Switches : Switches Cisco Catalyst de la serie 6500

Ejemplo de configuración de la regulación de microflujo del Catalyst 6500 Series Switch

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe la regulación de microflujo en los Catalyst 6500 Series Switch.

Contribuido por Souvik Ghosh, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en un Cisco Catalyst 6500 Series Switch que se ejecute en un Supervisor Engine 720.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Aquí está un caso del uso para su consideración. Hay un requisito de la universidad de limitar a cada estudiante a un ancho de banda de 10Mbps mientras que utilizan Internet. Si se configura el policing global, después hay una distribución desigual del ancho de banda entre los estudiantes. El regulador de microflujo puede mejor ayudarnos a alcanzar esta tarea.

La regulación de microflujo ayuda a los usuarios a limpiar el tráfico basado en los flujos. Un flujo es definido generalmente por IP de la fuente (SRC IP), el IP de destino (DST IP), el puerto IP SRC-DST, SRC-DST, o la Src-interfaz. Aquí tiene un ejemplo:

Source 10.0.0.1 sending a tcp stream to 15.0.0.1 with a source tcp port of 50
and destination 2000
Source 10.0.0.1 sending a tcp stream to 15.0.0.2 with a source tcp port of 60
and destination 2000.

Si la clasificación se hace sobre la base del SRC IP, después el número de flujos iguala uno. Si la clasificación se hace sobre la base del DST IP, después el número de flujos iguala dos. Si la clasificación se hace sobre la base del puerto del DST, después el número de flujos iguala uno.

Nota: Los reguladores de microflujo se pueden aplicar solamente en la dirección de ingreso, a diferencia del vigilante global.

Cuando aplicamos una política de servicio bajo interfaz, la interfaz física o la interfaz virtual del Switch (SVI), la política de servicio se programa en el hardware. El Ternary Content Addressable Memory del Calidad de Servicio (QoS) (TCAM) se utiliza para salvar la entrada. Además, puesto que el Switch debe recordar los flujos, salva la información de flujo individual en el hardware. El Netflow TCAM es para este propósito usado. Por lo tanto, hay dos lugares en donde usted puede marcar la programación en el hardware: la lista de control de acceso (ACL) TCAM y el Netflow TCAM.

Puesto que el mismo Netflow TCAM es utilizado por las otras funciones, como el Network Address Translation (NAT), la Exportación de datos de NetFlow (NDE), y el protocolo web cache communication (WCCP), es posible que hay un conflicto en el regulador de microflujo que programa en el hardware. Algunos escenarios del conflicto TCAM se proporcionan en el extremo de este documento.

Ejemplos de Configuración

Ejemplo 1

Hay un Cisco Catalyst 6500 Series Switch dedicado al InterVLAN Routing. Las fuentes de tráfico están situadas en el VLAN20, y tienen estos IP Addresses: 20.20.20.2 y 20.20.20.3. Ambos intento de las fuentes para enviar el tráfico hacia la dirección IP 30.30.30.2, que está situada en el VLAN 30. La meta es afectar un aparato 100Kbps del ancho de banda a cada fuente.

  1. Cree y asocie un ACL en un clase-mapa para hacer juego el tráfico que viene de estas dos fuentes.
    ip access-list ext vlan20_30
    permit ip 20.20.20.0 0.0.0.255 30.30.30.0 0.0.0.255

    class-map POLICE_DIFF_SRC
    match access-group name vlan20_30


  2. Aplique el clase-mapa en un directiva-mapa. Configure la Velocidad de información comprometida (CIR) y los valores de ráfaga como sea necesario.

    policy-map POLICE_DIFF_SRC
    class POLICE_DIFF_SRC
    police flow mask src-only 100000 3000 conform transmit exceed drop


    Aquí están las opciones que están disponibles después de que fluya la policía máscara:
    police flow mask ?
    dest-only
    full-flow
    src-only


  3. Aplique la política de servicio bajo ingreso SVI o bajo interfaz física del ingreso. En caso de que usted la aplique bajo el VLA N de la interfaz, configure los qos de los mls VLAN-basados bajo interfaz física. Esto da instrucciones el ® del Cisco IOS para buscar una directiva bajo el VLA N de la interfaz tan pronto como un paquete alcance un interfaz de capa 2 en un VLA N específico.

    interface vlan 20
    service-policy input POLICE_DIFF_SRC

‘Ejemplo 2’

Hay un Catalyst 6500 Series Switch dedicado al Layer 2 Switching del tráfico en el mismo VLA N. Deomonstrates de este ejemplo cómo restringir el tráfico que viene de 10.10.10.2 y va hacia 10.10.10.3 en el VLA N a 100Kbps del ancho de banda. Para tener el tráfico de la capa 2-switched de la influencia del policer, usted debe ingresar el comando interligado los qos de los mls bajo interfaz VLAN10.

ip access-list ext VLAN10
permit ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255
class-map POLICE_SAME


match access-group name VLAN10
policy-map POLICE_SAME
class POLICE_SAME    
police flow mask src-only 100000 3000 conform transmit exceed drop


int vlan 10
service-policy in POLICE_SAME
mls qos bridged

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

  1. Ingrese el comando ip de los qos de los mls de la demostración, y la comprobación para la Florida ID al lado del nombre del policer. Si FL ID es 1, después la directiva es funcionando para la regulación de microflujo.

    6500#show mls qos ip
     QoS Summary [IPv4]:      (* - shared aggregates, Mod - switch module)

     Int Mod Dir  Class-map DSCP  Ag  Trust   FL   AgForward-By   AgPoliced-By
                                                           Id           Id
    ---------------------------------------------------------------------------

    Fa3/3  1 In   POLICE_SAM   0   0*   dscp    1   11266001160            0

    Aquí están algunas puntas significativas basadas en esta salida:

    • La directiva se asocia en el hardware.
    • La interfaz en la cual es aplicada es Fa3/3.
    • Si hay un Distributed Forwarding Card (DFC) - line card (LC) habilitado presente en el chasis, después el QoS limpia se programa por separado para cada DFC y el Policy Feature Card (PFC). El número de módulo da la entrada para el PFC/DFC en el slot1.
    • El Supervisor Engine 720 crea un agregado ID (AgID) para cada vigilante global se cree que. 1020 AgIDs son los ID usables máximos, que es una limitación del hardware. Esto no es relevante para el regulador de microflujo, sino es comando útil para el vigilante global.
    • El campo de la confianza no lleva a cabo ninguna importancia en este caso.
    • FL ID=1, según lo discutido previamente.
    • ¿El AgForward? Por y AgPoliced-por no se utilizan para calcular los paquetes que son transmitidos o caídos por el regulador de microflujo (hay un comando separado para eso). Sin embargo, los mismos contadores se utilizan para calcular los paquetes transmitidos/caídos por un vigilante global.


  2. Ingrese el tcam de la demostración comando ip físico del tipo 1 de los qos del interface> internacional < vlan/or para determinar si el ACL se programa en el QoS TCAM.

    6500#show tcam interface fa3/3 qos type1 ip   
        QOS Results:   A - Aggregate Policing       F - Microflow Policing
        M - Mark          T - Trust
        U - Untrust
        ------------------------------------------------------
        FT     ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255  ==> entry is
        programmed correctly
        MU     ip any any


  3. Marque la salida del comando del nowrap del Netflow de los mls de la demostración calidad del servicio de IP para descubrir si los flujos están instalados en el Netlflow TCAM.

    6500#show mls NetFlow ip qos nowrap 
    Displaying NetFlow entries in Active Supervisor EARL in module 1
    DstIP           SrcIP           Prot         : SrcPort :   DstPort   Src i/f         :AdjPtr    Pkts  
    Bytes         LastSeen      QoS       PoliceCount  Threshold   Leak          Drop     Bucket
    ------------------------------------------------------------------------------------------------------
    0.0.0.0          0.0.0.0            0                     :0                   :0           --
    0x0       140394     
    67383880   15:16:29        0x0                   0                    0           0
    NO             0

    0.0.0.0         10.10.10.2      0                     :0                   :0           --              
    0x0           227
    108506        15:16:22        0x0                  35996208    0           0                NO         3386


    En esta salida, usted puede ver que el flujo (fuente-solamente) está instalado en el Netflow TCAM, y hay 35,996,208 paquetes que fueron limpiados.

Posibles problemas

Es posible que la política de servicio no está programada en el hardware en estos escenarios. Aquí están algunas razones posibles:

  1. Hay una limitación del hardware en el número de agregado/de reguladores de microflujo que puede ser configurado. Para reservar a los Recursos de hardware, la política de servicio no se programa en el hardware.

    Ingrese el comando qoscan de la capacidad del hardware de plataforma de la demostración para marcar la Disponibilidad del policers.

    6500#show platform hardware capacity qos
    QoS Policer Resources
      Aggregate policers: Module                      Total         Used     %Used
                          1                            1024            102     10%
                          6                            1024            102     10%
      Microflow policer configurations: Module        Total         Used     %Used
                                        1                64            32        50%
                                        6                64            32        50%


  2. Debido a un conflicto de la máscara del flujo con las otras funciones configuradas bajo misma interfaz, el regulador de microflujo no pudo poder ocultar los flujos en el Netflow TCAM.

    Es importante entender el concepto de máscara del flujo. Para soportar la aceleración por hardware de ciertas características, hay los pedazos dedicados del hardware (TCAM) que se utilizan para instalar ciertas características. Hay las características múltiples que utilizan el mismo TCAM, tal como Netflow NAT WCCP. Utilizan un TCAM que comúnmente se llame el Netflow TCAM, mientras que para las características como los ACL de seguridades, el Routing basado en políticas (PBR) utiliza el ACL TCAM.

    Para el Netflow TCAM, una máscara del flujo es necesaria para instalar las entradas en el hardware. Las máscaras del flujo del Netflow determinan el granularity de los flujos que se medirán. Las máscaras muy específicas del flujo generan un gran número de entradas de tabla del Netflow, y un de gran capacidad de las estadísticas para exportar. El flujo menos específico enmascara el agregado las estadísticas de tráfico en menos entradas de tabla del Netflow, y genera un volumen más bajo de las estadísticas.

    El artículo de la configuración de la tabla del Netflow describe las características del requisito de la máscara del flujo (soportado).

    • Ingrese el comando show fm summary, y determinelo si la interfaz está en un estado inactivo. Un estado inactivo indica que hay una cierta característica configurada bajo interfaz que no se puede programar en el hardware. Paquetes recibidos en esa interfaz que requieren que la característica esté programada en el software.

      6500#show fm summary
      Interface: Vlan13 is up
      TCAM screening for features: INACTIVE inbound
      TCAM screening for features: INACTIVE outbound
      Interface: Vlan72 is up
      TCAM screening for features: ACTIVE inbound
      TCAM screening for features: ACTIVE outbound
      Interface: Vlan84 is up
      TCAM screening for features: ACTIVE inbound
      TCAM screening for features: INACTIVE outbound


    • Ingrese el comando del <> de la interfaz del fie del fm de la demostración, y determinelo si el regulador de microflujo se configura en el hardware.

      6500#show fm fie int vlan 10
      Interface Vl10:
      Feature interaction state created: Yes
       Flowmask conflict status for protocol IP :
      FIE_FLOWMASK_STATUS_SUCCESS
      Flowmask conflict status for protocol OTHER :
      FIE_FLOWMASK_STATUS_SUCCESS Interface Vl10 [Ingress]:
       Slot(s) using the protocol IP : 1
       FIE Result for protocol IP : FIE_SUCCESS_NO_CONFLICT 
      Features Configured : [empty] - Protocol : IP 
      FM Label when FIE was invoked : 66  Current FM Label : 66 
      Last Merge is for slot: 0  num# of strategies tried : 1
        num# of merged VMRs in bank 1 = 0
        num# of free TCAM entries in Bank1 = Unknown
        num# of merged VMRs in bank 2 = 1
        num# of free TCAM entries in Bank2 = Unknown
       Slot(s) using the protocol OTHER : 1
       FIE Result for protocol OTHER : FIE_SUCCESS_NO_CONFLICT
       Features Configured : OTH_DEF   - Protocol : OTHER
       FM Label when FIE was invoked : 66
       Current FM Label : 66
       Last Merge is for slot: 0
       Features in Bank1 = OTH_DEF
      +-------------------------------------+
              Action Merge Table
      +-------------------------------------+
         OTH_DEF      RSLT    R_RSLT  COL
      +-------------------------------------+
         SB           HB      P       0
          X            P       P       0
      +-------------------------------------+
       num# of strategies tried : 1
       Description of merging strategy used:
       Serialized Banks: FALSE
       Bank1 Only Features: [empty]
       Bank2 Only Features: [empty]
       Banks Swappable: TRUE
       Merge Algorithm: ODM
       num# of merged VMRs in bank 1 = 1
       num# of free TCAM entries in Bank1 = 32745
       num# of merged VMRs in bank 2 = 0
       num# of free TCAM entries in Bank2 = 32744 Interface Vl10 [Egress]:
      No Features Configured
      No IP Guardian Feature Configured
      No IPv6 Guardian Feature Configured
      IP QoS Conflict resolution configured, QoS policy name: POLICE_SAME
    Las máscaras compatibles del flujo se deben utilizar para las características configuradas bajo misma interfaz que comparten el Netflow TCAM. Las máscaras compatibles del flujo están disponibles para casi todos los tipos de combinaciones.

Otros comandos de utilidad

  • Aplique la directiva
  • El control FL-ID=1 - muestre el IP de los qos de los mls
  • Marque QoS TCAM - muestre el IP del tipo 1 de los qos del <> del tcam internacional
  • Marque el Netflow TCAM - muestre el nowrap del módulo del Netflow de los mls calidad del servicio de IP
  • Marque para saber si hay la Disponibilidad del policers - muestre la tela de la capacidad del hardware de plataforma
  • Marque para saber si hay registro de la demostración del conflicto de la máscara del flujo (FM), muestre el resumen del fm
  • Marque para saber si hay las características configuradas bajo interfaz - muestre la interfaz del fie del fm


Document ID: 116468