因CP-CAR配置原因导致MPLS L3VPN本端PE ping不通对端CE

发布时间:  2012-12-12 浏览次数:  112 下载次数:  0
问题描述
 

NE40版本V3.1 R2358,NE80E版本V300R001C01B052,组网如下:
PC-----------NE40A-----------------NE80E-----------------NE40B-----------server
                      4条pos链路           2条GE链路
组网描述:NE40A与NE80E通过4个POS口互连,NE80E与NE40B通过2个GE口互连,NE40A作为PE,下挂一个PC接入VPN1;NE40B也为VPN1的PE,下挂一个server接入VPN1,NE80E作为P设备,IGP使用OSPF。

问题现象:PC与NE40A互连可以ping通,但ping不通NE40B上接server的接口地址。

处理过程
 

1.中间的链路存在负载分担,但是对于LSP,如果没有配置负载分担,缺省是选择其中的一条LDP LSP,所以问题是不会因为中间负载分担链路导致的;

2.“在NE40B上可以ping通NE40A接PC的接口地址”,说明从NE40A到NE40B以及NE40B到NE40A的LSP没有问题。

3.检查设备配置,发现在NE40B上配置了apply system-bucket 4 31 traffic-rate 0,而不能ping通的接口正是在4号槽位。去掉这条命令后,问题解决。

4.导致故障的命令应该是客户为ICMP防攻击加上的,但数值设置为了0,导致ICMP报文不通:凡是目的地址是NE40B的4槽位上IP地址的ICMP报文都被丢掉(因为该类ICMP报文的带宽被设置为了0K)。

根因
 

由于现网防攻击配置,将ICMP的上送带宽设置为OK。

解决方案
 

1.去掉设备上对ICMP报文上送带宽设置为0的配置;

建议与总结
1.对于system-bucket的31号漏桶,为防攻击可以设置为4K,不建议更小(0K或2K)。 2.如果想保护CPU不被ICMP攻击,可以使用快回功能。 [_h]icmp fast 当使能该命令后,其它设备ping过来的就不会上送,只有本机ping出去的会上送,这样就没啥问题了。 4. 如何通过修改ICMP报文的上送带宽。 apply system car cir cbs slot type ipv4-redirect-icmp 3.如何查看NE40的漏统计数, ]disp system only-discard #The slot number: 6 The Protocol type :ipv4-redirect-icmp The time of the last packets arrive: 17:03:27 The number of present tokens: 196526 The number of the discarded packets: 269 The number of the passed packets: 579274 The bucket alarm enable flag: disable apply system cir 64k cbs 196608

END