你最關(guān)心的來了 報文如何丟棄、如何處理?

點擊上方“藍字”關(guān)注我們

我是藝博東?，一個思科出身專注于華為的網(wǎng)工。

文章目錄

• 
  

  • 
    

  • 二層，沒有mac表項或者黑洞mac

  • 2.5層，沒有l(wèi)sp，或者黑洞lsp

  • ?MPLS VP# 匯總

  • ? MPLS VP# 匯總拓撲

  • ? MPLS VP# 匯總簡單配置與分析

  • 三層，沒有路由表項或黑洞路由

  • ?BGP 路由黑洞

    
    

  • ? BGP 路由黑洞拓撲

  • ? BGP 路由黑洞簡單配置與測試分析

  • ? 如何解決 BGP 路由黑洞

  • ?TTL為0時會丟包

  • ?數(shù)據(jù)不可達

  • ?擁塞避免

  • ?使用流量統(tǒng)計方法測試

由于特殊原因，所以把“N”字母替換為“#”符號。

二層，沒有mac表項或者黑洞mac

為了防止黑客通過MAC地址攻擊用戶設(shè)備或網(wǎng)絡(luò)，可將非信任用戶的MAC地址配置為黑洞MAC地址，過濾掉非法MAC地址。當設(shè)備收到DMAC或SMAC地址為黑洞MAC地址的報文，且報文攜帶的VLAN為黑洞MAC對應(yīng)的VLAN時，直接丟棄。

mac-address blackhole aaaa-bbbb-cccc vlan 10 #添加黑洞MAC表項

丟棄：該幀小與64字節(jié)（數(shù)據(jù)幀不完整）或者大于接口MTU時；

從該接口收到數(shù)據(jù)幀，該數(shù)據(jù)幀又要從該接口發(fā)出時。

丟棄：

如果收到數(shù)據(jù)端口也是發(fā)送數(shù)據(jù)幀的接口，則丟棄；

SMAC地址或者DMAC地址匹配MAC地址黑洞表項時；

沖突導(dǎo)致殘缺的數(shù)據(jù)幀；

接口擁塞，緩存不夠；

CPU過載。

2.5層，沒有l(wèi)sp，或者黑洞lsp

MPLS VPN 匯總

MPLS VPN 匯總拓撲

AR1與AR4建立MP-IBGP鄰居關(guān)系；在AR3上將4.4.4.4/32匯總成4.4.4.0/24。
接口的IP地址如圖所示。

MPLS VPN 匯總簡單配置與分析

骨干網(wǎng)使用IGP（IS-IS）

AR1

[AR1]isis
[AR1-isis-1]network-entity 66.0000.0000.0000.0001.00
[AR1-isis-1]is-level level-1
[AR1-isis-1]q
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]isis enable 1
[AR1-GigabitEthernet0/0/1]int l0
[AR1-LoopBack0]isis enable 1

AR2

[AR2]isis
[AR2-isis-1]network-entity 66.0000.0000.0000.0002.00
[AR2-isis-1]is-level level-1
[AR2-isis-1]q
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]isis enable 1
[AR2-GigabitEthernet0/0/0]int g0/0/1
[AR2-GigabitEthernet0/0/1]isis enable 1
[AR2-GigabitEthernet0/0/1]int l0
[AR2-LoopBack0]isis enable 1

AR3與AR4配置同上

AR3

[AR3-isis-1]is-level level-1-2

AR4

[AR4-isis-1]is-level level-2

[AR2]dis isis peer

建立公網(wǎng)LSP隧道

AR3

[AR3]mpls lsr-id 3.3.3.3
[AR3]mpls 
[AR3-mpls]mpls ldp  
[AR3-mpls]q
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]mpls
[AR3-GigabitEthernet0/0/0]mpls ldp
[AR3-GigabitEthernet0/0/0]int g0/0/1
[AR3-GigabitEthernet0/0/1]mpls
[AR3-GigabitEthernet0/0/1]mpls ldp

AR4

[AR4]mpls lsr-id 4.4.4.4
[AR4]mpls 
[AR4-mpls]mpls ldp
[AR4-mpls-ldp]q
[AR4]int g0/0/0
[AR4-GigabitEthernet0/0/0]mpls
[AR4-GigabitEthernet0/0/0]mpls ldp

[AR3]dis mpls lsp

AR1與AR4建立MP-IBGP鄰居關(guān)系，開啟VPNV4路由
AR1

[AR1]bgp 100
[AR1-bgp]peer 4.4.4.4 as-number 100 
[AR1-bgp]peer 4.4.4.4 connect-interface LoopBack0
[AR1-bgp]ipv4-family vpnv4
[AR1-bgp-af-vpnv4]peer 4.4.4.4 enable

AR4

[AR4]bgp 100
[AR4-bgp]peer 1.1.1.1 as-number 100 
[AR4-bgp]peer 1.1.1.1 connect-interface LoopBack0
[AR4-bgp]ipv4-family vpnv4
[AR4-bgp-af-vpnv4]peer 1.1.1.1 enable

[AR4]dis bgp vpnv4 all peer

在PE上VPN業(yè)務(wù)的接入，并綁定相關(guān)接口

AR1

[AR1] ip vpn-instance YBD1
[AR1-vpn-instance-YBD1]route-distinguisher 100:1
[AR1-vpn-instance-YBD1]vpn-target 100:1 export-extcommunity
[AR1-vpn-instance-YBD1]vpn-target 100:1 import-extcommunity
[AR1-vpn-instance-YBD1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip binding vpn-instance YBD1
[AR1-GigabitEthernet0/0/0]ip address 10.1.15.1 255.255.255.0

AR4配置類似

接入私網(wǎng)VPN業(yè)務(wù)

AR1

[AR1]bgp 100
ipv4-family vpn-instance YBD1
[AR1-bgp-YBD1]peer 10.1.15.5 as-number 1 
[AR1-bgp-YBD1]peer 10.1.15.5 substitute-as

AR5

[AR5]bgp 1
[AR5-bgp]peer 10.1.15.1 as-number 100 
[AR5-bgp]network 5.5.5.5 255.255.255.255

[AR5]dis bgp peer

AR4和AR6配置類似

[AR6]display ip routing-table

[AR5]ping -a 5.5.5.5 6.6.6.6

在AR3上將4.4.4.4/32匯總成4.4.4.0/24

L1/2的路由器上執(zhí)行區(qū)域間路由匯總，類似于OSPF的ABR。

AR3

[AR3]isis
[AR3-isis-1]summary 4.4.4.0 255.255.255.0 level-1
[AR3-isis-1]import-route isis level-2 into level-1  #L2的明顯路由泄露到L1區(qū)域里

[AR1]dis mpls lsp

沒有AR4的4.4.4.4/32的標簽

[AR1]ping 4.4.4.4

[AR5]ping -a 5.5.5.5 6.6.6.6

三層，沒有路由表項或黑洞路由

BGP 路由黑洞

BGP 路由黑洞拓撲

簡單描述：按照拓撲圖寫接口IP地址；AR4與AR1建立EBGP鄰居關(guān)系，AR3與AR5建立EBGP鄰居關(guān)系；AR1與AR3建立IBGP鄰居關(guān)系；AS200運行OSPF協(xié)議，并在AREA 0區(qū)域里。AR4、AR1、AR3、AR5的Loopback 0的環(huán)回口地址宣告進BGP進程中。

BGP 路由黑洞簡單配置與測試分析

AR1

[AR1]di cu
[V200R003C00]
#
 sysname AR1
#
...
#
interface GigabitEthernet0/0/0
 ip address 10.1.14.1 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 10.1.12.1 255.255.255.0 
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
 ip address 1.1.1.1 255.255.255.255 
#
bgp 200
 router-id 1.1.1.1
 peer 3.3.3.3 as-number 200 
 peer 3.3.3.3 connect-interface LoopBack0
 peer 10.1.14.4 as-number 100 
 #
 ipv4-family unicast
  undo synchronization
  peer 3.3.3.3 enable
  peer 3.3.3.3 next-hop-local 
  peer 10.1.14.4 enable
#
ospf 1 
 area 0.0.0.0 
  network 1.1.1.1 0.0.0.0 
  network 10.1.12.1 0.0.0.0 
#
...

AR3與AR1配置類似

AR2

[AR2]dis current-configuration 
[V200R003C00]
#
 sysname AR2
#
...
#
interface GigabitEthernet0/0/0
 ip address 10.1.12.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 10.1.23.2 255.255.255.0 
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
 ip address 2.2.2.2 255.255.255.255 
#
ospf 1 
 area 0.0.0.0 
  network 2.2.2.2 0.0.0.0 
  network 10.1.12.2 0.0.0.0 
  network 10.1.23.2 0.0.0.0 
#
...

AR4

[AR4]display current-configuration 
[V200R003C00]
#
 sysname AR4
#
...
#
interface GigabitEthernet0/0/0
 ip address 10.1.14.4 255.255.255.0 
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface LoopBack0
 ip address 4.4.4.4 255.255.255.255 
#
bgp 100
 router-id 4.4.4.4
 peer 10.1.14.1 as-number 200 
 #
 ipv4-family unicast
  undo synchronization
  network 4.4.4.4 255.255.255.255 
  peer 10.1.14.1 enable
#
...

AR4與AR5配置類似

[AR4]dis bgp routing-table

[AR5]dis bgp routing-table

都有對方的路由

PING測試一下

[AR5]ping -a 5.5.5.5 4.4.4.4


ICMP

Type是11，Code是0，表示傳輸期間生存時間為0。

[AR2]dis ip routing-table

AR2上沒有AR4、AR5的路由信息。

什么是路由黑洞？

黑洞就是有去無回。

路由黑洞有什么作用？

防止路由環(huán)路。

如何解決 BGP 路由黑洞

（1）可使用GRE隧道；

AR1

[AR1]int Tunnel 0/0/1
[AR1-Tunnel0/0/1]ip address 10.1.13.1 24
[AR1-Tunnel0/0/1]tunnel-protocol gre 
[AR1-Tunnel0/0/1]source 10.1.12.1
[AR1-Tunnel0/0/1]destination 10.1.23.3
[AR1-Tunnel0/0/1]q
[AR1]ip route-static 3.3.3.3 32 10.1.13.3 preference 1

AR3

[AR3]int Tunnel 0/0/1
[AR3-Tunnel0/0/1]ip address 10.1.13.3 24
[AR3-Tunnel0/0/1]tunnel-protocol gre 
[AR3-Tunnel0/0/1]source 10.1.23.3
[AR3-Tunnel0/0/1]destination 10.1.12.1
[AR3-Tunnel0/0/1]q
[AR3]ip route-static 1.1.1.1 32 10.1.13.1 preference 1

[AR4]ping -a 4.4.4.4 5.5.5.5

[AR4]tracert -a 4.4.4.4 5.5.5.5

已PING通。

（2）上運行BGP協(xié)議，讓AR2與AR1、AR3建立IBGP鄰居關(guān)系。

此方法配置不做詳細講解。

TTL為0時會丟包

每經(jīng)過一臺路由器時，TTL值減1；

若報文TTL值小于接口上配置的最小TTL值，則丟棄該報文。

數(shù)據(jù)不可達

設(shè)備收到IP報文后，如果發(fā)現(xiàn)目的不可達，則設(shè)備將該報文丟棄，并給源端發(fā)送ICMP目的不可達報文。

端口不可達報文、協(xié)議不可達報文和主機不可達報文都屬于ICMP目的不可達報文。
設(shè)備收到目的地址為本地、傳輸層協(xié)議為UDP的數(shù)據(jù)報文時，如果報文的端口號與正在使用的進程不匹配，則給源端發(fā)送端口不可達的ICMP報文。
設(shè)備收到目的地址為本地的數(shù)據(jù)報文時，如果設(shè)備不支持數(shù)據(jù)報文采用的傳輸層協(xié)議，則給源端發(fā)送協(xié)議不可達的ICMP報文。
設(shè)備收到數(shù)據(jù)報文但是無法轉(zhuǎn)發(fā)時，則給源端發(fā)送主機不可達的ICMP報文。

擁塞避免

擁塞避免常用的兩種丟棄報文方式為：尾部丟棄策略和WRED。

尾丟棄：當隊列的長度達到最大值后，所有新入隊列的報文都將被丟棄（緩存在隊列尾部），這種丟棄策略會引發(fā)TCP全局同步現(xiàn)象，導(dǎo)致TCP連接始終無法建立。所謂TCP全局同步現(xiàn)象如下圖所示，三條線表示三條TCP，當同時丟棄多個TCP報文時，將造成多個TCP連接，同時觸發(fā)滑窗減半機制。又會由于慢啟動的機制，將流量慢慢的增大，之后又會在某個時間同時出現(xiàn)流量高峰，觸發(fā)滑窗減半的機制。如此反復(fù)進行，使網(wǎng)絡(luò)流量忽大忽小。

尾丟棄出現(xiàn)的問題：
1）TCP同步；沒有充分利用鏈路帶寬
2）TCP餓死 ；UDP沒有TCP那種滑動窗口
3）無差別的丟棄

在CBQ中，EF隊列和LLQ隊列不能使用丟棄策略，只能尾丟棄。為避免TCP全局同步現(xiàn)象，出現(xiàn)了RED技術(shù)。RED通過隨機地丟棄數(shù)據(jù)報文，讓多個TCP連接不同時降低發(fā)送速度，從而避免了TCP的全局同步現(xiàn)象。使TCP速率及網(wǎng)絡(luò)流量都趨于穩(wěn)定。

WRED：RED是沒有差分服務(wù)的，即使優(yōu)先級高的也可能被隨機丟棄掉，所以基于RED，實現(xiàn)了WRED。流隊列支持基于DSCP或IP優(yōu)先級進行WRED丟棄，每一種優(yōu)先級都可以獨立設(shè)置報文丟包的上下門限及丟包率，報文到達下限時，開始丟包，隨著門限的增高，丟包率不斷增加，最高丟包率不超過設(shè)置的丟包率，直至到達高門限，報文全部丟棄，這樣按照一定的丟棄概率主動丟棄隊列中的報文，從而一定的程度上避免擁塞問題。

路由表里沒有相應(yīng)的路由條目

使用流量統(tǒng)計方法測試

使用流量統(tǒng)計的方法，沿著發(fā)生丟包的鏈路，在設(shè)備的入接口和出接口上部署流策略，分別統(tǒng)計入接口的Inbound方向和出接口的Outbound方向的特定報文，以確認該類報文是否在本設(shè)備被丟棄。

以端口a的Inbound方向和端口b的Outbound方向，端口b的Outbound方向和端口c的Inbound方向的流量統(tǒng)計情況為例。

如果端口a的Inbound方向和端口b的Outbound方向Passed 計數(shù)大致相等，說明此處無丟包。如果端口a的Inbound方向的報文Passed計數(shù)多于端口b的Outbound方向的報文Passed計數(shù)，說明丟包發(fā)生在LSW1。如果端口b的Outbound方向和端口c的Inbound方向Passed 計數(shù)大致相等，說明此處無丟包。

LSW1

#配置ACL規(guī)則
[LSW1]acl number 3000
[LSW1-acl-adv-3000]rule permit icmp source 192.168.10.1 0 destination 200.1.1.1
[LSW1-acl-adv-3000]quit

#配置流分類
[LSW1]traffic classifier 3000
[LSW1-classifier-3000]if-match acl 3000
[LSW1-classifier-3000]quit

#配置流行為
[LSW1]traffic behavior 3000
[LSW1-behavior-3000]statistic enable
[LSW1-behavior-3000]quit

#配置流策略
[LSW1]traffic policy 3000
[LSW1-trafficpolicy-3000]classifier 3000 behavior 3000
[LSW1-trafficpolicy-3000]quit

#在接口上應(yīng)用流策略
[LSW1]interface gigabitethernet 0/0/0
[LSW1-GigabitEthernet0/0/0]traffic-policy 3000 inbound
[LSW1-GigabitEthernet0/0/0]quit

OK

情商的行為是什么？即使是對最熟悉、最親切的人，仍然保持尊重和耐心。

好了這期就到這里了，如果你喜歡這篇文章的話，請點贊評論分享收藏，如果你還能點擊關(guān)注，那真的是對我最大的鼓勵。謝謝大家，下期見！

往期推薦：

交換機的接口類型 面試官與求職者之間談話。面對面試官的瘋狂追問，如果你是求職者，你能扛得住嘛？

2021-04-18

華為 PPP點到點鏈路層協(xié)議 用在哪里？底層的工作原理是什么？

2021-04-17

FTP 主動模式、被動模式

2021-04-05

關(guān)注?藝博東?公眾號，與你一起學(xué)習(xí)共同進步。秀秀秀秀秀~

?

點個

在看

你最好看