網絡依然還是計算機,Sun還是Sun!

教你将路由器设置为可选择性数据包丢弃

上一篇 / 下一篇  2007-08-22 14:25:13 / 个人分类:网管技术

查看( 75 ) / 评论( 1 )
当路由协议数据包、管理数据包、keepaive等信息进入路由器时需要RP(Route Processor)来处理,或者说目的地址是路由器本身时,也需要由RP来处理。当有针对路由器自身的dos攻击时,如果所有信息都有RP处理,很容易导致路由器瘫痪。此时可通过设置selective packet discard来丢弃一些恶意的数据包,来保证设备的稳定运行。
qh } ?z8s7590422 * SPD默认是enable的 ;* SPD最初只是为pos口设计的,但后来GE口也可以使用spd技术IXPUB技术博客6`!d-vRw9Q k+z
IXPUB技术博客8}r0P'j}:q\![&O*xJ#b

^;h5Q[Nj7590422 ===== 支持SPD的设备 =====IXPUB技术博客f'EM7c-ez K/N
* 7200 Series Router
zr:e6b q:LN7590422 * 7500 Series Router
!Y'p\p5Y&ECs.Ur-g7590422 * 12000 Series RouterIXPUB技术博客1JL)n(S a/C }a

(}JT2R`HHAM7590422 IXPUB技术博客}iW0^i

3l)mV3S G7590422 ===== SPD原理 =====
&f*l9\IqVc M'D#c)lK Y7590422 SPD可通过2种方式丢弃数据包:
S6_.Av*AO*n7590422 * SPD State CheckIXPUB技术博客(U:q {h]y U
* Input Queue Check
W7b z/nX'c&M7590422
F&mq1r |&U$?7590422 IXPUB技术博客,d}]g/O l8|5s ?
==== SPD State Check ====
6OTBm3Dt[:_j k6]7590422 所有到RP的数据包可分为2类:IXPUB技术博客F\h,FfjC&c
* 如果进入priority queue的,并且priority为7和6的,永远都不会被drop掉
0UJQ!]&n ^7590422 * 其他数据包被放入general packet queue,并进行spd state checkIXPUB技术博客5r(@eJO y+Tx

A0ncSZ7590422
.x^f#B$Z%xT7590422
6],M VVEB7590422   对于进入general packet queue的数据包,也就是进行spd state check的数据包会进行如下处理:
ErWyg-u-HN7590422
H"V_ u A"PR#z7590422   * 如果queue的长度小于min-threshold,正常包和畸形包都不会被drop掉IXPUB技术博客$W @,vb}&O T+^yO)i
IXPUB技术博客U'?.GN h$b4Z nR }
  * 如果queue的长度在min-threshold和max-threshold之间
W*R3s5HSt7590422 IXPUB技术博客 N {qK8Wu%t#y
  * 如果是normal mode,正常包和畸形包会被随机的丢弃IXPUB技术博客E7{C3dLCR

.M#LQ8m)J7590422   * 如果是aggresive mode,所有畸形包会被丢弃
bR^L*RQ3\B(~7590422
H8A"`/b)FY |/nB l7590422   * 如果queue的长度大于max-threshold,那么所有正常包和畸形包都会被drop掉
kB@^Ip0Q9V7590422
e,Ib5v$AIol7590422 IXPUB技术博客5C$|O"T Q ~kJi
=== aggressive mode ===
3XJR1|Yk mQ7590422
K"ZtGL1~#NA7590422   * 如果spd工作在aggressive mode,所有的畸形包会被丢弃,例如invalid checksum、incorrect version、incorrect header length、incorrect packet length等。
4~n2h @ P0M;S,h7590422
ljE$|` |7590422   * 通过命令ip spd mode aggressive开启aggressive modeIXPUB技术博客7vv vu(p~_5Ls
IXPUB技术博客5V"V$W)e9W%f
  * 12000系列路由器不支持aggressive mode,因为畸形包在会被每个linecard丢弃,而不需要由GRP(gigabit route processor)处理
yK9R9[1W Au#G7590422
M_!wm&YP7590422   ==== Input Queue Check ====IXPUB技术博客7M&|r&n2}X e^%L-HN
IXPUB技术博客8ll.`7jnKP#o([
  === input queue ===
yX~ RwG4D!m7590422
gh+M Wj \`M1v7590422   SPD state check是基于RP的,而Input Queue Check是基于interface的。如果不开启spd的话,默认情况下每个interface的queue是75,当queue中的数据大于75时,大于75的部分会被丢弃。这个queue可以通过show interface看到。IXPUB技术博客Z)X,`|f
IXPUB技术博客4C-XpE1{:w
GigabitEthernet1/2 is up, line protocol is up IXPUB技术博客(d+S~6Hdd$F
Hardware is GigMac 3 Port GigabitEthernet, address is 0005.5ffd.4082 (bia 0005.5ffd.4082)IXPUB技术博客 ^5V Ex+r#Ny
Description: sampleIXPUB技术博客 O _!_.R2u:S
Internet address is x.x.x.x/30IXPUB技术博客zX|0r R#z5G9{
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, rely 255/255, load 131/255IXPUB技术博客zlAC-|3R
Encapsulation ARPA, loopback not set
XHeE/\7590422 Keepalive set (10 sec)

论坛模式 推荐 收藏 分享给好友 推荐到圈子 管理

TAG:

太陽微繫統'sBlog sun029 发布于2007-08-22 14:25:29
Full Duplex, 1000Mbps, link type is force-up, media type is LX
hF }(G/uY iwCmUehIXPUB技术博客output flow-control is unsupported, input flow-control is unsupported

`']/TM3{$P%n.Tblog.ixpub.netARP type: ARPA, ARP Timeout 04:00:00

@k2{!] hvl:S
\l病毒,木马,下载,服务器,操作系统,数据库,路由器,交换机,防火墙,网络工程,布线,网络编程,游戏,网络基础,硬件,网页制作,网管,网管论坛,网管软件,网管下载,网管技术,网络技术,网管社区,网管博客,企业网管,网吧网管,网吧管理Last input 00:00:00, output 00:00:03, output hang never病毒,木马,下载,服务器,操作系统,数据库,路由器,交换机,防火墙,网络工程,布线,网络编程,游戏,网络基础,硬件,网页制作,网管,网管论坛,网管软件,网管下载,网管技术,网络技术,网管社区,网管博客,企业网管,网吧网管,网吧管理e9Gv3PopY
Last clearing of "show interface" counters never病毒,木马,下载,服务器,操作系统,数据库,路由器,交换机,防火墙,网络工程,布线,网络编程,游戏,网络基础,硬件,网页制作,网管,网管论坛,网管软件,网管下载,网管技术,网络技术,网管社区,网管博客,企业网管,网吧网管,网吧管理-Q7[,[.Wx(X8ZJ'a
Queueing strategy: fifo
0\ D&r+?!S C9iIXPUB技术博客Output queue 0/40, 0 drops; input queue 0/75, 25 drops //[就在这里]IXPUB技术社区,交流各种操作系统、服务器、网管技术,网管资源下载,企业网管的天堂,网吧网管的乐园。DoE&i4x:z
30 second input rate 613917000 bits/sec, 122041 packets/secIXPUB技术博客A&dkE
W:P
30 second output rate 517166000 bits/sec, 123695 packets/sec病毒,木马,下载,服务器,操作系统,数据库,路由器,交换机,防火墙,网络工程,布线,网络编程,游戏,网络基础,硬件,网页制作,网管,网管论坛,网管软件,网管下载,网管技术,网络技术,网管社区,网管博客,企业网管,网吧网管,网吧管理
{3FF;|N(U
77400124545 packets input, 44369025705444 bytes, 0 no bufferIXPUB技术社区,交流各种操作系统、服务器、网管技术,网管资源下载,企业网管的天堂,网吧网管的乐园。,qLZ2f+c-b;s
Received 5898 broadcasts, 0 runts, 0 giants, 0 throttles
#aa3p'v!qs8x(WCblog.ixpub.net647964 input errors, 0 CRC, 0 frame, 485923 overrun, 162041 ignored"O;Oveq&S
r+Cjv
0 watchdog, 0 multicast, 0 pause input
!@q8e"ndD69912443364 packets output, 41951561990047 bytes, 0 underruns
8Q%@ g'S9OUIXPUB技术博客Transmitted 1 broadcasts
1]&~L1fujS)BCoIXPUB技术社区,交流各种操作系统、服务器、网管技术,网管资源下载,企业网管的天堂,网吧网管的乐园。0 output errors, 0 collisions, 0 interface resetsq0}0`^~~M-?
0 babbles, 0 late collision, 0 deferred&_!v.I-y0l@
0 lost carrier, 0 no carrier, 0 pause output
r7M*c H"p9C病毒,木马,下载,服务器,操作系统,数据库,路由器,交换机,防火墙,网络工程,布线,网络编程,游戏,网络基础,硬件,网页制作,网管,网管论坛,网管软件,网管下载,网管技术,网络技术,网管社区,网管博客,企业网管,网吧网管,网吧管理0 output buffer failures, 0 output buffers swapped out
0d)}'c9V[JIXPUB技术社区,交流各种操作系统、服务器、网管技术,网管资源下载,企业网管的天堂,网吧网管的乐园。病毒,木马,下载,服务器,操作系统,数据库,路由器,交换机,防火墙,网络工程,布线,网络编程,游戏,网络基础,硬件,网页制作,网管,网管论坛,网管软件,网管下载,网管技术,网络技术,网管社区,网管博客,企业网管,网吧网管,网吧管理lfDuB7R2kM
IXPUB技术社区,交流各种操作系统、服务器、网管技术,网管资源下载,企业网管的天堂,网吧网管的乐园。?+v%I q-q8i~
如果需要修改这个queue的长度,可通过以下命令修改
wV8bmC+|Nd
D%{EA/UIXPUB技术博客O-HPM-GSR-1(config-if)#hold-queue ?
|1~NLbWQIXPUB技术博客<0-4096> Queue lengthblog.ixpub.net^ mSe.^+ls(Bd+J'|8?
病毒,木马,下载,服务器,操作系统,数据库,路由器,交换机,防火墙,网络工程,布线,网络编程,游戏,网络基础,硬件,网页制作,网管,网管论坛,网管软件,网管下载,网管技术,网络技术,网管社区,网管博客,企业网管,网吧网管,网吧管理L.Eq/u$L,D7B
O-HPM-GSR-1(config-if)#hold-queue 100 ?blog.ixpub.net!l&A&v$` y9S
in Input queuevg7B:MSU
out Output queue病毒,木马,下载,服务器,操作系统,数据库,路由器,交换机,防火墙,网络工程,布线,网络编程,游戏,网络基础,硬件,网页制作,网管,网管论坛,网管软件,网管下载,网管技术,网络技术,网管社区,网管博客,企业网管,网吧网管,网吧管理#A5_$e^ rUE

S%@4a;[
cY9C病毒,木马,下载,服务器,操作系统,数据库,路由器,交换机,防火墙,网络工程,布线,网络编程,游戏,网络基础,硬件,网页制作,网管,网管论坛,网管软件,网管下载,网管技术,网络技术,网管社区,网管博客,企业网管,网吧网管,网吧管理O-HPM-GSR-1(config-if)#hold-queue 100 in.RkjC(~+LcU c
O-HPM-GSR-1(config-if)#hold-queue 100 in ?n&V){
wps
IXPUB技术博客/N#e.pyj5f

"J+[1o8QUIXPUB技术博客O-HPM-GSR-1(config-if)#hold-queue 100 inblog.ixpub.neti&Dt^"tr_X5v-P5D
`%I
K'R+kQ%Ql{y

~l2y'Wh%m.oM q病毒,木马,下载,服务器,操作系统,数据库,路由器,交换机,防火墙,网络工程,布线,网络编程,游戏,网络基础,硬件,网页制作,网管,网管论坛,网管软件,网管下载,网管技术,网络技术,网管社区,网管博客,企业网管,网吧网管,网吧管理
'VHg{,_)FIXPUB技术社区,交流各种操作系统、服务器、网管技术,网管资源下载,企业网管的天堂,网吧网管的乐园。1BEi:^5~ B
  === headroom ===
!Pt)py"i
a$piblog.ixpub.net
"P0vygQO4Sa'GIXPUB技术博客  如果开启了SPD,那么priority为7和6的数据包会进入process level input queue(这个queue的名字叫headroom),而其他的数据包仍然会放在interface input queue里。process level input queue的大小默认为100.也就是说当interface总的queue长度175被用满后,priority是7和6的数据包就会被丢弃了。对于 GSR来说,这个process level input queue的长度默认是1000,这是由于clear ip bgp时会有很多packet进来,如果还是100的话,很多bgp包会被丢弃,这样就会影响网络收敛的速度。IXPUB技术社区,交流各种操作系统、服务器、网管技术,网管资源下载,企业网管的天堂,网吧网管的乐园。;cs        x$YH`/[5H+F
  === extended headroom ===
Cq,|;h8ztLZIXPUB技术博客blog.ixpub.netJ(DZ:lUnY
  由于ospf、isis、ppp、clns这类igp和2层链路间的keepalive的priority和bgp一样,如果在一个很大的bgp网络中, bgp的packet会比igp的多的多,那么他会大量的占据headroom,这就有可能导致igp的中断、或者直接在layer 2链路down掉。因此对于这样的数据包,默认再分配一个值为10的extended headroom,来保证igp和layer2 link的正常工作。
        t#[E4Kw8xIXPUB技术博客
5tPV sh.O

Ee3y y~#[~w|
rO-HPM-GSR-1#sho ip spd
Z}u(q)f2oIXPUB技术博客Current mode: normal.
zo&PFiv'YHIXPUB技术博客Queue min/max thresholds: 73/74, Headroom: 1000, Extended Headroom: 10
]hsD1yIP normal queue: 0, priority queue: 0.病毒,木马,下载,服务器,操作系统,数据库,路由器,交换机,防火墙,网络工程,布线,网络编程,游戏,网络基础,硬件,网页制作,网管,网管论坛,网管软件,网管下载,网管技术,网络技术,网管社区,网管博客,企业网管,网吧网管,网吧管理-D*iZ&|o9Qp
SPD special drop mode: none

z9u5a.c VGblog.ixpub.netIXPUB技术社区,交流各种操作系统、服务器、网管技术,网管资源下载,企业网管的天堂,网吧网管的乐园。p5V6JN&b#olA|
7e1qyD8a5U.Cy
上一页  [1] [2]
我来说两句

(可选)

Open Toolbar