基于端口的流控制

基于端口的流控制本章描述如何在交換機(jī)上配置基于端口的流控制特性。有關(guān)本節(jié)引用的CLI命令的詳細(xì)使用信息及說明，請參照CLI命令集本章由以下一些部分組成：風(fēng)暴控制ProtectedPort端口安全風(fēng)暴控制本節(jié)包括以下內(nèi)容：概述配置風(fēng)暴控制查看風(fēng)暴控制使能狀態(tài)概述當(dāng)一個(gè)端口上接收到過量的廣播、多播或未知名單播包時(shí)，一個(gè)數(shù)據(jù)包的風(fēng)暴就會(huì)產(chǎn)生，這會(huì)導(dǎo)致網(wǎng)絡(luò)變慢和報(bào)文傳輸超時(shí)幾率大大增加。協(xié)議棧的執(zhí)行錯(cuò)誤或?qū)W(wǎng)絡(luò)的錯(cuò)誤配置都有可能導(dǎo)致風(fēng)暴的產(chǎn)生。我們可以分別針對(duì)廣播、多播和未知名單播數(shù)據(jù)流進(jìn)行風(fēng)暴控制。當(dāng)接收到的廣播、多播或未知名單播包過量時(shí)，交換機(jī)將暫時(shí)禁止相應(yīng)類型的包的轉(zhuǎn)發(fā)直到數(shù)據(jù)流恢復(fù)正常(這時(shí)包的轉(zhuǎn)發(fā)將恢復(fù)正常)。S6000系列交換機(jī)的所有千兆接口支持風(fēng)暴控制的設(shè)置,并且支持配置風(fēng)暴產(chǎn)生的閥值：只允許廣播、多播和未知名單播數(shù)據(jù)流占用接口一定比例的帶寬，你可以通過命令來配置這個(gè)占用帶寬的最大比例或者是每秒允許發(fā)送的數(shù)據(jù)包的數(shù)量。配置風(fēng)暴控制缺省情況下，針對(duì)廣播、多播和未知名單播的風(fēng)暴控制功能均被關(guān)閉。你可以針對(duì)千兆接口打開其各種數(shù)據(jù)流(廣播、多播和未知名單播)的風(fēng)暴控制開關(guān)。從特權(quán)模式開始，你可以通過以下步驟來配置風(fēng)暴控制功能：命令含義步驟1configureterminal進(jìn)入全局配置模式。步驟2interfaceinterface-id進(jìn)入接口配置模式。步驟3storm-controlbroadcast[levellevel|打開對(duì)廣播風(fēng)暴的控制功能。Levelppspps]是一個(gè)百分?jǐn)?shù)，值的范圍從1－100。表示接口允許通過廣播包數(shù)據(jù)的最大流量占接口最大帶寬(千兆端口為1000Mbps)的百分比。PPS表示端口每秒允許的包流量。當(dāng)流量超過level表示的百分比或pps的數(shù)值時(shí)，接口將丟棄超出部分的廣播包。缺省值相當(dāng)于14880個(gè)報(bào)文/秒。步驟4storm-controlmulticast[levellevel|打開對(duì)多播風(fēng)暴的控制功能。levelppspps]和pps選項(xiàng)的功能同上。缺省值為14880個(gè)報(bào)文/秒。步驟5storm-controlunicast[levellevel|pps打開對(duì)未知名單播風(fēng)暴的控制功能。pps]Level和pps選項(xiàng)的功能同上步驟6end回到特權(quán)模式。步驟7showstorm-control[interface-id]驗(yàn)證你的配置。步驟8copyrunning-configstartup-config保存配置(可選)。注意：v1.0線卡上的千兆端口可以設(shè)置的Level值最大不能超過17%；可以設(shè)置的PPS最大不能超256Kpps；v2.0線卡上的可以設(shè)置的PPS最大不能超過2048Kpps。你可以在接口配置模式下通過命令nostorm-controlbroadcast[level|pps],nostorm-controlmulticast[level|pps],nostorm-controlunicast[level|pps]來關(guān)閉接口相應(yīng)的風(fēng)暴控制功能。下面的例子說明了打開物理端口gigabitethernet1/3上的多播風(fēng)暴控制功能，并驗(yàn)證你的配置。Switch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#storm-controlmulticastpps 500Switch(config-if)#end注意：對(duì)于24T4SFP4GT線卡的百兆端口只支持基于全局的設(shè)置，即如果配置其中的一個(gè)端口的風(fēng)暴控制行為，那么該設(shè)置會(huì)在所有24T4SFP4GT線卡的百兆端口上生效，而且所廣播、多播和未知名單播的域值也完全相同。查看風(fēng)暴控制使能狀態(tài)在特權(quán)模式下，你可以通過下面的命令來查看接口的風(fēng)暴控制使能狀態(tài)：步驟1

命令showstorm-control[interface-id]

含義顯示風(fēng)暴控制信息。下面的例子為顯示接口Gi1/3的風(fēng)暴控制功能的使能狀態(tài)：Switch#showstorm-controlgigabitethernet1/1Interface

BroadcastControlMulticastControlUnicastControl--------------------------------------------------------------------Gi1/3

Disabled

Enabled[400pps]Enabled[50%]你也可以一次查看所有接口的風(fēng)暴控制功能的使能和流量控制狀態(tài)：Switch#showstorm-controlInterfaceBroadcastControlMulticastControlUnicastControl----------------------------------------------------------------Gi1/1DisabledEnabled[400pps]Enabled[50%]Gi1/2DisabledDisabledDisabledGi1/3DisabledDisabledDisabledGi1/4DisabledDisabledDisabledGi1/5DisabledDisabledDisabledGi1/6DisabledDisabledDisabledGi1/7DisabledDisabledDisabledGi1/8DisabledDisabledDisabled注意：24T4SFP4GT線卡百兆口的配置信息只顯示在第一個(gè)百兆口上。ProtectedPort本節(jié)包括如下內(nèi)容：概述配置ProtectedPort概述有些應(yīng)用環(huán)境下，要求一臺(tái)交換機(jī)上的有些端口之間不能互相通訊。在這種環(huán)境下，這些端口之間的通訊，不管是單址幀，還是廣播幀，以及多播幀，都只有通過三層設(shè)備進(jìn)行通訊。在S6000系列交換機(jī)上，您可以通過將某些端口設(shè)置為保護(hù)口(ProtectedPort)來達(dá)到目的。當(dāng)您將某些端口設(shè)為保護(hù)口之后，保護(hù)口之間互相無法通訊，保護(hù)口與非保護(hù)口之間可以正常通訊當(dāng)您將兩個(gè)保護(hù)口設(shè)為一個(gè)SPAN端口對(duì)時(shí)，SPAN的源端口發(fā)送或接收的幀將按照SPAN的設(shè)置發(fā)到SPAN目的端口。因此您最好不要將SPAN目的端口設(shè)為保護(hù)口(這樣您還可以節(jié)約系統(tǒng)資源)。對(duì)于S6000系列交換機(jī)來說，端口保護(hù)僅在線卡內(nèi)部起作用，各線卡間的端口保護(hù)無效。2XENPAK的端口保護(hù)功能無效。同時(shí)，對(duì)于24SFP線卡來說，它的端口區(qū)間分為兩個(gè)部分，端口1－12為區(qū)A，端口13－24為區(qū)間B。不同區(qū)間設(shè)置的保護(hù)口只對(duì)本區(qū)間有效，對(duì)另一個(gè)區(qū)間無效。換言之，如果您將區(qū)間A的某一個(gè)端口設(shè)為保護(hù)口A，同時(shí)將區(qū)間B的某一個(gè)端口設(shè)為保護(hù)口B，則保護(hù)口A與保護(hù)口B之間還是可以正常通訊，對(duì)保護(hù)口A來講，保護(hù)口B還是非保護(hù)口，就像它們是在兩臺(tái)交換機(jī)上的端口一樣，反之亦然。因此您如果要在這兩個(gè)區(qū)間都設(shè)置ProtectedPort，最好將它們劃分至兩個(gè)不同的VLAN。S6000系列交換機(jī)支持將AggregatedPort設(shè)置為保護(hù)口，當(dāng)您將一個(gè)AggregatedPort設(shè)置為保護(hù)口時(shí)，AggregatedPort的所有成員口都被設(shè)置為保護(hù)口。配置ProtectedPort進(jìn)入配置模式，您可以通過如下步驟將一個(gè)端口設(shè)置為保護(hù)口：命令含義步驟1configureterminal進(jìn)入全局配置模式。步驟2interfaceinterface-id指明一個(gè)接口，并進(jìn)入接口配置模式。步驟3switchportprotected將該接口設(shè)置為保護(hù)口步驟4end退回到特權(quán)模式。步驟5showinterfacesswitchport驗(yàn)證配置步驟6copyrunning-configstartup-config保存配置。您可以通過命令noswitchportprotected接口配置命令將一個(gè)端口重新設(shè)置為非保護(hù)口。端口安全本節(jié)包括以下內(nèi)容：概述配置端口安全查看端口安全信息概述利用端口安全這個(gè)特性，你可以通過限制允許訪問交換機(jī)上某個(gè)端口的MAC地址以及IP(可選)來實(shí)現(xiàn)嚴(yán)格控制對(duì)該端口的輸入。當(dāng)你為安全端口(打開了端口安全功能的端口)配置了一些安全地址后，則除了源地址為這些安全地址的包外，這個(gè)端口將不轉(zhuǎn)發(fā)其它任何報(bào)。此外，你還可以限制一個(gè)端口上能包含的安全地址最大個(gè)數(shù)，如果你將最大個(gè)數(shù)設(shè)置為1，并且為該端口配置一個(gè)安全地址，則連接到這個(gè)口的工作站(其地址為配置的安全M地址)將獨(dú)享該端口的全部帶寬。為了增強(qiáng)安全性，你可以將MAC地址和IP地址綁定起來作為安全地址。當(dāng)然你也可以只指定MAC地址而不綁定IP地址。如果一個(gè)端口被配置為一個(gè)安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)后，如果該端口收到一個(gè)源地址不屬于端口上的安全地址的包時(shí)，一個(gè)安全違例將產(chǎn)生。當(dāng)安全違例將產(chǎn)生時(shí)，你可以選擇多種方式來處理違例，比如丟棄接收到的報(bào)，發(fā)送違例通知或關(guān)閉相應(yīng)端口等。當(dāng)你設(shè)置了安全端口上安全地址的最大個(gè)數(shù)后，你可以使用下面幾種方式加滿端口上的安全地址：你可以使用接口配置模式下的命令switchportport-securitymac-addressmac-address[ip-addressip-address]來手工配置端口的所有安全地址。你也可以讓該端口自動(dòng)學(xué)習(xí)地址，這些自動(dòng)學(xué)習(xí)到的地址將變成該端口上的安全地址，直到達(dá)到最大個(gè)數(shù)。需要注意的是，自動(dòng)學(xué)習(xí)的安全地址均不會(huì)綁定IP地址，如果在一個(gè)端口上，你已經(jīng)配置了綁定IP地址的安全地址，則將不能再通過自動(dòng)學(xué)習(xí)來增加安全地址。你也可以手工配置一部分安全地址，剩下的部分讓交換機(jī)自己學(xué)習(xí)。當(dāng)違例產(chǎn)生時(shí)，你可以設(shè)置下面幾種針對(duì)違例的處理模式：protect：當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址(不是該端口的安全地址中的任何一個(gè))的包restrict：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。配置端口安全我們通過以下幾個(gè)章節(jié)描述如何配置端口安全端口安全的缺省配置配置端口安全的限制配置安全端口及違例處理方式配置安全端口上的安全地址配置安全地址的老化時(shí)間端口安全的缺省配置下表顯示的端口安全的缺省配置：內(nèi)容端口安全開關(guān)

缺省設(shè)置所有端口均關(guān)閉端口安全功能最大安全地址個(gè)數(shù)安全地址違例處理方式

128無保護(hù)(protect)配置端口安全的限制配置端口安全時(shí)有如下一些限制：一個(gè)安全端口不能是一個(gè)aggregateport。一個(gè)安全端口不能是SPAN的目的端口。一個(gè)安全端口只能是一個(gè)accessport。一個(gè)千兆接口上最多支持110個(gè)同時(shí)申明IP地址和MAC地址的安全地址。另外，由于這種同時(shí)申明IP地址和MAC地址的安全地址占用的硬件資源與ACLs、802.1x認(rèn)證功能所占用的系統(tǒng)硬件資源共享，因此當(dāng)您在某一個(gè)端口上應(yīng)用了ACLs或者您使能了802.1x認(rèn)證功能，則相應(yīng)地該端口上所能設(shè)置的申明IP地址的安全地址個(gè)數(shù)將會(huì)減少。使能了802.1x認(rèn)證功能的端口不能使能端口安全，使能了端口安全的端口不能使能802.1x。由于802.1x認(rèn)證功能就可以保證使用網(wǎng)絡(luò)者的合法，因此對(duì)于使能802.1x認(rèn)證功能的端口，該端口所關(guān)聯(lián)的ACLs設(shè)置將不生效。建議一個(gè)安全端口上的安全地址的格式保持一致，即一個(gè)端口上的安全地址要么全是綁定了IP地址的安全地址，要么都是不綁定IP地址的安全地址。如果一個(gè)安全端口同時(shí)包含這兩種格式的安全地址，則不綁定IP地址的安全地址將失效(綁定IP地址的安全地址優(yōu)先級(jí)更高)，這時(shí)如果你想使端口上不綁定IP地址的安全地址生效，你必須刪除端口上所有的綁定了IP地址的安全地址。配置安全端口及違例處理方式從特權(quán)模式開始，你可以通過以下步驟來配置一個(gè)安全端口和違例處理方式：命令含義步驟1configureterminal進(jìn)入全局配置模式。步驟2interfaceinterface-id進(jìn)入接口配置模式。步驟3switchportmodeaccess設(shè)置接口為access模式(如果確定接口已經(jīng)處于access模式，則此步驟可以省略)。步驟4switchportport-security打開該接口的端口安全功能步驟5switchportport-security設(shè)置接口上安全地址的最大個(gè)數(shù)，范圍是1－128，maximumvalue缺省值為128。步驟6switchportport-security設(shè)置處理違例的方式：violation{protect|restrict|shutdown}protect：保護(hù)端口，當(dāng)安全地址個(gè)數(shù)滿后，安全端口將丟棄未知名地址(不是該端口的安全地址中的任何一個(gè))的包restrict：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。當(dāng)端口因?yàn)檫`例而被關(guān)閉后，你可以在全局配置模式下使用命令errdisablerecovery來將接口從錯(cuò)誤狀態(tài)中恢復(fù)過來。步驟7end回到特權(quán)模式。步驟8showport-security驗(yàn)證你的配置。interface[interface-id]步驟9copyrunning-config保存配置(可選)。startup-config在接口配置模式下，你可以使用命令noswitchportport-security來關(guān)閉一個(gè)接口的端口安全功能。使用命令noswitchportport-securitymaximum來恢復(fù)為缺省個(gè)數(shù)。使用命令noswitchportport-securityviolation來將違例處理置為缺省模式。下面的例子說明了如何使能接口gigabitethernet1/3上的端口安全功能，設(shè)置最大地址個(gè)數(shù)為8，設(shè)置違例方式為protectSwitch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end配置安全端口上的安全地址從特權(quán)模式開始，你可以通過以下步驟來手工配置一個(gè)安全端口上的安全地址：命令含義步驟1configureterminal進(jìn)入全局配置模式。步驟2interfaceinterface-id進(jìn)入接口配置模式。步驟3switchportport-security手工配置接口上的安全地址。mac-addressmac-address[ip-addressip-address]ip-address(可選):為這個(gè)安全地址綁定的IP地址。步驟4end回到特權(quán)模式。步驟5showport-securityaddress驗(yàn)證你的配置。步驟6copyrunning-config保存配置(可選)。startup-config在接口配置模式下，你可以使用命令noswitchportport-securitymac-addressmac-address來刪除該接口的安全地址。下面的例子說明了如何為接口gigabitethernet1/3配置一個(gè)安全地址：00d0.f800.073c，并為其綁定一個(gè)IP地址：192.168.12.202。Switch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073c ip-address192.168.12.202Switch(config-if)#end配置安全地址的老化時(shí)間你可以為一個(gè)接口上的所有安全地址配置老化時(shí)間。打開這個(gè)功能，你需要設(shè)置安全地址的最大個(gè)數(shù)，這樣，你就可以讓交換機(jī)自動(dòng)的增加和刪除接口上的安全地址。從特權(quán)模式開始，你可以通過以下步驟來配置端口安全功能：命令含義步驟1configureterminal進(jìn)入全局配置模式。步驟2interfaceinterface-id進(jìn)入接口配置模式。步驟3switchportport-securitystatic:加上這個(gè)關(guān)鍵字，表示老化時(shí)間將同時(shí)應(yīng)用aging{static|timetime}于手工配置的安全地址和自動(dòng)學(xué)習(xí)的地址，否則只應(yīng)用于自動(dòng)學(xué)習(xí)的地址。Time：表示這個(gè)端口上安全地址的老化時(shí)間，范圍是0－1440，單位是分鐘。如果你設(shè)置為0，則老化功能實(shí)際上被關(guān)閉。老化時(shí)間按照絕對(duì)的方式的計(jì)時(shí)，也就是一個(gè)地址成為一個(gè)端口的安全地址后，經(jīng)過Time指定的時(shí)間后，這個(gè)地址就將被自動(dòng)刪除。Time的缺省值為0。步驟4End回到特權(quán)模式。步驟5showport-security驗(yàn)證你的配置。interface[interface-id]步驟6

copyrunning-configstartup-config

保存配置(可選)。你可以在接口配置模式下使用命令noswitchportport-securityagingtime來關(guān)閉一個(gè)接口的安全地址老化功能(老化時(shí)間為0)，使用命令noswitchportport-securityagingstatic來使老化時(shí)間僅應(yīng)用于動(dòng)態(tài)學(xué)習(xí)到的安全地址。下面的例子說明了如何配置一個(gè)接口gigabitethernet1/3上的端口安全的老化時(shí)間，老化時(shí)間設(shè)置為8分鐘，老化時(shí)間應(yīng)用于靜態(tài)配置的安全地址：Switch#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#interfacegigabitthernet1/3Switch(config-if)#switchportport-securityagingtime8Switch(config-if)#switchportport-securityagingstaticSwitch(config-if)#end查看端口安全信息在特權(quán)模式開始，你可以通過下面的命令來查看端口安全的信息：命令含義步驟1showport-securityinterface查看接口的端口安全配置信息。[interface-id]步驟2showport-securityaddress查看安全地址信息。步驟3showport-security[interface-id]顯示某個(gè)接口上的安全地址信息address步驟4showport-security顯示所有安全端口的統(tǒng)計(jì)信息，包括最大安全地址數(shù)，當(dāng)前安全地址數(shù)以及違例處理方式等。下面的例子顯示了接口gigabitethernet1/3上的端口安全配置：Switch#showport-securityinterfacegigabitethernet1/3Interface:Gi1/3PortSecurity:EnabledPortstatus:downViola