スイッチ : Cisco Catalyst 6500 シリーズ スイッチ

Catalyst 6500 シリーズ スイッチのマイクロフロー ポリシングの設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この文書では、Catalyst 6500 シリーズ スイッチでのマイクロフロー ポリシングについて説明します。

Cisco TAC エンジニア Souvik Ghosh 著。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、Supervisor Engine 720 が稼働する Cisco Catalyst 6500 シリーズ スイッチに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

検討用の使用例を次に示します。 インターネットを使用するときに各学生の帯域幅を 10Mbps に制限する大学の要件があります。 集約ポリシングが設定されている場合、学生間で分配される帯域幅が異なることがあります。 この作業を行うには、マイクロフロー ポリサーの力を借りることが適切です。

マイクロフロー ポリシングはユーザがフローに基づいてトラフィックをポリシングするために役立ちます。 フローは、通常は、送信元 IP(SRC-IP)、宛先 IP(DST-IP)、SRC-DST IP、SRC-DST ポート、または SRC インターフェイスによって定義されます。 次に例を示します。

Source 10.0.0.1 sending a tcp stream to 15.0.0.1 with a source tcp port of 50
and destination 2000
Source 10.0.0.1 sending a tcp stream to 15.0.0.2 with a source tcp port of 60
and destination 2000.

分類が SRC-IP に基づいて行われる場合、フローの数は 1 になります。 分類が DST-IP に基づいて行われる場合、フローの数は 2 になります。 分類が DST ポートに基づいて行われる場合、フローの数は 1 になります。

: マイクロフロー ポリサーは集約ポリサーとは異なり入力方向にしか適用できません。

物理インターフェイスとスイッチ仮想インターフェイス(SVI)のいずれかであるインターフェイスでサービス ポリシーを適用すると、サービス ポリシーがハードウェアにプログラムされます。 エントリを格納するために Quality of Service(QoS)Ternary Content Addressable Memory(TCAM)が使用されます。 また、スイッチではフローを記憶しておく必要があるため、個々のフロー情報をハードウェアに保存します。 このために NetFlow TCAM が使用されます。 したがって、ハードウェアには、プログラミングを確認できる場所が 2 箇所あります。 アクセス コントロール リスト(ACL)TCAM と NetFlow TCAM です。

同じ NetFlow TCAM が、ネットワーク アドレス変換(NAT)、NetFlow データ エクスポート(NDE)、Web Cache Communication Protocol(WCCP)などの他の機能によって使用されるため、ハードウェアでマイクロフロー ポリサー プログラムに競合がある可能性があります。 一部の TCAM 競合シナリオについては、この文書の最後で説明します。

設定例

例 1

interVLAN ルーティングを実行する Cisco Catalyst 6500 シリーズ スイッチがあります。 トラフィックの送信元は VLAN 20 にあり、次の IP アドレスを持ちます。 20.20.20.2 および 20.20.20.3。 両方の送信元が VLAN 30 にある IP アドレス 30.30.30.2 にトラフィックを送信しようとします。 目標は各送信元に 100Kbps を割り当てることです。

  1. これら 2 つの送信元から着信するトラフィックに一致するように、クラス マップに ACL を作成し、マッピングします。
    ip access-list ext vlan20_30
    permit ip 20.20.20.0 0.0.0.255 30.30.30.0 0.0.0.255

    class-map POLICE_DIFF_SRC
    match access-group name vlan20_30


  2. policy-map でこのクラス マップを適用します。 必要に応じて、認定情報レート(CIR)とバースト値を設定します。

    policy-map POLICE_DIFF_SRC
    class POLICE_DIFF_SRC
    police flow mask src-only 100000 3000 conform transmit exceed drop


    ポリシング フロー マスクの後で使用できるオプションを次に示します。
    police flow mask ?
    dest-only
    full-flow
    src-only


  3. 入力 SVI または入力物理インターフェイスでこのサービス ポリシーを適用します。 インターフェイス VLAN の下に適用する場合は、物理インターフェイスで mls qos vlan-based を設定します。 これは、特定の VLAN のレイヤ 2 のインターフェイスにパケットが到達するとすぐにインターフェイス VLAN でポリシーを検出するように Cisco IOS® に指示します。

    interface vlan 20
    service-policy input POLICE_DIFF_SRC

例 2

同じ VLAN のトラフィックのレイヤ 2 スイッチングを実行している Catalyst 6500 シリーズ スイッチがあります。 次の例は、10.10.10.2 から着信し、VLAN の 10.10.10.3 に向かうトラフィックの帯域幅を 100Kbps に制限する方法を説明しています。 ポリサーでレイヤ 2 スイッチのトラフィックに影響を与えるには、インターフェイス VLAN 10 で mls qos bridged コマンドを入力します。

ip access-list ext VLAN10
permit ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255
class-map POLICE_SAME


match access-group name VLAN10
policy-map POLICE_SAME
class POLICE_SAME    
police flow mask src-only 100000 3000 conform transmit exceed drop


int vlan 10
service-policy in POLICE_SAME
mls qos bridged

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

  1. show mls qos ip コマンドを入力し、ポリサー名の横の [FL ID] をチェックします。 FL ID が 1 の場合、ポリシーはマイクロフロー ポリシングに使用されています。

    6500#show mls qos ip
     QoS Summary [IPv4]:      (* - shared aggregates, Mod - switch module)

     Int Mod Dir  Class-map DSCP  Ag  Trust   FL   AgForward-By   AgPoliced-By
                                                           Id           Id
    ---------------------------------------------------------------------------

    Fa3/3  1 In   POLICE_SAM   0   0*   dscp    1   11266001160            0

    この出力に基づいて、注目すべき複数のポイントを次に示します。

    • ポリシーはハードウェアでマッピングされています。
    • 適用先のインターフェイスは Fa3/3 です。
    • 分散型フォワーディング カード(DFC)対応ラインカード(LC)がシャーシにある場合、QoS ポリシーは、各 DFC とポリシー フィーチャ カード(PFC)に対して別々にプログラムされています。 モジュール番号はスロット 1 の PFC/DFC のエントリを提供します。
    • スーパーバイザ エンジン 720 が、作成されたすべての集約ポリサーの集約 ID(AgID)を作成します。 使用可能な ID の数は、ハードウェアの制限である最大 1020 AgID です。 これはマイクロフロー ポリサーに関連していませんが、集約ポリサーの便利なコマンドです。
    • 信頼フィールドは、この場合関係しません。
    • 前述のように FL ID は 1 です。
    • AgForward-By および AgPoliced-By は、マイクロフロー ポリサーによって送信されるかドロップされるパケットの計算に使用されていません(このためのコマンドは別に存在)。 ただし、集約ポリサーによって送信/ドロップされるパケットを計算するために同じカウンタが使用されます。


  2. ACL が QoS TCAM にプログラミングされているかどうかを判別するには、show tcam int < vlan/or physical interface> qos type1 ip コマンドを入力します。

    6500#show tcam interface fa3/3 qos type1 ip   
        QOS Results:   A - Aggregate Policing       F - Microflow Policing
        M - Mark          T - Trust
        U - Untrust
        ------------------------------------------------------
        FT     ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255  ==> entry is
        programmed correctly
        MU     ip any any


  3. フローが Netlflow TCAM にインストールされているかどうかを検出するには show mls NetFlow ip qos nowrap コマンドの出力を確認します。

    6500#show mls NetFlow ip qos nowrap 
    Displaying NetFlow entries in Active Supervisor EARL in module 1
    DstIP           SrcIP           Prot         : SrcPort :   DstPort   Src i/f         :AdjPtr    Pkts  
    Bytes         LastSeen      QoS       PoliceCount  Threshold   Leak          Drop     Bucket
    ------------------------------------------------------------------------------------------------------
    0.0.0.0          0.0.0.0            0                     :0                   :0           --
    0x0       140394     
    67383880   15:16:29        0x0                   0                    0           0
    NO             0

    0.0.0.0         10.10.10.2      0                     :0                   :0           --              
    0x0           227
    108506        15:16:22        0x0                  35996208    0           0                NO         3386


    この出力では、フロー(ソースのみ)が NetFlow TCAM にインストールされており、ポリシングされたパケットが 35,996,208 個であることを確認できます。

考えられる問題

これらのシナリオでサービス ポリシーがハードウェアでプログラムされていない可能性があります。 考えられる原因を次に示します。

  1. 設定できる集約ポリサーまたはマイクロフロー ポリサーの数に、ハードウェアの制限があります。 ハードウェア リソースを予約するために、サービス ポリシーがハードウェアでプログラムされていません。

    ポリサーの可用性をチェックするために show platform hardware capacity qoscan コマンドを入力します。

    6500#show platform hardware capacity qos
    QoS Policer Resources
      Aggregate policers: Module                      Total         Used     %Used
                          1                            1024            102     10%
                          6                            1024            102     10%
      Microflow policer configurations: Module        Total         Used     %Used
                                        1                64            32        50%
                                        6                64            32        50%


  2. 同じインターフェイスに設定された他の機能とフロー マスクが競合するため、マイクロフロー ポリサーで NetFlow TCAM にフローをキャッシュできない場合があります。

    フロー マスクの概念を理解することが重要です。 特定の機能のハードウェア アクセラレーションをサポートするために、特定の機能のインストール用に使用される数台の専用ハードウェア(TCAM)があります。 NAT WCCP NetFlow など、同じ TCAM を使用する複数の機能があります。 これらは一般に NetFlow TCAM と呼ばれる TCAM を使用する一方で、セキュリティ ACL、ポリシー ベース ルーティング(PBR)などの機能では ACL TCAM を使用します。

    NetFlow TCAM では、ハードウェアにエントリをインストールするためにフロー マスクが必要です。 NetFlow フロー マスクは、測定するフローの細かさを決定します。 非常に固有性の高いフロー マスクは、多数の NetFlow テーブル エントリおよびエクスポートするための大量の統計情報を生成します。 固有性の低いフロー マスクは、トラフィック統計情報を少数の NetFlow テーブル エントリに集約し、生成する統計情報の量も少なくなります。

    NetFlow テーブルの設定」記事は、フロー マスク要件(サポートされている)機能について説明します。

    • show fm summary コマンドを入力し、インターフェイスが非アクティブ状態であるかどうかを判別します。 非アクティブ状態は、インターフェイスに設定されている一部の機能をハードウェアでプログラムできないことを示します。 このインターフェイスで受信され、この機能を必要とするパケットは、ソフトウェアでプログラムされます。

      6500#show fm summary
      Interface: Vlan13 is up
      TCAM screening for features: INACTIVE inbound
      TCAM screening for features: INACTIVE outbound
      Interface: Vlan72 is up
      TCAM screening for features: ACTIVE inbound
      TCAM screening for features: ACTIVE outbound
      Interface: Vlan84 is up
      TCAM screening for features: ACTIVE inbound
      TCAM screening for features: INACTIVE outbound


    • show fm fie interface <> コマンドを入力し、マイクロフロー ポリサーがハードウェアで設定されているかどうかを判別します。

      6500#show fm fie int vlan 10
      Interface Vl10:
      Feature interaction state created: Yes
       Flowmask conflict status for protocol IP :
      FIE_FLOWMASK_STATUS_SUCCESS
      Flowmask conflict status for protocol OTHER :
      FIE_FLOWMASK_STATUS_SUCCESS Interface Vl10 [Ingress]:
       Slot(s) using the protocol IP : 1
       FIE Result for protocol IP : FIE_SUCCESS_NO_CONFLICT 
      Features Configured : [empty] - Protocol : IP 
      FM Label when FIE was invoked : 66  Current FM Label : 66 
      Last Merge is for slot: 0  num# of strategies tried : 1
        num# of merged VMRs in bank 1 = 0
        num# of free TCAM entries in Bank1 = Unknown
        num# of merged VMRs in bank 2 = 1
        num# of free TCAM entries in Bank2 = Unknown
       Slot(s) using the protocol OTHER : 1
       FIE Result for protocol OTHER : FIE_SUCCESS_NO_CONFLICT
       Features Configured : OTH_DEF   - Protocol : OTHER
       FM Label when FIE was invoked : 66
       Current FM Label : 66
       Last Merge is for slot: 0
       Features in Bank1 = OTH_DEF
      +-------------------------------------+
              Action Merge Table
      +-------------------------------------+
         OTH_DEF      RSLT    R_RSLT  COL
      +-------------------------------------+
         SB           HB      P       0
          X            P       P       0
      +-------------------------------------+
       num# of strategies tried : 1
       Description of merging strategy used:
       Serialized Banks: FALSE
       Bank1 Only Features: [empty]
       Bank2 Only Features: [empty]
       Banks Swappable: TRUE
       Merge Algorithm: ODM
       num# of merged VMRs in bank 1 = 1
       num# of free TCAM entries in Bank1 = 32745
       num# of merged VMRs in bank 2 = 0
       num# of free TCAM entries in Bank2 = 32744 Interface Vl10 [Egress]:
      No Features Configured
      No IP Guardian Feature Configured
      No IPv6 Guardian Feature Configured
      IP QoS Conflict resolution configured, QoS policy name: POLICE_SAME
    NetFlow TCAM を共有する同じインターフェイスに設定された機能では、互換性のあるフロー マスクを使用する必要があります。 互換性のあるフロー マスクはほとんどすべてのタイプの組み合わせに使用できます。

他の役に立つコマンド

  • ポリシーの適用
  • FL-ID=1 のチェック:show mls qos ip
  • QoS TCAM のチェック:show tcam int <> qos type 1 ip
  • NetFlow TCAM のチェック:show mls NetFlow ip qos module nowrap
  • ポリサーの可用性のチェック:show platform hardware capacity fabric
  • フロー マスク(FM)競合のチェック:show logshow fm summary
  • インターフェイスに設定された機能のチェック:show fm fie interface

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116468