禁用10端口10千兆位以太网 LAN/WAN PIC 上的控制队列禁用
在带有 SFP + 的10端口10千兆位以太网 LAN/WAN PIC 上(型号为 PD-5-PD-5-10XGE-SFPP-SFPP),控制队列用于对入口端口上接收的所有控制数据包进行排队。这样可确保在由于超额订阅造成拥塞时,控制协议数据包不会随机丢弃。支持以下控制协议:
OSPF
OSPF3
VRRP
IGMP
RSVP
PIM
BGP
BFD
LDP
IS-IS
RIP
RIPV6
LACP
ARP
IPv6 NDP
连接故障管理 (CFM)
链路故障管理(LFM)
这些控制数据包可以在本地终止,也可通过路由器传输。控制队列的速率器为每个端口将控制流量限制为 2 Mbps (固定、无用户配置)。因此,如果传输控制流量占用的带宽过多,则可能导致在本地终止控制流量,如中图 1所示。
如果最终用户生成的大量恶意流量的端口号为179(BGP),路由器会将流量调度到入口控制队列。此外,如果由于此恶意信息流导致此入口控制队列中发生拥塞,则提供商的网络控制数据包可能会受到影响。
在某些应用程序中,这可以看作是一个新漏洞。为解决此问题,您可以禁用控制队列功能。禁用控制队列功能后,您必须采取预防措施,通过其他方式保护控制流量,例如将控制数据包(使用 BA 分类)映射到标记为严格-高或配置为高 CIR 的队列。
您可以禁用 PIC 上所有端口的控制队列。要禁用控制队列,请使用 set chassis fpc n pic n no-pre-classifier命令时,此文件将变成活动配置。默认情况下, no-pre-classifier该语句未配置且控制队列正在运行。
删除此no-pre-classifier语句将在10千兆位以太网 LAN/WAN PIC 的所有端口上重新启用控制队列功能。
此功能适用于 OSE 和线速模式。
默认情况下,控制队列功能在 OSE 和线速模式(可由用户配置覆盖)中启用。
禁用控制队列时,各种show queue命令将在输出中显示控制队列。但是,所有控制队列计数器都报告为零。
更改此配置(启用或禁用控制队列功能)将导致 PIC 脱机并恢复联机。
禁用控制队列后,第2层/第3层控制数据包将根据 BA 分类受到队列选择的制约。但是,某些控制协议数据包将不会使用 BA 分类进行分类,因为它们可能没有 VLAN、MPLS 或 IP 标头。它们分别是:
未标记的 ARP 数据包
无标记的第2层控制数据包,如 LACP 或以太网 OAM
未标记 IS-IS 数据包
禁用控制队列功能时,无标记的 ARP、IS-IS 和其他未标记的第2层控制数据包将转到与队列0相关联的转发类对应的受限队列,如以下两个示例中所示。
将未标记的第2层控制数据包转发至队列3
通过此配置,与队列0关联的转发类(FC)将 "是" (基于forwarding-class语句配置)。"可" 映射到受限队列编号3(基于 "受限队列" 配置)。因此,使用此特定配置时,未标记的 ARP、IS-IS 和其他未标记的第2层控制数据包将进入入口队列3(不是入口队列0)。
将未标记的第2层控制数据包转发至队列3
通过此配置,与队列0关联的 FC 为 "ef" (基于forwarding-class语句配置)。"ef" 映射到受限队列编号0(基于restricted-queue语句配置)。因此,使用此特定配置时,未标记的 ARP、IS-IS 和其他未标记的第2层控制数据包将转至入口队列0。
对于标记的 ARP、IS-IS 或 L2 控制数据包,用户应配置显式 dot1p/dot1ad 分类器,以确保这些数据包定向到正确的队列。如果没有显式 dot1p/dot1ad 分类器、标记的 ARP、IS-IS 或第2层控制数据包将转至与与队列0关联的转发类对应的受限队列。