交换机 : Cisco Catalyst 6500 系列交换机

默认在Catalyst 6500/Sup2T和Catalyst 6880配置示例的控制层面策略

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文详细描述什么类型的流量匹配默认类映射,是默认Catalyst 6500 Sup2T/Catalyst 6880 CoPP (控制平面策略)配置的一部分在设备自动地配置。这配置为了保护其从被超载的CPU。

贡献用马里乌斯Kazmierski, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

默认情况下CoPP在Catalyst 6500/SUP2T启用和Catalyst 6880交换机和根据一个预先配置的模板。一些等级映射配置没有对应的匹配语句由于这样的事实他们捕获流量不在MAC/IP访问控制表(ACL),但是相当在乘转发引擎发信号的内部例外,当流量由被采取时的交换机和转发决策接收。

如果特定类映射需要从当前CoPP策略被添加/已修改/删除,则必须从在策略映射模式的配置模式完成。请参阅Catalyst 6500版本15.0SY软件配置指南-控制平面策略(CoPP)确切句法的。

CoPP默认例外类有这些说明:

案件类映射名称说明
最大传输单元(MTU)失败

中集集团CoPP MTU FAIL

数据包大小超出流出接口MTU大小。

如果不要分段位没有设置,分段要求。

如果不要分段位设置,互联网控制消息协议(ICMP)目的地不可达消息表明“分段需要,并且设置的DF”应该生成和被退还的到来源。

参考:RFC-791, RFC-1191

存活时间(TTL)失败中集集团CoPP ttl FAIL

数据包TTL=1 (IPv4),跳限制= 0或1 (IPv6)

TTL = 0 (IPv4)可以在硬件里立即丢弃,当上一个跳应该毁坏数据包,当TTL减少到0时。

跳限制= 0 (IPv6)是与不同TTL = 0,因为在RFC-2460陈述, “不同于IPv4,IPv6节点没有要求强制执行最大数据包寿命的第8.2部分。那是IPv4生存时间字段重命名在IPv6"的跳限制的原因。这意味着与跳限制的流入IPv6数据包= 0有效,并且ICMP信息应该被退还的。

参考:RFC-791, RFC-2460

选项中集集团CoPP选项

有选项的数据包(IPv4),逐跳扩展报头(IPv6)。

例如,路由器警报RFC-2113,严格源路由,等。

分机报头没有由沿信息包发送路径的任何节点检查也没有处理,直到数据包到达在theIPv6报头目的地址字段(或其中每一个套在案件ofmulticast的节点)识别的节点。唯一的例外是逐跳选项报头,传播信息必须由沿信息包发送路径的每个节点检查和处理,包括源及目的地节点。

不支持处理在选项域的硬件,那是软件处理/交换是需要的。

参考:RFC-791/RFC-2460

反向路径转发(RPF)失败(单播)中集集团CoPP ucast RPF FAIL数据包失败RPF检查被过滤。然而,由于有限资源在硬件里, RPF检查在硬件方面不可能在某些情况下完成(即超过与一个IP连接的16个RPF接口)。当那发生时,数据包发送对完整RPF检查的软件。

第一个RPF失败的数据包(被寄到组播组)发送对软件为了独立于协议的组播(PIM) -主张进程启动。一旦进程完成,指定路由器/转发器选择。如果下一个信息包(同样流)自指定路由器不来,触发RPF故障,并且硬件能立即下降它(为了防止服务拒绝(DoS)攻击)。

RPF Failure

(组播)
中集集团CoPP mcast RPF FAIL

第一个RPF失败的数据包(被寄到组播组)发送对软件为了PIM主张进程能启动。一旦进程完成,指定路由器/转发器选择。如果下一个信息包(同样流)自指定路由器不来,触发RPF故障,并且硬件能立即下降它(为了防止DOS攻击)。

然而,如果路由表更新,一个新的指定路由器也许需要选择(通过请PIM主张),含义RPF失败的数据包需要到达软件(对于请PIM主张再开始)。为了执行那,定期泄漏到软件机制(每个流) RPF失败的数据包的在硬件里是可用的。注意虽则,如果有大量的流然后定期泄漏可以是太多为了软件能处理。硬件CoPP为组播RPF失败的数据包仍然要求。

参考:RFC-3704, RFC-2362

不支持的硬件信息包重写中集集团CoPP unsupp重写当硬件能重写数据包以多种案件时,一些案件就是在当前硬件设计不可能完成。并且对于那些,硬件发送数据包对软件。

ICMP NO-路由

ICMP ACL丢弃

ICMP重定向
中集集团CoPP ICMP重定向不可达的

对软件的发送的数据包ICMP消息的生成的。例如ICMP重定向, ICMP目的地不可达的(例如。禁止的主机不可及或管理性)。

参考:RFC-792/RFC-2463

思科快速转发(CEF)接收(目的地IP是路由器的IP)

中集集团CoPP接收

如果数据包目的IP是其中一个路由器IP地址(将点击CEF接收邻接),则软件应该处理内容。
CEF汇集(目的地IP属于到一个路由器网络)

中集集团CoPP汇集

如果数据包目的IP属于到一个路由器网络,但是不是解决的(即没有命中数在转发信息库(FIB)表里),将点击CEF收集邻接,发送对解决程序将开始的软件。

对于IPv4,同一个流继续点击CEF汇集,直到地址是解决的。对于IPv6,配比的一个临时FIB下降邻接的条目目的地IP (和点)在解决方法时被安装。如果在特定的期限不可能被解决, FIB条目删除(即同一个流开始再点击CEF汇集)。
数据包被注定对组播IP 224.0.0.0/4

中集集团CoPP mcast IP控制

控制数据包需要由软件处理。
 数据包被注定对组播IP FF::/8 class-copp-mcast-ipv6-control控制数据包需要由软件处理。
 需要复制到软件的组播信息包 中集集团CoPP mcast复制有时,组播信息包需要复制到状态更新的软件(数据包仍然是在同样VLAN桥接的硬件)。例如, (*, G/m)点击为密集模式条目, DUAL RPF SPT切换。
组播信息包在FIB表里的获得错过

中集集团CoPP mcast PUNT

目的地IP (组播IP)是错过在FIB表里。数据包被踢对软件。
直接地连接的来源(IPv4)

中集集团CoPP IP连接

从直接地连接的来源的组播数据流发送对组播状态可以创建的软件(和安装在硬件里)。
直接地连接的来源(IPv6)

class-copp-ipv6-connected

从直接地连接的来源的组播数据流发送对组播状态可以创建的软件(和安装在硬件里)。
广播数据包

中集集团CoPP广播

广播包(例如,与广播DMAC的与组播DMAC的IP/Non IP和IP单播)漏对软件。
协议未知对(即不支持的由)根据硬件交换中集集团CoPP未知协议非IP协议,例如等等互联网分组交换,不会是交换的硬件。他们发送对软件并且转送那里。
进来通过PIM禁用的路由端口的组播数据流量class-copp-mcast-v4-data-on-routedPort通过路由端口进来的组播数据流量(其中PIM禁用)漏对软件。然而,发送他们到软件是不必要的,因此他们丢弃。
进来通过PIM禁用的路由端口的组播数据流量

class-copp-mcast-v6-data-on-routedPort

通过路由端口进来的组播数据流量(其中PIM禁用)漏对软件。然而,发送他们到软件是不必要的,因此他们丢弃。

入口桥接数据包的ACL重定向

中集集团CoPP ucast入口ACL桥接

硬件有软件设置的8 ACL相关的例外通过ACL重定向。这一个关连到单播信息包桥接对CPU由三重内容可编址存储器相关原因的ACL。

出口桥接数据包的ACL重定向

中集集团CoPP ucast出口ACL桥接硬件有软件设置的8 ACL相关的例外通过ACL重定向。这一个关连到单播信息包桥接对CPU由三重内容可编址存储器相关原因的ACL。

Mcast ACL重定向到对CPU的网桥信息包

中集集团CoPP mcast ACL桥接硬件有软件设置的8 ACL相关的例外通过ACL重定向。这一个关连组播处理。
对CPU的ACL网桥服务器负载均衡处理的 中集集团CoPP slb

硬件有软件设置的8 ACL相关的例外通过ACL重定向。这一个与服务器负载均衡(SLB)决策的硬件重定向关连。

ACL VACL日志重定向中集集团CoPP VACL LOG

硬件有软件设置的8 ACL相关的例外通过ACL重定向。这一个与数据包重定向关连由VLAN访问控制列表(VACL) ACL与Cisco IOS�记录日志目的CPU。

DHCP 监听中集集团CoPP DHCP监听

DHCP监听了数据包重定向对Dhcp处理的CPU

MAC策略根据转发

中集集团CoPP MACpbf策略基于转发将执行在CPU,因为硬件不是有能力在这种情况下转发数据包。
 

Ip admission网络准入控制 

 中集集团CoPP IP接纳 为了提供根据主机的防病毒凭证的网络访问,有状态验证通过这些选项之一:(1) L2接口将使用局域网端口IP (LPIP),其中地址解析服务(ARP)数据包重定向对CPU, (2) L3接口使用网关IP (GWIP)。在验证以后,有验证(*)。对于L2接口它是Webauth,进行HTTP数据包拦截,并且也许也执行网域名称转址(*)。对于L3接口,它是AuthProxy。
动态ARP检查中集集团CoPP ARP监听

为了防止毒害(man-in-the-middle)攻击的ARP,动态ARP检查(亦称动态ARP检查(戴))当它在CPU拦截然后处理他们一个这些时,验证ARP请求/答复由:(1)用户配置的ARP ACL (静态配置的主机), (2)对在委托数据库存储的IP地址捆绑的MAC地址(即DHCP捆绑)。仅有效ARP数据包用于更新本地ARP缓存或转发。

验证过程要求ARP数据包CPU介入,含义硬件CoPP是需要的为了防止DOS攻击。

对CPU的ACL重定向WCCP的中集集团CoPP WCCP使用,万一数据包/流需要重定向到WEB缓存通信协议(WCCP)转发决策的CPU。

对CPU的ACL重定向服务插入体系结构的(SIA)

中集集团CoPP服务插入使用,万一数据包/流需要重定向到SIA决策的CPU。
IPv6网络发现中集集团CoPP ND

为了重定向IPv6网络发现信息包到CPU进一步处理。

参考:RFC4861

验证

使用本部分可确认配置能否正常运行。

为了检查是否有在观察的流量任何已配置的CoPP类映射,请输入show policy-map control-plane命令。 

故障排除

目前没有针对此配置的故障排除信息。

相关信息



Document ID: 118806