所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

CPU-Defend策略限制导致mpls ldp邻居无法建立

发布时间:  2019-07-06  |   浏览次数:  715  |   下载次数:  0  |   作者:  00105023  |   文档编号: ETC0000017716

目录

问题描述

组网:
NE5000E-1------------------------NE5000E-2 
   |                                |
    -------------------------------- 
                  | 
                 EXXX

故障现象:
NE5000E-2反复打印大量告警,提示与EXXX设备之间mpls ldp邻居hello time和HOLD time超时,LDP邻居状态异常,处于noExtend状态而不是operational状态


Aug 22 2012 00:43:02 NE5000E %%01LDP/4/SSNHOLDTMREXP(l)[165176]:Sessions were deleted because the session hold timer expired and the notification of the expiry was sent to the peer xxx.xxx.1.62.

处理过程

1、怀疑路由问题导致LDP hello报文TTL=1超过跳数限制导致hello报文无法发送到达对端,dis ip routing-table xxx.xxx.1.62,确认路由正常,联系对端设备确认配置,对端反馈路由不正确,NE5000E-2的地址从NE5000E-1学习到,联系查看接口配置,对端设备ISIS COST值设置为10000,导致绕行,修改COST值后路由正常,但是LDP邻居还是不正常。
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask    Proto  Pre  Cost       Flags NextHop         Interface
 xxx.xxx.1.62/32  ISIS   15   1000         D   10.10.10.2           Pos3/4/1/2

2、dis cur interface  Pos3/4/1/2 检查接口MPLS配置,配置正确,联系对端设备确认配置,配置无问题;
NE5000E>dis cur int Pos3/4/1/2
#
interface Pos3/4/1/2
 link-protocol ppp

 ip address xxx.xxx.10.1 255.255.255.252
 isis enable 2004
 isis circuit-level level-2
 isis cost 1000
 mpls
 mpls ldp
 ip urpf loose
#
3、查看TCP端口646连接状态,状态一直显示为Syn_Sent
NE5000E>dis tcp status remote-ip xxx.xxx.1.62
TCPCB    Tid/Soid Local Add:port        Foreign Add:port      VPNID  State
c9720f68  125/515  xxx.xxx.1.2:646        xxx.xxx.1.62:3368     0     Syn_Sent

4、查看MPLS LDP邻居会话状态,NE5000E显示为No-Exten,EXXX设备显示为open-sent。
NE5000E>dis mpls ldp session xxx.xxx.1.2

5、因TCP连接始终无法建立,怀疑TCP被限制,由于NE5000E为出口设备,为了防止网络攻击部署了大量的CPU-Defend策略,其中有限制TCP UDP端口646(MPLS使用端口),查看策略发现EXXX设备的环回不在ACL列表之中;
NE5000E>dis cur configuration cpu-defend-policy
#
cpu-defend policy 4
 whitelist acl 3200
 blacklist acl 3230
 user-defined-flow 1 acl 3201 ---------------限制646端口
 user-defined-flow 2 acl 3202
 user-defined-flow 3 acl 3203
 user-defined-flow 4 acl 3204
 user-defined-flow 5 acl 3205
 user-defined-flow 6 acl 3206
 user-defined-flow 7 acl 3207
 user-defined-flow 8 acl 3208
 user-defined-flow 9 acl 3209
 user-defined-flow 10 acl 3210
 application-apperceive disable
 process-sequence whitelist user-defined-flow blacklist  ---------------生效顺序为白名单生效、其次用户自定义,最后黑名单生效即决绝其他任何报文
NE5000E>dis acl 3201
Advanced ACL 3201, 8 rules
LDP
Acl's step is 5
  rule 5 permit udp source  xxx.xxx.1.0 0.0.255.255 destination-port eq 646
 rule 10 permit udp source  xxx.xxx.1.0 0.0.255.255 source-port eq 646
 rule 15 permit tcp source  xxx.xxx.1.0 0.0.255.255 destination-port eq 646
 rule 20 permit tcp source  xxx.xxx.1.0 0.0.255.255 source-port eq 646
#
NE5000E-slot-clc3/4]dis th
#
slot clc3/4
 cpu-defend-policy 4
#

根因

CPU-Defend策略限制MPLS LDP所需要使用的TCP端口通信,导致会话无法建立。

解决方案

新增配置放开对EXXX设备的限制
acl 3201

  rule 25 permit tcp source xxx.xxx.1.62 0 destination-port eq 646
 rule 30 permit udp source xxx.xxx.1.62 0 destination-port eq 646
 rule 35 permit udp source xxx.xxx.1.62 0 source-port eq 646
 rule 40 permit tcp source xxx.xxx.1.62 0 source-port eq 646


7、查看TCP连接状态为Established 和MPLS LDP会话状态为operational,全部恢复正常,故障排除
NE5000E>dis tcp status remote-ip 1.2.1.62
TCPCB    Tid/Soid Local Add:port        Foreign Add:port      VPNID  State
c9720f68  125/515  xxx.xxx.1.2:646        xxx.xxx.1.62:3368     0     *Established


建议与总结

此类问题可以先从以下三个点开始分析:

1、路由问题导致LDP hello报文TTL=1超过跳数限制引起;
2、MPLS 配置问题;
3、TCP或是UDP连接问题;