所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
流量抑制及风暴控制配置命令

流量抑制及风暴控制配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

broadcast-suppression (接口视图)

命令功能

broadcast-suppression命令用来配置接口下允许通过的最大广播报文流量。

undo broadcast-suppression命令用来恢复接口下允许通过的最大广播报文流量为缺省值。

缺省情况下,接口下允许通过的最大广播报文流量按照百分比抑制,比例值为10%。

命令格式

broadcast-suppression { percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }

undo broadcast-suppression

参数说明

参数

参数说明

取值

percent-value

百分比值,即报文速率和接口速率的比值。

如果接口配置为环回检测模式,则接口速率为用户配置的速率;如果接口未配置为环回检测模式,则接口速率为接口最终协商的工作速率。用户可以在接口视图下执行命令display this interface查看接口速率(即Speed字段取值)。

整数形式,对于40GE接口,取值范围为0~80;对于其他接口类型,取值范围为0~100。
说明:

当接口插入光模块时,百分比值的取值范围由光模块的速率决定。例如,当100GE接口插入40GE光模块时,取值范围是0~80。

cir cir-value

指定承诺信息速率CIR(Committed Information Rate),即保证能够通过的速率。

整数形式,单位是kbit/s。取值范围如下:
  • GE接口:0~1000000
  • XGE接口:0~10000000
  • 40GE接口:0~33554431
  • 100GE接口:0~100000000
  • 端口组:0~100000000
说明:

当接口插入光模块时,承诺信息速率的取值范围由光模块的速率决定。例如,XGE接口插入GE光模块时,取值范围是0~1000000。需要注意的是,100GE接口插入40GE光模块时,取值范围是0~40000000。

cbs cbs-value

指定承诺突发尺寸CBS(Committed Burst Size),即瞬间能够通过的承诺流量。

整数形式,取值范围是10000~4294967295,单位是byte。cbs-value缺省为cir-value的188倍。

packets packets-per-second

指定每秒包速率。

整数形式,取值范围如下:
  • GE接口:0~1488100
  • XGE接口:0~14881000
  • 40GE接口:0~59524000
  • 100GE接口:0~148810000
  • 端口组:0~148810000
说明:
  • 对于X系列单板,配置值小于24时,按照24进行流量抑制,配置值大于等于24时,按照实际配置值进行流量抑制。
  • 当接口插入光模块时,每秒包速率的取值范围由光模块的速率决定。例如,XGE接口插入GE光模块时,取值范围是0~1488100。

视图

40GE接口视图、100GE接口视图、GE接口视图、XGE接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

当网络中的广播报文增多时,广播报文占用的网络资源将随之增多,进而严重影响了网络业务的正常运行。

为了防止广播风暴,可以使用broadcast-suppression命令配置基于接口的广播报文流量的阈值。当广播报文流量超过配置的阈值时,系统将丢弃多余的广播报文,使广播报文流量降低到合理的范围内。

注意事项

如果在接口下配置某种流量按cir抑制,则不能再配置其他流量按packets抑制,反之亦然。

按照百分比抑制,等效于按照每秒包速率抑制。例如对GE接口,接口速率为1Gbit/s,如果配置流量抑制阈值为50%,则设备在下发规则时转换为(1000*(50/100)*1000*1000)/(84*8),其中84是平均报文长度(包括60字节的报文和20字节的帧间隙及4字节的校验信息),8是每字节bit数。

说明:

如果在接口下配置某种流量按packets抑制,则配置的其他流量按百分比抑制转换为按packets抑制。

使用实例

# 配置GE1/0/1接口允许通过广播报文的承诺信息速率为100kbit/s,承诺突发尺寸为18800bytes

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] broadcast-suppression cir 100 cbs 18800

broadcast-suppression block outbound

命令功能

broadcast-suppression block outbound命令用来配置在接口出方向上阻断广播报文。

undo broadcast-suppression block outbound命令用来取消在接口出方向上阻断广播报文。

缺省情况下,未阻断接口出方向上的广播报文。

命令格式

broadcast-suppression block outbound

undo broadcast-suppression block outbound

参数说明

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

通常情况下,当某个接口收到广播报文后,会广播给该报文所属VLAN的所有用户。而这可能会导致信息泄露,最常见的情景如下:VLAN内某个接口存在非法用户,它通过侦听广播报文窃取到发送该报文的主机的地址信息,由此可以对该主机发起攻击。为了杜绝此类安全隐患,对于某些下接网络不希望接收任何广播流量的接口(比如此接口下的用户较为固定,且对安全性要求较高)而言, 可以使用broadcast-suppression block outbound命令将该接口的广播报文完全阻断。

注意事项

本命令仅适用于在不需要接收广播流量的接口上配置,否则会影响网络的正常运行,用户应根据网络的实际情况选择使用。

对于具体接口而言,流量抑制可分别在接口入方向上和出方向上单独进行配置,互不影响。在接口入方向上,可使用broadcast-suppression命令对广播报文在具体速率上进行限制;在接口出方向上,可使用broadcast-suppression block outbound命令对广播报文直接进行阻断。

使用实例

# 配置GE1/0/1接口在出方向上阻断广播报文。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] broadcast-suppression block outbound

broadcast-suppression (VLAN视图)

命令功能

broadcast-suppression命令用来将QoS CAR模板应用在VLAN上,以对该VLAN的上行广播流量进行流量监管。

undo broadcast-suppression命令用来删除VLAN上配置的QoS CAR模板。

缺省情况下,不对VLAN的上行广播流量进行流量监管。

命令格式

broadcast-suppression car-name [ share ]

undo broadcast-suppression

参数说明

参数

参数说明

取值

car-name

指定QoS CAR模板名。

字符串形式,长度范围是1~31。

share

对VLAN下配置了同一QoS CAR模板的所有上行报文统一实施QoS CAR监管

-

视图

VLAN视图

缺省级别

2:配置级

使用指南

当网络中的广播报文增多时,广播报文占用的网络资源将随之增多,进而严重影响了网络业务的正常运行。

如果需要对VLAN的上行广播报文进行限流,需要使用此命令配置。

广播报文是指目的MAC地址为FFFF-FFFF-FFFF的报文。

如果接口上和VLAN下同时配置了QoS CAR,
  • 对于X系列单板,最后限速的值体现为两者中较小的cir。
  • 对于其他单板,接口上的QoS CAR生效。

使用实例

# 对VLAN 2的上行广播报文实施名为qoscar1的QoS CAR广播流量监管。
<HUAWEI> system-view
[HUAWEI] qos car qoscar1 cir 10000 cbs 10240
[HUAWEI] vlan 2
[HUAWEI-vlan2] broadcast-suppression qoscar1

display flow-suppression interface

命令功能

display flow-suppression interface命令用来查询指定接口下流量抑制功能的配置情况。

命令格式

display flow-suppression interface interface-type interface-number

参数说明

参数

参数说明

取值

interface interface-type interface-number

指定接口类型和接口编号。其中:
  • interface-type表示接口类型;
  • interface-number表示接口编号。
-

视图

所有视图

缺省级别

1:监控级

使用指南

执行本命令可以查看当前接口下广播、未知组播以及未知单播报文流量抑制的具体信息,包括速率模式和速率设定值。

使用实例

# 查看GE1/0/1接口下配置的流量抑制信息。

<HUAWEI> display flow-suppression interface gigabitethernet 1/0/1
 storm type         rate mode   set rate value
-------------------------------------------------------------------------------
 unknown-unicast    percent     percent: 90%
 multicast          percent     percent: 90%
 broadcast          bps         cir: 1000(kbit/s), cbs: 188000(byte)
-------------------------------------------------------------------------------
表14-47  display flow-suppression interface命令显示信息说明

项目

描述

storm type

流量类型。可以对三种流量进行抑制:broadcast广播、multicast未知组播、unknown-unicast未知单播。

rate mode

速率模式。
  • bps:cir模式
  • pps:packets模式
  • percent:百分比模式

set rate value

速率设定值。由以下命令设定:

cir

承诺信息速率。

cbs

承诺突发尺寸。

display storm-control

命令功能

display storm-control命令用来查看接口的风暴控制信息。

命令格式

display storm-control [ interface interface-type interface-number ]

参数说明

参数

参数说明

取值

interface interface-type interface-number

指定接口类型和接口编号。其中:
  • interface-type表示接口类型;
  • interface-number表示接口编号。
-

视图

所有视图

缺省级别

1:监控级

使用指南

执行本命令可以查看当前接口下广播、未知组播以及未知单播报文风暴控制的具体信息,包括报文模式、风暴控制的动作以及当前接口的报文状态等。

使用实例

# 查看接口GE1/0/1上配置的风暴控制信息。

<HUAWEI> display storm-control interface gigabitethernet 1/0/1
PortName     Type      Rate      Mode Action   Punish-  Trap Log Int Last-      
                       (Min/Max)               Status                Punish-Time
--------------------------------------------------------------------------------
GE1/0/1      Multicast 1000      Pps  Block    Normal   Off  On  90  -
                       /2000
GE1/0/1      Broadcast 1000      Pps  Block    Normal   Off  On  90  -
                       /2000
GE1/0/1      Unicast   1000      Pps  Block    Normal   Off  On  90  -
                       /2000
表14-48  display storm-control命令输出信息描述表

项目

描述

PortName

接口名称。

Type

报文类型。

  • Broadcast:广播报文。
  • Multicast:未知组播报文。
  • Unicast:未知单播报文。

可通过storm-control设置。

Rate

  • Min:低阈值。

  • Max:高阈值。

可通过storm-control设置。

Mode

风暴控制报文模式,包括:

  • Kbps:字节模式。

  • Pps:包模式。

  • %:百分比模式。

可通过storm-control设置。

Action

风暴控制的动作,包括:
  • Block:阻塞报文。
  • Err-down:关闭接口。
  • None:未配置动作。

可通过storm-control action设置。

Punish-Status

当前接口的报文状态,包括:
  • Block:当速率大于MaxRate且风暴控制动作为阻塞报文时,状态为阻塞报文。
  • Normal:正常转发。
  • Err-down:当速率大于MaxRate且风暴控制动作为关闭接口时,状态为关闭接口。

Trap

告警开关状态,包括:
  • on:打开。
  • off:关闭。

可通过storm-control enable trap设置。

Log

日志开关状态,包括:
  • on:打开。
  • off:关闭。

可通过storm-control enable log设置。

Int

风暴控制的检测时间间隔,单位是秒。缺省值是5秒。

Last-Punish-Time

上一次实施风暴控制惩罚的时间。

icmp rate-limit

命令功能

icmp rate-limit命令用来配置ICMP报文限速阈值。

undo icmp rate-limit命令用来将ICMP报文的限速阈值恢复为缺省值。

缺省情况下,全局ICMP报文限速阈值为256pps,接口下的ICMP报文限速阈值为192pps。

命令格式

icmp rate-limit { total | interface interface-type interface-number1 [ to interface-number2 ] } threshold threshold-value

undo icmp rate-limit { total | interface interface-type interface-number1 [ to interface-number2 ] }

参数说明

参数

参数说明

取值

total

指定设置设备总共的限速阈值。

-

interface interface-type interface-number1 to interface-number2

指定接口类型和接口编号。其中:
  • interface-type表示接口类型。
  • interface-number1表示第一个接口的编号。
  • to interface-number2:表示最后一个接口的编号。interface-number2的取值必须大于interface-number1的取值,它和interface-number1共同确定一个范围。

-

threshold threshold-value

指定ICMP报文的限速阈值。

取值范围0~1000,单位pps。
说明:
取值配置为0表示不对ICMP报文进行限速。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

网络中经常存在ICMP报文攻击。如果交换机用户侧有大量的ICMP请求广播报文攻击,这些报文都会上送CPU处理,使CPU占用率大大提高,导致其他业务功能异常。此时在设备上配置ICMP报文流量抑制功能,可以有效防范ICMP报文攻击。

配置ICMP报文限速后,当接口每秒钟上送的ICMP报文超出配置的阈值时,设备会将超过阈值的ICMP报文丢弃。

注意事项

在配置ICMP报文限速阈值时,必须先使用icmp rate-limit enable使能ICMP流量抑制功能。

使用实例

# 配置接口GE1/0/1到接口GE1/0/5的ICMP报文限速阈值为20pps。

<HUAWEI> system-view
[HUAWEI] icmp rate-limit interface gigabitethernet 1/0/1 to 1/0/5 threshold 20

icmp rate-limit enable

命令功能

icmp rate-limit enable命令用来使能ICMP流量抑制功能。

undo icmp rate-limit enable命令用来去使能ICMP流量抑制功能。

缺省情况下,ICMP流量抑制功能未使能。

命令格式

icmp rate-limit enable

undo icmp rate-limit enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

网络中经常存在攻击者发送大量ICMP报文进行攻击,如果设备全部将这些ICMP报文上送CPU处理,会消耗大量CPU资源,导致其他业务功能异常。此时在设备上配置ICMP报文流量抑制功能,可以有效防范ICMP报文攻击。

ICMP报文流量抑制功能生效需要使用命令undo icmp-reply fast去使能ICMP-Reply fast功能。

使用实例

# 使能ICMP流量抑制功能。

<HUAWEI> system-view
[HUAWEI] icmp rate-limit enable
相关主题

multicast-suppression(接口视图)

命令功能

multicast-suppression命令用来配置接口下允许通过的最大未知组播报文的流量。

undo multicast-suppression命令用来允许通过全部未知组播报文流量。

缺省情况下,未配置未知组播报文流量抑制功能。

命令格式

multicast-suppression { percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }

undo multicast-suppression

参数说明

参数

参数说明

取值

percent-value

百分比值,即报文速率和接口速率的比值。

如果接口配置为环回检测模式,则接口速率为用户配置的速率;如果接口未配置为环回检测模式,则接口速率为接口最终协商的工作速率。用户可以在接口视图下执行命令display this interface查看接口速率(即Speed字段取值)。

整数形式,对于40GE接口,取值范围为0~80;对于其他接口类型,取值范围为0~100。
说明:

当接口插入光模块时,百分比值的取值范围由光模块的速率决定。例如,当100GE接口插入40GE光模块时,取值范围是0~80。

cir cir-value

指定承诺信息速率CIR(Committed Information Rate),即保证能够通过的速率。

整数形式,单位是kbit/s。取值范围如下:
  • GE接口:0~1000000
  • XGE接口:0~10000000
  • 40GE接口:0~33554431
  • 100GE接口:0~100000000
  • 端口组:0~100000000
说明:

当接口插入光模块时,承诺信息速率的取值范围由光模块的速率决定。例如,XGE接口插入GE光模块时,取值范围是0~1000000。需要注意的是,100GE接口插入40GE光模块时,取值范围是0~40000000。

cbs cbs-value

指定承诺突发尺寸CBS(Committed Burst Size),即瞬间能够通过的承诺流量。

整数形式,取值范围是10000~4294967295,单位是byte。cbs-value缺省为cir-value的188倍。

packets packets-per-second

指定每秒包速率。

整数形式,取值范围如下:
  • GE接口:0~1488100
  • XGE接口:0~14881000
  • 40GE接口:0~59524000
  • 100GE接口:0~148810000
  • 端口组:0~148810000
说明:
  • 对于X系列单板,配置值小于24时,按照24进行流量抑制,配置值大于等于24时,按照实际配置值进行流量抑制。
  • 当接口插入光模块时,每秒包速率的取值范围由光模块的速率决定。例如,XGE接口插入GE光模块时,取值范围是0~1488100。

视图

40GE接口视图、100GE接口视图、GE接口视图、XGE接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

当网络中的未知组播报文增多时,未知组播报文占用的网络资源将随之增多,进而严重影响了网络业务的正常运行。

为了防止广播风暴,可以使用multicast-suppression命令配置基于接口的未知组播报文的流量。当未知组播报文流量超过配置的阈值时,系统将丢弃多余的未知组播报文,使未知组播报文流量降低到合理的范围。

注意事项

如果在接口下配置某种流量按cir抑制,则不能再配置其他流量按packets抑制,反之亦然。

按照百分比抑制,等效于按照每秒包速率抑制。例如对GE接口,接口速率为1Gbit/s,如果配置流量抑制阈值为50%,则设备在下发规则时转换为(1000*(50/100)*1000*1000)/(84*8),其中84是平均报文长度(包括60字节的报文和20字节的帧间隙及4字节的校验信息),8是每字节bit数。

说明:

如果在接口下配置某种流量按packets抑制,则配置的其他流量按百分比抑制转换为按packets抑制。

使用实例

# 配置GE1/0/1接口允许通过未知组播报文的承诺信息速率为100kbit/s,承诺突发尺寸为18800bytes

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] multicast-suppression cir 100 cbs 18800

multicast-suppression block outbound

命令功能

multicast-suppression block outbound命令用来配置在接口出方向上阻断未知组播报文。

undo multicast-suppression block outbound命令用来取消在接口出方向上阻断未知组播报文。

缺省情况下,未阻断接口出方向上的未知组播报文。

命令格式

multicast-suppression block outbound

undo multicast-suppression block outbound

参数说明

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

通常情况下,当某个接口收到未知组播报文后,会广播给该报文所属VLAN的涉及的用户。而这可能会导致信息泄露,最常见的情景如下:VLAN内某个接口存在非法用户,它通过侦听被广播的未知组播报文窃取到发送该报文的主机的地址信息,由此可以对该主机发起攻击。为了杜绝此类安全隐患,对于某些下接网络不希望接收任何未知组播流量的接口(比如此接口下的用户较为固定,且对安全性要求较高)而言,可以使用multicast-suppression block outbound命令将该接口的未知组播报文完全阻断。

注意事项

本命令仅适用于在不需要接收未知组播流量的接口上配置,否则会影响网络的正常运行,用户应根据网络的实际情况选择使用。

对于具体接口而言,流量抑制可分别在接口入方向上和出方向上单独进行配置,互不影响。在接口入方向上,可使用multicast-suppression命令对未知组播报文在具体速率上进行限制;在接口出方向上,可使用multicast-suppression block outbound命令对未知组播报文直接进行阻断。

使用实例

# 配置GE1/0/1接口在出方向上阻断未知组播报文。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] multicast-suppression block outbound

multicast-suppression(VLAN视图)

命令功能

multicast-suppression命令用来将QoS CAR模板应用在VLAN上,以对该VLAN的上行未知组播流量进行流量监管。

undo multicast-suppression命令用来删除VLAN上配置的QoS CAR模板。

缺省情况下,不对VLAN的上行未知组播报文进行限流。

命令格式

multicast-suppression car-name [ share ]

undo multicast-suppression

参数说明

参数

参数说明

取值

car-name

指定QoS CAR模板名。

字符串形式,长度范围是1~31。

share

对VLAN下配置了同一QoS CAR模板的所有上行报文统一实施QoS CAR监管。

-

视图

VLAN视图

缺省级别

2:配置级

使用指南

当网络中的未知组播报文增多时,未知组播报文占用的网络资源将随之增多,进而严重影响了网络业务的正常运行。

如果需要对VLAN的上行未知组播报文进行限流,需要使用此命令配置。

如果接口上和VLAN下同时配置了QoS CAR,
  • 对于X系列单板,最后限速的值体现为两者中较小的cir。
  • 对于其他单板,接口上的QoS CAR生效。

使用实例

# 对VLAN2的上行未知组播报文实施名为qoscar1的QoS CAR流量监管。
<HUAWEI> system-view
[HUAWEI] qos car qoscar1 cir 10000 cbs 10240
[HUAWEI] vlan 2
[HUAWEI-vlan2] multicast-suppression qoscar1

storm-control

命令功能

storm-control命令用来对接口下接受的广播、未知组播或未知单播报文进行风暴控制。

undo storm-control命令用来取消风暴控制。

缺省情况下,未配置接口下的风暴控制。

命令格式

storm-control { broadcast | multicast | unicast } min-rate min-rate-value max-rate max-rate-value

storm-control { broadcast | multicast | unicast } min-rate cir min-rate-value-cir max-rate cir max-rate-value-cir

storm-control { broadcast | multicast | unicast } min-rate percent min-rate-value-percent max-rate percent max-rate-value-percent

undo storm-control { broadcast | multicast | unicast | all-packets }

参数说明

参数

参数说明

取值

broadcast

指定对广播报文进行风暴控制。

-

multicast

指定对未知组播报文进行风暴控制。

-

unicast

指定对未知单播报文进行风暴控制。

-

min-rate min-rate-value

指定包模式低阈值。如果指定了min-rate-value参数,在风暴控制检测时间间隔内,当接口接收报文的平均速率小于该值时,则将该接口的报文恢复到正常转发状态。

整数形式,单位是pps。取值范围是:
  • GE接口:1~1488100
  • XGE接口:1~14881000
  • 40GE接口:1~59524000
  • 100GE接口:1~148810000
  • 端口组:1~148810000

    说明:

    对于端口组,给出的取值范围为理想的最大取值范围,实际下发配置时取值范围由成员端口允许的最小取值范围决定。

min-rate cir min-rate-value-cir

指定字节模式低阈值。如果指定了min-rate-value-cir参数,在风暴控制检测时间间隔内,当接口接收报文的平均速率小于该值时,则将该接口的报文恢复到正常转发状态。

整数形式,单位是kbps。取值范围是:
  • GE接口:1~1000000
  • XGE接口:1~10000000
  • 40GE接口:1~40000000
  • 100GE接口:1~100000000
  • 端口组:1~100000000

    说明:

    对于端口组,给出的取值范围为理想的最大取值范围,实际下发配置时取值范围由成员端口允许的最小取值范围决定。

min-rate percent min-rate-value-percent

指定百分比模式低阈值。如果指定了min-rate-value-percent参数,在风暴控制检测时间间隔内,当接口接收报文的平均速率小于该值时,则将该接口的报文恢复到正常转发状态。

整数形式,单位是百分比。取值范围是1~100。

max-rate max-rate-value

指定包模式最大阈值。在风暴控制检测时间间隔内,当接口接收报文的平均速率大于该值时,则对该接口进行风暴控制。

整数形式,单位是pps。取值范围是:
  • GE接口:1~1488100
  • XGE接口:1~14881000
  • 40GE接口:1~59524000
  • 100GE接口:1~148810000
  • 端口组:1~148810000

    说明:

    对于端口组,给出的取值范围为理想的最大取值范围,实际下发配置时取值范围由成员端口允许的最小取值范围决定。

max-rate cir max-rate-value-cir

指定字节模式高阈值。如果指定了max-rate-value-cir参数,在风暴控制检测时间间隔内,当接口接收报文的平均速率大于该值时,则对该接口进行风暴控制。

整数形式,单位是kbps。取值范围是:
  • GE接口:1~1000000
  • XGE接口:1~10000000
  • 40GE接口:1~40000000
  • 100GE接口:1~100000000
  • 端口组:1~100000000

    说明:

    对于端口组,给出的取值范围为理想的最大取值范围,实际下发配置时取值范围由成员端口允许的最小取值范围决定。

max-rate percent max-rate-value-percent

指定百分比模式高阈值。如果指定了max-rate-value-percent参数,在风暴控制检测时间间隔内,当接口接收报文的平均速率大于该值时,则对该接口进行风暴控制。

整数形式,单位是百分比。取值范围是1~100。

all-packets

指定取消所有广播、未知组播和未知单播报文的风暴控制。

-

视图

40GE接口视图、100GE接口视图、GE接口视图、XGE接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在风暴控制检测时间间隔内,当接口接收报文的平均速度大于参数max-rate-valuemax-rate-value-cirmax-rate-value-percent时,则对该报文进行风暴控制动作。
说明:
风暴控制检测时间间隔可通过storm-control interval命令配置。

风暴控制动作包括阻塞报文和关闭接口,可以通过storm-control action命令配置。如果对报文进行阻塞,当接口上接收报文的平均速率小于指定的参数min-rate-valuemin-rate-value-cirmin-rate-value-percent时,风暴控制会放开在接口上对该报文的阻塞;如果接口处于关闭状态,则需要执行undo shutdown命令来开启接口。

注意事项

设备在检测单播报文时,不区分未知单播报文和已知单播报文,统计的报文速率是未知单播报文和已知单播报文共同的速率。但当风暴控制动作为阻塞报文时,设备仅对未知单播报文进行阻塞。组播报文的原理同单播报文。

接口下不能同时配置风暴控制功能和流量抑制功能,如配置了广播报文的流量抑制功能就不能再配置该类报文的风暴控制功能。

接口下配置风暴控制后,设备对报文进行检查时不会匹配VLAN。即对于该接口不允许通过的VLAN报文,设备仍能正常识别。

对于S系列单板,风暴控制模式配置为字节模式或者百分比模式时,风暴控制实际根据检测到接口上包速率,按照报文长度64字节、帧间隙20字节转换为字节模式的速率或者百分比模式的速率。对于报文长度不为64字节的情况,可能存在误差,因此对于S系列单板,风暴控制模式推荐配置为包模式。

使用实例

# 对接口GE1/0/1接收的广播报文进行风暴控制。在风暴控制检测时间间隔内,当报文的平均速率大于8000pps时,进行风暴控制;当报文的平均速率小于5000pps时,则进入正常转发状态
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] storm-control broadcast min-rate 5000 max-rate 8000

storm-control action

命令功能

storm-control action命令用来配置风暴控制的动作为关闭接口或者阻塞报文

undo storm-control action命令用来取消所配置的风暴控制的动作。

缺省情况下,未配置风暴控制动作。

命令格式

storm-control action { block | error-down }

undo storm-control action

参数说明

参数

参数说明

取值

block

指定风暴控制的动作为阻塞报文。

-

error-down

指定风暴控制的动作为关闭接口。

-

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、端口组视图

缺省级别

2:配置级

使用指南

通过执行storm-control action命令配置风暴控制的动作,以及执行storm-control命令配置风暴控制的高低阈值,可以对风暴报文进行控制,防止泛滥。

在风暴控制检测时间间隔内,当接口上接收广播、未知组播或未知单播报文的平均速率大于指定的高阈值的时候,风暴控制将根据配置的动作来对接口进行阻塞报文或关闭接口处理。

当风暴控制动作为阻塞报文时,如果流量低于最小阈值,接口恢复为正常转发状态。

当风暴控制动作为关闭接口时,有以下两种方式可以恢复接口状态:
  • 手动恢复(Error-Down发生后)。

    当处于Error-Down状态的接口数量较少时,可在该接口视图下依次执行命令shutdownundo shutdown,或者执行命令restart,重启接口。

  • 自动恢复(Error-Down发生前)。

    如果处于Error-Down状态的接口数量较多,逐一手动恢复接口状态将产生大量重复工作,且可能出现部分接口配置遗漏。为避免这一问题,用户可在系统视图下执行命令error-down auto-recovery cause storm-control interval interval-value使能接口状态自动恢复为Up的功能,并设置接口自动恢复为Up的延时时间。可以通过执行命令display error-down recovery查看接口状态自动恢复信息。

    说明:

    此方式对已经处于Error-Down状态的接口不生效,只对配置该命令后进入Error-Down状态的接口生效。

注意事项

设备在检测单播报文时,不区分未知单播报文和已知单播报文,统计的报文速率是未知单播报文和已知单播报文共同的速率。但当风暴控制动作为阻塞报文时,设备仅对未知单播报文进行阻塞。组播报文的原理同单播报文。

使用实例

# 在接口GE1/0/1上配置风暴控制动作为关闭接口。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] storm-control action error-down
Info: This configuration may cause port shutdown.

storm-control enable

命令功能

storm-control enable命令用来使能风暴控制时记录日志或者上报告警。

undo storm-control enable命令用来去使能风暴控制时记录日志或者上报告警。

缺省情况下,记录日志和上报告警未使能。

命令格式

storm-control enable { log | trap }

undo storm-control enable { log | trap }

参数说明

参数

参数说明

取值

log

使能记录日志。

-

trap

使能上报告警。

-

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、端口组视图

缺省级别

2:配置级

使用指南

配置风暴控制功能后,设备在一个检测时间间隔内,对接口下接收到的广播、未知组播以及未知单播报文进行监控,当报文速率大于配置的最大阈值时,设备会在该接口上执行风暴控制动作(阻塞报文或关闭接口),可能会影响到正常业务。此时可以配置风暴控制时记录日志或者上报告警功能,及时提醒网络管理员,以便管理员采取一定的措施来保护设备。

  • 使能记录日志功能后,相关日志将记录在SECE模块带有“STORMCTRL”字段的日志中。
  • 使能上报告警功能后,相关告警为SECE_1.3.6.1.4.1.2011.5.25.32.4.1.14.1 hwXQoSStormControlTrap。

使用实例

# 在接口GE1/0/1上使能风暴控制的上报告警。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] storm-control broadcast min-rate 3000 max-rate 5000
[HUAWEI-GigabitEthernet1/0/1] storm-control action block
[HUAWEI-GigabitEthernet1/0/1] storm-control enable trap

storm-control interval

命令功能

storm-control interval命令用来配置风暴控制的检测时间间隔。

undo storm-control interval命令用来将风暴控制的检测时间间隔恢复为缺省值。

缺省情况下,风暴控制的检测时间间隔是5秒。

命令格式

storm-control interval interval-value

undo storm-control interval

参数说明

参数

参数说明

取值

interval-value

指定风暴控制的检测时间间隔。

整数形式,单位是秒,取值范围是1~180。缺省值是5秒。

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、端口组视图

缺省级别

2:配置级

使用指南

执行storm-control interval命令配置风暴控制检测时间间隔之前,需要先在接口视图下执行storm-control命令配置风暴控制,否则配置的风暴控制检测时间间隔不会生效。

使用实例

# 在接口GE1/0/1上配置风暴控制,并配置风暴控制的时间间隔为10秒。在10秒内,当接收的广播报文的平均速率大于5000pps时,阻塞广播报文;当小于3000pps时,放开阻塞。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] storm-control broadcast min-rate 3000 max-rate 5000
[HUAWEI-GigabitEthernet1/0/1] storm-control action block
[HUAWEI-GigabitEthernet1/0/1] storm-control interval 10

unicast-suppression(接口视图)

命令功能

unicast-suppression命令用来配置接口下允许通过的最大未知单播报文的流量。

undo unicast-suppression命令用来允许通过全部未知单播报文流量。

缺省情况下,未配置未知单播报文流量抑制功能。

命令格式

unicast-suppression { percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }

undo unicast-suppression

参数说明

参数

参数说明

取值

percent-value

百分比值,即报文速率和接口速率的比值。

如果接口配置为环回检测模式,则接口速率为用户配置的速率;如果接口未配置为环回检测模式,则接口速率为接口最终协商的工作速率。用户可以在接口视图下执行命令display this interface查看接口速率(即Speed字段取值)。

整数形式,对于40GE接口,取值范围为0~80;对于其他接口类型,取值范围为0~100。
说明:

当接口插入光模块时,百分比值的取值范围由光模块的速率决定。例如,当100GE接口插入40GE光模块时,取值范围是0~80。

cir cir-value

指定承诺信息速率CIR(Committed Information Rate),即保证能够通过的速率。

整数形式,单位是kbit/s。取值范围如下:
  • GE接口:0~1000000
  • XGE接口:0~10000000
  • 40GE接口:0~33554431
  • 100GE接口:0~100000000
  • 端口组:0~100000000
说明:

当接口插入光模块时,承诺信息速率的取值范围由光模块的速率决定。例如,XGE接口插入GE光模块时,取值范围是0~1000000。需要注意的是,100GE接口插入40GE光模块时,取值范围是0~40000000。

cbs cbs-value

指定承诺突发尺寸CBS(Committed Burst Size),即瞬间能够通过的承诺流量。

整数形式,取值范围是10000~4294967295,单位是byte。cbs-value缺省为cir-value的188倍。

packets packets-per-second

指定每秒包速率。

整数形式,取值范围如下:
  • GE接口:0~1488100
  • XGE接口:0~14881000
  • 40GE接口:0~59524000
  • 100GE接口:0~148810000
  • 端口组:0~148810000
说明:
  • 对于X系列单板,配置值小于24时,按照24进行流量抑制,配置值大于等于24时,按照实际配置值进行流量抑制。
  • 当接口插入光模块时,每秒包速率的取值范围由光模块的速率决定。例如,XGE接口插入GE光模块时,取值范围是0~1488100。

视图

40GE接口视图、100GE接口视图、GE接口视图、XGE接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

当网络中的未知单播报文增多时,未知单播报文占用的网络资源将随之增多,进而严重影响了网络业务的正常运行。

为了防止广播风暴,可以使用unicast-suppression命令配置基于接口的未知单播报文的流量。当未知单播报文流量超过配置的阈值时,系统将丢弃多余的未知单播报文,使未知单播报文流量降低到合理的范围内。

注意事项

如果在接口下配置某种流量按cir抑制,则不能再配置其他流量按packets抑制,反之亦然。

按照百分比抑制,等效于按照每秒包速率抑制。例如对GE接口,接口速率为1Gbit/s,如果配置流量抑制阈值为50%,则设备在下发规则时转换为(1000*(50/100)*1000*1000)/(84*8),其中84是平均报文长度(包括60字节的报文和20字节的帧间隙及4字节的校验信息),8是每字节bit数。

说明:

如果在接口下配置某种流量按packets抑制,则配置的其他流量按百分比抑制转换为按packets抑制。

使用实例

# 配置GE1/0/1接口允许通过未知单播报文的承诺信息速率为100kbit/s,承诺突发尺寸为18800bytes

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] unicast-suppression cir 100 cbs 18800

unicast-suppression block outbound

命令功能

unicast-suppression block outbound命令用来配置在接口出方向上阻断未知单播报文。

undo unicast-suppression block outbound命令用来取消在接口出方向上阻断未知单播报文。

缺省情况下,未阻断接口出方向上的未知单播报文。

命令格式

unicast-suppression block outbound

undo unicast-suppression block outbound

参数说明

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

通常情况下,当某个接口收到未知单播报文后,会广播给该报文所属VLAN的所有用户。而这可能会导致信息泄露,最常见的情景如下:VLAN内某个接口存在非法用户,它通过侦听被广播的未知单播报文窃取到发送该报文的主机的地址信息,由此可以对该主机发起攻击。为了杜绝此类安全隐患,对于某些下接网络不希望接收任何未知单播流量的接口(比如此接口下的用户较为固定,且对安全性要求较高)而言, 可以使用unicast-suppression block outbound命令将该接口的未知单播报文完全阻断。

注意事项

本命令仅适用于在不需要接收未知单播流量的接口上配置,否则会影响网络的正常运行,用户应根据网络的实际情况选择使用。

对于具体接口而言,流量抑制可分别在接口入方向上和出方向上单独进行配置,互不影响。在接口入方向上,可使用unicast-suppression命令对未知报文在具体速率上进行限制;在接口出方向上,可使用unicast-suppression block outbound命令对未知单播报文直接进行阻断。

使用实例

# 配置GE1/0/1接口在出方向上阻断未知单播报文。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] unicast-suppression block outbound

unicast-suppression(VLAN视图)

命令功能

unicast-suppression命令用来将QoS CAR模板应用在VLAN上,以对该VLAN的上行未知单播流量进行流量监管。

undo unicast-suppression命令用来删除VLAN上配置的QoS CAR模板。

缺省情况下,不对VLAN的上行未知单播报文进行限流。

命令格式

unicast-suppression car-name [ share ]

undo unicast-suppression

参数说明

参数

参数说明

取值

car-name

指定QoS CAR模板名。

字符串形式,长度范围是1~31。

share

对VLAN下配置了同一QoS CAR模板的所有上行报文统一实施QoS CAR监管。

-

视图

VLAN视图

缺省级别

2:配置级

使用指南

当网络中的未知单播报文增多时,未知单播报文占用的网络资源将随之增多,进而严重影响了网络业务的正常运行。

如果需要对VLAN的上行未知单播报文进行限流,需要使用此命令配置。

如果接口上和VLAN下同时配置了QoS CAR,
  • 对于X系列单板,最后限速的值体现为两者中较小的cir。
  • 对于其他单板,接口上的QoS CAR生效。

使用实例

# 对VLAN 2的上行未知单播报文实施名为qoscar1的QoS CAR流量监管。
<HUAWEI> system-view
[HUAWEI] qos car qoscar1 cir 10000 cbs 10240
[HUAWEI] vlan 2
[HUAWEI-vlan2] unicast-suppression qoscar1
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10232

下载量:198

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页