精华内容
下载资源
问答
  • 交换机上配置了广播抑制,导致整个环境中没有广播包。在计算节点上Linux Bridge的MAC learning table中网关对应的MAC地址过期后(默认值300秒),没有及时更新,Linux Bridge会把本来应该发到网关对应端口的数...

    故障现象

    在监控上发现部分虚拟机每隔大概20分钟就会出现一次入口流量高峰,大小在1MB/s左右:

     

    故障原因

    交换机上配置了广播抑制,导致整个环境中没有广播包。在计算节点上Linux Bridge的MAC learning table中网关对应的MAC地址过期后(默认值300秒),没有及时更新,Linux Bridge会把本来应该发到网关对应端口的数据包发送到所有端口。部分业务Client虚拟机会持续向业务Server发送数据,当网关MAC 失效后,本来发送给业务Server的数据包被发送给了同宿主机上的所有虚拟机,因此出现入口流量峰值。

     

    处理方法

    方法一:解除交换机上的广播抑制。

    方法二:配置Linux Bridge的MAC Ageing Time为1500秒,此时间大于交换机ARP的过期时间,保证在Linux Bridge上的网关MAC地址记录过期之前收到来自网关的ARP请求包,因而可以及时更新网关MAC地址。

     

    排查过程

    在虚拟机出现流量峰值时,登陆到虚拟机使用iftop查看流量详情:

    # iftop -nNBP

    发现峰值流量的源目的地址都不是本机,于是分别查看源目的地址机器,经过粗略分析判断目的地址是业务Server,源地址是某台业务Client服务器,业务Client发送给业务Server的流量窜到其他虚拟机上了。

    下意识感觉受害虚拟机跟这两个机器应该存在某些关联,由于目的机器是一台物理机,关系应该不大,于是重点查看源地址,这是一台虚拟机。果然,发现这两台虚拟机位于同一台宿主机上。查看宿主机上的其他虚拟机,存在同样的问题:

    继续去受害虚拟机上抓包,分析错误发来的数据包存在什么特征,因为Linux Bridge执行二层转发的功能,于是打印出数据包的链路头信息:

    # tcpdump -e -nnn host 10.212.26.241 and host 10.212.13.14

    发现目的MAC都是10:0a:10:0b:10:0c,这明显不是一个正常的MAC地址,查看arp表:

    显示这个MAC地址对应的是网关。到宿主机上查看arp表,结果一样:

    猜测这是在交换机上的封装过的MAC地址,这不重要,对于整个虚拟化环境来说,它就是网关的MAC地址。在宿主机上抓包:

    可以看到源目的IP正常通信的往来数据包。而且在正常情况下,受害虚拟机没有收到误转发流量包时,物理机上也能抓到形式一样的数据包。那么在什么情况下,本应发送给网关的数据包会被网桥错误地转发给虚拟机呢?

    经过一番搜索,查到了Linux Bridge的MAC learning table这个东西,交换机上也有一样的概念。它记录着网桥的每个端口连接着同个二层网络的哪些MAC地址,即便跨越了多个交换机。使用brctl showmacs BR-NAME查看Linux Bridge的MAC learning table:

    而在出现异常流量时,MAC learning table是这样的:

    明显看到网关的MAC消失了。这是因为默认MAC learning table记录的过期时间是300秒,超过300秒后记录就被删除。而每当收到某个端口数据包时,Linux Bridge会更新这个数据包的源MAC地址到MAC learning table。

    经过观察发现MAC learning table中网关的记录会不定期地在ageing time到达几十秒、一百多秒时更新一次,但是周期性地会有一次不更新,在ageing time达到300秒后消失几分钟,也正是在网关MAC消失的这个时间段内虚拟机上会出现异常流量。

    在物理交换机上,如果数据包的目的MAC地址在MAC learning table里找不到,那么这个数据包会被丢弃,但是由于我们的Linux Bridge没有开启STP,它会将数据包发送到所有端口,类似一个集线器。

    因为有多个集群,为什么其他集群是正常的而只有这个集群出现问题。在不同集群的计算节点上抓包:

    看到在正常环境中会频繁收到来自网关的ARP广播,所已Linux Bridge能够及时更新MAC learning table,而在问题集群中,完全没有广播包,只有在网关需要查询这个主机上存在的机器时,才会发送一个ARP单播包。这超出了正常的认知,怀疑是交换机做了特殊配置,跟网络组沟通,又向厂商询问后,得到回复确实是为了避免泛洪,交换机上配置了广播抑制,才出现这样的情况。

    那么如何解决呢,一个办法是关闭交换机的广播抑制,但是这样会引入广播泛洪的风险。另一个办法是将计算节点Linux Bridge的MAC Ageing Time调高,使它超过交换机上ARP的过期时间,这样就能保证在网关MAC地址记录过期之前收到来自网关的ARP请求包,因而可以及时更新网关MAC地址。目前设置Ageing Time为1500秒:

    # brctl setageing brqa96cd777-01 1500

    为了保证配置不失效,将命令写入/sbin/ifup-local脚本,这个脚本会在每个网络设备启动后,被/etc/sysconfig/network-scripts/ifup-post调用。/sbin/ifup-local内容:

    if [[ "$1" == "brq"* ]]; then
        /sbin/brctl setageing $1 1500
    fi

     

    参考文档

    How to disable MAC learning in a Linux bridge

    ARP Timeout Value for Cisco 3750, Linux and Windows

    How to configure a Linux Bridge to act as a Hub instead of a Switch

    CentOS: Start custom script automatically after network startup

     

    展开全文
  • 一、CISCO2950(version 12.1(9))的测试   测试过程: 1、搭建如图一所示的网络并进行相应的配置; 2、在PC1上用Solarwinds的WAN Killer向外发送30M的广播包;... 5、在PORT1上启用广播抑制...
    一、CISCO2950(version 12.1(9))的测试
      
     

      测试过程:
      
      1、搭建如图一所示的网络并进行相应的配置;
      2、在PC1上用Solarwinds的WAN Killer向外发送30M的广播包;
      3、在交换机上观察PORT1和PORT2的广播流量也为30M左右,这说明广播被线速交换转发;
      4、停止发送广播包;
      5、在PORT1上启用广播抑制命令:
      storm-control broadcast level 10
      storm-control action shutdown
      指令说明:命令1控制PORT1的带宽利用率为10M,命令2指广播流量超过10M就触发ACTION将PORT1关闭
      6、清空端口,用PC1再次向外发送30M的广播包;
      7、几分钟后,在交换机上观察PORT1已被自动DOWN掉,在交换机上查看PORT1和PORT2的广播流量为10M左右,这说明当广播流量超过设置的门限
      
      值时,交换机就会自动DOWN掉其相应端口。
      
      测试结果分析:
      
      1、CISCO IOS version 12.1(9)或以上版本才支持广播抑制功能;
      2、CISCO的广播抑制功能是通过对INPUT的广播流量抑制而起作用的,所以实现此功能时需对CISCO的所有用户端口启用广播抑制;
      3、当广播流量下降到门限值一下时,不能自动打开DOWN掉的端口,需人为开启端口。
      
      二、港湾U2(version: v140B0018)的测试
      
     

      测试过程:
      
      1、搭建如图二所示的网络并配置相应的IP地址;
      2、在PC1上用Sinffer向外发送30M的广播流量;
      3、在PC1、PC2上用Sinffer DASHBOARD监视广播流量为10M,每秒广播包数是16000个,广播被线速转发;
      4、停止发送广播包;
      5、启用广播抑制命令:
      config broadcast-limit on 1000
      指令说明:命令设置所有端口每秒钟允许通过的广播包数量是1000个
      6、清空端口,在PC1上用Sinffer向外发送10M的广播流量;
      7、在PORT2上用Sinffer DASHBOARD监视广播流量为700K,每秒广播包数是1000个,说明广播流量被抑制在所设定的门限值内。
      
      测试结果分析:
      
      1、U2(U24)的版本在version: v140B0018或以上才有效支持广播抑制;
      2、其广播抑制命令对所有端口有效,且只对INPUT流量起抑制作用;
      
      三、华为2403H的测试
      

      测试过程:
      
      1、搭建如图二所示的网络并配置相应的IP地址;
      2、在PC1上用Sinffer向外发送30M的广播流量;
      3、在PC1、PC2上用Sinffer DASHBOARD监视广播流量为30M,广播被线速转发;
      4、停止发送广播包;
      5、在PORT2启用广播抑制命令:
      switchport broadcast-suppression 5
      指令说明:命令表示广播流量最大可达5%线速,由于PORT2和PC2自适成100M,即广播流量最大为5M,多余此值的包被丢弃。
      6、清空端口,在PC1上用Sinffer向外发送30M的广播流量;
      7、在PORT2上用Sinffer DASHBOARD监视广播流量为5M,说明广播流量被抑制在所设定的门限值内。
      
      测试结果分析:
      
      1、华为基于VRF的交换机均支持广播抑制;
      2、其广播抑制功能是通过对OUTPUT广播流量抑制而起作用的,所以实际实施时只需对上联口配置广播抑制即可。
     

    转载于:https://blog.51cto.com/ljh9527/265837

    展开全文
  • 1、通过SecureCRT软件,登录到交换机,进入系统视图模式。2、在系统视图下进入接口模式,配置风暴控制的广播参数。命令:storm-control broadcast min-rate 1000 max-rate 1500.3、配置风暴控制关于组播的参数命令:...

     武汉商启网络信息有限公司现招聘销售、客服、网络工程师,详情请点击查看原文!

    1、通过SecureCRT软件,登录到交换机,进入系统视图模式。

    ecf585d4845b6b2fe68437af2ec352c4.png

    2、在系统视图下进入接口模式,配置风暴控制的广播参数。命令:storm-control broadcast min-rate 1000 max-rate 1500.

    d0612efcbb52d6c2f5430a48bb1ee60a.png

    3、配置风暴控制关于组播的参数命令:storm-control multicast min-rate 1000 max-rate 1500.

    049ddfdf30d02ca147aafc5f6577893a.png

    4、最后配置单播风暴控制参数。命令:storm-control unicast min-rate 1000 max-rate 1500.

    ad65cb62630518ecd59faa5b7c3d6eaf.png

    5、配置风暴超过阈值的动作为block,并开启日志功能。以便当接口关闭时查看日志。

    59d506822105e4dfbb11087547dc24f7.png

    6、验证所在端口是否配置正确。使用命令:display storm-control 接端口号。

    1f87ed486c4b12c3dc61c11cac1b4466.png

    注意事项

    配置风暴控制能有效抑制网内所产生的无效广播风暴。

    af3b58ac23ee6a2aceb71974e2e43de7.png

    武汉商启网络|客户至上,合作共赢!

    微信ID:shangqi_2016f08e2140a6343477833d3718dbea1af3.png
    展开全文
  • 交换机抑制广播命令详解

    千次阅读 2010-08-02 09:38:13
    在企业网络中,广播数据包是一把双刃剑。一方面其是进行正常网络连接所必须的一种数据包,如在自动获得IP地址方案中需要利用广播数据报来寻找可用的DHCP服务器。另一方面其又很容易被病毒或者***所利用,如通过DOS**...
    在企业网络中,广播数据包是一把双刃剑。一方面其是进行正常网络连接所必须的一种数据包,如在自动获得IP地址方案中需要利用广播数据报来寻找可用的DHCP服务器。另一方面其又很容易被病毒或者***所利用,如通过DOS***等手段导致网络拥塞。为此在网络设计中,必须要对广播数据包进行合理的控制。
      一、广播数据包的危害
      广包有一个很重要的特征,就是广播域中每台网络设备,包括PC或者交换机都需要处理广播数据包。可见,如果某个广播域中存在比较多的广播流量,那么所有的相关设备都会受到影响,因为他们必须抽出一定的资源来处理这些广播数据包。同时,这些广播数据包还会占用宝贵的带宽资源,如果网络中存在过多的广播数据包,则可能会导致网络拥塞,大大降低网络的性能与安全等级。所以,在网络设计中应当防止过量的广播流量所导致的非正常功能故障,同时需要注意由此可能带来的安全隐患。总之,在网络中如果发生意外情况,那么异常的设备就会发送大量的广播数据包流量。如果在每秒之内发生的广播数据报流量过多,那么就会直接导致交换机等网络设备的CPU利用率高,设置利用率会达到100%从而导致网络中断。为此一个安全的网络设计,都会采用各种各样的措施来抑制广播数据包的流量。
      在传统的网络设计中,也有不少的措施可以用来减少网络中不必要的广播数据包。如可以将网络设计成多个网段,以减少广播域内设备的数量,从而实现减少广播包的目的。不过这些传统的方案,都需要增加一些额外的设备,而且实施起来也不是很方便。在思科系列的交换机中,本身就提供了广播抑制的方案。或许网络管理员可以换一种思路来解决这个问题。
      二、思科交换机广播数据包抑制方案分析
      为了缓解过量的广播数据报对网络带来的不利影响,思科系列的交换机特别设计了广播抑制特性。简单的说,交换机操作系统会自动监测经过其设备的网络流量。如果发现广播数据包比较多的话,这交换机会采取两个措施:要么是丢弃过量的广播数据包;要么就是禁用接收过量的流量端口。
      
    解析企业交换机抑制广播风暴特性
      如上图所示,假设现在主机A受到了***,中了某种病毒。此时其就会不断的向外面发送广播数据包,直到主机瘫痪为止。其发送的广播数据包都需要经过交换机来转发。此时交换机会监测到来自主机A的大量的广播数据包流量。监测到这种情况之后,交换机会采取哪种措施呢?交换机可能会将主机A发送过来的广播数据包流量丢弃掉,其他的数据流量正常转发,从而杜绝A主机发出的广播数据包对广播域内其他设备的影响。交换机也有可能关闭主机A连接的交换机端口,即来自主机A的所有数据流量都将无法通过交换机来转发,就好像是将A的网络断开了,从而防止主机A继续危害网络。交换机具体采用哪种措施,这主要看网络管理员的配置。
      交换机在监测广播数据流量的时候,检测的频率还是很高的。通常情况下,其回监测1秒周期内进入端口的数据流量。如果广播数据包超过了所设置的最大值,那么交换机就会采用网络管理员预先配置的违规措施。所以采用交换机的广播数据包抑制方案,可以在最短时间内发现非正常的广播数据包,从而采取有效的措施来减少其对企业网络的危害。
      三、CatOS软件与IOS软件配置的异同
      在思科系列的交换机中,主要采用CatOS与IOS操作系统软件。这两种操作系统在配置广播数据包抑制上还是有一定的差异。如在基于CatOS操作系统的交换机上,主要是通过如下命令来启用广播数据包抑制特性。
      Set port broadcast thresho1d% violation drop-packets/err-disable enable/disable
      在这个命令中,主要注意两个参数。第一个参数就是thresho1d%,也就是允许通过的广播数据包流量的最大值。利用专业术语来说就是阀值。如果将这个参数设置为100%,那么交换机将不会限制任何的流量。也就是说不会限制任何的广播数据流量。如果将这个参数设置为0%,那么交换机将会抑制所有的数据流量。通常情况下,我们都不会采用这两个极端的值。那么这个参数到底设置为多少合适呢?通常情况下在选择这个参数大小的时候,需要根据企业现有的网络流量模式来定义。这里需要强调的是,不要一开始就将这个参数设置的比较低,因为其可能会错误的丢弃交换机的正常流量。我们在平时管理的时候,往往会先设置一个比较大的值,然后再慢慢的根据企业的网络流量来降低这个阀值,最终调整到最优的阶段。另外笔者建议各位网络管理员,不要在任何交换机上都启用这个特性。通常情况下只需要在接入层的用户端口上启用广播抑制特性即可。因为大部分情况下,我们只要限制特定的主机端口所能够发送到网络中的广播数据流量即可。在太多的交换机上启用这个特性,有时候会起到适得其反的效果,会影响网络的性能与稳定性。
      第二个参数是violation,即当交换机发现广播数据流量超过规定的最大值时,该采用何种措施来处理?在思科系列的交换机中,主要有两种方式,分别为丢弃数据包或者将某个端口禁用掉(设置为err-disable状态)。具体采取哪种措施主要要看企业的网络需求。不过笔者的意见是,尽量少用“err-disable”状态。因为如果交换机的某个端口进入到这个状态的时候,交换机将会显示错误信息,并且立即产生相关的信息通过管理员预先定义的方式来同志管理员这种情况。此时可能会影响到正常数据流量的转发。所以一般情况下笔者建议采用丢弃数据包的方式来处理。从而将广播数据包对网络的影响降低到最低。
      如果网络管理员采用的是基于IOS操作系统软件的交换机,那么配置的灵活性要降低一点。在使用IOS的交换机中,广播数据包抑制又叫做风暴控制。在使用这个特性的时候,阀值的设置跟CatOS软件类似,主要是要看违规操作的设置。因为在IOS软件版本中,不同的版本的交换机其支持的违规操作方式是不同的。如在6500系列的基于IOS软件的交换机中,其支持的违规操作只有一项就是“丢弃数据包”。而在基于IOS软件的4500系列交换机中,其支持的违规操作就有两项,分别为”“丢弃数据包”与“关闭选项”。关闭选项同上面说到的设置为err-disable状态效果类似,只是称呼不同而已。所以如果网络管理员采用的是基于IOS的交换机,那么就需要注意这个不同的系列所支持的违规操作方式的不同。
      另外需要提醒的是,如果企业采用的是6500系列的交换机,还有一个问题要引起大家的重视。网络管理员可以在6500系列交换机的吉比特以太网端口上配置多播或者单播抑制特性。这个特性跟上面所讲的广播抑制特性非常的相似。这个特性可以同时抑制广播流量、多播流量、单播流量等等。在比较复杂的网络设计中,可以直接启用这个特性来代替前面讲到的广播抑制方案。

    转载于:https://blog.51cto.com/heiyubai1989/365354

    展开全文
  • 在企业网络中,广播数据包是一把双刃剑。一方面其是进行正常网络连接所必须的一种数据包,如在自动获得IP地址方案中需要利用广播数据报来寻找可用的DHCP服务器。另一方面其又很容易被病毒或者***所利用,如通过DOS**...
  • cisco交换机安全之端口广播抑制

    千次阅读 2016-07-06 09:40:19
    在2层交换机上做广播流量的控制 1.利用风暴控制 命令: switch(interface-if)#storm-control ? action Action to take for storm-control 定义如果超过限定范围流量采取什么行为 broadcast Broadcast address...
  • 广播风暴指过多的广播包消耗了大量的网络带宽,导致...•虽然现在这种情况很少发生除非发生环路,但有时客户也会提出这方面的要求因此可以使用一下命令来配置广播抑制 •(config)Int 端口号 (config-if) sto...
  • 华为系列交换机配置风暴抑制

    千次阅读 2019-01-09 09:32:00
    配置风暴抑制事例  针对于服务器莫名其妙的发包,可参考案例  对广播、组播或未知单播报文进行风暴控制的低阈值和高阈值  风暴控制的动作  风暴控制的检测时间间隔 操作步骤: 进入接口视图 <...
  •  配置流量抑制后的广播、未知单播和组播报文的速率为接口速率的 % 进入接口视图 <Quidway> system-view [Quidway] interface gigabitethernet 2/0/12 配置广播流量抑制 [Quidway-GigabitEthernet2/0...
  • 广播抑制(整理)

    千次阅读 2013-12-07 21:21:15
    每种网络协议都能够创造出大量的广播流量;在2层网络中,广播包会从除接收的端口外的所有端口转发出去,由于这种转发机制,大量或者过来的...广播抑制可以阻止过量的广播包从交换机的其他端口发出,从而限制了广播...
  • 今天带大家了解如何利用H3C交换机划分VLAN隔离广播域,解决局域网由于广播风暴瘫痪的问题。首先我们应知道什么是广播风暴,它又是如何产生的?广播风暴是网络术语,简单的讲是指广播数据充斥网络占用大量带宽。一个...
  • 一种方法是采用思科提供的Catalyst广播抑制,也叫做风暴控制技术。广播是传输控制协议/网间协议应用程序套件中的一个组成部分。一个广播就是发送到所有主机或子网内所有主机的一个数据包。一个数据包如果要发送到...
  • 非网管交换机缺点: 1、 非网管交换机... 3、 不支持mac地址的绑定 4、 不支持vlan的划分 在非网管的交换机上连接的终端用户处于同一广播域中,会爆发广播风暴,不能对其进行防护和抑制。使整个网络出现拥塞、阻断...
  • 交换机的VLAN技术

    2017-06-30 12:19:36
    交换机在以太网中的应用,解决了集线器所不能解决的冲突域的问题,但传统的交换技术并不能有效的抑制广播帧,即当接入交换机的一台设备向交换机发送了广播帧后,交换机将会把收到的广播帧转发到所有交换机其它端口...
  • 二级交换机QS-8226I以其完善的网络管理,有效地协助主干交换机对园区支干网络的管理与监控,满足各支干大量数据的交换,杜绝了网络 瓶颈,抑制广播风暴。在局域网中合理地选择交换产品设计带宽,体现了性能卓越而...
  • 由于中国宽带网络的缓慢发展,导致在一些城乡结合部宽带出租的流行。当网络规模小的时候,有广告风暴的时候也是比较好处理的,当你用户数量上了200...专家就是专家,问题是拥有这些价格的交换机价格都不菲啊,这对...
  • 广播风暴抑制 支持广播风暴抑制 组播 支持GMRP(GARP Multicast Registration Protocol) 支持IGMP Snooping(Internet Group Management Protocol Snooping) 端口汇聚 支持端口汇聚 镜像 S3026/S3050C-48...
  • 双绞线抑制噪声原理: (1)外源:沿电磁波的传播方向产生噪声电流,双绞线可使噪声电流方向相反,相互抵消。 (2)内源:改变节距,噪声成分不同,相互抵消 PHY(MAU)负责将包转换为电信号 中继电路:将电信号广播...
  • 现在很多企业路由,都说有这样的功能,但是这样的功能是要有前提,就是电脑一定要直接路由上,如果隔了交换机,这些功能对于电脑来说,形同虚设。而局域网里面出现广播风暴,ARP欺骗这些问题都是很常见的问题,问题...
  • 无论是管理平面管理员登录的安全,还是控制平面CPU的安全,最终目的都是为了保证转发平面数据流量的正常转发。不管是二层网络还是三层网络,...因此,如何保证转发表的安全和如何抑制广播风暴,是二层网络安全的重...
  • 子网隔离,抑制广播风暴;   3.维护路由表,并与其他路由器交换路由信息,这是IP报文转发的基础。   4.IP数据报的差错处理及简单的拥塞控制;   5.实现对IP数据报的过滤和记帐。   对于不同地规模的网络...
  • 192.168.0.2的主机中了病毒,不断的向所在的广播域发送广播风暴或者进行多次ARP检测,此时连接这台PC的交换机 端口工作指示灯会不断的闪 烁,表明传输的数据量非常的大。如果不对这种情况进行抑制的话,则这个问题...
  • 一个基于锐捷交换机配置的技术交流材料,防环路、广播风暴抑制、防arp欺骗、端口dot1x认证、vrrp等都有介绍。
  • 我们经常说到的以太网交换机实际是一个基于网桥技术的多端口第二层网络设备,它为数据帧从一个端口到另一个任意端口的转发提供了低时延、低开销的通路。...子网隔离,抑制广播风暴; 3.维护路由表,并与其他路由器...
  • 10.4.18 拥塞反馈:源抑制与DEC位 170 10.4.19 服务类型 171 10.4.20 选项 173 10.5 源路由 176 10.5.1 松源路由和紧源路由 177 10.5.2 用一个外出的链路地址重写源 路由 178 10.5.3 用外出的链路地址重写一个目的 ...
  • 子网隔离,抑制广播风暴;  3.维护路由表,并与其他路由器交换路由信息,这是IP报文转发的基础。 4.IP数据报的差错处理及简单的拥塞控制;  5.实现对IP数据报的过滤和记帐。  对于不同...

空空如也

空空如也

1 2 3
收藏数 52
精华内容 20
关键字:

交换机广播抑制