Ответ:
1) Почему SafeGuard Engine:
Safeguard Engine разработан для того, чтобы повысить надёжность новых коммутаторов и общую доступность и отказоустойчивость сети.
2) Обзор технологии:
- Если загрузка CPU становится выше порога Rising Threshold, коммутатор войдёт в Exhausted Mode (режим высокой загрузки), для того, чтобы произвести следующие действия (смотрите следующий слайд).
- Если загрузка CPU становится ниже порога Falling Threshold, коммутатор выйдет из Exhausted Mode и механизм Safeguard Engine отключится.
Порог | Описаниe |
Rising Threshold |
|
Falling Threshold |
|
- Функционирование Safeguard Engine
Действие | Описание |
Ограничение полосы пропускания для ARP-пакетов |
|
Ограничение полосы пропускания для IP-широковещания |
|
- График показывает механизм срабатывания Safeguard Engine
3) Модели коммутаторов, в которых реализована функция SafeGuard Engine:
Модель коммутатора | Поддерживаемый режим Safeguard Engine | |
Strict Mode | Fuzzy Mode | |
DES-3500 | V | X |
DES-3800 | V | X |
DES-6500 | V | V* |
DGS-3400 | V | V* |
DGS-3600 | V | V* |
Примечание | * Поддержка режима Fuzzy требует аппаратной поддержки со стороны чипсета и доступна только для DES-6500 и DGS-3400/3600. |
- Для обеспечения потребностей и простоты применения для заказчиков SMB, коммутаторы серии Smart II Series имеют другой механизм Safeguard Engine.
- Коммутаторы серии Smart II поддерживают Safeguard Engine только в режимах "enable" или "disable“, позволяя пользователю либо включить, либо выключить Safeguard Engine, и по умолчанию функция включена.
- Механизм Safeguard Engine, реализованный в коммутаторах серии Smart II, имеет более простой подход. Коммутаторы серии Smart II будут классифицировать трафик, предназначенный интерфейсу CPU, и распределять его по 4 очередям. Очередь 0 для ARP-широковещания, очередь 1 для управляющих пакетов от утилиты SmartConsole, очередь 2 для трафика с MAC-адресом назначения, равным MAC-адресу коммутатора, и очередь 3 для всего остального трафика. Для каждой очереди определена фиксированная полоса пропускания к интерфейсу CPU. Таким образом коммутаторы серии Smart II могут предотвратить перегрузку CPU при обработке конкретного типа трафика.
- Коммутаторы серии Smart II, которые поддерживают Safeguard Engine: DES-1228/A1, DES-1252/A1, DGS-1216T/D1, DGS-1224T/D1 and DGS-1248T/B1.
Возможные побочные эффекты:
- После того как коммутатор переключится в режим exhausted при настроенном строгом режиме, административный доступ к коммутатору будет недоступен, так как в этом режиме отбрасываются все ARP-запросы. В качестве решения можно предложить указать MAC-адрес коммутатора в статической ARP-таблице управляющей рабочей станции, для того чтобы она могла напрямую обратиться к интерфейсу управления коммутатором без отсылки ARP-запроса.
- Для коммутаторов L2/L3, переход в режим exhausted не будет влиять на коммутацию пакетов на уровне L2.
- Для коммутатора L3, при переходе в строгий режим exhausted, не только административный доступ будет недоступен, но и связь между подсетями может быть нарушена тоже, поскольку будут отбрасываться ARP-запросы на IP-интерфейсы коммутатора тоже.
- Преимуществом нестрогого режима exhausted является то, что в нём он не просто отбрасываются все ARP-пакеты или пакеты IP-широковещания, а динамически изменяется полоса пропускания для них. Таким образом даже при серьёзной вирусной эпидемии, коммутатор L2/L3 будет доступен по управлению, а коммутатор L3 сможет обеспечивать взаимодействие между подсетями.
4) Пример настройки функции SafeGuard Engine:
- PC2 постоянно посылает ARP-пакеты, например со скоростью 1000 пакетов в секунду.
- Загрузка CPU при этом изменяется от нормальной до 100%.
- Если прекратить генерацию ARP пакетов на PC2, загрузка CPU опять станет в пределах нормы.
Задача: Снизить загрузку CPU при помощи Safeguard Engine.
Включите Safeguard Engine следующей командой CLI
config safeguard_engine state enable
DES-3526:4#show safeguard_engine
Command: show safeguard_engine
Safe Guard Engine State : Enabled
Safe Guard Engine Current Status : Normal mode
===============================================
CPU utilization information:
Interval : 5 sec
Rising Threshold(20-100) : 100 %
Falling Threshold(20-100) : 20 %
Trap/Log : Disabled
# Следующей командой можно задать пороги переключения режимов
config safeguard_engine cpu_utilization rising_threshold 100 falling_threshold 20
Результаты теста:
- Перед активацией Safeguard Engine, при генерации PC2 большого количества ARP пакетов, загрузка CPU будет держаться в районе 100%.
- После включения функции Safeguard Engine, PC2 продолжает генерировать большое количество ARP пакетов. Загрузка CPU снизиться до значения нижнего предела и коммутатор будет держать интервал между переключениями 5 секунд (значение по умолчанию).
Вывод:
Функция SafeGuard Engine функционирует следующим образом. При превышении загрузкой CPU верхнего предела, коммутатор отбрасывает все ARP пакеты. При значении загрузки между двумя пределами, коммутатор обрабатывает только ARP пакеты, предназначенные ему. При снижении загрузки ниже нижнего предела коммутатор обрабатывает все ARP пакеты.