交换机 : Cisco Catalyst 6500 系列交换机

Catalyst 6500系列交换机微流策略管理配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述在Catalyst 6500系列交换机的微流策略管理。

贡献用Souvik Ghosh, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

在Supervisor引擎720运行的本文档中的信息根据Cisco Catalyst 6500系列交换机。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

这是您的考虑事项的一用例。当他们使用互联网时,有大学需求对带宽10Mbps限制每名学员。如果聚集管制配置,则有带宽的一不同等的分配在学员中的。微流策略器更加好能帮助我们达到此任务。

微流策略管理帮助用户修正根据流的流量。流由来源IP (SRC-IP),目的地IP (DST-IP), SRC-DST IP、SRC-DST波尔特或者Src接口通常定义。示例如下:

Source 10.0.0.1 sending a tcp stream to 15.0.0.1 with a source tcp port of 50
and destination 2000
Source 10.0.0.1 sending a tcp stream to 15.0.0.2 with a source tcp port of 60
and destination 2000.

如果分类根据SRC-IP完成,则流数量等于一。如果分类根据DST-IP完成,则流数量等于两。如果分类根据DST波尔特完成,则流数量等于一。

注意:微流策略器在入口方向可能只应用,不同于聚合策略器。

当我们运用服务策略在接口下,物理接口或Switch Virtual Interface (SVI)时,服务策略在硬件里被编程。服务质量(QoS)三重内容可编址存储器用于为了存储条目。另外,因为交换机必须记住流,它在硬件里存储单个流信息。为此使用Netflow TCAM。因此,有您能检查编程在硬件里的两个地方:访问控制表(ACL) TCAM和Netflow TCAM。

因为同样Netflow TCAM由其它特性使用,类似网络地址转换(NAT)、NetFlow输出数据(NDE)和WEB缓存通信协议(WCCP),很可能,有在编程在硬件里的微流策略器的一冲突。一些TCAM冲突方案提供在本文结束时。

配置示例

示例 1

有参与InterVLAN路由Cisco Catalyst 6500系列交换机。流量来源在VLAN 20查找,并且有这些IP地址:20.20.20.2和20.20.20.3。两个来源设法发送往IP地址30.30.30.2的流量,在VLAN 30查找。目标是分配带宽100Kbps到每来源。

  1. 创建并且映射在类映射的ACL为了匹配来自这两来源的流量。
    ip access-list ext vlan20_30
    permit ip 20.20.20.0 0.0.0.255 30.30.30.0 0.0.0.255

    class-map POLICE_DIFF_SRC
    match access-group name vlan20_30


  2. 应用在策略映射的类映射。配置承诺信息速率(CIR)和突发值如所需求。

    policy-map POLICE_DIFF_SRC
    class POLICE_DIFF_SRC
    police flow mask src-only 100000 3000 conform transmit exceed drop


    这是在police流掩码以后是可用的选项:
    police flow mask ?
    dest-only
    full-flow
    src-only


  3. 运用服务策略在入口SVI下或在入口物理接口下。万一应用它在接口VLAN下,请配置mls qos vlan-based在物理接口下。当数据包到达在特定VLAN的一第二层接口这指示Cisco IOS寻找策略在接口VLAN下。

    interface vlan 20
    service-policy input POLICE_DIFF_SRC

示例 2

有参与流量的第二层交换Catalyst 6500系列交换机在同样VLAN的。此示例deomonstrates如何限制来自10.10.10.2并且去往在VLAN的10.10.10.3带宽100Kbps的流量。为了有策略器影响二层交换机的流量,您必须输入mls qos bridged命令在接口VLAN10下。

ip access-list ext VLAN10
permit ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255
class-map POLICE_SAME


match access-group name VLAN10
policy-map POLICE_SAME
class POLICE_SAME    
police flow mask src-only 100000 3000 conform transmit exceed drop


int vlan 10
service-policy in POLICE_SAME
mls qos bridged

验证

当前没有可用于此配置的验证过程。

故障排除

  1. 输入ip命令的show mls qos,并且检查在策略器名称旁边的FL ID。如果FL ID是1,则策略为微流策略管理是在使用中的。

    6500#show mls qos ip
     QoS Summary [IPv4]:      (* - shared aggregates, Mod - switch module)

     Int Mod Dir  Class-map DSCP  Ag  Trust   FL   AgForward-By   AgPoliced-By
                                                           Id           Id
    ---------------------------------------------------------------------------

    Fa3/3  1 In   POLICE_SAM   0   0*   dscp    1   11266001160            0

    这是根据此输出的一些显著的点:

    • 策略在硬件里被映射。
    • 它应用的接口是Fa3/3
    • 如果有分布式转发卡(DFC) -在机箱的已启用线卡(LC)存在,则QoS修正为每DFC和策略特性卡(PFC)分开被编程。模块号给PFC/DFC的条目在slot 1。
    • Supervisor引擎720创建聚合ID (AgID)创建的每聚合策略器的。1020 AgIDs是最大可用的ID,是硬件限制。这不是与微流策略器相关,然而是聚合策略器的一个有用的命令。
    • 信任字段在这种情况下不保持相关性。
    • FL ID=1,如以前讨论。
    • AgForward ?由和AgPoliced由没有使用为了计算由微流策略器传送或丢弃的数据包(有那的一分开的命令)。然而,同样计数器用于为了计算聚合策略器传送/丢弃的数据包。


  2. 输入ip命令show tcam的int < vlan/or物理interface> qos的type为了确定ACL是否在QoS TCAM被编程。

    6500#show tcam interface fa3/3 qos type1 ip   
        QOS Results:   A - Aggregate Policing       F - Microflow Policing
        M - Mark          T - Trust
        U - Untrust
        ------------------------------------------------------
        FT     ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255  ==> entry is
        programmed correctly
        MU     ip any any


  3. 如果流在Netlflow TCAM,安装请检查show mls netflow ip qos nowrap命令的输出为了发现。

    6500#show mls NetFlow ip qos nowrap 
    Displaying NetFlow entries in Active Supervisor EARL in module 1
    DstIP           SrcIP           Prot         : SrcPort :   DstPort   Src i/f         :AdjPtr    Pkts  
    Bytes         LastSeen      QoS       PoliceCount  Threshold   Leak          Drop     Bucket
    ------------------------------------------------------------------------------------------------------
    0.0.0.0          0.0.0.0            0                     :0                   :0           --
    0x0       140394     
    67383880   15:16:29        0x0                   0                    0           0
    NO             0

    0.0.0.0         10.10.10.2      0                     :0                   :0           --              
    0x0           227
    108506        15:16:22        0x0                  35996208    0           0                NO         3386


    在此输出中,您能看到流(source-only)在Netflow TCAM安装,并且有被管辖的35,996,208数据包。

可能的问题

很可能,服务策略没有在硬件里在这些情况下被编程。这是一些可能的来源:

  1. 有在可以配置聚合/微流策略器的数量的一个硬件限制。为了预留硬件资源,服务策略没有在硬件里被编程。

    输入显示平台硬件产能qoscan命令为了检查策略的可用性。

    6500#show platform hardware capacity qos
    QoS Policer Resources
      Aggregate policers: Module                      Total         Used     %Used
                          1                            1024            102     10%
                          6                            1024            102     10%
      Microflow policer configurations: Module        Total         Used     %Used
                                        1                64            32        50%
                                        6                64            32        50%


  2. 由于与其它特性的流掩码冲突配置在同一个接口下,微流策略器也许不能对在Netflow TCAM的缓存流。

    了解流掩码的概念是重要的。为了支持某些功能硬件加速,有使用为了配置某些功能的投入的片段硬件(TCAMs)。有使用同样TCAM的多个功能,例如NAT WCCP Netflow。他们使用通常呼叫Netflow TCAM的一TCAM,而对于功能类似安全ACL,基于策略的路由(PBR)使用ACL TCAM。

    对于Netflow TCAM,流掩码是需要的为了安装条目在硬件里。Netflow流掩码确定将被测量的流的粒度。非常详细的流掩码生成很大数量的Netflow条目和大容量统计信息导出。较少特定传掩码聚集流量统计到少量Netflow条目,并且生成低容积统计信息。

    Netflow表配置条款描述流掩码需求(支持的)功能。

    • 输入show fm summary命令,并且确定接口是否在非活动状态。非活动状态表明有某个功能配置在不可能在硬件里被编程的接口下。要求在该接口接收的数据包功能在软件里被编程。

      6500#show fm summary
      Interface: Vlan13 is up
      TCAM screening for features: INACTIVE inbound
      TCAM screening for features: INACTIVE outbound
      Interface: Vlan72 is up
      TCAM screening for features: ACTIVE inbound
      TCAM screening for features: ACTIVE outbound
      Interface: Vlan84 is up
      TCAM screening for features: ACTIVE inbound
      TCAM screening for features: INACTIVE outbound


    • 输入显示fm fie接口<>命令,并且确定微流策略器是否在硬件里配置。

      6500#show fm fie int vlan 10
      Interface Vl10:
      Feature interaction state created: Yes
       Flowmask conflict status for protocol IP :
      FIE_FLOWMASK_STATUS_SUCCESS
      Flowmask conflict status for protocol OTHER :
      FIE_FLOWMASK_STATUS_SUCCESS Interface Vl10 [Ingress]:
       Slot(s) using the protocol IP : 1
       FIE Result for protocol IP : FIE_SUCCESS_NO_CONFLICT 
      Features Configured : [empty] - Protocol : IP 
      FM Label when FIE was invoked : 66  Current FM Label : 66 
      Last Merge is for slot: 0  num# of strategies tried : 1
        num# of merged VMRs in bank 1 = 0
        num# of free TCAM entries in Bank1 = Unknown
        num# of merged VMRs in bank 2 = 1
        num# of free TCAM entries in Bank2 = Unknown
       Slot(s) using the protocol OTHER : 1
       FIE Result for protocol OTHER : FIE_SUCCESS_NO_CONFLICT
       Features Configured : OTH_DEF   - Protocol : OTHER
       FM Label when FIE was invoked : 66
       Current FM Label : 66
       Last Merge is for slot: 0
       Features in Bank1 = OTH_DEF
      +-------------------------------------+
              Action Merge Table
      +-------------------------------------+
         OTH_DEF      RSLT    R_RSLT  COL
      +-------------------------------------+
         SB           HB      P       0
          X            P       P       0
      +-------------------------------------+
       num# of strategies tried : 1
       Description of merging strategy used:
       Serialized Banks: FALSE
       Bank1 Only Features: [empty]
       Bank2 Only Features: [empty]
       Banks Swappable: TRUE
       Merge Algorithm: ODM
       num# of merged VMRs in bank 1 = 1
       num# of free TCAM entries in Bank1 = 32745
       num# of merged VMRs in bank 2 = 0
       num# of free TCAM entries in Bank2 = 32744 Interface Vl10 [Egress]:
      No Features Configured
      No IP Guardian Feature Configured
      No IPv6 Guardian Feature Configured
      IP QoS Conflict resolution configured, QoS policy name: POLICE_SAME
    应该用于兼容流掩码共享Netflow TCAM的功能配置在同一个接口下。兼容流掩码为几乎组合的所有类型是可用的。

其他有用的命令

  • 运用策略
  • 检查FL-ID=1 - show mls qos ip
  • 检查QoS TCAM - show tcam int <> qos类型1 ip
  • 检查Netflow TCAM - show mls netflow ip qos模块nowrap
  • 检查策略的可用性-请显示平台硬件产能结构
  • 检查流掩码(FM)冲突show log显示fm摘要
  • 检查功能配置在接口下-请显示fm fie接口

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116468