Guía de Configuración de Soluciones de Calidad de Servicio de Cisco IOS, versión 12.2SR
Regulación del Plano de Control
21 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 275 KB | Inglés (30 Enero 2008) | Comentarios

Contenidos

Regulación del Plano de Control

Encontrar la información de la característica

Contenido

Requisitos previos para las Políticas del plano de control

Restricciones para las Políticas del plano de control

Información sobre las Políticas del plano de control

Ventajas de las Políticas del plano de control

Términos a entender

Controle la Seguridad y la descripción planas de QoS del paquete

Agregue los servicios planos del control

Servicios del avión del control distribuido

Uso de los servicios distribuidos CP

Operación del límite de velocidad de salida y del modo silencioso

Cómo utilizar las Políticas del plano de control

Definición de los servicios globales del avión del control

Prerrequisitos

Restricciones

Definición de los servicios del avión del control distribuido

Prerrequisitos

Restricciones

Verificar los servicios globales del avión del control

Ejemplos

Verificar los servicios del avión del control distribuido

Ejemplos

Ejemplos de configuración para las Políticas del plano de control

Ejemplo: Configurar las Políticas del plano de control en el tráfico de Telnet de la entrada

Ejemplo: Configurar las Políticas del plano de control en el tráfico de la salida ICMP

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Referencia de Comandos

Información de la característica para las Políticas del plano de control


Regulación del Plano de Control


Primera publicación: De enero el 19 de 2006
Última actualización: De julio el 23 de 2010

La característica de las Políticas del plano de control permite que usted configure un filtro del Calidad de Servicio (QoS) que maneje el flujo de tráfico de paquetes del avión del control para proteger el avión del control del Routers y del Switches del Cisco IOS contra los ataques del reconocimiento y del servicio negado (DOS). De esta manera, el avión del control (CP) puede ayudar a mantener los estados del reenvío de paquete y del protocolo a pesar de un ataque o una carga de tráfico intenso en el router o el Switch.

Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección de las Políticas del plano de control”.

Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Contenido

Requisitos previos para las Políticas del plano de control

Restricciones para las Políticas del plano de control

Información sobre las Políticas del plano de control

Cómo utilizar las Políticas del plano de control

Ejemplos de configuración para las Políticas del plano de control

Referencias adicionales

Referencia de Comandos

Información de la característica para las Políticas del plano de control

Requisitos previos para las Políticas del plano de control

Utilizan al comando line interface(cli) de la calidad de servicio modular (QoS) (MQC) de configurar la clasificación de paquetes y las funciones del policing de la característica de las Políticas del plano de control.

Antes de configurar las Políticas del plano de control (CoPP), usted debe entender los procedimientos para usar el MQC. Para la información sobre el MQC, vea “aplicando las características de QoS usando el módulo MQC”.

Restricciones para las Políticas del plano de control

Políticas del plano de control globales y distribuidas

El policing global se soporta en el Cisco IOS Release 12.0(29)S, Cisco IOS Release 12.2(18)S, Cisco IOS Release 12.3(4)T, y posterior las versiones.

El policing distribuido se soporta solamente en las versiones del Cisco IOS 12.0S del Cisco IOS Release 12.0(30)S y Posterior.

Soporte del límite de velocidad de salida

El límite de velocidad de salida se realiza en el modo silencioso (del descarte de paquetes). El modo silencioso permite a un router para desechar silenciosamente los paquetes usando las correspondencias de políticas aplicadas al tráfico del plano del control de salida con service-policy output el comando. Para más información, vea “la sección de la operación del límite de velocidad de salida y del modo silencioso”.

El límite de velocidad de salida (policing) en el modo silencioso se soporta solamente en:

Versiones del Cisco IOS 12.2S del Cisco IOS Release 12.2(25)S y Posterior

Versiones del Cisco IOS 12.3T del Cisco IOS Release 12.3(4)T y Posterior

El límite de velocidad de salida no se soporta para los servicios del avión del control distribuido en las versiones del Cisco IOS 12.0S o en las versiones del Cisco IOS 12.2SX.

El límite de velocidad de salida no se soporta en las Cisco 7500 Series y el router Internet cisco 10720.

Restricciones MQC

La característica de las Políticas del plano de control requiere el MQC configurar la clasificación de paquetes y el policing. Todas las restricciones que se aplican cuando usted utiliza el MQC para configurar la vigilancia también se aplican cuando usted configura las Políticas del plano de control. Solamente dos acciones MQC se soportan en las correspondencias de políticaspolice — y drop.


Observeen el router Internet cisco 10720, sólo police el comando, no drop el comando, se soporta en las correspondencias de políticas. Además, en una política de servicio de QoS que se asocie al avión del control del Cisco 10720, police el comando no soporta set las acciones como los argumentos adentro conform-action exceed-action, y violate-action parámetros.


Las características que requieren la clasificación del Network-Based Application Recognition (NBAR) pueden no trabajar bien en el nivel del avión del control. Los criterios siguientes de la clasificación (coincidencia) se soportan en todas las Plataformas:

Estándar y listas de acceso IP ampliado (ACL).

En el modo del configuración class-map: match ip dscp match ip precedence, y match protocol arp, y match protocol pppoe comandos.


Observeen la versión del Cisco IOS 12.2SX, match protocol arp el comando no se soporta.


En el router Internet cisco 10720, soportan a los comandos mqc siguientes también en el modo del configuración class-map: match input-interface match mpls experimental match protocol ipv6, y match qos-group. Al usar estos comandos para las Políticas del plano de control en el router Internet cisco 10720, observe las restricciones siguientes:

La clasificación de paquetes usando los criterios de concordancia no se soporta para los paquetes que no se pueden clasificar en el trayecto de datos del Cisco 10720, tal como encapsulación desconocida de la capa 2 y opciones IP.

Los campos siguientes del IPv6 no deben ser soportados en la clasificación de paquetes para el IPv6 QoS en el router Internet cisco 10720 y, por lo tanto, no se soportan para las Políticas del plano de control:

– Direcciones de origen y de destino del IPv6

– Clase de Servicio (CoS) de la capa 2

– IPv6 que rutea el indicador de la encabezado

– Indicador indeterminado del transporte del IPv6

– Escritura de la etiqueta del flujo del IPv6

– Real-Time Transport Protocol (RTP) IP


Observelos paquetes que no se soportan para la clasificación de paquetes de QoS en el router Internet cisco 10720 no se limpian en la clase del tráfico predeterminado para las Políticas del plano de control.


El CISCO-CLASS-BASED-QOS-MIB controla el soporte plano

En las versiones del Cisco IOS 12.3T del Cisco IOS Release 12.3(7)T y Posterior, el CISCO-CLASS-BASED-QOS-MIB se amplía para manejar las directivas planas de QoS del control y para proporcionar la información sobre el avión del control.

Cisco IOS Release 12.2(18)SXD1

En las versiones del Cisco IOS Release 12.2(18)SXD1 y Posterior, la interfaz del avión del control del hardware para las Políticas del plano de control tiene las restricciones siguientes:

Soportado solamente con el Supervisor Engine 720. No soportado con el Supervisor Engine 2.

No soporta el límite de velocidad de salida de CoPP (policing).

No apoya al modo de funcionamiento silencioso de CoPP.

Las versiones del Cisco IOS Release 12.2(18)SXD1 y Posterior instalan automáticamente la política de servicio de CoPP en todos los módulos equipado con DFC de la transferencia.

Para más información sobre las Políticas del plano de control en las versiones del Cisco IOS Release 12.2(18)SXD1 y Posterior, vea cualquiera de estas publicaciones:

Para los Catalyst 6500 Series Switch, vea “configurando el módulo de las Políticas del plano de control (CoPP)”.

Para los Cisco 7600 Series Router, vea “configurando el módulo de la protección de la negación de servicio”.

Información sobre las Políticas del plano de control

Para configurar la característica de las Políticas del plano de control, usted debe entender los conceptos siguientes:

Ventajas de las Políticas del plano de control

Términos a entender

Controle la Seguridad y la descripción planas de QoS del paquete

Agregue los servicios planos del control

Servicios del avión del control distribuido

Uso de los servicios distribuidos CP

Operación del límite de velocidad de salida y del modo silencioso

Ventajas de las Políticas del plano de control

Configurando las Políticas del plano de control ofrezca en su router Cisco o el Switch proporciona las siguientes ventajas:

Protección contra los ataques DOS en los routeres de infraestructura y el Switches

Control de QoS para los paquetes que se destinan al avión del control de los routeres Cisco o del Switches

Facilidad de la configuración para las directivas del avión del control

Una mejores confiabilidad y Disponibilidad de la plataforma

Términos a entender

Porque diversas Plataformas pueden tener diversas arquitecturas, el conjunto siguiente de los términos se define. El cuadro 1 ilustra cómo las Políticas del plano de control trabajan.

Cuadro 1 disposición del avión del control, del motor de switch central, de los motores de Switch distribuidos, y del linecards en un router


Avión del control (CP) — Una colección de procesos que se ejecutan en el nivel de proceso en el (RP) del Route Processor. Estos procesos proporcionan colectivamente el control de alto nivel para la mayoría de las funciones del Cisco IOS.

Motor de switch central — Un dispositivo que es responsable de la encaminamiento de alta velocidad de los paquetes IP. Lleva a cabo también típicamente los servicios de alta velocidad de entrada y salida para las interfaces nondistributed. (Véase el linecards nondistributed.) El motor de switch central se utiliza para implementar la protección global CP para todas las interfaces en el router.


Observetodos los paquetes IP que sean destinados para el CP deban pasar a través del motor de switch central antes de que se remitan al nivel de proceso.


En el router Internet cisco 10720, las Políticas del plano de control se implementan en el Parallel Express Forwarding de Cisco (PXF) en una arquitectura Tostadora-basada. El PXF es un motor de switch central basado en hardware que puede filtrar tráfico a una tarifa más alta que el Route Processor. El PXF conmuta todo el tráfico de datos por separado del Route Processor. El proceso del paquete PXF ocurre en un paso intermedio entre el linecards nondistributed y el Route Processor mostrado en el cuadro 1. además de llevar en batea regular, el PXF también lleva en batea los tipos determinados de paquetes (tales como encapsulación desconocida y paquetes de la capa 2 con las opciones IP) al RP para el procesamiento adicional en el nivel de interrupción.


Observeen el router Internet cisco 10720, usted puede configurar la protección aumentada RP usando ip option drop el comando de caer los paquetes del IPv4 con las opciones IP que son llevadas en batea al RP por el PXF. Los paquetes tunneled del IPv4 y los paquetes del IPv4 con un método de encapsulación sin apoyo no se caen. Para más información, vea “el módulo del descenso selectivo de las opciones IP ACL”.


Switch Engine distribuido — Un dispositivo que es responsable del Switching de alta velocidad de los paquetes IP en el linecards distribuido sin usar los recursos del motor de switch central. Lleva a cabo también típicamente los servicios de entrada y salida para el linecard. Cada uno Switch Engine distribuido se utiliza para implementar los servicios distribuidos CP para todos los puertos en un linecard. Entre los servicios CP distribuyen la carga de procesamiento a través del linecards múltiple y conservan los recursos vitales del motor de switch central. Los servicios distribuidos CP son opcionales; sin embargo, proporcionan un nivel refinado de servicio que los servicios globales.

Linecards Nondistributed — Linecards que es responsable de recibir los paquetes y de vez en cuando de llevar a cabo los servicios de entrada y salida. Todos los paquetes se deben remitir al motor de switch central para una encaminamiento o una decisión de Switching. Los servicios globales CP proporcionan la cobertura para el linecards nondistributed.


Soportana los servicios distribuidos nota CP solamente en las versiones del Cisco IOS Release 12.0(30)S y Posterior 12.0S.


Controle la Seguridad y la descripción planas de QoS del paquete

Para proteger el CP en un router contra los ataques DOS y proporcionar el paquete QoS, la característica de las Políticas del plano de control trata el CP como entidad separada con sus propios puertos del ingreso (entrada) y de la salida (salida), que son como los puertos en un router y un Switch. Porque la característica de las Políticas del plano de control trata el CP como entidad separada, un conjunto de reglas se puede establecer y asociar al ingreso y a los puertos de egreso del CP.

Estas reglas son aplicadas solamente después que el paquete se ha determinado para tener el CP como su destino o cuando un paquete sale el CP. Después de eso, usted puede configurar una política de servicio para evitar que los paquetes no deseados progresen después de que se haya alcanzado un límite de la velocidad especificada; por ejemplo, un administrador de sistema puede limitar todos los paquetes TCP/SYN que sean destinados para el CP a una velocidad máxima de 1 megabit por segundo.

Ejecutan a los servicios de la entrada CP después de que hayan llevado a cabo a los servicios de puerto de entrada del router y después de que una decisión de ruteo en la trayectoria de la entrada se ha tomado. Tal y como se muestra en del cuadro 2, la Seguridad y el paquete QoS CP se aplican encendido:

Un nivel global por el motor de switch central y aplicado a todos los paquetes CP recibidos de todo el linecards en el router (véase la sección “del control de los servicios globales del avión”).

Un nivel distribuido por el Switch Engine distribuido de un linecard y aplicado a todos los paquetes CP recibidos de todas las interfaces en el linecard (véase “la sección de los servicios del avión del control distribuido”).

Cuadro 2 servicios planos del control de entrada: Agregado y servicios distribuidos

Los siguientes tipos de paquetes de la capa 3 se remiten al avión del control y son procesados por el agregado y las Políticas del plano de control distribuidas:

Paquetes de control del Routing Protocol

Paquetes destinados para el IP Address local del router

Paquetes de los protocolos de la Administración (tales como protocolo administración de red simple [SNMP], Telnet, y Secure Shell [SSH])


La notase asegura de que los paquetes de control de la capa 3 tengan prioridad sobre otros tipos de paquete que sean destinados para el avión del control.


Servicios globales del avión del control

Los servicios globales del avión del control proporcionan las Políticas del plano de control para todos los paquetes CP que se reciban de todas las interfaces del linecard en el router.

El motor de switch central ejecuta los servicios de puerto de entrada normales y toma las decisiones de ruteo para un paquete entrante: si el paquete es destinado para el CP, llevan a cabo a los servicios globales. Porque el tráfico CP de todo el linecards debe pasar con los servicios globales CP, estos servicios manejan la cantidad acumulativa de tráfico CP que alcance el CP.

Los pasos globales del servicio CP son como sigue:

1. El linecard recibe un paquete y lo entrega al motor de switch central.


Observeantes de que el paquete se envía al motor de switch central, el proceso adicional puede ser necesario para las Plataformas que soportan el policing del nivel del hardware o el policing global específico de la plataforma. Es posible que el paquete puede experimentar los controles múltiples antes de que experimente el control genérico del Cisco IOS.


2. Las interfaces realizan los servicios de puerto de entrada normales (del interfaz-nivel) y QoS.

3. El motor de switch central realiza el Layer 3 Switching o toma una decisión de ruteo, determinando independientemente de si el paquete es destinado para el CP.

4. El motor de switch central lleva a cabo los servicios globales CP para todos los paquetes CP.

5.En base de los resultados de los servicios del agregado CP, el motor de switch central cae el paquete o entrega el paquete al CP para el proceso final.

Resaltados de las funciones de los servicios globales CP

La lista siguiente resalta las funciones de los servicios globales CP:

Definen para una sola interfaz de entrada, tal como el CP, y representan a los servicios globales CP un agregado para todos los puertos en un router.

La Calidad del servicio (QoS) modular se utiliza para definir los servicios CP. Las correspondencias y las correspondencias de políticas de la clase para la protección DoS y el paquete QoS se definen para una sola política de servicio del agregado CP.

La Calidad del servicio (QoS) modular no evita que un solo mún puerto consuma todo el ancho de banda afectado un aparato. Clasifique las correspondencias que hacen juego una interfaz o la subinterfaz puede poder obligar la contribución de cada interfaz a través de una correspondencia de políticas interfaz-específica.

Servicios del avión del control distribuido

Los servicios del avión del control distribuido proporcionan las Políticas del plano de control para todos los paquetes CP que se reciban de las interfaces en un linecard.

Un Switch Engine distribuido ejecuta los servicios de puerto de entrada normales y toma las decisiones de ruteo para un paquete: si el paquete es destinado para el CP, llevan a cabo a los servicios distribuidos CP. Luego, el tráfico CP de cada linecard se remite al motor de switch central donde están aplicados los servicios del agregado CP.


Los serviciosdistribuidos nota CP pueden también remitir los paquetes condicionados al motor de switch central. En este caso, llevan a cabo a los servicios globales CP también en el tráfico condicionado CP.


El CP distribuido mantiene los pasos es como sigue:

1. Un linecard recibe un paquete y lo entrega al Switch Engine distribuido.

2. El Switch Engine distribuido realiza los servicios de puerto de entrada normales (del interfaz-nivel) y QoS.

3. El Switch Engine distribuido realiza la capa 2 o el Layer 3 Switching o toma una decisión de ruteo, determinando si el paquete es destinado para el CP.

4. El Switch Engine distribuido lleva a cabo los servicios distribuidos CP para todos los paquetes CP.

5.En base de los resultados de los servicios distribuidos CP, el Switch Engine distribuido cae el paquete o marca el paquete y lo entrega al motor de switch central para el procesamiento adicional.

6. El motor de switch central lleva a cabo los servicios globales CP y entrega el paquete al CP para el proceso final.

Resaltados de las funciones de los servicios distribuidos CP

La lista siguiente resalta las funciones de los servicios distribuidos CP:

Definen para una sola interfaz de entrada, tal como el CP distribuido, y representan a los servicios distribuidos CP un agregado para todos los puertos en un linecard.

El MQC se utiliza para definir los servicios CP. Las correspondencias y las correspondencias de políticas de la clase para la protección DoS y el paquete QoS se definen para una sola política de servicio distribuida CP. Cada linecard puede tener una política de servicio única CP que aplique las Clasificaciones de tráfico, las directivas de QoS, y los servicios DOS a los paquetes recibidos de todos los puertos en el linecard de una manera global.

El MQC no evita que un mún puerto consuma todo el ancho de banda afectado un aparato en un linecard. Clasifique las correspondencias que hacen juego una interfaz o la subinterfaz puede poder obligar la contribución de cada interfaz a través de una correspondencia de políticas interfaz-específica.

Los servicios distribuidos CP permiten que usted limite el número de paquetes CP remitidos de un linecard al motor de switch central. El número total de paquetes CP recibidos de todo el linecards en un router puede exceder los niveles globales CP.

Uso de los servicios distribuidos CP

El propósito de la protección y del paquete QoS CP es aplicar el suficiente control a los paquetes que alcanzan el avión del control. Para configurar con éxito este nivel de protección CP, usted debe:

Aplique los servicios tradicionales de QoS usando el MQC a los paquetes CP.

Proteja la trayectoria al avión del control contra la caída indistinta del paquete debido al agotamiento de recursos. Si los paquetes no se caen según las directivas definidas por el usario de QoS, sino son caído debido a una limitación de recursos, política de calidad de servicio (QoS) no se mantiene.

Los servicios distribuidos CP permiten que usted configure los servicios específicos CP que se aplican en el nivel del linecard y se requieren por las razones siguientes:

Mientras que bajo ataque DOS, los recursos del linecard pueden ser consumidos. En este caso, usted debe configurar una política para tirar paquetes para identificar los paquetes importantes. La política para tirar paquetes se asegura de que los paquetes importantísimos lleguen al motor de switch central para la protección global CP y lleguen más adelante al CP. Los servicios distribuidos CP permiten que el Routers aplique la política para tirar paquetes apropiada cuando se consumen los recursos y por lo tanto que mantenga las prioridades deseadas de QoS. Si un linecard cae indistintamente los paquetes, el filtro del agregado CP llega a ser ineficaz y las prioridades de QoS se mantienen no más.

No es posible evitar que una interfaz consuma todos los recursos del agregado CP. Un ataque DOS en un puerto puede afectar negativamente el proceso CP del tráfico de otros puertos. Los servicios distribuidos CP permiten que usted limite la cantidad de tráfico importante que sea remitido por un linecard al CP. Por ejemplo, usted puede configurar un acercamiento acodado en el cual los índices combinados de todo el linecards sean con demasiada demanda comparados a la velocidad total. El índice de cada linecard individual estaría debajo de la velocidad total, pero combinado juntos, los índices de todo el linecards la exceden. Este modelo de la suscripción excesiva es de uso general para otras funciones recurso-relacionadas y las ayudas limitan la contribución de los paquetes CP de cualquier un linecard.

Los servicios distribuidos CP preven la filtración del slot-nivel (linecard). las interfaces del Cliente-revestimiento pueden tener mayores requerimientos de seguridad (con más restricciones o por las razones que cargan en cuenta) que las interfaces del red-revestimiento a los dispositivos de estructura básica.

Porque la protección distribuida CP permite que usted configure los filtros de paquete sobre una base del por-línea-indicador luminoso LED amarillo de la placa muestra gravedad menor, los ciclos de procesamiento en el linecards pueden descargar el proceso del nivel global. Usted puede configurar el Border Gateway Protocol (BGP) que filtra en el nivel distribuido para las interfaces que utilizan el BGP, permitiendo que el nivel global filtre los paquetes con los requisitos restantes del filtro. O usted puede configurar los filtros idénticos para distribuido y los servicios globales CP con una marca distribuida del paquete proyectan que informe al filtro global que un paquete se ha marcado ya. El procesamiento del servicio distribuido CP reduce más lejos el proceso global y puede reducir perceptiblemente la carga en los servicios globales CP.

Operación del límite de velocidad de salida y del modo silencioso

Habilitan a un router automáticamente para desechar silenciosamente los paquetes cuando usted configura el policing de la salida en el tráfico del plano del control usando service-policy output policy-map-name el comando.

La limitación de la tarifa (policing) del tráfico de la salida del CP se realiza en el modo silencioso. En el modo silencioso, un router que es corriente Cisco IOS Software actúa sin el envío de ningunos mensajes del sistema. Si un paquete que está saliendo el avión del control se desecha para el policing de la salida, usted no recibe un mensaje de error.

Cuando las Políticas del plano de control se configuran para el tráfico de la salida, los mensajes de error no se generan en los casos siguientes:

Trafique que se está transmitiendo a un puerto el cual el router no esté escuchando

Una conexión a una dirección legítima y a un puerto que se rechaza debido a una petición malformada


Observelas funciones del modo silencioso y el policing de la salida en el tráfico CP se soporta solamente en:

Versiones del Cisco IOS 12.2S del Cisco IOS Release 12.2(25)S y Posterior

Versiones del Cisco IOS 12.3T del Cisco IOS Release 12.3(4)T y Posterior

El policing del modo silencioso y de la salida en el tráfico CP no se soporta para los servicios del avión del control distribuido.


Cómo utilizar las Políticas del plano de control

Esta sección documenta los siguientes procedimientos:

Definiendo los servicios globales del avión del control (requeridos)

Definiendo los servicios del avión del control distribuido (requeridos)

Verificando los servicios globales del avión del control (opcionales)

Verificando los servicios del avión del control distribuido (opcionales)

Definición de los servicios globales del avión del control

Para configurar los servicios globales CP, tales como control de la velocidad de paquetes y descarte de paquetes silencioso, para el procesador de la ruta activa, completa los pasos siguientes.

Prerrequisitos

Antes de que usted ingrese al modo de configuración de la controle de plano para asociar un existente política de calidad de servicio (QoS) al avión del control, usted debe primero crear la directiva usando el MQC para definir una correspondencia y una correspondencia de políticas de la clase para el tráfico del plano del control.

Restricciones

Las restricciones específicas de la plataforma, eventualmente, se marcan cuando la política de servicio se aplica a la interfaz del avión del control.

El soporte para el policing de la salida está disponible solamente en las versiones del T-tren del Cisco IOS Release 12.3(4)T y Posterior. (La nota que hace salir el policing no proporciona a ninguna beneficios de rendimiento. Controla simplemente la información que está saliendo del dispositivo.)

PASOS SUMARIOS

1. enable

2. configure terminal

3. control-plane

4.service-policy {input | output} policy-map-name

5. end

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

control-plane

Example:

Router(config)# control-plane

Ingresa al modo de configuración de la controle de plano (un requisito previo para el paso 4).

Paso 4 

service-policy {input | output} policy-map-name

Example:

Router(config-cp)# service-policy input control-plane-policy

Asocia una política de servicio de QoS al avión del control. Observe las puntas siguientes:

input — Aplica la directiva de servicio especificado a los paquetes recibidos en el avión del control.

output — Aplica la directiva de servicio especificado a los paquetes transmitidos del avión del control y permite al router para desechar silenciosamente los paquetes.

policy-map-name — Nombre de una correspondencia de la política de servicio (creada usando policy-map el comando) que se asociará. El nombre puede tener un máximo de 40 caracteres alfanuméricos.

Paso 5 

end

Example:

Router(config-cp)# end

(Opcional) Vuelve al modo EXEC privilegiado.

Definición de los servicios del avión del control distribuido

Para configurar distribuyó los servicios CP, tales como control de la velocidad de paquetes, para los paquetes que son destinados para el CP y se envían de las interfaces en un linecard, completa los pasos siguientes.

Prerrequisitos

Antes de que usted ingrese al modo de configuración de la controle de plano para asociar un existente política de calidad de servicio (QoS) para llevar a cabo los servicios distribuidos de la controle de plano, usted debe primero crear la directiva usando el MQC para definir una correspondencia y una correspondencia de políticas de la clase para el tráfico de plano de control.

Restricciones

Las restricciones específicas de la plataforma, eventualmente, se marcan cuando la política de servicio se aplica a la interfaz del avión del control.

El soporte para el policing de la salida está disponible solamente en las versiones del T-tren del Cisco IOS Release 12.3(4)T y Posterior. (La nota que hace salir el policing no proporciona a ninguna beneficios de rendimiento. Controla simplemente la información que está saliendo del dispositivo.)

Con las versiones del Cisco IOS 12.2SX, el Supervisor Engine 720 instala automáticamente la política de servicio en todos los módulos equipado con DFC de la transferencia.

PASOS SUMARIOS

1. enable

2. configure terminal

3.control-plane []slot slot-number

4. service-policy input policy-map-name

5. end

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

control-plane [slot slot-number]

Example:

Router(config)# control-plane slot 3

Ingresa al modo de configuración de la controle de plano, que permite que usted asocie opcionalmente a política de calidad de servicio (QoS) (utilizado para manejar el tráfico CP) al slot especificado.

Ingrese slot la palabra clave y el número de slot, como aplicable.

Paso 4 

service-policy input policy-map-name

Example:

Router(config-cp)# service-policy input control-plane-policy

Asocia política de calidad de servicio (QoS) una correspondencia para filtrar y para manejar el tráfico CP en un linecard especificado antes de que la directiva del agregado CP sea aplicada. Observe las puntas siguientes:

input — Aplica la correspondencia de políticas especificada usando el Switch Engine distribuido a los paquetes CP que se reciben de todas las interfaces en el linecard.

policy-map-name — Nombre de una correspondencia de la política de servicio (creada usando policy-map el comando) que se asociará. El nombre puede tener un máximo de 40 caracteres alfanuméricos.

Observe service-policy output policy-map-nameel comando no se soporta para aplicar política de calidad de servicio (QoS) una correspondencia para los servicios del avión del control distribuido.

Paso 5 

end

Example:

Router(config-cp)# end

(Opcional) Vuelve al modo EXEC privilegiado.

Verificar los servicios globales del avión del control

Al mostrar información sobre la política de servicio asociada al avión del control para los servicios globales CP, complete los pasos siguientes.

PASOS SUMARIOS

1. enable

2.show policy-map control-plane [[[]all] input class class-name | output []class class-name]

3. exit

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

show policy-map control-plane [all] [input [class class-name] | output [class class-name]]

Example:

Router# show policy-map control-plane all

Visualiza la información sobre el avión del control. Observe las puntas siguientes:

all — Información (opcional) de la política de servicio sobre todas las directivas de QoS usadas en el agregado y los servicios distribuidos CP.

input — Estadísticas (opcionales) para la política de entrada asociada.

output — Estadísticas (opcionales) para la política de resultado asociada.

class class-name — Nombre (opcional) de la clase de tráfico cuyas configuración y se visualizan estadísticas.

Paso 3 

exit

Example:

Router(config-cp)# exit

Modo EXEC privilegiado (opcional) de las salidas.

Ejemplos

El siguiente ejemplo muestra que la PRUEBA de la correspondencia de políticas está asociada al avión del control. Esta correspondencia de políticas limpia el tráfico que hace juego la PRUEBA de la correspondencia de la clase, mientras que permite que vaya el resto del tráfico (ese hace juego la correspondencia “class-default” de la clase) a través como es.

Router# show policy-map control-plane 

Control Plane 

Service-policy input:TEST

Class-map:TEST (match-all)
      20 packets, 11280 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match:access-group 101
      police:
        8000 bps, 1500 limit, 1500 extended limit
        conformed 15 packets, 6210 bytes; action:transmit
        exceeded 5 packets, 5070 bytes; action:drop
        violated 0 packets, 0 bytes; action:drop
        conformed 0 bps, exceed 0 bps, violate 0 bps

Class-map:class-default (match-any)
      105325 packets, 11415151 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match:any 

Verificar los servicios del avión del control distribuido

Al mostrar información sobre la política de servicio asociada al avión del control para llevar a cabo los servicios distribuidos CP, complete los pasos siguientes.

PASOS SUMARIOS

1. enable

2.show policy-map control-plane [all | slot slot-number] [[]input class class-name | output []class class-name]

3. exit

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

show policy-map control-plane [all][slot slot-number] [input [class class-name] | output [class class-name]]

Example:

Router# show policy-map control-plane slot 2

Visualiza la información sobre la política de servicio usada para aplicar los servicios distribuidos CP en el router. Observe las puntas siguientes:

all — Información (opcional) de la política de servicio sobre todas las directivas de QoS usadas en el agregado y los servicios distribuidos CP.

slot slot-number — Información (opcional) de la política de servicio sobre política de calidad de servicio (QoS) la correspondencia usada para llevar a cabo los servicios distribuidos CP en el linecard especificado.

input — Estadísticas (opcionales) para la correspondencia asociada de la política de entrada.

output — Estadísticas (opcionales) para la correspondencia asociada de la política de resultado.

class class-name — Nombre (opcional) de la clase de tráfico cuyas configuración y se visualizan estadísticas.

Paso 3 

exit

Example:

Router# exit

Modo EXEC privilegiado (opcional) de las salidas.

Ejemplos

Las demostraciones del siguiente ejemplo cómo al mostrar información sobre las clases de tráfico CP recibidas de todas las interfaces en el linecard en el slot1 a las cuales la correspondencia de políticas TESTII es aplicada para el CP distribuido mantiene. Esta correspondencia de políticas limpia el tráfico que hace juego la clase de tráfico TESTII, mientras que permite que vaya el resto del tráfico (ese hace juego la correspondencia “class-default” de la clase) a través como es.

Router# show policy-map control-plane slot 1

Control Plane - slot 1

Service-policy input: TESTII (1048)

Class-map: TESTII (match-all) (1049/4)
        0 packets, 0 bytes
        5 minute offered rate 0 bps, drop rate 0 bps
        Match: protocol arp (1050)
        police:
            cir 8000 bps, bc 4470 bytes, be 4470 bytes
          conformed 0 packets, 0 bytes; actions:
            transmit
          exceeded 0 packets, 0 bytes; actions:
            drop
          violated 0 packets, 0 bytes; actions:
            drop
          conformed 0 bps, exceed 0 bps, violate 0 bps

Class-map: class-default (match-any) (1052/0)
        0 packets, 0 bytes
        5 minute offered rate 0 bps, drop rate 0 bps
        Match: any  (1053)

Ejemplos de configuración para las Políticas del plano de control

Esta sección contiene los ejemplos que muestra cómo configurar los servicios globales del avión del control en una entrada y una interfaz de salida:

Ejemplo: Configurar las Políticas del plano de control en el tráfico de Telnet de la entrada

Ejemplo: Configurar las Políticas del plano de control en el tráfico de la salida ICMP

Ejemplo: Configurar las Políticas del plano de control en el tráfico de Telnet de la entrada

Las demostraciones del siguiente ejemplo cómo aplicar a política de calidad de servicio (QoS) para los servicios globales CP al tráfico de Telnet que se recibe en el avión del control. Los host confiables con las direcciones de origen 10.1.1.1 y 10.1.1.2 remiten los paquetes Telnet al avión del control sin el obstáculo, mientras que permiten que todos los paquetes Telnet restantes sean limpiados a la velocidad especificada.

! Allow 10.1.1.1 trusted host traffic.
Router(config)# access-list 140 deny tcp host 10.1.1.1 any eq telnet 
! Allow 10.1.1.2 trusted host traffic. 
Router(config)# access-list 140 deny tcp host 10.1.1.2 any eq telnet 
! Rate-limit all other Telnet traffic.
Router(config)# access-list 140 permit tcp any any eq telnet
! Define class-map "telnet-class."
Router(config)# class-map telnet-class 
Router(config-cmap)# match access-group 140
Router(config-cmap)# exit
Router(config)# policy-map control-plane-in
Router(config-pmap)# class telnet-class
Router(config-pmap-c)# police 80000 conform transmit exceed drop
Router(config-pmap-c)# exit
Router(config-pmap)# exit
! Define aggregate control plane service for the active route processor.
Router(config)# control-plane
Router(config-cp)# service-policy input control-plane-in
Router(config-cp)# end

Ejemplo: Configurar las Políticas del plano de control en el tráfico de la salida ICMP

Las demostraciones del siguiente ejemplo cómo aplicar a política de calidad de servicio (QoS) para los servicios globales CP al tráfico de Telnet transmitido del avión del control. Las redes de confianza con las direcciones de origen 10.0.0.0 y 10.0.0.1 reciben las respuestas puerto-inalcanzables del protocolo internet control management (ICMP) sin el obstáculo, mientras que permite que a todo el ICMP restante las respuestas puerto-inalcanzables sean caídas:

! Allow 10.0.0.0 trusted network traffic.
Router(config)# access-list 141 deny icmp 10.0.0.0 0.0.0.255 any port-unreachable 
! Allow 10.0.0.1 trusted network traffic.
Router(config)# access-list 141 deny icmp 10.0.0.1 0.0.0.255 any port-unreachable 
! Rate-limit all other ICMP traffic. 
Router(config)# access-list 141 permit icmp any any port-unreachable
Router(config)# class-map icmp-class 
Router(config-cmap)# match access-group 141
Router(config-cmap)# exit
Router(config)# policy-map control-plane-out
! Drop all traffic that matches the class "icmp-class."
Router(config-pmap)# class icmp-class
Router(config-pmap-c)# drop
Router(config-pmap-c)# exit
Router(config-pmap)# exit
Router(config)# control-plane
! Define aggregate control plane service for the active route processor.
Router(config-cp)# service-policy output control-plane-out
Router(config-cp)# end

Referencias adicionales

Las secciones siguientes proporcionan las referencias relacionadas con la característica de las Políticas del plano de control.

Documentos Relacionados

Tema relacionado
Título del documento

Comandos de QoS: sintaxis de comandos completa, modos de comandos, historial de comandos, valores predeterminados, pautas de uso y ejemplos

Referencia de Comandos de las Soluciones de Calidad de Servicio de Cisco IOS

QoS ofrece la descripción

Módulo de la descripción de la calidad de servicio”

MQC

“Aplicando las características de QoS usando módulo MQC”

Descripción de las funciones de seguridad

“Controle módulo de la Descripción general de seguridad plana” en la guía de configuración de la Seguridad de Cisco IOS: Sujeción del avión del control

Políticas del plano de control en las versiones del Cisco IOS Release 12.2(18)SXD1 y Posterior

Para los Catalyst 6500 Series Switch, vea “configurando el módulo de las Políticas del plano de control (CoPP)”.

Para los Cisco 7600 Series Router, vea “configurando el módulo de la protección de la negación de servicio”.

Protección aumentada RP

Módulo del descenso selectivo de las opciones IP ACL”


Estándares

Estándar
Título

Esta función no soporta estándares nuevos o modificados, y el soporte de los estándares existentes no ha sido modificado por ella.


MIB

MIB
Link del MIB

CISCO-CLASS-BASED-QOS-MIB

Observesoportado solamente en el Cisco IOS Release 12.3(7)T.

Para localizar y descargar el MIB para las plataformas elegidas, las versiones del Cisco IOS, y los conjuntos de características, utilizan el localizador MIB de Cisco, encontraron en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

Esta función no soporta RFCs nuevos o modificados, y el soporte de los RFCs existentes no ha sido modificado por ella.


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Referencia de Comandos

Los siguientes comandos se introducen o se modifican en la característica o las características documentadas en este módulo. Para la información sobre estos comandos, vea Cisco IOS Quality of Service Solutions Command Reference en http://www.cisco.com/en/US/docs/ios/qos/command/reference/qos_book.html. Para la información sobre todos los comandos cisco ios, utilice la herramienta de búsqueda de comandos en http://tools.cisco.com/Support/CLILookup o Cisco IOS Master Command List, All Releases, en http://www.cisco.com/en/US/docs/ios/mcl/allreleasemcl/all_book.html.

control-plane

service-policy (controle de plano)

show policy-map control-plane

Ofrezca la información para las Políticas del plano de control

La Tabla 1 muestra el historial de versiones de esta función.

Puede que no estén disponibles todos los comandos en su versión de software de Cisco IOS. Para la información de versión sobre un comando específico, vea la documentación de referencia de comandos.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. Cisco Feature Navigator permite determinar qué imágenes de Cisco IOS, Catalyst OS y Cisco IOS XE Software soportan una versión de software, un conjunto de funciones o una plataforma específica. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de Cisco IOS Software que introdujo el soporte para una característica dada en un tren de versión del Cisco IOS Software dado. A menos que se indique lo contrario, las versiones posteriores de dicha serie de versiones de software de Cisco IOS también soportan esa función.


Información de la característica del cuadro 1 para las Políticas del plano de control

Nombre de la función
Versiones
Información sobre la Función

Regulación del Plano de Control

12.2(18)S
‘12.3(4)T’
12.3(7)T
12.0(29)S
12.2(18)SXD1
12.0(30)S
12.2(27)SBC
12.0(32)S
12.3(31)SB2
15.0(1)S

La característica de las Políticas del plano de control permite que los usuarios configuren un filtro del Calidad de Servicio (QoS) que maneje el flujo de tráfico de paquetes del avión del control para proteger el avión del control del Routers y del Switches del Cisco IOS contra los ataques del reconocimiento y del servicio negado (DOS).

Para la versión 12.2(18)S, esta característica fue introducida.

Para la versión 12.3(4)T, esta característica era integrada en el Cisco IOS Release 12.3(4)T, y la característica del límite de velocidad de salida (operación del modo silencioso) fue agregada.

Para la versión 12.3(7)T, el CISCO-CLASS-BASED-QOS-MIB fue ampliado para manejar las directivas planas de QoS del control, y police rate el comando fue introducido de soportar la Vigilancia de tráfico en base de los paquetes por segundo para el tráfico del plano del control.

Para la versión 12.0(29)S, esta característica era integrada en el Cisco IOS Release 12.0(29)S.

Para la versión 12.2(18)SXD1, esta característica era integrada en el Cisco IOS Release 12.2(18)SXD1.

Para la versión 12.0(30)S, esta característica fue modificada para incluir el soporte para los servicios del avión del control distribuido en el Cisco 12000 Series Internet Router.

Para la versión 12.2(27)SBC, esta característica era integrada en el Cisco IOS Release 12.2(27)SBC.

Para la versión 12.0(32)S, esta característica fue modificada para incluir el soporte para los servicios globales del avión del control en el router Internet cisco 10720.

Para la versión 12.3(31)SB2, esta característica fue implementada en el Cisco 10000 Series Router para el PRE3.

Para la versión 15.0(1)S, esta característica era integrada en el Cisco IOS Release 15.0(1)S.