所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
流量抑制及风暴控制配置命令

流量抑制及风暴控制配置命令

storm suppression broadcast (接口视图)

命令功能

storm suppression broadcast命令用来配置接口下允许通过的最大广播报文流量。

undo storm suppression broadcast命令用来恢复接口下允许通过的最大广播报文流量为缺省值。

缺省情况下,接口下允许通过的最大广播报文流量按照百分比抑制,比例值为10%

命令格式

  • CE6870EI除外:

    storm suppression broadcast { percent-value | cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ] | packets packets-per-second }

    undo storm suppression broadcast

  • CE6870EI:

    Eth-Trunk接口视图:

    storm suppression broadcast cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ]

    undo storm suppression broadcast

    其他接口视图:

    storm suppression broadcast { percent-value | cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ] }

    undo storm suppression broadcast

参数说明

参数

参数说明

取值

percent-value

百分比值,即报文速率和接口速率的比值。

整数形式,取值范围为0~100。

cir cir-value [ gbps | mbps | kbps ]

指定承诺信息速率CIR(Committed Information Rate),即保证能够通过的速率。

整数形式,单位可以为Gbit/s、Mbit/s和Kbit/s,缺省单位为Kbit/s。单位为Kbit/s时,取值范围为0~100000000,单位为Mbit/s时,取值范围为0~100000,单位为Gbit/s时,取值范围为0~100。

cbs cbs-value [ bytes | mbytes | kbytes ]

指定承诺突发尺寸CBS(Committed Burst Size),即瞬间能够通过的承诺流量。

整数形式,单位可以为bytes、kbytes和mbytes,缺省单位为bytes。单位为bytes时,取值范围为10000~4294967295,单位为kbytes时,取值范围为10~4194303,单位为mbytes时,取值范围为1~4095。cbs的缺省取值根据cir的取值而不同,是cir值的188倍。

packets packets-per-second

指定每秒包速率。

整数形式,取值范围0~148810000。

说明:

CE6870EI不支持该参数。

视图

Eth-Trunk接口视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、端口组视图

说明:

仅CE6870EI支持Eth-Trunk接口视图。

缺省级别

2:配置级

使用指南

当网络中的广播报文增多时,广播报文占用的网络资源将随之增多,进而严重影响了网络业务的正常运行。

为了防止广播风暴,可以使用storm suppression broadcast命令配置基于接口的广播报文流量的阈值。当广播报文流量超过配置的阈值时,系统将丢弃多余的广播报文,使广播报文流量降低到合理的范围内。

使用实例

# 配置10GE1/0/1接口允许通过广播报文的承诺信息速率为100kbit/s,承诺突发尺寸为18800bytes

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] storm suppression broadcast cir 100 cbs 18800

storm suppression broadcast access

命令功能

storm suppression broadcast access命令用来配置用户侧允许通过的最大广播报文的流量。

undo storm suppression broadcast命令用来取消用户侧允许通过的最大广播报文的流量限制。

缺省情况下,未配置用户侧允许通过的最大广播报文的流量。

说明:
仅CE6850HI、CE6850U-HI、CE6851HI、CE6855HI、CE6856HI、CE6860EI、CE7850EI、CE7855EI、CE8850EI、CE8860EI设备支持此命令。

命令格式

storm suppression broadcast access cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ]

undo storm suppression broadcast

参数说明

参数

参数说明

取值

cir cir-value [ gbps | mbps | kbps ]

指定承诺信息速率CIR(Committed Information Rate),即保证能够通过的速率。

整数形式,单位可以为Gbit/s、Mbit/s和Kbit/s,缺省单位为Kbit/s。单位为Kbit/s时,取值范围为0~4294967295,单位为Mbit/s时,取值范围为0~4294967,单位为Gbit/s时,取值范围为0~4294。

cbs cbs-value [ bytes | mbytes | kbytes ]

指定承诺突发尺寸CBS(Committed Burst Size),即瞬间能够通过的承诺流量。

整数形式,单位可以为bytes、kbytes和mbytes,缺省单位为bytes。单位为bytes时,取值范围为10000~4294967295,单位为kbytes时,取值范围为10~4194303,单位为mbytes时,取值范围为1~4095。cbs的缺省取值根据cir的取值而不同,是cir值的188倍。

视图

BD视图

缺省级别

2:配置级

使用指南

当网络中的广播报文增多时,广播报文占用的网络资源将随之增多,进而严重影响了网络业务的正常运行。

如果需要对用户侧的广播报文进行限制,可以执行此命令,超过限制速率的报文将被丢弃。

说明:
该命令只对用户侧的广播报文进行限制,如果需要同时对用户侧和网络侧的广播报文进行限制,可以在BD视图下执行命令storm suppression broadcast,二者之间后配置的生效。

使用实例

# 配置BD 10的用户侧广播报文允许通过的承诺信息速率为100kbit/s,承诺突发尺寸为18800bytes。
<HUAWEI> system-view
[~HUAWEI] bridge-domain 10
[*HUAWEI-bd10] storm suppression broadcast access cir 100 cbs 18800

storm suppression broadcast block outbound

命令功能

storm suppression broadcast block outbound命令用来配置在接口出方向上阻断广播报文。

undo storm suppression broadcast block outbound命令用来取消在接口出方向上阻断广播报文。

缺省情况下,未阻断接口出方向上的广播报文。

命令格式

storm suppression broadcast block outbound

undo storm suppression broadcast block outbound

参数说明

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

通常情况下,当某个接口收到广播报文后,会广播给该报文所属VLAN的所有用户。而这可能会导致信息泄露,最常见的情景如下:VLAN内某个接口存在非法用户,它通过侦听广播报文窃取到发送该报文的主机的地址信息,由此可以对该主机发起攻击。为了杜绝此类安全隐患,对于某些下接网络不希望接收任何广播流量的接口(比如此接口下的用户较为固定,且对安全性要求较高)而言, 可以使用storm suppression broadcast block outbound命令将该接口的广播报文完全阻断。

注意事项

本命令仅适用于在不需要接收广播流量的接口上配置,否则可能会影响网络的正常运行,用户应根据网络的实际情况选择使用。

对于具体接口而言,流量抑制可分别在接口入方向上和出方向上单独进行配置,互不影响。在接口入方向上,可使用storm suppression broadcast命令对广播报文在具体速率上进行限制;在接口出方向上,可使用storm suppression broadcast block outbound命令对广播报文直接进行阻断。

使用实例

# 配置10GE1/0/1接口在出方向上阻断广播报文。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] storm suppression broadcast block outbound

storm suppression broadcast (VLAN或BD视图)

命令功能

storm suppression broadcast命令用来配置VLAN或BD下允许通过的最大广播报文的流量。

undo storm suppression broadcast命令用来取消VLAN或BD下的广播报文流量限制。

缺省情况下,VLAN或BD下广播报文流量无限制。

说明:
BD视图下,仅CE6850HI、CE6850U-HI、CE6851HI、CE6855HI、CE6856HI、CE6860EI、CE6870EI、CE6880EI、CE7850EI、CE7855EI、CE8850EI和CE8860EI设备支持此命令。

命令格式

storm suppression broadcast cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ]

undo storm suppression broadcast

参数说明

参数

参数说明

取值

cir cir-value [ gbps | mbps | kbps ]

指定承诺信息速率CIR(Committed Information Rate),即保证能够通过的速率。

整数形式,单位可以为Gbit/s、Mbit/s和Kbit/s,缺省单位为Kbit/s。单位为Kbit/s时,取值范围为64~4294967295,单位为Mbit/s时,取值范围为1~4294967,单位为Gbit/s时,取值范围为1~4294。
说明:
BD视图下,取值范围的最小值为0。

cbs cbs-value [ bytes | mbytes | kbytes ]

指定承诺突发尺寸CBS(Committed Burst Size),即瞬间能够通过的承诺流量。

整数形式,单位可以为bytes、kbytes和mbytes,缺省单位为bytes。单位为bytes时,取值范围为10000~4294967295,单位为kbytes时,取值范围为10~4194303,单位为mbytes时,取值范围为1~4095。cbs的缺省取值根据cir的取值而不同,是cir值的188倍。

视图

VLAN视图、VLAN-Range视图、BD视图

缺省级别

2:配置级

使用指南

当网络中的广播报文增多时,广播报文占用的网络资源将随之增多,进而严重影响了网络业务的正常运行。

如果需要对VLAN或BD内的广播报文进行限制,需要使用此命令配置。

执行本命令后,设备将对指定VLAN或BD下的广播报文流量进行限制,超过限制速率的报文将被丢弃。

说明:
该命令在BD视图下配置时,同时对用户侧和网络侧的广播报文流量进行限制,如果仅需要对用户侧报文进行限制,可以执行命令storm suppression broadcast access,二者之间后配置的生效。

使用实例

# 配置VLAN2的上行广播报文允许通过的承诺信息速率为100kbit/s,承诺突发尺寸为18800bytes。
<HUAWEI> system-view
[~HUAWEI] vlan 2
[*HUAWEI-vlan2] storm suppression broadcast cir 100 cbs 18800

display snmp-agent trap feature-name fei_comm all

命令功能

display snmp-agent trap feature-name fei_comm all命令用来查看转发引擎实例公共模块的所有告警开关的信息。

命令格式

display snmp-agent trap feature-name fei_comm all

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

当用户需要查看转发引擎实例公共模块的所有告警开关的信息时,可以通过该命令实现。

使用实例

# 查看转发引擎实例公共模块的所有告警信息。

<HUAWEI> display snmp-agent trap feature-name fei_comm all
------------------------------------------------------------------------------  
Feature name: FEI_COMM                                                          
Trap number : 2                                                                 
------------------------------------------------------------------------------  
Trap name                      Default switch status   Current switch status    
hwPortSecRcvIllegalMacAlarm    on                      on                       
hwXQoSStormControlTrap         on                      on     
表16-69  display snmp-agent trap feature-name fei_comm all命令输出信息描述

项目

描述

Feature name

告警所属的模块名称。

Trap number

告警的数量。

Trap name

告警的名称,转发引擎实例公共模块的告警包括:

  • hwPortSecRcvIllegalMacAlarm:打开端口安全MAC地址数达到最大数后,收到非法MAC地址时上报告警的开关。
  • hwXQoSStormControlTrap:打开接口下广播、组播和未知单播报文速率超过阈值时的告警开关。

Default switch status

缺省告警开关状态:
  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

Current switch status

当前告警开关状态
  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

display storm control

命令功能

display storm control命令用来查看接口的风暴控制信息。

命令格式

display storm control [ interface interface-type interface-number [ verbose ] ]

参数说明

参数

参数说明

取值

interface interface-type interface-number

指定接口类型和接口编号。其中:
  • interface-type表示接口类型;
  • interface-number表示接口编号。
-

verbose

显示风暴控制详细信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

使用实例

# 查看接口10GE1/0/1上配置的风暴控制信息。

<HUAWEI> display storm control interface 10ge 1/0/1
--------------------------------------------------------------------------------                                                    
NOTE:                                                                                                                               
BC = Broadcast; MC = Multicast; UC = Unicast; UUC = Unknown Unicast                                                                 
Int = Interval value (unit: seconds)                                                                                                
--------------------------------------------------------------------------------                                                    
PortName     Type   MaxRate Mode Action    Punish-   Trap Log  Int Last                                                             
                                           Status                  Punish-Time                                                      
--------------------------------------------------------------------------------                                                    
10GE1/0/1    BC        2000 Pps  ErrorDown Normal    Off  On    90 --                                                               
10GE1/0/1    MC        2000 Pps  ErrorDown Normal    Off  On    90 --                                                               
10GE1/0/1    UC        2000 Pps  ErrorDown Normal    Off  On    90 --             
表16-70  display storm control命令输出信息描述表

项目

描述

PortName

接口名称。

Type

报文类型。

  • BC:Broadcast,广播报文。
  • MC:Multicast,组播报文。
  • UC:Unicast,单播报文。
  • UUC:Unknown Unicast,未知单播报文。

MaxRate

最大阈值。

Mode

风暴控制报文模式,包括:

  • Kbps:字节模式。

  • Pps:包模式。

  • %:百分比模式。

Action

风暴控制的动作,包括:
  • None:未配置动作。
  • Errordown:关闭接口。
  • Block:阻塞报文。
  • Suppress:抑制报文。
    说明:

    CE6870EI不支持suppress参数。

Punish-Status

当前接口的报文状态:
  • ErrorDown:当速率大于MaxRate且风暴控制动作为关闭接口时,状态为关闭接口。
  • Normal:正常转发。
  • Block:当速率大于MaxRate且风暴控制动作为阻塞报文时,状态为阻塞接口报文。
  • Suppress:当速率大于MaxRate且风暴控制动作为抑制报文时,状态为抑制接口报文,即把超过速率的报文丢弃。
    说明:

    CE6870EI不支持suppress参数。

Trap

告警开关状态,包括:
  • on:打开。
  • off:关闭。

Log

日志开关状态,包括:
  • on:打开。
  • off:关闭。

Int

风暴控制的检测时间间隔,单位是秒。缺省值是5秒。

Last Punish-Time

上一次实施风暴控制惩罚的时间。

# 查看接口10GE1/0/1上的风暴控制详细信息。
<HUAWEI> display storm control interface 10ge 1/0/1 verbose
Port Name         : 10GE1/0/1
 Type             : Unicast
 Minimum Rate     : 22(Pps)
 Maximum Rate     : 33(Pps)
 Action           : None
 Punish Status    : Normal
 Trap             : Off
 Log              : Off
 Interval         : 5(s)
 Last Punish Time : --
表16-71  display storm control interface 10ge 1/0/1 verbose命令输出信息描述

项目

描述

Port Name

接口名称。

Minimum Rate

最小阈值。通过storm control命令配置最小阈值。

Maximum Rate

最大阈值。通过storm control命令配置最大阈值。

Punish Status

当前接口的报文状态:
  • ErrorDown:当速率大于MaxRate且风暴控制动作为关闭接口时,状态为关闭接口。
  • Normal:正常转发。
  • Block:当速率大于MaxRate且风暴控制动作为阻塞报文时,状态为阻塞接口报文。
  • Suppress:当速率大于MaxRate且风暴控制动作为抑制报文时,状态为抑制接口报文,即把超过速率的报文丢弃。
    说明:

    CE6870EI不支持suppress参数。

Interval

风暴控制的检测时间间隔,执行storm control interval命令配置,单位是秒。

Last Punish Time

最后实施风暴控制惩罚的时间。

icmp rate-limit

命令功能

icmp rate-limit命令用来配置ICMP报文限速阈值。

undo icmp rate-limit命令用来将ICMP报文的限速阈值恢复为缺省值。

缺省情况下,ICMP报文限速阈值为1500pps。

命令格式

icmp rate-limit [ interface interface-type interface-number1 [ to interface-number2 ] ] threshold threshold-value

undo icmp rate-limit { interface interface-type interface-number1 [ to interface-number2 ] | threshold }

参数说明

参数

参数说明

取值

interface interface-type interface-number1 to interface-number2

指定接口类型和接口编号。其中:
  • interface-type表示接口类型。
  • interface-number1表示第一个接口的编号。
  • to interface-number2:表示最后一个接口的编号。interface-number2的取值必须大于interface-number1的取值,它和interface-number1共同确定一个范围。

-

threshold threshold-value

指定ICMP报文的限速阈值。

取值范围0~5000,单位pps。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

网络中经常存在ICMP报文攻击。如果交换机用户侧有大量的ICMP请求广播报文攻击,这些报文都会上送CPU处理,使CPU占用率大大提高,导致其他业务功能异常。此时在设备上配置ICMP报文流量抑制功能,可以有效防范ICMP报文攻击。

配置ICMP报文限速后,当接口每秒钟上送的ICMP报文超出配置的阈值后,设备会将超过阈值的ICMP报文丢弃。

注意事项

  • 在配置ICMP报文限速阈值时,必须先使用undo icmp rate-limit disable使能ICMP流量抑制功能。
  • 设备的ping快回功能开启的情况下,ICMP流量抑制功能不生效。

使用实例

# 配置接口10GE1/0/1到接口10GE1/0/4的ICMP报文限速阈值为20pps。

<HUAWEI> system-view
[~HUAWEI] icmp rate-limit interface 10ge 1/0/1 to 1/0/4 threshold 20

icmp rate-limit disable

命令功能

icmp rate-limit disable命令用来去使能系统对ICMP报文的限速功能。

undo icmp rate-limit disable命令用来使能系统对ICMP报文的限速功能。

缺省情况下,使能系统对ICMP报文的限速功能。

命令格式

icmp rate-limit disable

undo icmp rate-limit disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

网络中经常存在攻击者发送大量ICMP报文进行攻击,如果设备全部将这些ICMP报文上送CPU处理,会消耗大量CPU资源,导致其他业务功能异常。此时在设备上配置ICMP报文流量抑制功能,可以有效防范ICMP报文攻击。

使用实例

# 去使能系统对ICMP报文的限速功能。

<HUAWEI> system-view
[~HUAWEI] icmp rate-limit disable
相关主题

storm suppression multicast (接口视图)

命令功能

storm suppression multicast命令用来配置接口下允许通过的最大组播报文的流量。

undo storm suppression multicast命令用来恢复接口下允许通过的最大组播报文流量为缺省值。

缺省情况下,接口下允许通过的最大组播报文流量按照百分比抑制,比例值为100%。

命令格式

  • CE6870EI除外:

    storm suppression multicast { percent-value | cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ] | packets packets-per-second }

    undo storm suppression multicast

  • CE6870EI:

    Eth-Trunk接口视图:

    storm suppression multicast cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ]

    undo storm suppression multicast

    其他接口视图:

    storm suppression multicast { percent-value | cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ] }

    undo storm suppression multicast

参数说明

参数

参数说明

取值

percent-value

百分比值,即报文速率和接口速率的比值。

整数形式,取值范围为0~100。

cir cir-value [ gbps | mbps | kbps ]

指定承诺信息速率CIR(Committed Information Rate),即保证能够通过的速率。

整数形式,单位可以为Gbit/s、Mbit/s和Kbit/s,缺省单位为Kbit/s。单位为Kbit/s时,取值范围为0~100000000,单位为Mbit/s时,取值范围为0~100000,单位为Gbit/s时,取值范围为0~100。

cbs cbs-value [ bytes | mbytes | kbytes ]

指定承诺突发尺寸CBS(Committed Burst Size),即瞬间能够通过的承诺流量。

整数形式,单位可以为bytes、kbytes和mbytes,缺省单位为bytes。单位为bytes时,取值范围为10000~4294967295,单位为kbytes时,取值范围为10~4194303,单位为mbytes时,取值范围为1~4095。cbs的缺省取值根据cir的取值而不同,是cir值的188倍。

packets packets-per-second

指定每秒包速率。

整数形式,取值范围0~148810000。

说明:

CE6870EI不支持该参数。

视图

Eth-Trunk接口视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、端口组视图

说明:

仅CE6870EI支持Eth-Trunk接口视图。

缺省级别

2:配置级

使用指南

当网络中的组播报文增多时,组播报文占用的网络资源将随之增多,进而严重影响了网络业务的正常运行。

为了防止广播风暴,可以使用storm suppression multicast命令配置基于接口的组播报文的流量。当组播报文流量超过配置的阈值时,系统将丢弃多余的组播报文,使组播报文流量降低到合理的范围。

使用实例

# 配置10GE1/0/1接口允许通过组播报文的承诺信息速率为100kbit/s,承诺突发尺寸为18800bytes

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] storm suppression multicast cir 100 cbs 18800

storm suppression multicast block outbound

命令功能

storm suppression multicast block outbound命令用来配置在接口出方向上阻断组播报文。

undo storm suppression multicast block outbound命令用来取消在接口出方向上阻断组播报文。

缺省情况下,未阻断接口出方向上的组播报文。

命令格式

storm suppression multicast block outbound

undo storm suppression multicast block outbound

参数说明

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

通常情况下,当某个接口收到组播报文后,会广播给该报文所属VLAN的涉及的用户。而这可能会导致信息泄露,最常见的情景如下:VLAN内某个接口存在非法用户,它通过侦听被广播的组播报文窃取到发送该报文的主机的地址信息,由此可以对该主机发起攻击。为了杜绝此类安全隐患,对于某些下接网络不希望接收任何组播流量的接口(比如此接口下的用户较为固定,且对安全性要求较高)而言,可以使用storm suppression multicast block outbound命令将该接口的组播报文完全阻断。

注意事项

本命令仅适用于在不需要接收组播流量的接口上配置,否则可能会影响网络的正常运行,用户应根据网络的实际情况选择使用。

对于具体接口而言,流量抑制可分别在接口入方向上和出方向上单独进行配置,互不影响。在接口入方向上,可使用storm suppression multicast命令对组播报文在具体速率上进行限制;在接口出方向上,可使用storm suppression multicast block outbound命令对组播报文直接进行阻断。

使用实例

# 配置10GE1/0/1接口在出方向上阻断组播报文。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] storm suppression multicast block outbound

storm suppression multicast (VLAN或BD视图)

命令功能

storm suppression multicast命令用来配置VLAN或BD下允许通过的最大组播报文的流量。

undo storm suppression multicast命令用来取消VLAN或BD下的组播报文流量限制。

缺省情况下,VLAN或BD下组播报文流量无限制。

说明:
BD视图下,仅CE6850HI、CE6850U-HI、CE6851HI、CE6855HI、CE6856HI、CE6860EI、CE6870EI、CE6880EI、CE7850EI、CE7855EI、CE8850EI和CE8860EI设备支持此命令。

命令格式

storm suppression multicast cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ]

undo storm suppression multicast

参数说明

参数

参数说明

取值

cir cir-value [ gbps | mbps | kbps ]

指定承诺信息速率CIR(Committed Information Rate),即保证能够通过的速率。

整数形式,单位可以为Gbit/s、Mbit/s和Kbit/s,缺省单位为Kbit/s。单位为Kbit/s时,取值范围为64~4294967295,单位为Mbit/s时,取值范围为1~4294967,单位为Gbit/s时,取值范围为1~4294。
说明:
BD视图下,取值范围的最小值为0。

cbs cbs-value [ bytes | mbytes | kbytes ]

指定承诺突发尺寸CBS(Committed Burst Size),即瞬间能够通过的承诺流量。

整数形式,单位可以为bytes、kbytes和mbytes,缺省单位为bytes。单位为bytes时,取值范围为10000~4294967295,单位为kbytes时,取值范围为10~4194303,单位为mbytes时,取值范围为1~4095。cbs的缺省取值根据cir的取值而不同,是cir值的188倍。

视图

VLAN视图、VLAN-Range视图、BD视图

缺省级别

2:配置级

使用指南

当网络中的组播报文增多时,组播报文占用的网络资源将随之增多,进而严重影响了网络业务的正常运行。

如果需要对VLAN或BD内的组播报文进行限流,需要使用此命令配置。

执行本命令后,设备将对指定VLAN或BD下的组播报文进行限制,超过限制速率的报文将被丢弃。

使用实例

# 配置VLAN2的上行组播报文允许通过的承诺信息速率为100kbit/s,承诺突发尺寸为18800bytes。
<HUAWEI> system-view
[~HUAWEI] vlan 2
[*HUAWEI-vlan2] storm suppression multicast cir 100 cbs 18800

snmp-agent trap enable feature-name fei_comm trap-name hwxqosstormcontroltrap

命令功能

snmp-agent trap enable feature-name fei_comm trap-name hwxqosstormcontroltrap命令用来打开接口下广播、组播和未知单播报文速率超过阈值时的告警开关。

undo snmp-agent trap enable feature-name fei_comm trap-name hwxqosstormcontroltrap命令用来关闭接口下广播、组播和未知单播报文速率超过阈值时的告警开关。

缺省情况下,接口下广播、组播和未知单播报文速率超过阈值时的告警开关处于开启状态。

命令格式

snmp-agent trap enable feature-name fei_comm [ trap-name hwxqosstormcontroltrap ]

undo snmp-agent trap enable feature-name fei_comm [ trap-name hwxqosstormcontroltrap ]

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

在用户需要查看接口下广播、组播和未知单播报文速率超过阈值时相关告警的时候,可以打开此开关。

使用实例

# 打开接口下广播、组播和未知单播报文速率超过阈值时的告警开关。

<HUAWEI> system-view
[~HUAWEI] snmp-agent trap enable feature-name fei_comm trap-name hwxqosstormcontroltrap

storm control

命令功能

storm control命令用来对接口下接收的广播、组播或单播报文进行风暴控制。

undo storm control命令用来取消风暴控制。

缺省情况下,未配置接口下的风暴控制。

命令格式

storm control { broadcast | multicast | unicast | unknown-unicast } min-rate percent min-rate-value max-rate percent max-rate-value

storm control { broadcast | multicast | unicast | unknown-unicast } min-rate kbps min-rate-value max-rate kbps max-rate-value

storm control { broadcast | multicast | unicast | unknown-unicast } min-rate min-rate-value max-rate max-rate-value

undo storm control { broadcast | multicast | unicast | unknown-unicast | all }

参数说明

参数 参数说明 取值
broadcast 指定对广播报文进行风暴控制。 -
multicast 指定对组播报文进行风暴控制。 -
unicast 指定对单播报文进行风暴控制。 -
unknown-unicast 指定对未知单播报文进行风暴控制。 -
min-rate percent min-rate-value 指定风暴控制的最小带宽百分比。在风暴控制检测时间间隔内,如果配置了block动作,则当接口接收报文的平均带宽百分比小于该值时,恢复转发该接口的报文。 整数形式,取值范围是1~100。
max-rate percent max-rate-value 指定风暴控制的最大带宽百分比。在风暴控制检测时间间隔内,当接口接收报文的平均带宽百分比大于该值时,则对该接口进行风暴控制。 整数形式,取值范围是1~100。
min-rate kbps min-rate-value 指定风暴控制的最小阈值。在风暴控制检测时间间隔内,如果配置了block动作,则当接口接收报文的平均速率小于该值时,恢复转发该接口的报文。 整数形式,取值范围是1~100000000,单位是kbps(千比特每秒)。
max-rate kbps max-rate-value 指定风暴控制的最大阈值。在风暴控制检测时间间隔内,当接口接收报文的平均速率大于该值时,则对该接口进行风暴控制。 整数形式,取值范围是1~100000000,单位是kbps(千比特每秒)。
min-rate min-rate-value 指定风暴控制的最小阈值。在风暴控制检测时间间隔内,如果配置了block动作,则当接口接收报文的平均速率小于该值时,恢复转发该接口的报文。 整数形式,取值范围是1~148810000,单位是pps。
max-rate max-rate-value 指定风暴控制的最大阈值。在风暴控制检测时间间隔内,当接口接收报文的平均速率大于该值时,则对该接口进行风暴控制。 整数形式,取值范围是1~148810000,单位是pps。
all 指定取消所有广播、组播、单播和未知单播报文的风暴控制。 -

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在风暴控制检测时间间隔内,当接口接收报文的平均速度大于参数max-rate-valuemax-rate-value-cirmax-rate-value-percent时,则对该报文进行风暴控制动作。
说明:
风暴控制检测时间间隔可通过storm control interval命令配置。

注意事项

接口下不能同时配置风暴控制功能和流量抑制功能,如配置了广播报文的流量抑制功能就不能再配置该类报文的风暴控制功能。

接口下不能同时配置对单播报文的风暴控制和对未知单播报文的风暴控制功能。

使用实例

# 对接口10GE1/0/1接收的广播报文进行风暴控制。在风暴控制检测时间间隔内,当报文的平均速率大于8000pps时,进行风暴控制。如果配置了block动作,则当接口接收报文的平均速率小于2000pps时,恢复转发该接口的报文。
<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] storm control broadcast min-rate 2000 max-rate 8000

storm control action

命令功能

storm control action命令用来配置风暴控制的动作。

undo storm control action命令用来取消所配置的风暴控制的动作。

缺省情况下,未配置风暴控制动作。

命令格式

storm control action { error-down | block | suppress }

undo storm control action

参数说明

参数

参数说明

取值

error-down

指定风暴控制的动作为关闭接口。

-

block

指定风暴控制的动作为阻塞报文。

-

suppress

指定风暴控制的动作为抑制报文。

说明:

CE6870EI不支持suppress参数。

-

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、端口组视图

缺省级别

2:配置级

使用指南

在风暴控制检测时间间隔内,当接口上接收广播、组播或未知单播报文的平均速率大于指定的最大阈值时,风暴控制可以配置动作来对接口进行关闭接口处理、阻塞报文或抑制报文

Error-Down是指设备检测到故障后将接口状态设置为ERROR DOWN状态,此时接口不能收发报文,接口指示灯为常灭。

一般在存在攻击报文情况下,接口上接收广播、组播或未知单播报文的平均速率大于指定的最大阈值。请识别出攻击源,排除攻击,然后再恢复接口状态。

有以下两种方式可以恢复接口状态:
  • 手动恢复(Error-Down发生后)。

    当处于Error-Down状态的接口数量较少时,可在该接口视图下依次执行命令shutdownundo shutdown,或者执行命令restart,重启接口。

    说明:

    在接口视图下,执行undo storm control actionundo storm control { broadcast | multicast | unicast | unknown-unicast | all }命令也可恢复接口状态。不建议使用此方法。

  • 自动恢复(Error-Down发生前)。

    如果处于Error-Down状态的接口数量较多,逐一手动恢复接口状态将产生大量重复工作,且可能出现部分接口配置遗漏。为避免这一问题,用户可在系统视图下执行命令error-down auto-recovery cause storm-control interval使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间。可以通过执行命令display error-down recovery查看接口状态自动恢复信息。

    说明:

    此方式对已经处于Error-Down状态的接口不生效,只对配置该命令后进入Error-Down状态的接口生效。

使用实例

# 在接口10GE1/0/1上配置风暴控制动作为关闭接口。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] storm control action error-down

storm control enable

命令功能

storm control enable命令用来使能风暴控制时记录日志或者上报告警。

undo storm control enable命令用来去使能风暴控制时记录日志或者上报告警。

缺省情况下,记录日志和上报告警未使能。

命令格式

storm control enable { log | trap }

undo storm control enable { log | trap }

参数说明

参数

参数说明

取值

log

使能记录日志。

-

trap

使能上报告警。

-

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、端口组视图

缺省级别

2:配置级

使用指南

使用实例

# 在接口10GE1/0/1上使能风暴控制的上报告警。

<HUAWEI> system-view
[~HUAWEI] interface 10ge1/0/1
[~HUAWEI-10GE1/0/1] storm control enable trap

storm control interval

命令功能

storm control interval命令用来配置风暴控制的检测时间间隔。

undo storm control interval命令用来将风暴控制的检测时间间隔恢复为缺省值。

缺省情况下,风暴控制的检测时间间隔是5秒。

命令格式

storm control interval interval-value

undo storm control interval

参数说明

参数

参数说明

取值

interval-value

指定风暴控制的检测时间间隔。

整数形式,单位是秒,取值范围是1~180。缺省值是5秒。

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、端口组视图

缺省级别

2:配置级

使用指南

执行storm control interval命令配置风暴控制检测时间间隔之前,需要先在接口视图下执行storm control命令配置风暴控制,否则配置的风暴控制检测时间间隔不会生效。

使用实例

# 在接口10GE1/0/1上配置风暴控制,并配置风暴控制的时间间隔为10秒。

<HUAWEI> system-view
[~HUAWEI] interface 10ge1/0/1 
[~HUAWEI-10GE1/0/1] storm control interval 10

storm suppression alarm enable

命令功能

storm suppression alarm enable命令用来使能设备因流量抑制产生丢包后上报告警。

undo storm suppression alarm enable命令用来去使能设备因流量抑制产生丢包后上报告警。

缺省情况下,未使能设备因流量抑制产生丢包后上报告警。

说明:

仅CE6870EI支持此命令。

通过配置ICMP报文流量抑制产生的丢包不会上报告警。

命令格式

storm suppression alarm enable

undo storm suppression alarm enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

当设备因为流量抑制产生丢包后,可以通过执行此命令上报告警。

使用实例

# 使能设备因流量抑制产生丢包后上报告警。

<HUAWEI> system-view
[~HUAWEI] storm suppression alarm enable

storm suppression mac-address flapping

命令功能

storm suppression mac-address flapping命令用来配置接口下MAC漂移联动流量抑制的阈值。

undo storm suppression mac-address flapping命令用来取消配置的接口下MAC漂移联动流量抑制阈值。

缺省情况下,MAC漂移联动流量抑制的阈值按照百分比进行配置,比例值为1%。

说明:

CE6880EI设备不支持此命令。

命令格式

storm suppression mac-address flapping cir cir-value [ gbps | mbps | kbps ] [ force ]

undo storm suppression mac-address flapping cir cir-value [ gbps | mbps | kbps ] [ force ]

参数说明

参数

参数说明

取值

cir cir-value [ gbps | mbps | kbps ]

指定承诺信息速率CIR(Committed Information Rate),即保证能够通过的速率。

整数形式,单位可以为Gbit/s、Mbit/s和Kbit/s,缺省单位为Kbit/s。单位为Kbit/s时,取值范围为64~100000000,单位为Mbit/s时,取值范围为1~100000,单位为Gbit/s时,取值范围为1~100。

force

指定报文强制按照MAC漂移联动流量抑制的阈值进行转发。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

缺省情况下,MAC漂移联动流量抑制的阈值按照百分比进行配置,比例值为1%。可以执行storm suppression mac-address flapping命令使接口下MAC漂移联动流量抑制的阈值按照CIR进行灵活的配置,并可以使报文强制按照MAC漂移联动流量抑制的阈值进行转发。

注意事项
  • 如果MAC地址漂移到peer-link接口上,则MAC漂移联动流量抑制功能在peer-link接口上不会生效。
  • 如果未配置force参数或未配置该命令行,当接口发生MAC地址漂移且配置了相应接口的流量抑制时,接口上配置的流量抑制生效。
  • 如果配置了force参数,当接口发生MAC地址漂移且配置了相应接口的流量抑制时,MAC漂移联动流量抑制生效。
  • 无论是否配置force参数,只要接口上配置了风暴控制,MAC漂移联动流量抑制都不会生效。
  • 当使能了组播功能时,MAC漂移联动组播流量抑制不会生效。

使用实例

# 配置接口下MAC漂移联动流量抑制的阈值为100Kbit/s。
<HUAWEI> system-view
[~HUAWEI] storm suppression mac-address flapping cir 100

storm suppression unknown-unicast (接口视图)

命令功能

storm suppression unknown-unicast命令用来配置接口下允许通过的最大未知单播报文的流量。

undo storm suppression unknown-unicast命令用来恢复接口下允许通过的最大未知单播报文流量为缺省值。

缺省情况下,接口下允许通过的最大未知单播报文流量按照百分比抑制,比例值为100%。

命令格式

  • CE6870EI除外:

    storm suppression unknown-unicast { percent-value | cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ] | packets packets-per-second }

    undo storm suppression unknown-unicast

  • CE6870EI:

    Eth-Trunk接口视图:

    storm suppression unknown-unicast cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ]

    undo storm suppression unknown-unicast

    其他接口视图:

    storm suppression unknown-unicast { percent-value | cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ] }

    undo storm suppression unknown-unicast

参数说明

参数

参数说明

取值

percent-value

百分比值,即报文速率和接口速率的比值。

整数形式,取值范围为0~100。

cir cir-value [ gbps | mbps | kbps ]

指定承诺信息速率CIR(Committed Information Rate),即保证能够通过的速率。

整数形式,单位可以为Gbit/s、Mbit/s和Kbit/s,缺省单位为Kbit/s。单位为Kbit/s时,取值范围为0~100000000,单位为Mbit/s时,取值范围为0~100000,单位为Gbit/s时,取值范围为0~100。

cbs cbs-value [ bytes | mbytes | kbytes ]

指定承诺突发尺寸CBS(Committed Burst Size),即瞬间能够通过的承诺流量。

整数形式,单位可以为bytes、kbytes和mbytes,缺省单位为bytes。单位为bytes时,取值范围为10000~4294967295,单位为kbytes时,取值范围为10~4194303,单位为mbytes时,取值范围为1~4095。cbs的缺省取值根据cir的取值而不同,是cir值的188倍。

packets packets-per-second

指定每秒包速率。

整数形式,取值范围0~148810000。

说明:

CE6870EI不支持该参数。

视图

Eth-Trunk接口视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、端口组视图

说明:

仅CE6870EI支持Eth-Trunk接口视图。

缺省级别

2:配置级

使用指南

当网络中的未知单播报文增多时,未知单播报文占用的网络资源将随之增多,进而严重影响了网络业务的正常运行。

为了防止广播风暴,可以使用storm suppression unknown-unicast命令配置基于接口的未知单播报文的流量。当未知单播报文流量超过配置的阈值时,系统将丢弃多余的未知单播报文,使未知单播报文流量降低到合理的范围内。

使用实例

# 配置10GE1/0/1接口允许通过未知单播报文的承诺信息速率为100kbit/s,承诺突发尺寸为18800bytes

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] storm suppression unknown-unicast cir 100 cbs 18800

storm suppression unknown-unicast block outbound

命令功能

storm suppression unknown-unicast block outbound命令用来配置在接口出方向上阻断未知单播报文。

undo storm suppression unknown-unicast block outbound命令用来取消在接口出方向上阻断未知单播报文。

缺省情况下,未阻断接口出方向上的未知单播报文。

命令格式

storm suppression unknown-unicast block outbound

undo storm suppression unknown-unicast block outbound

参数说明

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、端口组视图、Fabric-port视图

缺省级别

2:配置级

使用指南

应用场景

通常情况下,当某个接口收到未知单播报文后,会广播给该报文所属VLAN的所有用户。而这可能会导致信息泄露,最常见的情景如下:VLAN内某个接口存在非法用户,它通过侦听被广播的未知单播报文窃取到发送该报文的主机的地址信息,由此可以对该主机发起攻击。为了杜绝此类安全隐患,对于某些下接网络不希望接收任何未知单播流量的接口(比如此接口下的用户较为固定,且对安全性要求较高)而言, 可以使用storm suppression unknown-unicast block outbound命令将该接口的未知单播报文完全阻断。

注意事项

本命令仅适用于在不需要接收未知单播流量的接口上配置,否则可能会影响网络的正常运行,用户应根据网络的实际情况选择使用。

对于具体接口而言,流量抑制可分别在接口入方向上和出方向上单独进行配置,互不影响。在接口入方向上,可使用storm suppression unknown-unicast命令对未知报文在具体速率上进行限制;在接口出方向上,可使用storm suppression unknown-unicast block outbound命令对未知单播报文直接进行阻断。

使用实例

# 配置10GE1/0/1接口在出方向上阻断未知单播报文。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] storm suppression unknown-unicast block outbound

storm suppression unknown-unicast (VLAN或BD视图)

命令功能

storm suppression unknown-unicast命令用来配置VLAN或BD下允许通过的最大未知单播报文的流量。

undo storm suppression unknown-unicast命令用来取消VLAN或BD下的未知单播报文流量限制。

缺省情况下,VLAN或BD下未知单播报文流量无限制。

说明:
BD视图下,仅CE6850HI、CE6850U-HI、CE6851HI、CE6855HI、CE6856HI、CE6860EI、CE6870EI、CE6880EI、CE7850EI、CE7855EI、CE8850EI和CE8860EI设备支持此命令。

命令格式

storm suppression unknown-unicast cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ]

undo storm suppression unknown-unicast

参数说明

参数

参数说明

取值

cir cir-value [ gbps | mbps | kbps ]

指定承诺信息速率CIR(Committed Information Rate),即保证能够通过的速率。

整数形式,单位可以为Gbit/s、Mbit/s和Kbit/s,缺省单位为Kbit/s。单位为Kbit/s时,取值范围为64~4294967295,单位为Mbit/s时,取值范围为1~4294967,单位为Gbit/s时,取值范围为1~4294。
说明:
BD视图下,取值范围的最小值为0。

cbs cbs-value [ bytes | mbytes | kbytes ]

指定承诺突发尺寸CBS(Committed Burst Size),即瞬间能够通过的承诺流量。

整数形式,单位可以为bytes、kbytes和mbytes,缺省单位为bytes。单位为bytes时,取值范围为10000~4294967295,单位为kbytes时,取值范围为10~4194303,单位为mbytes时,取值范围为1~4095。cbs的缺省取值根据cir的取值而不同,是cir值的188倍。

视图

VLAN视图、VLAN-Range视图、BD视图

缺省级别

2:配置级

使用指南

当网络中的未知单播报文增多时,未知单播报文占用的网络资源将随之增多,进而严重影响了网络业务的正常运行。

如果需要对VLAN或BD内的未知单播报文进行限制,需要使用此命令配置。

执行本命令后,设备将对指定VLAN或BD下的未知单播报文进行限制,超过限制速率的报文将被丢弃。

使用实例

# 配置VLAN2的上行未知单播报文允许通过的承诺信息速率为100kbit/s,承诺突发尺寸为18800bytes。
<HUAWEI> system-view
[~HUAWEI] vlan 2
[*HUAWEI-vlan2] storm suppression unknown-unicast cir 100 cbs 18800

storm suppression unicast (接口视图)

命令功能

storm suppression unicast命令用来配置接口下允许通过的最大所有单播报文的流量。所有单播报文包括已知单播报文和未知单播报文。

undo storm suppression unicast命令用来恢复接口下允许通过的最大所有单播报文流量为缺省值。

缺省情况下,接口下允许通过的最大所有单播报文流量按照百分比抑制,比例值为100%。

命令格式

  • CE6870EI除外:

    storm suppression unicast { percent-value | cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ] | packets packets-per-second }

    undo storm suppression unicast

  • CE6870EI:

    Eth-Trunk接口视图:

    storm suppression unicast cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ]

    undo storm suppression unicast

    其他接口视图:

    storm suppression unicast { percent-value | cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ] }

    undo storm suppression unicast

参数说明

参数

参数说明

取值

percent-value

百分比值,即报文速率和接口速率的比值。

整数形式,取值范围为0~100。

cir cir-value [ gbps | mbps | kbps ]

指定承诺信息速率CIR(Committed Information Rate),即保证能够通过的速率。

整数形式,单位可以为Gbit/s、Mbit/s和Kbit/s,缺省单位为Kbit/s。单位为Kbit/s时,取值范围为0~100000000,单位为Mbit/s时,取值范围为0~100000,单位为Gbit/s时,取值范围为0~100。

cbs cbs-value [ bytes | mbytes | kbytes ]

指定承诺突发尺寸CBS(Committed Burst Size),即瞬间能够通过的承诺流量。

整数形式,单位可以为bytes、kbytes和mbytes,缺省单位为bytes。单位为bytes时,取值范围为10000~4294967295,单位为kbytes时,取值范围为10~4194303,单位为mbytes时,取值范围为1~4095。cbs的缺省取值根据cir的取值而不同,是cir值的188倍。

packets packets-per-second

指定每秒包速率。

整数形式,取值范围0~148810000。

说明:

CE6870EI不支持该参数。

视图

Eth-Trunk接口视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、端口组视图

说明:

仅CE6870EI支持Eth-Trunk接口视图。

缺省级别

2:配置级

使用指南

当网络中的所有单播报文增多时,所有单播报文占用的网络资源将随之增多,进而严重影响了网络业务的正常运行。

为了防止广播风暴,可以使用storm suppression unicast命令配置基于接口的所有单播报文的流量。当所有单播报文流量超过配置的阈值时,系统将丢弃多余的所有单播报文,使所有单播报文流量降低到合理的范围内。

使用实例

# 配置10GE1/0/1接口允许通过所有单播报文的承诺信息速率为100kbit/s,承诺突发尺寸为18800bytes

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] storm suppression unicast cir 100 cbs 18800
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:17718

下载量:414

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页