51CTO下载-x电信IPTV业务平台交换机CPU防护方案V1.0.docVIP

江苏电信IPTV业务平台 交换机CPU防护方案 xxxx资讯科技有限公司 二零一零年十月 Confidential 目 录 一．总体概述 3 二．数据包的类型及其对 7600的影响 3 三．7600 的CPU处理能力 5 四．7600 的CPU保护方法 7 4.1 Hardware rate-limit和CoPP的关系 8 4.2使用 Hardware rate-limit保护CPU 8 4.2.1. Hardware Rate-limit介绍………………………………………….………...............8 4.2.2. Hardware Rate-limit的推荐配置……………………………………………………9 4.2.3. Hardware Rate-limit的查看………………………………………………………..11 4.3使用 CoPP保护CPU ……...12 4.3.1. CoPP介绍…………………………………………………………………………..12 4.3.2. CoPP的配置步骤………………………………………………………….……….13 4.3.3. 配置步骤一 CoPP的流量分类定义…………………………………….………..13 4.3.4. 配置步骤二 CoPP的流量分类…………………………………………………...18 4.3.5. 配置步骤三 定义策略…………………………………………………………… 18 4.3.6. 应用策略………………………………………………………………………… ..19 4.3.7. 调整策略…………………………………………………………………………...19 4.4使用 Hardware Rate-limit和CoPP保护CPU的部署建议 21 版本更新说明 版本V1.0为文档初稿版，后期的版本为修订版，版本的序号为《xxxx电信IPTV业务平台交换机CPU防护方案V1.0-2010XXXX初稿版/V1.X－2010xxxx修订版》，修订说明填写在 “版本更新说明”中。 项目编号 　 文档编号 版本号 编制人/时间 审核人/时间 主要更新内容 V1.0 　 文档初稿 后续版本预计修改内容：根据会议讨论及测试结果对方案做相应修改 一．总体概述 随着xxx电信IPTV业务的迅速普及，以及网络上攻击流量的无处不在，导致作为汇聚层交换机的7609、6509和4507 等设备的CPU使用率往往居高不下，为了防止持续的CPU使用率过高可能造成的应用中断，特制定此方案，利用Cisco的Hardware rate-limit和Control Plane Policing（CoPP）来对交换机的CPU进行相应保护，进一步提高业务的可用性和用户体验。 此方案将着重解决以下三个问题： 1）为什么目的地址不是7600的攻击包也会导致7600的CPU利用率过高？ 2）为什么攻击包的流量不大，有时只有几十兆bps 也可以导致CPU 上升到 100%？ 3）针对这种情况，有什么解决方法？ 二．数据包的类型及其对 7600的影响 经过7600的数据包分为如下几种: Transit Packets： 遵循协议、格式良好的IP包，基于目的地址进行转发，因为这些包的目的地址已经从下游设备得知，所以它们不需要做任何额外的处理，就可以通过CEF等专用的转发硬件直接转发； Receive Packets： 路由器自身端口的地址在cef 表中被标记为“receive”，如果数据包的目的 地址在cef 表中被标记为“receive”条目时，这类数据包需利用路由器的 CPU 来转发，如果存在大量这样的数据包，会导致CPU 利用率上升； Exceptions IP Packets： 例外型的IP包，这是相对于第一种数据包而言的，这种包通常在IP头部含有一些特殊选项，诸如快要到期的TTL值，或者一些其他的在特定条件下生成的包，如组播会话的第一个包或者一个新的NAT会话开始时的第一个包等，所有这一类型的数据包，都是要经过交换机的CPU来处理的； Non-IP Packets： 二层的Keepalive，IS-IS协议的数据包，CDP的数据包以及PPP的LCP包等等都不属于IP包，这些包也都要经过CPU的处理。 在以上四种类型的数据包中，transit packets是城域网的主要业务包，7600 的硬件处理能力可以达到720Gbps，指的就是对transit packets 的处理能力。其它的数据在正常通讯时应该很小，它们通过CPU去处理，在这一点上各厂商高端路由器是一样的。 三．7600 的CPU处理能力 在清楚了7600 的硬件处理能力和CPU 处理能力（也称为软件处理能力）的区别后，就可以有的放矢，采取措施来保护