MPU. (Protocol=arp-miss, CIR/CBS=64/10000, ExceededPacketCount=10)

该告警信息提示MPU上的报文速率超过了CPUCPCAR限制,由此判断是设备硬件原因导致。

解决方案
 

因用户不希望更改ping的发包间隔,所以只能通过修改交换机的CPCAR值来最终解决问题。

步骤如下:

1、系统视图 cpu-defend policy test   创建一个defend策略,命名为test

[1-1/S6724_1] cpu-defend p

[1-1/S6724_1] cpu-defend policy test

 

2、修改ICMPCPCAR值,为256

[1-1/S6724_1-cpu-defend-policy-test] car packet-type icmp cir 256

Warning:Improper parameter settings may affect stable operating of the system.

Use this command under assistance of Huawei engineers .Continue?[Y/N]: y

 

3、引用该策略

[1-1/S6724_1] cpu-defend-policy test global

 

4、再次测试,无规律丢包没有出现,至此,该问题解决,具体原因为交换机上的cpcar值不符合用户那边的测试需求。附测试截图。

HRP_M[FW-E8000E]ping -c 1000 -s 1450 -m 100 10.10.10.1

17:51:31  2016/09/08

  PING 10.10.10.1: 1450  data bytes, press CTRL_C to break

    Reply from 10.10.10.1: bytes=1450 Sequence=1 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=2 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=3 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=4 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=5 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=6 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=7 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=8 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=9 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=10 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=11 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=12 ttl=254 time=4 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=13 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=14 ttl=254 time=4 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=15 ttl=254 time=4 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=16 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=17 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=18 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=19 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=20 ttl=254 time=4 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=21 ttl=254 time=5 ms

    Reply from 10.10.10.1: bytes=1450 Sequence=22 ttl=254 time=4 ms

 

建议与总结
 

1、修改ICMP Car的值,和正常使用的业务没有必然的关联,因为平常没有大量的icmp报文需要交换机处理。

2、Ping包都是用来做测试连通性的,一般都是正常的值,用户特别要求除外。

3、如果ping正常的ping包都有问题的话  那么除了cpcar,还有别的原因。比如环路、接口拥塞、链路质量不好等原因。

END