Sie sind hier

HPE Comware Switch reagiert nicht mehr auf ARP

Ein weitgehend versteckte Funktion innerhalb der Comware basierten HPE FlexNetwork Switches ist die Absicherung der Management Ebenen, die im englischen als Control-Plane bezeichnet wird. In der Standardeinstellung gibt es für jedes Management- und Netzwerkprotokoll eine maximale Bandbreite, die der Switch verarbeiten kann. Mit dieser Voreinstellung soll die CPU vor möglichen Broadcaststürmen oder DoS Angriffen geschützt werden. 

 

So werden z.B. auf einem 5900er Switch mit Comware 7.1 dem ARP Protokoll eine maximale Bandbreite von 256 kBps eingeräumt. Dies könnte im Zusammenhang mit Netzwerkmanagementtools (z.B. HPE IMC) zu Engpässen führen, da hier bei einer Discovery ARP Pakete in engen Abständen versendet werden:

 

 

Die Grundeinstellungen jedes Protokoll kann man mit folgendem Befehl auslesen:

[C1-cp-slot1] display qos policy control-plane pre-defined
Pre-defined policy information slot 1
  Protocol          Priority   Bandwidth (kbps)   Group
  IS-IS             37         512                critical
  VRRP              40         768                important
  OSPF Multicast    35         256                critical
  OSPF Unicast      35         256                critical
  IGMP              19         512                important
  OSPFv3 Unicast    34         256                critical
  OSPFv3 Multicast  34         256                critical
  VRRPv6            40         768                important
  ARP               8          256                normal
  DHCP Snooping     17         256                redirect     

 

 

In einigen Szenarien müssen diese Werte angepasst werden. 

Bsp. Sie wollen ARP von 256 kBps auf 512 kBps anheben.

 

Man definiert im ersten Schritt einen Classifier, der nur bei ARP als Manamgenent Verkehr (Control-Plane) greift: 

traffic classifier ARP_CLASSIFY operator and
if-match control-plane protocol arp

In einer Verhaltensregel (Behavior-class) wird die maximale Bandbreite festgelegt. Bei einer Klasse, die den Management Verkehr untersuchen soll, muss das Accounting auf Paketebene erfolgen:


traffic behavior ARP_BEHAVIOR
accounting packet
car cir 512 cbs 32256 ebs 512 green pass red discard yellow pass

 

 

In einer QoS-Regel werden dann Classifier und Verhaltensklasse zusammengeführt:


qos policy ARP_POLICY
classifier ARP_CLASSIFY behavior ARP_BEHAVIOR

 

Die QoS-Policy muss dann noch auf die Control-Plane gebunden werden:

control-plane slot 1
qos apply policy ARP_POLICY inbound

 

[C1-cp-slot1]display qos policy control-plane pre-defined | in ARP
  ARP               8          512                normal
  ARP Snooping      10         256                redirect

 

 

Bei Erhöhung der Werte empfehle ich die CPU Last im Auge zu behalten. Weitere Infos finden sich im "ACL und QoS Configuration Guide" der jeweiligen Plattformen.