日志信息
DEFD/4/CPCAR_DROP_MPU:Rate of packets to cpu exceeded the CPCAR limit on the MPU. (Protocol=[STRING], CIR/CBS=[ULONG]/[ULONG], ExceededPacketCount=[STRING])
日志含义
上送CPU的报文速率超出了主控板的cpcar限制。
日志参数
参数名称 参数含义
Protocol 协议类型
CIR/CBS 承诺信息速率和承诺突发尺寸
ExceededPacketCount 超出报文计数
可能原因
上送CPU的报文流量超过了cpcar的速率限制被丢弃。主控板CPCAR丢弃了一些报文。
处理步骤
控制上送CPU的报文流量在cpcar的限制阈值内或配置合理的cpcar限速值
DEFD/4/CPCAR_DROP_LPU
日志信息
DEFD/4/CPCAR_DROP_LPU:Rate of packets to cpu exceeded the CPCAR limit on the LPU in slot [STRING]. (Protocol=[STRING], CIR/CBS=[ULONG]/[ULONG], ExceededPacketCount=[STRING])
日志含义
上送CPU的报文速率超出了接口板的cpcar限制。
日志参数
参数名称 参数含义
slot
非堆叠情况下,只能是0。
堆叠情况下,表示堆叠ID。
Protocol 协议类型
CIR/CBS 承诺信息速率和承诺突发尺寸
ExceededPacketCount 超出报文计数
可能原因
上送接口板CPU的报文流量超过了cpcar的速率限制被丢弃。
处理步骤
通过命令auto-defend enable配置攻击溯源功能,如果根据攻击溯源信息发现存在可疑的攻击源,则可以进一步排查组网判断其是否为真实的攻击源。
如果确认存在真实的攻击源,则可以通过命令blacklist配置黑名单或者通过命令auto-defend action配置攻击溯源惩罚功能,避免攻击源继续攻击设备;否则,可以通过命令car(防攻击策略视图)将cpcar限速值调大为合理值。
car(防攻击策略视图)
命令功能
car命令用来配置上送CPU报文的速率限制。
undo car命令用来恢复上送CPU报文的速率限制为缺省值。
缺省情况下,对协议报文的CAR速率从64kbit/s到512kbit/s不等,可以通过display cpu-defend configuration查看。
命令格式
car packet-type packet-type cir cir-value [ cbs cbs-value ]
undo car packet-type packet-type
参数说明
参数 参数说明 取值
packet-type packet-type 指定报文类型,表示对指定类型的报文设置速率限制。 报文类型信息以设备显示为准。
cir cir-value 指定承诺信息速率(Committed Information Rate)。 整数形式,取值范围是8~4294967295,单位是kbit/s。
cbs cbs-value 指定承诺突发尺寸(Committed Burst Size)。 整数形式,取值范围是10000~4294967295,单位是byte。
视图
防攻击策略视图
缺省级别
2:配置级
使用指南
应用场景
创建防攻击策略后,如果设备收到某种协议类型的攻击报文或大量上送CPU的正常报文,可以在防攻击策略中对该协议类型的报文进行限速,使该协议类型的报文限制在一个较小的速率范围内,减少对CPU的影响。
设备针对每类协议报文都有缺省的CPCAR值,部分协议报文的CPCAR值需要根据实际业务规模和具体的用户网络环境进行调整。
http://localhost:7890/pages/DZC1012A/08/DZC1012A/08/resources/public_sys-resources/icon-note.gif 说明:
以下表格中的CPCAR值仅是建议参考值,请结合实际业务规模和具体的用户网络环境调整CPCAR值,否则可能造成CPU占用率过高。
OSPF
当设备的OSPF邻居和LSA的数量过多时,OSPF协议报文速度超过默认的CPCAR值,会导致Hello报文被丢弃,造成OSPF邻居建立速度慢、长时间无法建立等问题。为了避免出现此问题,建议调整CPCAR值。同时,为了防止CPU处于高负荷运行状态,CPCAR需设置一个合理的数值,不能无限增大。具体请参见表1。
表1 OSPF报文建议CPCAR值
邻居数量 每个区域LSA数量 外部路由数量 CPCAR值(Kbit/s) CPU平均使用率(%) 内存使用率(%) 重启OSPF进程恢复时间(秒)
10 1000 500 544 17 34 15
1500 500 576 18 34 20
2000 500 640 20 34 25
2500 500 672 21 35 40
20 1000 500 640 23 34 50
1500 500 768 24 34 60
2000 500 960 30 35 90
30 1000 500 1024 21 34 50
1500 500 1152 35 35 90
2000 500 1216 35 35 60
40 1000 500 1152 24 34 60
1500 500 1216 39 35 60
2000 500 1344 47 35 90
50 1000 500 1536 39 35 60
1500 500 1600 59 35 90
2000 500 1664 56 35 90
例如:OSPF邻居数量为20,预计每个区域LSA数量大约为1800,对照上表,可以取邻居数量为20,每个区域平均LSA数量为2000,对应的CPCAR建议值为960。
IGMP、MLD、PIM(IPv4)、PIM(IPv6)
如果以默认CPCAR值进行限速,当设备的组播组数量过多时,IGMP协议报文速率超过默认的CPCAR值,会导致协议报文被丢弃,造成用户点播失败的问题。为了避免出现此问题,建议调整CPCAR值。同时,为了防止CPU处于高负荷运行状态,CPCAR需设置一个合理的数值,不能无限增大,具体请参见表2。
http://localhost:7890/pages/DZC1012A/08/DZC1012A/08/resources/public_sys-resources/icon-note.gif 说明:
在IGMP协议报文(不包括IGMPv3)默认的CPCAR值下,S2750、S5710HI、S5700S-LI、S5700LI、S5700SI、S5710EI、S5700HI最多能够同时处理大约190个组播用户的点播需求;S5700EI最多能够同时处理大约150个组播用户的点播需求;S6700最多能够同时处理大约290个组播用户的点播需求。
表2 不同CPCAR值下设备对组播各类协议报文的处理情况
报文类型 当前CPCAR值(Kbit/s) 设备每秒能够同时处理的报文数目
S2750 S5700S-LI S5700LI S5700SI S5700EI S5710EI S5700HI S5710HI S6700
IGMP 128 190 190 190 190 152 196 196 196 290
192 285 285 285 285 152 428 428 428 437
256 380 380 380 311 152 428 428 428 459
512 750 750 750 311 152 428 428 448 459
如果以默认CPCAR值进行限速,当设备的组播组数量过多时,MLD协议报文速率超过默认的CPCAR值,会导致协议报文被丢弃,造成用户点播失败的问题。为了避免出现此问题,建议调整CPCAR值。同时,为了防止CPU处于高负荷运行状态,CPCAR需设置一个合理的数值,不能无限增大,具体请参见表3。
http://localhost:7890/pages/DZC1012A/08/DZC1012A/08/resources/public_sys-resources/icon-note.gif 说明:
在MLD协议报文(不包括MLDv2)默认的CPCAR值下,S5700S-LI、S5700LI最多能够同时处理大约90个组播用户的点播需求;S2750、S5700SI最多能够同时处理大约190个组播用户的点播需求;S5700EI最多能够同时处理大约140个组播用户的点播需求;S5710EI、S5700HI、S5710HI、S6700最多能够同时处理大约160个组播用户的点播需求。
表3 不同CPCAR值下设备对组播各类协议报文的处理情况
报文类型 当前CPCAR值(Kbit/s) 设备每秒能够同时处理的报文数目
S2750 S5700S-LI S5700LI S5700SI S5700EI S5710EI S5700HI S5710HI S6700
MLD 128 190 95 95 190 142 162 162 162 162
192 190 95 95 190 150 357 357 357 360
256 190 95 95 190 150 428 428 455 460
当设备的组播组数量过多时,PIM(IPv4)协议报文速率超过默认的CPCAR值,会导致协议报文被丢弃,造成用户点播失败的问题。为了避免出现此问题,建议调整CPCAR值。同时,为了防止CPU处于高负荷运行状态,CPCAR需设置一个合理的数值,不能无限增大,具体请参见表4。
http://localhost:7890/pages/DZC1012A/08/DZC1012A/08/resources/public_sys-resources/icon-note.gif 说明:
在PIM(IPv4)协议报文默认的CPCAR值下,设备最多能够同时处理约190个组播用户的点播需求。
表4 不同CPCAR值下设备对组播各类协议报文的处理情况
报文类型 当前CPCAR值(Kbit/s) 设备每秒能够同时处理的报文数目
S5700EI S5710EI S5700HI S5710HI S6700
PIM(IPv4) 128 188 188 200 196 190
192 188 188 200 433 190
256 188 188 200 574 190
当设备的组播组数量过多时,PIM(IPv6)协议报文速率超过默认的CPCAR值,会导致协议报文被丢弃,造成用户点播失败的问题。为了避免出现此问题,建议调整CPCAR值。同时,为了防止CPU处于高负荷运行状态,CPCAR需设置一个合理的数值,不能无限增大,具体请参见表5。
表5 不同CPCAR值下设备对组播各类协议报文的处理情况
报文类型 当前CPCAR值(Kbit/s) 设备每秒能够同时处理的报文数目
S5700EI S5710EI S5700HI S5710HI S6700
PIM(IPv6) 128 128 128 158 236 158
192 128 128 158 357 158
256 128 128 158 472 158
ND
在设备接入的IPv6用户主机数量过多的情况下,可能会因ND协议报文的默认CPCAR值无法满足当前协议报文的交互需求,导致该类协议报文大量丢包,出现ND邻居无法学习到的现象。因此需要调整CPCAR值,同时,为了防止CPU处于高负荷运行状态,CPCAR需设置一个合理的数值,不能无限增大,具体参见表6和表7。
表6 S5700EI的ND报文建议CPCAR值
整机ND数 每个vlanif下host数量 CPCAR建议值(Kbit/s) CPU最高使用率
200 25 64 10%
280 35 64 10%
440 55 64 10%
800 100 128 13%
1200 150 128 16%
1600 200 192 21%
2000 250 256 24%
2400 300 256 42%
3200 400 320 61%
4096 512 384 99%
表7 S5700HI的ND报文建议CPCAR值
整机ND数 每个vlanif下host数量 CPCAR建议值(Kbit/s) CPU最高使用率
200 25 64 10%
280 35 64 10%
440 55 64 10%
800 100 128 13%
1200 150 128 16%
1600 200 192 21%
2000 250 192 26%
2400 300 192 27%
3200 400 384 49%
4096 512 384 75%
6144 512 512 99%
8192 512 512 99%
ARP
当设备需要快速学习大量的ARP条目时,ARP报文的默认CPCAR值可能无法满足ARP报文上送的需求,造成ARP学习速度很慢;当设备上ARP条目数量很多且同时老化的情况下,ARP-REPLY报文的默认CPCAR值可能无法满足ARP-REPLY报文的上送需求,导致ARP老化自动探测功能的ARP-REPLY报文大量丢包,造成设备无法更新ARP条目的老化时间,ARP条目被老化删除。在这两种情况下,可以执行命令display arp statistics all查看ARP表项的规模,然后根据ARP表项的规模来调整ARP-REQUEST/ARP-REPLY报文的CPCAR值,具体参见表8。
表8 ARP-REQUEST/ARP-REPLY报文建议CPCAR值
ARP表项规模 CPCAR建议值(Kbit/s)
1k以下 128
1k-3k 256
3k-4k 512
4k-5k 768
注意事项
对上送CPU的同一个报文先后采用deny命令和car命令时,最后配置的命令生效。
http://localhost:7890/pages/DZC1012A/08/DZC1012A/08/resources/public_sys-resources/icon-note.gif 说明:
当上送CPU报文速率过大时,如果在设备上配置的CAR速率抑制值也过大,可能导致CPU占用率过高,影响设备性能,极端情况下会导致设备堆叠***。
建议承诺信息速率值配置不超过512kbit/s。
在S2750、S5700SI、5700LI和5700S-LI上,dhcp-client报文和dhcpv6-reply报文共享CPCAR值,配置时会相互覆盖。
在S2750、S5700SI、5700LI和5700S-LI上,设备对命中本机MAC地址的ND类型报文按照fib-hit类型报文的CPCAR值进行限速。
使用实例
system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] car packet-type arp-reply cir 64 cbs 33000
Warning: Improper parameter settings may affect stable operating of the system. Use this command under assistance of Huawei engineer s. Continue? [Y/N]:y