Коммутаторы : Коммутаторы Cisco Catalyst серии 6500

Пример конфигурации управления микропотоком коммутатора серии Catalyst 6500

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает управление микропотоком на Коммутаторах серии Catalyst 6500.

Внесенный Souvik Ghosh, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на коммутаторе Cisco Catalyst серии 6500, который работает на модуле управления Supervisor Engine 720.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

Вот вариант использования для вашего рассмотрения. Существует университетское требование для ограничения каждого студента bandwith 10 Мбит/с, в то время как они используют Интернет. Если составное применение политик настроено, то существует неравное распределение пропускной способности среди студентов. Ограничитель скорости микропотоков лучше способен помочь нам достигать этой задачи.

Управление микропотоком помогает пользователям определять политику трафика на основе потоков. Поток обычно определяется Source IP (IP SRC), IP - адрес назначения (IP DST), IP DST src, порт DST src или Интерфейс SRC. Например:

Source 10.0.0.1 sending a tcp stream to 15.0.0.1 with a source tcp port of 50
and destination 2000
Source 10.0.0.1 sending a tcp stream to 15.0.0.2 with a source tcp port of 60
and destination 2000.

Если классификация сделана на основе IP SRC, то количество потоков равняется тому. Если классификация сделана на основе IP DST, то количество потоков равняется два. Если классификация сделана на основе порта DST, то количество потоков равняется тому.

Примечание: Ограничители скорости микропотоков могут только быть применены в направлении доступа, в отличие от общего ограничителя скорости.

Когда мы применяем политику обслуживания под интерфейсом, или физический интерфейс или коммутируемый виртуальный интерфейс (SVI), политика обслуживания запрограммирована в аппаратных средствах. Ternary Content Addressable Memory (TCAM) качества обслуживания (QoS) используется для хранения записи. Кроме того, так как коммутатор должен помнить потоки, он хранит отдельные сведения о потоках в аппаратных средствах. NetFlow TCAM используется для этой цели. Следовательно, существует два места, где можно проверить программирование в аппаратных средствах: TCAM Списка контроля доступа (ACL) и NetFlow TCAM.

Так как тот же NetFlow TCAM используется другими функциями, как Технология NAT, Экспорт данных NetFlow (NDE) и протокол WCCP, возможно, что существует конфликт в программировании ограничителя скорости микропотоков в аппаратных средствах. Некоторые сценарии конфликта TCAM предоставлены в конце этого документа.

Примеры конфигураций

Пример 1

Существует коммутатор Cisco Catalyst серии 6500, занятый маршрутизацией между виртуальными локальными сетями (IVR). Источники трафика расположены в VLAN 20 и имеют эти IP-адреса: 20.20.20.2 и 20.20.20.3. Оба из источников пытаются передать трафик к IP-адресу 30.30.30.2, который расположен в VLAN 30. Цель состоит в том, чтобы выделить 100 Кбит/с пропускной способности к каждому источнику.

  1. Создайте и сопоставьте ACL в class-map для соответствия с трафиком, который прибывает из этих двух источников.
    ip access-list ext vlan20_30
    permit ip 20.20.20.0 0.0.0.255 30.30.30.0 0.0.0.255

    class-map POLICE_DIFF_SRC
    match access-group name vlan20_30


  2. Примените class-map в policy-map. Настройте Committedinformation rate (CIR) (гарантированная скорость передачи) и пиковые значения как требуется.

    policy-map POLICE_DIFF_SRC
    class POLICE_DIFF_SRC
    police flow mask src-only 100000 3000 conform transmit exceed drop


    Вот опции, которые доступны после маски потока политики:
    police flow mask ?
    dest-only
    full-flow
    src-only


  3. Примените политику обслуживания под входным SVI или под входным физическим интерфейсом. В случае, если вы применяете его под interface VLAN, настраиваете mls qos vlan-based под физическим интерфейсом. Это дает Cisco IOS® команду искать политику под interface VLAN, как только пакет достигает интерфейса 2 уровня в определенной VLAN.

    interface vlan 20
    service-policy input POLICE_DIFF_SRC

Пример 2

Существует Коммутатор серии Catalyst 6500, занятый коммутацией уровня 2 трафика в той же VLAN. Данный пример deomonstrates, как ограничить трафик, который прибывает от 10.10.10.2 и идет к 10.10.10.3 в VLAN к 100 Кбит/с пропускной способности. Для имения коммутируемого трафика уровня 2 влияния ограничителя необходимо ввести команду mls qos bridged под interface VLAN 10.

ip access-list ext VLAN10
permit ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255
class-map POLICE_SAME


match access-group name VLAN10
policy-map POLICE_SAME
class POLICE_SAME    
police flow mask src-only 100000 3000 conform transmit exceed drop


int vlan 10
service-policy in POLICE_SAME
mls qos bridged

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

  1. Введите команду ip show mls qos и проверьте для ID FL около названия ограничителя. Если ID FL равняется 1, то политика используется для управления микропотоком.

    6500#show mls qos ip
     QoS Summary [IPv4]:     (* - shared aggregates, Mod - switch module)

     Int Mod Dir Class-map DSCP Ag Trust  FL  AgForward-By  AgPoliced-By
                                                          Id         Id
    ---------------------------------------------------------------------------

    Fa3/3 1 In   POLICE_SAM   0  0*  dscp   1   11266001160           0

    Вот некоторые примечательные точки на основе этих выходных данных:

    • Политика сопоставлена в аппаратных средствах.
    • Интерфейс, на который это применено, является Fa3/3.
    • Если существует Distributed Forwarding Card (DFC) поддерживающий подарок Линейной платы (LC) в шасси, то полицейские QoS запрограммированы отдельно для каждого DFC и Policy Feature Card (PFC). Номер модуля дает запись для PFC/DFC в слоте 1.
    • Модуль управления Supervisor Engine 720 создает Составной ID (AgID) для каждого общего ограничителя скорости, который создан. 1020 AgIDs являются максимальными применимыми ID, который является аппаратным ограничением. Это не важно для ограничителя скорости микропотоков, но является полезной командой для общего ограничителя скорости.
    • Трастовое поле не держит уместности в этом случае.
    • FL ID=1, как было указано выше.
    • AgForward? И AgPoliced не используются для вычисления пакетов, которые переданы или отброшены ограничителем скорости микропотоков (существует отдельная команда для этого). Однако те же счетчики используются для вычисления, пакеты передали/отбросили общим ограничителем скорости.


  2. Введите интервал show tcam <физический интерфейс vlan/или> qos команда ip type1, чтобы определить, запрограммирован ли ACL в TCAM QoS.

    6500#show tcam interface fa3/3 qos type1 ip  
       QOS Results:  A - Aggregate Policing      F - Microflow Policing
       M - Mark         T - Trust
       U - Untrust
       ------------------------------------------------------
       FT    ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255 ==> entry is
       programmed correctly
       MU    ip any any


  3. Проверьте выходные данные qos show mls NetFlow ip nowrap команда, чтобы обнаружить, установлены ли потоки в TCAM Netlflow.

    6500#show mls NetFlow ip qos nowrap 
    Displaying NetFlow entries in Active Supervisor EARL in module 1
    DstIP          SrcIP          Prot        : SrcPort :  DstPort  Src i/f        :AdjPtr   Pkts  
    Bytes        LastSeen     QoS      PoliceCount Threshold  Leak         Drop    Bucket
    ------------------------------------------------------------------------------------------------------
    0.0.0.0         0.0.0.0           0                    :0                :0          --
    0x0      140394    
    67383880  15:16:29       0x0                 0                 0          0
    NO            0

    0.0.0.0        10.10.10.2     0                    :0               :0          --              
    0x0          227
    108506       15:16:22       0x0                 35996208   0          0               NO        3386


    В этих выходных данных вы видите, что поток (только для источника), установлен в NetFlow TCAM, и существует 35,996,208 пакетов, которые охранялись.

Возможные проблемы

Возможно, что политика обслуживания не запрограммирована в аппаратных средствах в этих сценариях. Вот некоторые возможные причины:

  1. Существует аппаратное ограничение на количестве агрегата/ограничителей скорости микропотоков, который может быть настроен. Для резервирования аппаратных ресурсов политика обслуживания не запрограммирована в аппаратных средствах.

    Введите show platform hardware capacity qoscan команда для проверения наличия ограничителей.

    6500#show platform hardware capacity qos
    QoS Policer Resources
     Aggregate policers: Module                     Total        Used    %Used
                         1                           1024           102    10%
                         6                           1024           102    10%
     Microflow policer configurations: Module       Total        Used    %Used
                                       1               64           32       50%
                                       6               64           32       50%


  2. Из-за конфликта маски потока с другими функциями, настроенными под тем же интерфейсом, ограничитель скорости микропотоков не мог бы быть в состоянии к потокам кэш-памяти в NetFlow TCAM.

    Важно понять понятие маски потока. Для поддержки аппаратного ускорения определенных функций существуют выделенные части аппаратных средств (TCAM), которые используются для установки определенных функций. Существуют множественные функции, которые используют тот же TCAM, такой как NetFlow WCCP NAT. Они используют TCAM, который обычно называют NetFlow TCAM, тогда как для функций как списки управления доступом, Маршрутизация на основе политик (PBR) использует TCAM ACL.

    Для NetFlow TCAM маска потока необходима для установки записей в аппаратных средствах. Маски потока NetFlow определяют глубину детализации потоков, которые будут измерены. Очень определенные маски потока генерируют большое число Записей таблицы NetFlow и большой объем статистики для экспортирования. Менее определенные маски потока объединяют статистику трафика в меньшее количество Записей таблицы NetFlow и генерируют пониженную громкость статистики.

    Статья NetFlow Table Configuration описывает (поддерживаемые) функции требования маски потока.

    • Введите команду show fm summary и определите, находится ли интерфейс в неактивном состоянии. Неактивное состояние указывает, что существует некоторая функция, настроенная под интерфейсом, который не может быть запрограммирован в аппаратных средствах. Пакеты получили на том интерфейсе, которые требуют, чтобы функция была запрограммирована в программном обеспечении.

      6500#show fm summary
      Interface: Vlan13 is up
      TCAM screening for features: INACTIVE inbound
      TCAM screening for features: INACTIVE outbound
      Interface: Vlan72 is up
      TCAM screening for features: ACTIVE inbound
      TCAM screening for features: ACTIVE outbound
      Interface: Vlan84 is up
      TCAM screening for features: ACTIVE inbound
      TCAM screening for features: INACTIVE outbound


    • Введите show fm fie интерфейс <> команда и определите, настроен ли ограничитель скорости микропотоков в аппаратных средствах.

      6500#show fm fie int vlan 10
      Interface Vl10:
      Feature interaction state created: Yes
       Flowmask conflict status for protocol IP :
      FIE_FLOWMASK_STATUS_SUCCESS
      Flowmask conflict status for protocol OTHER :
      FIE_FLOWMASK_STATUS_SUCCESS Interface Vl10 [Ingress]:
       Slot(s) using the protocol IP : 1
       FIE Result for protocol IP : FIE_SUCCESS_NO_CONFLICT 
      Features Configured : [empty] - Protocol : IP 
      FM Label when FIE was invoked : 66 Current FM Label : 66 
      Last Merge is for slot: 0 num# of strategies tried : 1
       num# of merged VMRs in bank 1 = 0
       num# of free TCAM entries in Bank1 = Unknown
       num# of merged VMRs in bank 2 = 1
       num# of free TCAM entries in Bank2 = Unknown
       Slot(s) using the protocol OTHER : 1
       FIE Result for protocol OTHER : FIE_SUCCESS_NO_CONFLICT
       Features Configured : OTH_DEF  - Protocol : OTHER
       FM Label when FIE was invoked : 66
       Current FM Label : 66
       Last Merge is for slot: 0
       Features in Bank1 = OTH_DEF
      +-------------------------------------+
             Action Merge Table
      +-------------------------------------+
        OTH_DEF     RSLT   R_RSLT COL
      +-------------------------------------+
        SB          HB     P      0
        X           P      P      0
      +-------------------------------------+
       num# of strategies tried : 1
       Description of merging strategy used:
       Serialized Banks: FALSE
       Bank1 Only Features: [empty]
       Bank2 Only Features: [empty]
       Banks Swappable: TRUE
       Merge Algorithm: ODM
       num# of merged VMRs in bank 1 = 1
       num# of free TCAM entries in Bank1 = 32745
       num# of merged VMRs in bank 2 = 0
       num# of free TCAM entries in Bank2 = 32744 Interface Vl10 [Egress]:
      No Features Configured
      No IP Guardian Feature Configured
      No IPv6 Guardian Feature Configured
      IP QoS Conflict resolution configured, QoS policy name: POLICE_SAME
    Совместимые маски потока должны использоваться для функций, настроенных под тем же интерфейсом, которые совместно используют NetFlow TCAM. Совместимые маски потока доступны для почти всех типов комбинаций.

Другие полезные команды

  • Примените политику
  • Проверьте FL-ID=1 - ip show mls qos
  • Проверьте TCAM QoS - интервал show tcam <> ip типа 1 qos
  • Проверьте NetFlow TCAM - модуль qos show mls NetFlow ip nowrap
  • Проверьте для доступности ограничителей - матрица show platform hardware capacity
  • Проверьте для конфликта Маски потока (FM) - show log, show fm summary
  • Проверьте для функций, настроенных под интерфейсом - show fm fie интерфейс


Document ID: 116468