所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE20E-S2 V800R010C10SPC500 配置指南 - IP业务 01

本文档是NE20E-S2 V800R010C10SPC500 配置指南 - IP业务
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置EVPN MPLS网络的NS组播抑制功能

配置EVPN MPLS网络的NS组播抑制功能

用户通过BD接入EVPN MPLS网络时,可以配置该功能,以减少或抑制网络中过多的NS报文。

应用环境

在用户通过BD接入EVPN MPLS网络的场景中,IPv6主机邻居发现是通过NS组播方式实现的。当设备收到一个NS报文用来进行IPv6地址解析时,会将该报文在自己的BD域内组播转发。如果某设备在一段时间内收到大量的NS报文,并且将这些报文都进行转发,会导致EVPN网络中出现大量的NS报文,占用过多的网络资源,影响正常业务运行。

图12-4所示,可以在PE上配置NS组播抑制功能,当PE在收到NS报文时,先查看自己能否获取到该NS报文的目的用户的信息,如果能够获取就直接进行ND代答或组播转单播处理,从而减少或抑制NS报文洪泛。

此外,NS组播抑制还能防止ND欺骗攻击。ND欺骗攻击是指攻击者将自己的MAC地址与某一主机的IPv6地址相关联,从而使发往该IPv6地址的任何流量都发送给攻击者。使能NS组播抑制功能后,可以通过ND代答表冲突检测触发IPv6地址冲突告警,进而提醒用户可能存在ND欺骗攻击。

图12-4 NS组播抑制组网示意图

前置任务

在配置NS组播抑制功能之前,需完成以下任务:

  • 配置基于BD的EVPN功能

操作步骤

  1. 使能NS组播抑制功能。

    1. 执行命令system-view,进入系统视图。

    2. 执行命令bridge-domain bd-id,进入BD视图。

    3. 执行命令ipv6 nd multicast-suppress { proxy-reply [ unknown-options-unicast ] | unicast-forward } [ mismatch-discard ] enable,使能NS组播抑制功能。

    4. (可选)执行命令ipv6 nd multicast-suppress { host | router },配置代答时NA报文中携带的R标记。

    5. (可选)执行命令ipv6 nd multicast-suppress dynamic limit limit-number,配置BD能够学习到的最大动态ND代答表项数目。

    6. (可选)执行命令ipv6 nd multicast-suppress dynamic expire-time expire-time,配置动态ND代答表项的老化时间。

    7. 执行命令commit,提交配置。

    8. 执行命令quit,退出BD视图。

  2. 使能设备生成的ND表或ND代答表通过EVPN扩散的功能。

    对于二层设备,请执行如下步骤:

    1. 执行命令bridge-domain bd-id,进入BD视图。

    2. 执行命令ipv6 nd collect host enable,使能设备生成的ND代答表通过EVPN扩散的功能。

    3. 执行命令commit,提交配置。

    4. 执行命令quit,退出BD视图。

    对于三层设备,请执行如下步骤:

    1. 执行命令interface vbdif bd-id,创建VBDIF接口,并进入VBDIF接口视图。

    2. 执行命令ipv6 enable,使能接口的IPv6功能。

    3. 执行命令ipv6 nd collect host enable,使能设备生成的ND表通过EVPN扩散的功能。

    4. 执行命令commit,提交配置。

    5. 执行命令quit,退出VBDIF接口视图。

  3. 配置BGP EVPN发布路由功能。

    1. 执行命令bgp as-number [ instance instance-name ],进入BGP视图或BGP多实例视图。

    2. 执行命令l2vpn-family evpn,进入BGP-EVPN地址族视图或BGP多实例EVPN地址族视图。

    3. 执行命令peer { ipv4-address | group-name } advertise nd,配置发布ND类型路由。

    4. 执行命令commit,提交配置。

    5. 执行命令quit,退出BGP-EVPN地址族视图或BGP多实例EVPN地址族视图。

    6. 执行命令quit,退出BGP视图或BGP多实例视图。

  4. (可选)配置ND消息处理的性能限制。

    1. 执行命令ipv6 nd { rs | ra | ns | na } anti-attack rate-limit limit-number,配置ND报文的上送速率,即每秒允许处理的ND报文的个数。

    2. 执行命令ipv6 nd miss anti-attack rate-limit limit-number,配置ND Miss消息的上送速率,即每秒允许处理的ND Miss消息的个数。

    3. 执行命令commit,提交配置。

检查配置结果

  • 使用display ipv6 nd multicast-suppress bridge-domain bd-id [ verbose ]命令查看BD内的ND代答表信息。不指定bd-id,将查看所有BD内的ND代答表信息。

  • 使用display ipv6 nd packet statistics bridge-domain [ bd-id ]命令查看BD内的ND报文统计信息。不指定bd-id,将查看所有BD内的ND报文统计信息。

    说明:

    在用户视图下,执行命令reset ipv6 nd multicast-suppress dynamic bridge-domain [ bd-id ],清除BD内的动态ND代答表项信息。不指定bd-id,将清除所有BD内的动态ND代答表项信息。

    在用户视图下,执行命令reset ipv6 nd packet statistics bridge-domain [ bd-id ],清除BD内的ND报文统计信息。不指定bd-id,将清除所有BD内的ND报文统计信息。

执行命令display ipv6 nd multicast-suppress bridge-domain bd-id [ verbose ],查看BD内的ND代答表信息。不指定bd-id,将查看所有BD内的ND代答表信息。
<HUAWEI> display ipv6 nd multicast-suppress bridge-domain
----------------------------------------------------------------------------------
IPv6 Address
MAC Address            BD         LifeTime (S)      Type 
----------------------------------------------------------------------------------
2001:db8::1                                                           
38ba-3047-7f1f         10         -                 Evpn   
-----------------------------------------------------------------------------
Total: 1        Dynamic: 0      Evpn: 1     
执行命令display ipv6 nd packet statistics bridge-domain [ bd-id ],查看BD内的ND报文统计信息。不指定bd-id,将查看所有BD内的ND报文统计信息。
<HUAWEI> display ipv6 nd packet statistics bridge-domain 10
ND Packets  Received
Total                          : 0                          
ND Pkt Revceive NS Unicast     : 0                          
ND Pkt Revceive NS Multicast   : 0                          
ND Pkt Revceive NA Unicast     : 0                          
ND Pkt Revceive NA Multicast   : 0                           
ND Pkt Discard NS Unicast      : 0                          
ND Pkt Discard NS Multicast    : 0                          
ND Pkt Discard NA              : 0                          
ND Packets Sent
Total                          : 0                          
ND Pkt Send NS Unicast         : 0                          
ND Pkt Send NS Multicast       : 0                          
ND Pkt Send NA Unicast         : 0                          
ND Pkt Send NA Multicast       : 0
翻译
下载文档
更新时间:2018-12-29

文档编号:EDOC1100057893

浏览量:1613

下载量:11

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页