Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

禁用10端口10千兆位以太网 LAN/WAN PIC 上的控制队列禁用

 

在带有 SFP + 的10端口10千兆位以太网 LAN/WAN PIC 上(型号为 PD-5-PD-5-10XGE-SFPP-SFPP),控制队列用于对入口端口上接收的所有控制数据包进行排队。这样可确保在由于超额订阅造成拥塞时,控制协议数据包不会随机丢弃。支持以下控制协议:

  • OSPF

  • OSPF3

  • VRRP

  • IGMP

  • RSVP

  • PIM

  • BGP

  • BFD

  • LDP

  • IS-IS

  • RIP

  • RIPV6

  • LACP

  • ARP

  • IPv6 NDP

  • 连接故障管理 (CFM)

  • 链路故障管理(LFM)

这些控制数据包可以在本地终止,也可通过路由器传输。控制队列的速率器为每个端口将控制流量限制为 2 Mbps (固定、无用户配置)。因此,如果传输控制流量占用的带宽过多,则可能导致在本地终止控制流量,如中图 1所示。

图 1: 控制队列速率器方案
控制队列速率器方案

如果最终用户生成的大量恶意流量的端口号为179(BGP),路由器会将流量调度到入口控制队列。此外,如果由于此恶意信息流导致此入口控制队列中发生拥塞,则提供商的网络控制数据包可能会受到影响。

在某些应用程序中,这可以看作是一个新漏洞。为解决此问题,您可以禁用控制队列功能。禁用控制队列功能后,您必须采取预防措施,通过其他方式保护控制流量,例如将控制数据包(使用 BA 分类)映射到标记为严格-高或配置为高 CIR 的队列。

您可以禁用 PIC 上所有端口的控制队列。要禁用控制队列,请使用 set chassis fpc n pic n no-pre-classifier命令时,此文件将变成活动配置。默认情况下, no-pre-classifier该语句未配置且控制队列正在运行。

删除此no-pre-classifier语句将在10千兆位以太网 LAN/WAN PIC 的所有端口上重新启用控制队列功能。

注意
  • 此功能适用于 OSE 和线速模式。

  • 默认情况下,控制队列功能在 OSE 和线速模式(可由用户配置覆盖)中启用。

  • 禁用控制队列时,各种show queue命令将在输出中显示控制队列。但是,所有控制队列计数器都报告为零。

  • 更改此配置(启用或禁用控制队列功能)将导致 PIC 脱机并恢复联机。

禁用控制队列后,第2层/第3层控制数据包将根据 BA 分类受到队列选择的制约。但是,某些控制协议数据包将不会使用 BA 分类进行分类,因为它们可能没有 VLAN、MPLS 或 IP 标头。它们分别是:

  • 未标记的 ARP 数据包

  • 无标记的第2层控制数据包,如 LACP 或以太网 OAM

  • 未标记 IS-IS 数据包

禁用控制队列功能时,无标记的 ARP、IS-IS 和其他未标记的第2层控制数据包将转到与队列0相关联的转发类对应的受限队列,如以下两个示例中所示。

将未标记的第2层控制数据包转发至队列3

通过此配置,与队列0关联的转发类(FC)将 "是" (基于forwarding-class语句配置)。"可" 映射到受限队列编号3(基于 "受限队列" 配置)。因此,使用此特定配置时,未标记的 ARP、IS-IS 和其他未标记的第2层控制数据包将进入入口队列3(不是入口队列0)。

将未标记的第2层控制数据包转发至队列3

通过此配置,与队列0关联的 FC 为 "ef" (基于forwarding-class语句配置)。"ef" 映射到受限队列编号0(基于restricted-queue语句配置)。因此,使用此特定配置时,未标记的 ARP、IS-IS 和其他未标记的第2层控制数据包将转至入口队列0。

对于标记的 ARP、IS-IS 或 L2 控制数据包,用户应配置显式 dot1p/dot1ad 分类器,以确保这些数据包定向到正确的队列。如果没有显式 dot1p/dot1ad 分类器、标记的 ARP、IS-IS 或第2层控制数据包将转至与与队列0关联的转发类对应的受限队列。

相关主题