华为数据中心5800交换机01-08 流量抑制及风暴控制配置

8流量抑制及风暴控制配置关于本章
流量抑制及风暴控制配置包括流量抑制及风暴控制的基础知识、配置方法、配置举例
和常见配置错误。

8.1 流量抑制及风暴控制简介
介绍流量抑制及风暴控制的定义和作用。

8.2 原理描述
介绍流量抑制及风暴控制的实现原理。

8.3 应用场景
介绍流量抑制及风暴控制的应用场景。

8.4 配置注意事项
介绍了设备支持的流量抑制及风暴控制特性的相关配置注意事项以及两者的区别。

8.5 缺省配置
介绍设备的流量抑制及风暴控制缺省值。

8.6 配置流量抑制
通过配置流量抑制，防范广播风暴，保障设备转发性能。

8.7 配置风暴控制
通过配置风暴控制，防范广播风暴，保障设备转发性能。

8.8 配置举例
配置举例包括组网需求、配置思路、配置步骤和配置文件。

8.9 参考信息
介绍流量抑制及风暴控制的参考标准和协议。

8.1 流量抑制及风暴控制简介
介绍流量抑制及风暴控制的定义和作用。

定义
流量抑制和风暴控制是两种用于控制广播、组播以及未知单播报文，防止这三类报文
引起广播风暴的安全技术。

流量抑制主要通过配置阈值来限制流量，而风暴控制则主要通过关闭端口来阻断流
量。

未知单播报文是指目的MAC地址未被设备学习到的单播报文。

目的
当设备某个二层以太接口收到广播、组播或未知单播报文时，如果根据报文的目的
MAC地址设备不能明确报文的出接口，设备会向同一VLAN内的其他二层以太接口转
发这些报文，这样可能导致广播风暴，降低设备转发性能。

引入流量抑制和风暴控制特性，可以控制这三类报文流量，防范广播风暴。

8.2 原理描述
介绍流量抑制及风暴控制的实现原理。

8.2.1 流量抑制的基本原理
流量抑制特性按以下形式来限制广播、组播以及未知单播报文产生的广播风暴。

l在接口视图下，入方向上，设备支持分别对三类报文按百分比、包速率和比特速率进行流量抑制。

设备监控接口下的三类报文速率并和配置的阈值相比较，当入口流量超过配置的
阈值时，设备会丢弃超额的流量。

CE6870EI不支持按包速率进行流量抑制。

l在接口视图下，出方向上，设备支持对三类报文的阻塞（Block）。

l在VLAN视图下，设备支持分别对三类报文按比特速率进行流量抑制。

设备监控同一VLAN内三类报文的速率并和配置的阈值相比较，当VLAN内流量超
过配置的阈值时，设备会丢弃超额的流量。

8.2.2 风暴控制的基本原理
风暴控制可以用来防止广播、组播以及未知单播报文产生广播风暴。

设备支持对接口下的这三类报文分别按包速率进行风暴控制。

在一个检测时间间隔内，设备监控接口下接收的三类报文的平均速率并和配置的最大
阈值相比较，当报文速率大于配置的最大阈值时，设备会对该接口进行风暴控制，执
行配置好的风暴控制动作将接口关闭。

如果接口被关闭，则需要手动执行命令来开启接口，或者使能接口状态自动恢复为UP
功能。

8.3 应用场景
介绍流量抑制及风暴控制的应用场景。

8.3.1 流量抑制的典型应用
图8-1流量抑制典型应用组网图
如图8-1所示，
l在二层网络内的设备上，可以配置VLAN内的流量抑制来限制VLAN内的广播、组播和未知单播报文。

l SwitchA作为二层网络到路由器的衔接点，当需要限制二层网络转发的来自用户的广播、组播和未知单播报文时，可以通过在SwitchA的二层以太接口10GE1/0/1上
配置流量抑制功能来实现。

l在接口10GE1/0/1出方向上，可以采取阻塞广播、组播和未知单播报文的方式，保证二层网络内用户和其他网络设备的安全性。

8.3.2 风暴控制的典型应用
风暴控制典型应用组网图
图8-2
来自用户的广播、组播和未知单播报文时，可以通过在SwitchA的二层以太接口
10GE1/0/1上配置风暴控制功能来实现。

8.4 配置注意事项
介绍了设备支持的流量抑制及风暴控制特性的相关配置注意事项以及两者的区别。

涉及网元
无需其他网元配合。

License支持
流量抑制和风暴控制特性是交换机的基本特性，无需获得License许可即可应用此功
能。

版本支持
表8-1支持本特性的最低软件版本
特性依赖和限制
设备支持情况
设备支持的流量抑制及风暴控制特性如表8-2所示。

表8-2设备支持情况
流量抑制和风暴控制的区别
从原理来看，两者都是为了防止广播、组播以及未知单播报文所引起的广播风暴，但
是两者对流量控制的形式不一样。

l流量抑制中，可以为接口入方向的三种报文流量配置阈值，当流量超过阈值时，系统将丢弃多余的流量，阈值范围内的报文可以正常通过，从而将流量限制在合
理的范围内。

此外，流量抑制还支持对接口出方向的流量进行阻塞。

l风暴控制中，也可以为接口入方向的三种报文流量配置阈值。

当流量超过阈值并配置了风暴控制的动作时，系统直接关闭接口或阻塞报文。

l对于一个接口下同种报文的入方向流量，设备仅允许同时配置流量抑制或风暴控制两种功能中的一种。

l在一个接口下，所有单播的流量抑制报文和未知单播的流量抑制报文只能配置一种。

l在Eth-Trunk口上配置风暴控制功能时，仅支持在Eth-Trunk成员口上配置，且仅支持PPS模式。

但是不能在Eth-Trunk及其成员口上配置未知单播的风暴控制。

l在VXLAN隧道终结设备上基于BD视图配置广播、组播、未知单播的流量抑制
时，配置的阈值和实际生效的阈值存在误差。

l在分布式SVF中，不能在Fabric接口下配置未知单播的流量抑制。

l对于CE6870EI交换机，BD视图下配置的流量抑制功能只对入隧道的报文生效。

l流量抑制和风暴控制只对二层流量生效。

l在Eth-Trunk口上配置流量抑制功能时，CE6870EI只支持在Eth-Trunk口上配置，其他款型只支持在Eth-Trunk成员口上配置。

l在框盒SVF的环境下，在Eth-Trunk口上配置流量抑制功能时，只支持在Eth-Trunk 口上配置。

l在集中式、混合式的盒盒SVF的环境下，不支持配置未知单播的流量抑制和风暴控制。

l对于CE6870EI和CE6880EI设备，当同时在VLAN视图和BD视图下配置流量抑制时，BD视图下配置的流量抑制生效，对于其他设备，VLAN视图下配置的流量抑
制生效。

l风暴控制不会对jumbo帧生效。

l当配置了风暴控制导致接口Error Down后，如果在接口状态恢复之前重启对应单板，接口不会恢复正常状态。

l在VXLAN网络中，CE6880EI的风暴控制对广播、组播报文不生效。

l对于除CE6880EI外的设备，风暴控制不对VXLAN封装的报文生效。

l对于非CE6870EI交换机，如果在接口下配置某种流量按cir抑制，则不能再配置其他流量按packets抑制，反之亦然。

8.5 缺省配置
介绍设备的流量抑制及风暴控制缺省值。

流量抑制及风暴控制缺省值如表8-3和表8-4所示。

表8-3流量抑制缺省值
表8-4风暴控制缺省值
8.6 配置流量抑制
通过配置流量抑制，防范广播风暴，保障设备转发性能。

8.6.1 配置接口的流量抑制
背景信息
为了限制出入接口的广播、组播、未知单播及所有单播报文的速率，防止广播风暴，
可以在该接口上配置对应报文类型的流量抑制功能。

在集中式、混合式SVF中，Leaf设备的接口下不支持配置未知单播的流量抑制。

前置任务
在配置接口的流量抑制之前，需完成以下任务：
l配置接口的链路层协议参数，使接口的链路协议状态为Up。

操作步骤
步骤1执行命令system-view，进入系统视图。

步骤2执行命令interface interface-type interface-number，进入接口视图。

步骤3配置流量抑制（非CE6870EI）
执行命令{ storm suppression broadcast | storm suppression multicast | storm
suppression unknown-unicast | storm suppression unicast } { percent-value | cir cir-value
[ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ] | packets packets-per-
second }
l对于一个接口下同种报文的入方向流量，设备仅允许同时配置流量抑制或风暴控制两种功能中的一种。

l在一个接口下，所有单播的流量抑制报文和未知单播的流量抑制报文只能配置一种。

l在Eth-Trunk口上配置流量抑制功能时，只支持在Eth-Trunk成员口上配置。

步骤4配置流量抑制(CE6870EI)
执行命令{ storm suppression broadcast | storm suppression multicast | storm
suppression unknown-unicast | storm suppression unicast } { percent-value | cir cir-value
[ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ] }
l对于一个接口下同种报文的入方向流量，设备仅允许同时配置流量抑制或风暴控制两种功能中的一种。

l在一个接口下，所有单播的流量抑制报文和未知单播的流量抑制报文只能配置一种。

l在Eth-Trunk口上配置流量抑制功能时，不支持在Eth-Trunk成员口上配置，且不支持percent方式。

步骤5执行命令{ storm suppression broadcast | storm suppression multicast | storm
suppression unknown-unicast } block outbound，配置在接口出方向上阻塞报文。

步骤6执行命令commit，提交配置。

----结束
8.6.2 配置VLAN/BD的流量抑制
背景信息
为了限制进入VLAN或者BD的广播、组播或未知单播类型报文的速率，防止广播风
暴，可以在该VLAN内配置对应报文类型的流量抑制功能。

前置任务
在配置VLAN或者BD的流量抑制之前，需完成以下任务：
l配置VLAN或者BD内接口的链路层协议参数，使VLAN内接口的链路协议状态为Up。

操作步骤
步骤1执行命令system-view，进入系统视图。

步骤2执行命令vlan vlan-id或者bridge-domain bd-id，进入VLAN或者BD视图。

步骤3执行命令{ storm suppression broadcast | storm suppression multicast | storm
suppression unknown-unicast } cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes |
mbytes | kbytes ] ]，配置VLAN或者BD的流量抑制。

BD视图下，仅CE6850HI、CE6850U-HI、CE6851HI、CE6855HI、CE6870EI、CE7850EI、
CE7855EI、CE8860EI设备支持此命令。

步骤4执行命令commit，提交配置。

----结束
8.6.3 配置ICMP报文流量抑制
背景信息
网络中经常存在攻击者发送大量ICMP报文进行攻击，如果设备全部将这些ICMP报文
上送CPU处理，会消耗大量CPU资源，导致其他业务功能异常。

此时在设备上配置
ICMP报文流量抑制功能，可以有效防范ICMP报文攻击。

配置ICMP报文流量抑制功能后，当接口每秒钟上送的ICMP报文超出配置的阈值时，
设备会将ICMP报文丢弃。

前置任务
在配置ICMP报文流量抑制之前，需完成以下任务：
l配置接口的链路层协议参数，使接口的链路协议状态为Up。

操作步骤
步骤1执行命令system-view，进入系统视图。

步骤2执行命令undo icmp rate-limit disable，使能ICMP流量抑制功能。

缺省情况下，使能ICMP流量抑制功能。

步骤3执行命令icmp rate-limit [ interface interface-type interface-number1 [ to interface-
number2 ] ] threshold threshold-value，配置ICMP报文限速阈值。

缺省情况下，ICMP报文限速阈值为1500pps。

步骤4执行命令commit，提交配置。

----结束
8.6.4 配置BD视图下用户侧的广播报文流量抑制
背景信息
为了限制进入BD的用户侧的广播报文的速率，防止广播风暴，可以在该BD内配置对应
报文类型的流量抑制功能。

l仅CE6850HI、CE6850U-HI、CE6851HI、CE6855HI、CE7850EI、CE7855EI、CE8860EI设备
支持此功能。

前置任务
在配置BD的流量抑制之前，需完成以下任务：
l配置BD内接口的链路层协议参数，使BD内接口的链路协议状态为Up。

操作步骤
步骤1执行命令system-view，进入系统视图。

步骤2执行命令bridge-domain bd-id，进入BD视图。

步骤3执行命令storm suppression broadcast access cir cir-value [ gbps | mbps | kbps ] [ cbs cbs-value [ bytes | mbytes | kbytes ] ]，配置用户侧的广播报文流量抑制功能。

缺省情况下，未配置用户侧的广播报文流量抑制功能。

l该命令只对用户侧的广播报文进行限制，如果需要同时对用户侧和网络侧的广播报文进行限
制，可以在BD视图下执行命令storm suppression broadcast，二者之间后配置的生效。

步骤4执行命令commit，提交配置。

----结束
8.6.5 检查配置结果
操作步骤
l在接口视图下使用命令display this查看该接口的流量抑制配置信息。

----结束
8.7 配置风暴控制
通过配置风暴控制，防范广播风暴，保障设备转发性能。

背景信息
为了限制进入接口的广播、组播或单播类型报文的速率，避免设备受到大的流量冲
击，可以在该接口上配置对应报文类型的风暴控制功能。

前置任务
在配置风暴控制之前，需完成以下任务：
l配置接口的链路层协议参数，使接口的链路协议状态为Up。

操作步骤
步骤1执行命令system-view，进入系统视图。

步骤2执行命令interface interface-type interface-number，进入接口视图。

步骤3配置对接口上的广播、组播或单播报文进行风暴控制
l执行命令storm control { broadcast | multicast | unicast | unknown-unicast } min-rate percent min-rate-value max-rate percent max-rate-value或storm control
{ broadcast | multicast | unicast | unknown-unicast } min-rate kbps min-rate-value
max-rate kbps max-rate-value或storm control { broadcast | multicast | unicast |
unknown-unicast } min-rate min-rate-value max-rate max-rate-value
在集中式、混合式SVF中，不能在叶子交换机的接口下配置未知单播的风暴控制。

步骤4配置风暴控制的动作
l执行命令storm control action { error-down | block }
Error-Down是指设备检测到故障后将接口状态设置为ERROR DOWN状态，此时接口不能收发报文，
接口指示灯为常灭。

步骤5（可选）执行命令storm control enable { log | trap }，使能风暴控制时记录日志或者上报告警。

步骤6（可选）执行命令storm control interval interval-value，配置风暴控制的检测时间间隔。

步骤7执行命令commit，提交配置。

----结束
检查配置结果
使用命令display storm control [ interface interface-type interface-number [ verbose ] ]，
查看接口的风暴控制信息。

后续处理
一般在存在攻击报文情况下，接口上接收广播、组播或未知单播报文的平均速率大于
指定的最大阈值。

请识别出攻击源，排除攻击，然后再恢复接口状态。

有以下两种方式可以恢复接口状态：
l手动恢复（Error-Down发生后）。

当处于Error-Down状态的接口数量较少时，可在该接口视图下依次执行命令
shutdown和undo shutdown，或者执行命令restart，重启接口。

在接口视图下，执行undo storm control action或undo storm control { broadcast | multicast |
unicast | unknown-unicast | all }命令也可恢复接口状态。

不建议使用此方法。

l自动恢复（Error-Down发生前）。

如果处于Error-Down状态的接口数量较多，逐一手动恢复接口状态将产生大量重
复工作，且可能出现部分接口配置遗漏。

为避免这一问题，用户可在系统视图下
执行命令error-down auto-recovery cause storm-control interval使能接口状态自动
恢复为Up的功能，并设置接口自动恢复为Up的延时时间。

可以通过执行命令
display error-down recovery查看接口状态自动恢复信息。

此方式对已经处于Error-Down状态的接口不生效，只对配置该命令后进入Error-Down状态
的接口生效。

8.8 配置举例
配置举例包括组网需求、配置思路、配置步骤和配置文件。

本节仅列举单特性的配置示例。

如果您想了解更多综合场景配置案例、特性典型配置
案例、对接案例、替换案例及行业案例，请参考典型配置案例。

8.8.1 配置流量抑制示例
组网需求
如图8-3所示，SwitchA作为二层网络到三层路由器的衔接点，需要限制二层网络转发
的广播、组播或者未知单播报文产生广播风暴。

图8-3配置流量抑制组网图
配置思路
用如下的思路配置流量抑制。

1.通过在10GE1/0/1接口视图下配置流量抑制功能，实现限制二层网络转发的广播、
组播或者未知单播报文产生广播风暴。

操作步骤
步骤1进入接口视图
<HUAWEI> system-view
[~HUAWEI] sysname SwitchA
[*HUAWEI] commit
[~SwitchA] interface 10ge 1/0/1
步骤2配置广播流量抑制，按cir抑制，广播报文最大速率为100kbit/s。

[~SwitchA-10GE1/0/1] storm suppression broadcast cir 100
步骤3配置组播流量抑制，按百分比抑制，百分比值为80%。

[*SwitchA-10GE1/0/1] storm suppression multicast 80
步骤4配置未知单播流量抑制，按cir抑制，未知单播报文最大速率为100kbit/s。

[*SwitchA-10GE1/0/1] storm suppression unknown-unicast cir 100
[*SwitchA-10GE1/0/1] commit
[~SwitchA-10GE1/0/1] quit
----结束
配置文件
SwitchA的配置文件
#
sysname SwitchA
#
interface 10GE1/0/1
storm suppression unknown-unicast cir 100 kbps
storm suppression multicast 80
storm suppression broadcast cir 100 kbps
#
return
8.8.2 配置风暴控制示例
组网需求
如图8-4所示，SwitchA作为二层网络到三层路由器的衔接点，需要防止二层网络转发
的广播、组播或单播报文产生广播风暴。

图8-4配置风暴控制组网图
配置思路
用如下的思路配置风暴控制。

1.通过在10GE1/0/1接口视图下配置风暴控制功能，实现防止二层网络转发的广播、
组播或单播报文产生广播风暴。

操作步骤
步骤1进入接口视图
<HUAWEI> system-view
[~HUAWEI] sysname SwitchA
[*HUAWEI] commit
[~SwitchA] interface 10ge 1/0/1
步骤2配置广播风暴控制
[~SwitchA-10GE1/0/1] storm control broadcast min-rate 1000 max-rate 2000
步骤3配置组播风暴控制
[*SwitchA-10GE1/0/1] storm control multicast min-rate 1000 max-rate 2000
步骤4配置单播风暴控制
[*SwitchA-10GE1/0/1] storm control unicast min-rate 1000 max-rate 2000
步骤5配置风暴控制的动作为关闭接口
[*SwitchA-10GE1/0/1] storm control action error-down
步骤6配置打开风暴控制时记录日志的功能
[*SwitchA-10GE1/0/1] storm control enable log
步骤7配置风暴控制的检测时间间隔
[*SwitchA-10GE1/0/1] storm control interval 90
[*SwitchA-10GE1/0/1] commit
[~SwitchA-10GE1/0/1] quit
[~SwitchA] quit
步骤8验证配置结果
执行命令display storm control interface查看10GE1/0/1接口下的风暴控制配置情况。

<SwitchA> display storm control interface 10ge 1/0/1
--------------------------------------------------------------------------------
NOTE:
BC = Broadcast; MC = Multicast; UC = Unicast; UUC = Unknown
Unicast
Int = Interval value (unit:
seconds)
--------------------------------------------------------------------------------
PortName Type MaxRate Mode Action Punish- Trap Log Int
Last
Status Punish-
Time
--------------------------------------------------------------------------------
10GE1/0/1 BC 2000 Pps ErrorDown Normal Off On 90 --
10GE1/0/1 MC 2000 Pps ErrorDown Normal Off On 90 --
10GE1/0/1 UC 2000 Pps ErrorDown Normal Off On 90 --
----结束
配置文件
SwitchA的配置文件
#
sysname SwitchA
#
interface 10GE1/0/1
storm control broadcast min-rate 1000 max-rate 2000
storm control multicast min-rate 1000 max-rate 2000
storm control unicast min-rate 1000 max-rate 2000
storm control interval 90
storm control action error-down
storm control enable log
#
return
8.9 参考信息
介绍流量抑制及风暴控制的参考标准和协议。