Вопрос: Что такое SafeGuard Engine и как настроить данную функцию на коммутаторах D-Link?

Ответ: 

1) Почему SafeGuard Engine:

Safeguard Engine разработан для того, чтобы повысить надёжность новых коммутаторов и общую доступность и отказоустойчивость сети.



2) Обзор технологии:

  • Если загрузка CPU становится выше порога Rising Threshold, коммутатор войдёт в Exhausted Mode (режим высокой загрузки), для того, чтобы произвести следующие действия (смотрите следующий слайд).
  • Если загрузка CPU становится ниже порога Falling Threshold, коммутатор выйдет из Exhausted Mode и механизм Safeguard Engine отключится.
Порог Описаниe
Rising Threshold
  • Пользователь может установить значение в процентах <20-100> верхнего порога загрузки CPU, при котором включается механизм Safeguard Engine.
  • Если загрузка CPU достигнет этого значения, механизм Safeguard Engine начнёт функционировать.
  • Falling Threshold
  • Пользователь может установить значение в процентах <20-100> нижнего порога загрузки CPU, при котором выключается механизм Safeguard Engine.
  • Если загрузка CPU снизится до этого значения, механизм Safeguard Engine перестанет функционировать.
    • Функционирование Safeguard Engine
    Действие Описание
    Ограничение полосы пропускания для ARP-пакетов
  • Пользователь может использовать эту функцию в двух режимах, в Strict-Mode (Строгий режим) или в Fuzzy-Mode (Нестрогий режим).
  • Если выбран строгий режим, коммутатор перестаёт получать ARP-пакеты.
  • Если выбран нестрогий, коммутатор минимизирует полосу пропускания для ARP-пакетов, путём её динамического изменения.
  • Ограничение полосы пропускания для IP-широковещания
  • Пользователь может использовать эту функцию в двух режимах, в Strict-Mode (Строгий режим) или в Fuzzy-Mode (Нестрогий режим).
  • Если выбран строгий режим, коммутатор перестаёт получать все широковещательные пакеты IP.
  • Если выбран нестрогий, коммутатор минимизирует полосу пропускания для широковещательных пакетов IP, путём её динамического изменения.
    • График показывает механизм срабатывания Safeguard Engine


    3) Модели коммутаторов, в которых реализована функция SafeGuard Engine:

    Модель коммутатора Поддерживаемый режим Safeguard Engine
    Strict Mode Fuzzy Mode
    DES-3500 V X
    DES-3800 V X
    DES-6500 V V*
    DGS-3400 V V*
    DGS-3600 V V*
    Примечание * Поддержка режима Fuzzy требует аппаратной поддержки со стороны чипсета и доступна только для DES-6500 и DGS-3400/3600.
    • Для обеспечения потребностей и простоты применения для заказчиков SMB, коммутаторы серии Smart II Series имеют другой механизм Safeguard Engine.

    • Коммутаторы серии Smart II поддерживают Safeguard Engine только в режимах "enable" или "disable“, позволяя пользователю либо включить, либо выключить Safeguard Engine, и по умолчанию функция включена.

    • Механизм Safeguard Engine, реализованный в коммутаторах серии Smart II, имеет более простой подход. Коммутаторы серии Smart II будут классифицировать трафик, предназначенный интерфейсу CPU, и распределять его по 4 очередям. Очередь 0 для ARP-широковещания, очередь 1 для управляющих пакетов от утилиты SmartConsole, очередь 2 для трафика с MAC-адресом назначения, равным MAC-адресу коммутатора, и очередь 3 для всего остального трафика. Для каждой очереди определена фиксированная полоса пропускания к интерфейсу CPU. Таким образом коммутаторы серии Smart II могут предотвратить перегрузку CPU при обработке конкретного типа трафика.

    • Коммутаторы серии Smart II, которые поддерживают Safeguard Engine: DES-1228/A1, DES-1252/A1, DGS-1216T/D1, DGS-1224T/D1 and DGS-1248T/B1.

    Возможные побочные эффекты:

    • После того как коммутатор переключится в режим exhausted при настроенном строгом режиме, административный доступ к коммутатору будет недоступен, так как в этом режиме отбрасываются все ARP-запросы. В качестве решения можно предложить указать MAC-адрес коммутатора в статической ARP-таблице управляющей рабочей станции, для того чтобы она могла напрямую обратиться к интерфейсу управления коммутатором без отсылки ARP-запроса.

    • Для коммутаторов L2/L3, переход в режим exhausted не будет влиять на коммутацию пакетов на уровне L2.

    • Для коммутатора L3, при переходе в строгий режим exhausted, не только административный доступ будет недоступен, но и связь между подсетями может быть нарушена тоже, поскольку будут отбрасываться ARP-запросы на IP-интерфейсы коммутатора тоже.

    • Преимуществом нестрогого режима exhausted является то, что в нём он не просто отбрасываются все ARP-пакеты или пакеты IP-широковещания, а динамически изменяется полоса пропускания для них. Таким образом даже при серьёзной вирусной эпидемии, коммутатор L2/L3 будет доступен по управлению, а коммутатор L3 сможет обеспечивать взаимодействие между подсетями.

    4) Пример настройки функции SafeGuard Engine:


    1. PC2 постоянно посылает ARP-пакеты, например со скоростью 1000 пакетов в секунду.

    2. Загрузка CPU при этом изменяется от нормальной до 100%.

    3. Если прекратить генерацию ARP пакетов на PC2, загрузка CPU опять станет в пределах нормы.

    Задача: Снизить загрузку CPU при помощи Safeguard Engine.

    Включите Safeguard Engine следующей командой CLI
    config safeguard_engine state enable

    DES-3526:4#show safeguard_engine
    Command: show safeguard_engine

    Safe Guard Engine State : Enabled
    Safe Guard Engine Current Status : Normal mode
    ===============================================
    CPU utilization information:
    Interval : 5 sec
    Rising Threshold(20-100) : 100 %
    Falling Threshold(20-100) : 20 %
    Trap/Log : Disabled

    # Следующей командой можно задать пороги переключения режимов
    config safeguard_engine cpu_utilization rising_threshold 100 falling_threshold 20

    Результаты теста:

    • Перед активацией Safeguard Engine, при генерации PC2 большого количества ARP пакетов, загрузка CPU будет держаться в районе 100%.
    • После включения функции Safeguard Engine, PC2 продолжает генерировать большое количество ARP пакетов. Загрузка CPU снизиться до значения нижнего предела и коммутатор будет держать интервал между переключениями 5 секунд (значение по умолчанию).

    Вывод:

    Функция SafeGuard Engine функционирует следующим образом. При превышении загрузкой CPU верхнего предела, коммутатор отбрасывает все ARP пакеты. При значении загрузки между двумя пределами, коммутатор обрабатывает только ARP пакеты, предназначенные ему. При снижении загрузки ниже нижнего предела коммутатор обрабатывает все ARP пакеты.