华为技术专区
Feb
8
记住吧,华为设备不支持ping组播地址!找个问题困扰了我一天,检查设备配置没问题,检查RP没问题,检查PIM路由没问题,但在设备上就是ping不通组播地址,后来没办法了,请教了华为Tac,Tac说不支持组播地址ping。我服了!
Jan
6
一、现象描述
现网RR部署:
纵观中国几大运营商的骨干网络,都在网内部署了多对路由反射器RR;而且很多骨干网中,都部署了二级RR;同时为了确保路由RR的可靠性,通常一个cluster内一般都部署2台RR,设置为相同的cluster-id,现网几大运营商骨干网RR的cluster-id都采用同一cluster中某台RR的loopback地址。
现网安全故障:
2009年6月G省电信internet骨干网遭受DDOS攻击导致internet业务大范围受到重大影响;之所以本次DDOS攻击大范围严重影响业务,是因为本次本攻击的设备为骨干网的1级RR从下面的分析中可以看出和RR的cluster-id合理规划能够在一定程度上确保网络安全。
二、告警信息
现网情况:
在骨干网的边缘路由器上,通过查看一条国外的BGP路由
dis bgp routing-table 1.1.1.1 32
BGP routing table entry information of 1.1.1.1/32:
From: X.X.X.1 (X.X.X.1)
Relay Nexthop: X.X.X.129
Original nexthop: Y.Y.Y.Y
Community:no-export
Convergence Priority: 0
AS-path 3869, origin incomplete, MED 0, localpref 100, pref-val 200, valid, internal, best, pre 200
Originator: Z.Z.Z.Z
Cluster list: X.X.X.1, X.X.X.12, X.X.X.77
三、原因分析
网络安全隐患分析:
1、运营商的骨干网络,被最多单位最大人员频繁操作都是边缘设备;因为设备量多,接入业务频繁,涉及多厂商设备。
2、虽然熟悉骨干核心网络和1级RR设备情况的人员较少,在管理体制上具备一定的安全性;但可以从边缘PE设备通过BGP路由属性间接推导出1级RR情况。
3、从上面PE上BGP路由属性中Cluster list可以看出现网该大区的1级RR为
X.X.X.12,2级RR为X.X.X.1 。
4、虽然都是攻击某一台设备,但DDOS攻击某台P或PE、2级RR、1级RR设备,影响的范围和危害程度是越来越大。
四、解决办法
cluster-id规划:
1、不使用loopback地址作为cluster-id,而使用数字(区号)表示;例如广州大区的1级RR的cluster-id使用020,2级的RRcluster-id使用020020;或者为了直接省去开头的数字"0",广州大区的1级RR的cluster-id使用20,2级的RR的cluster-id使用2020(目前国内8个大区的区号都是3位数字)。
此时显示Cluster list:0.0.0.2020,0.0.0.20,0.0.0.10,0.0.0.1010
2、全网单独分配1/4个C地址给RR的cluster-id,这些地址在设备上可以不配置或者配置后不在IGP中发布(但为了防止DDOS攻击时在网间出口产生环路,建议在有缺省路由的出口针对1/4C配置黑洞路由)。
此时显示Cluster list同上面现网的情况,但是黑客无法利用Cluster list中的信息来攻击RR路由器。
五、建议
建议:
采用第一种数字(大区区号)标识的方式来规划AS域内RR反射器的Cluster id,进一步确保网络安全
现网RR部署:
纵观中国几大运营商的骨干网络,都在网内部署了多对路由反射器RR;而且很多骨干网中,都部署了二级RR;同时为了确保路由RR的可靠性,通常一个cluster内一般都部署2台RR,设置为相同的cluster-id,现网几大运营商骨干网RR的cluster-id都采用同一cluster中某台RR的loopback地址。
现网安全故障:
2009年6月G省电信internet骨干网遭受DDOS攻击导致internet业务大范围受到重大影响;之所以本次DDOS攻击大范围严重影响业务,是因为本次本攻击的设备为骨干网的1级RR从下面的分析中可以看出和RR的cluster-id合理规划能够在一定程度上确保网络安全。
二、告警信息
现网情况:
在骨干网的边缘路由器上,通过查看一条国外的BGP路由
BGP routing table entry information of 1.1.1.1/32:
From: X.X.X.1 (X.X.X.1)
Relay Nexthop: X.X.X.129
Original nexthop: Y.Y.Y.Y
Community:no-export
Convergence Priority: 0
AS-path 3869, origin incomplete, MED 0, localpref 100, pref-val 200, valid, internal, best, pre 200
Originator: Z.Z.Z.Z
Cluster list: X.X.X.1, X.X.X.12, X.X.X.77
三、原因分析
网络安全隐患分析:
1、运营商的骨干网络,被最多单位最大人员频繁操作都是边缘设备;因为设备量多,接入业务频繁,涉及多厂商设备。
2、虽然熟悉骨干核心网络和1级RR设备情况的人员较少,在管理体制上具备一定的安全性;但可以从边缘PE设备通过BGP路由属性间接推导出1级RR情况。
3、从上面PE上BGP路由属性中Cluster list可以看出现网该大区的1级RR为
X.X.X.12,2级RR为X.X.X.1 。
4、虽然都是攻击某一台设备,但DDOS攻击某台P或PE、2级RR、1级RR设备,影响的范围和危害程度是越来越大。
四、解决办法
cluster-id规划:
1、不使用loopback地址作为cluster-id,而使用数字(区号)表示;例如广州大区的1级RR的cluster-id使用020,2级的RRcluster-id使用020020;或者为了直接省去开头的数字"0",广州大区的1级RR的cluster-id使用20,2级的RR的cluster-id使用2020(目前国内8个大区的区号都是3位数字)。
此时显示Cluster list:0.0.0.2020,0.0.0.20,0.0.0.10,0.0.0.1010
2、全网单独分配1/4个C地址给RR的cluster-id,这些地址在设备上可以不配置或者配置后不在IGP中发布(但为了防止DDOS攻击时在网间出口产生环路,建议在有缺省路由的出口针对1/4C配置黑洞路由)。
此时显示Cluster list同上面现网的情况,但是黑客无法利用Cluster list中的信息来攻击RR路由器。
五、建议
建议:
采用第一种数字(大区区号)标识的方式来规划AS域内RR反射器的Cluster id,进一步确保网络安全
Jan
6
以华为设备为例解释背板容量、交换容量和接口容量:
1、背板容量:设备背板的最大处理能力,提供机框所有业务单板和交换单板之间内部的数据高速转发;没有特定的计算公式,背板容量肯定大于本背板上所有槽位板卡的容量之和。
例如:
1)NE5000E目前单框背板容量为4T,多框级联时背板容量为N*4T。
2)NE80E目前背板容量为2T。
3)NE40E目前背板容量为2T。
2、交换容量:设备的交换容量主要是提供本设备和外部设备之间的数据交换在本机交换芯片上的高速转发;交换容量=单块SFU交换容量×SFU的数量。
例如:
1)NE50000E目前单块SFU的交换容量为640Gbit/s,NE5000E共有4块SFU,所以NE5000E的交换容量为2.56Tbit/s。
2)NE80E目前单块SFU的交换容量为160Gbit/s,NE80E共有4块SFU,所以NE80E的交换容量为640Gbit/s。
3)NE40E目前单块SFU的交换容量为160Gbit/s,NE40E共有4块SFU,所以NE40E的交换容量为640Gbit/s。
3、接口容量:本设备能够提供的所有和外部设备相连的最大接口级的速率;接口容量=最大接口速率×接口密度;最大接口速率,即单个接口的最大速率;接口密度,即整机支持特定接口的数量。
例如:
1)NE5000E目前支持的最大接口速率为10Gbit/s,每块LPU最多可支持4个10G接口。而NE5000E共有16个槽位,可插16块有4个10G接口的LPU,整机支持64个10G接口,即接口密度为64,所以接口容量为640Gbit/s。
2)NE80E目前支持的最大接口速率为10Gbit/s,每块LPU最多可支持2个10G接口。而NE80E共有16个槽位,可插16块有2个10G接口的LPU,整机支持32个10G接口,即接口密度为32,所以的接口容量为320Gbit/s。
3)NE40E目前支持的最大接口速率为10Gbit/s,每块单板最多可支持2个10G接口。而NE40E有8个槽位,可插8块有2个10G接口的单板,整机支持16个10G接口,即接口密度为16,所以接口容量为160Gbit/s。
1、背板容量:设备背板的最大处理能力,提供机框所有业务单板和交换单板之间内部的数据高速转发;没有特定的计算公式,背板容量肯定大于本背板上所有槽位板卡的容量之和。
例如:
1)NE5000E目前单框背板容量为4T,多框级联时背板容量为N*4T。
2)NE80E目前背板容量为2T。
3)NE40E目前背板容量为2T。
2、交换容量:设备的交换容量主要是提供本设备和外部设备之间的数据交换在本机交换芯片上的高速转发;交换容量=单块SFU交换容量×SFU的数量。
例如:
1)NE50000E目前单块SFU的交换容量为640Gbit/s,NE5000E共有4块SFU,所以NE5000E的交换容量为2.56Tbit/s。
2)NE80E目前单块SFU的交换容量为160Gbit/s,NE80E共有4块SFU,所以NE80E的交换容量为640Gbit/s。
3)NE40E目前单块SFU的交换容量为160Gbit/s,NE40E共有4块SFU,所以NE40E的交换容量为640Gbit/s。
3、接口容量:本设备能够提供的所有和外部设备相连的最大接口级的速率;接口容量=最大接口速率×接口密度;最大接口速率,即单个接口的最大速率;接口密度,即整机支持特定接口的数量。
例如:
1)NE5000E目前支持的最大接口速率为10Gbit/s,每块LPU最多可支持4个10G接口。而NE5000E共有16个槽位,可插16块有4个10G接口的LPU,整机支持64个10G接口,即接口密度为64,所以接口容量为640Gbit/s。
2)NE80E目前支持的最大接口速率为10Gbit/s,每块LPU最多可支持2个10G接口。而NE80E共有16个槽位,可插16块有2个10G接口的LPU,整机支持32个10G接口,即接口密度为32,所以的接口容量为320Gbit/s。
3)NE40E目前支持的最大接口速率为10Gbit/s,每块单板最多可支持2个10G接口。而NE40E有8个槽位,可插8块有2个10G接口的单板,整机支持16个10G接口,即接口密度为16,所以接口容量为160Gbit/s。
Nov
24
好久没给大家带来好资料了,今天有空过来,给大家带来了《华为数通配置案例集 V3.0》最新版,希望大家可以喜欢,这个资料非常好,是做华为数通工程师必不可少的资料,望收藏啊!
解压缩密码:myccie.net
解压缩密码:myccie.net
下载文件
, Skin by