التحقق من انتهاكات تنظيم مستوى التحكم على منصات Nexus
المحتويات
المقدمة
يصف هذا المستند تفاصيل حول تنظيم مستوى التحكم (CoPP) على محولات Cisco Nexus وتأثيره المناسب على انتهاكات الفئة غير الافتراضية.
المتطلبات الأساسية
توصي Cisco بفهم المعلومات الأساسية المتعلقة بتنظيم مستوى التحكم (CoPP)، وإرشاداته وقيوده، والتكوين العام. بالإضافة إلى وظيفة تنظيم جودة الخدمة (QoS) (CIR). لمزيد من المعلومات حول هذه الميزة، ارجع إلى المستندات القابلة للتطبيق:
المكونات المستخدمة
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
تتم إعادة توجيه حركة مرور مستوى التحكم نحو الوحدة النمطية للمشرف من خلال إعادة توجيه قوائم التحكم في الوصول (ACL) المبرمجة لتضمين حركة المرور المطابقة التي تمر عبر طبقتين من الحماية وأدوات تحديد معدل الأجهزة وبروتوكول CoPP. إن أي أعطال أو هجمات على وحدة المشرف يمكن أن تؤدي، في حال عدم ضبطها، إلى انقطاع خطير في الشبكة، وبالتالي فإن CoPP موجود للعمل كآلية حماية. إذا كان هناك عدم إستقرار في مستوى مستوى مستوى التحكم، فمن المهم التحقق من CoPP، لأن أنماط حركة المرور غير الطبيعية التي تم إنشاؤها من حلقات التكرار أو الفيضانات، أو الأجهزة المخادعة يمكن أن تفرض ضرائب على المشرف وتمنعه من معالجة حركة المرور الشرعية. وعادة ما تتضمن هذه الهجمات، التي يمكن أن يتم تنفيذها إما بشكل غير مقصود بواسطة أجهزة مخادعة أو بشكل خبيث من قبل المهاجمين، معدلات مرتفعة من حركة المرور الموجهة إلى الوحدة النمطية للمشرف أو وحدة المعالجة المركزية.
تنظيم مستوى التحكم (CoPP) عبارة عن ميزة تحمي مستوى التحكم عن طريق فصل وتصنيف جميع الحزم التي يتم استقبالها عبر منافذ النطاق الترددي (اللوحة الأمامية) الموجهة إلى عناوين الموجه أو التي تتطلب أي مشاركة من المشرف والتحكم فيها استنادا إلى معدل الإدخال الملتزم (CIR). تتيح هذه الميزة تطبيق خريطة السياسة على مستوى التحكم. تبدو خريطة السياسة هذه كسياسة جودة خدمة (QoS) عادية ويتم تطبيقها على جميع حركة المرور التي تدخل المحول من منفذ غير إداري. تتيح حماية الوحدة النمطية للمشرف من خلال حفظ النظام للمحول إمكانية تخفيف حالات فيض حركة المرور التي تتجاوز معدلات الإدخال الإلزامية لكل فئة من خلال التخلص من الحزم ومنع المحول من أن يتم التغلب عليه والتأثير على الأداء.
من المهم مراقبة عدادات CoPP باستمرار وتبريرها، وهو الغرض من هذا المستند. يمكن أن تمنع انتهاكات CoPP، في حالة تركها دون تحديد، مستوى التحكم من معالجة حركة المرور الأصلية على الفئة المتأثرة المقابلة. تكوين CoPP هو عملية قيد التطوير والجاري يجب أن تستجيب لمتطلبات الشبكة والبنية الأساسية. هناك ثلاث سياسات نظام افتراضية ل CoPP. بشكل افتراضي، توصي Cisco باستخدام السياسة الافتراضية الصارمة" كنقطة بداية أولية ويتم إستخدامها كأساس لهذا المستند.
ينطبق CoPP فقط على حركة المرور داخل النطاق الترددي المستلمة من خلال منافذ اللوحة الأمامية. لا يخضع منفذ الإدارة خارج النطاق (mgmt0) ل CoPP. يقوم جهاز Cisco NX-OS بتنفيذ CoPP على أساس كل محرك إعادة توجيه. لذلك، أختر المعدلات بحيث لا تطغى حركة مرور البيانات الكلية على الوحدة النمطية للمشرف. وهذا مهم بشكل خاص للمحولات الموجودة في نهاية الصف/القابلة لإضافة وحدات أخرى، حيث ينطبق CIR على حركة مرور البيانات المجمعة لجميع وحدات المعالجة المركزية (CPU) الخاصة بجميع الوحدات النمطية.
الأجهزة القابلة للتطبيق
ينطبق المكون الذي يغطيه هذا المستند على جميع محولات مركز البيانات Cisco Nexus.
تفسير وضع سياسات مستوى التحكم
يركز هذا المستند على معالجة انتهاكات الفئة غير الافتراضية الأكثر شيوعا وحرجا التي يتم رؤيتها على محولات Nexus.
ملف تعريف CoPP الافتراضي القياسي
لفهم كيفية تفسير CoPP، يجب أن يكون التحقق الأول لضمان تطبيق توصيف ولفهم ما إذا كان التوصيف الافتراضي أو ملف تخصيص مخصص مطبقا على المحول.
إذا لم يتم تمكين CoPP، يمكن إعادة تمكينها أو تكوينها على المحول من خلال تشغيل الأمر setup" أو من خلال تطبيق أحد السياسات الافتراضية القياسية ضمن خيار التكوين: ملف تعريف CoPP [density|Flexible|Medium|Strict].
لا يقوم الجهاز غير المحمي بتصنيف حركة مرور البيانات وفصلها بشكل صحيح في الفئات، وبالتالي فإن أي سلوك لرفض الخدمة لميزة أو بروتوكول معين غير وارد في هذا النطاق ويمكن أن يؤثر على مستوى التحكم بالكامل.
N9K1# show copp status
Last Config Operation: None
Last Config Operation Timestamp: None
Last Config Operation Status: None
Policy-map attached to the control-plane: copp-system-p-policy-strict
copp-system-p-policy-strict is one of the system default profiles, in particular the strict profile.
N9K1# show running-config copp
!Command: show running-config copp
!Running configuration last done at: Tue Apr 26 16:34:10 2022
!Time: Sun May 1 16:30:57 2022
version 10.2(1) Bios:version 05.45
copp profile strict
فئات تنظيم مستوى التحكم
تصنف CoPP حركة المرور استنادا إلى التطابقات التي تتوافق مع قوائم التحكم في الوصول إلى IP أو MAC، وبالتالي، من المهم فهم حركة المرور التي يتم تصنيفها تحت أي فئة.
يمكن أن تتنوع الفئات التي تعتمد على النظام الأساسي. لذلك، من المهم فهم كيفية التحقق من الفصول.
على سبيل المثال، في Nexus 9000 أعلى الحامل (Tor):
N9K1# show policy-map interface control-plane
Control Plane
Service-policy input: copp-system-p-policy-strict
...
class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-auto-rp
match access-group name copp-system-p-acl-mac-l3-isis
set cos 7
police cir 36000 kbps , bc 1280000 bytes
module 1 :
transmitted 177446058 bytes;
5-minute offered rate 3 bytes/sec
conformed 27 peak-rate bytes/sec
at Sat Apr 23 04:25:27 2022
dropped 0 bytes;
5-min violate rate 0 byte/sec
violated 0 peak-rate byte/sec
...
في هذا المثال، تتضمن الفئة-map coPP-system-p-class-critical حركة مرور البيانات المتعلقة ببروتوكولات التوجيه، مثل بروتوكول العبارة الحدودية (BGP)، وفتح أقصر مسار أولا (OSPF)، وبروتوكول موجه العبارة الداخلي المحسن (EIGRP)، وتتضمن بروتوكولات أخرى، مثل vPC.
غالبا ما يكون اصطلاح تسمية قوائم التحكم في الوصول إلى IP أو MAC تفسيرا ذاتيا للبروتوكول أو الميزة المعنية، مع البادئة CoPP-system-p-ACL-[البروتوكول|feature].
لعرض فئة معينة، يمكن تعيينها مباشرة أثناء تشغيل الأمر show. على سبيل المثال:
N9K-4# show policy-map interface control-plane class copp-system-p-class-management
Control Plane
Service-policy input: copp-system-p-policy-strict
class-map copp-system-p-class-management (match-any)
match access-group name copp-system-p-acl-ftp
match access-group name copp-system-p-acl-ntp
match access-group name copp-system-p-acl-ssh
match access-group name copp-system-p-acl-http
match access-group name copp-system-p-acl-ntp6
match access-group name copp-system-p-acl-sftp
match access-group name copp-system-p-acl-snmp
match access-group name copp-system-p-acl-ssh6
match access-group name copp-system-p-acl-tftp
match access-group name copp-system-p-acl-https
match access-group name copp-system-p-acl-snmp6
match access-group name copp-system-p-acl-tftp6
match access-group name copp-system-p-acl-radius
match access-group name copp-system-p-acl-tacacs
match access-group name copp-system-p-acl-telnet
match access-group name copp-system-p-acl-radius6
match access-group name copp-system-p-acl-tacacs6
match access-group name copp-system-p-acl-telnet6
set cos 2
police cir 36000 kbps , bc 512000 bytes
module 1 :
transmitted 0 bytes;
5-minute offered rate 0 bytes/sec
conformed 0 peak-rate bytes/sec
dropped 0 bytes;
5-min violate rate 0 byte/sec
violated 0 peak-rate byte/sec
بينما تكون ملفات تعريف CoPP الافتراضية عادة مخفية كجزء من التكوين الافتراضي، يمكنك رؤية التكوين باستخدام show running-conf coPP all':
N9K1# show running-config copp all
!Command: show running-config copp all
!Running configuration last done at: Tue Apr 26 16:34:10 2022
!Time: Sun May 1 16:41:55 2022
version 10.2(1) Bios:version 05.45
control-plane
scale-factor 1.00 module 1
class-map type control-plane match-any copp-system-p-class-critical
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-auto-rp
match access-group name copp-system-p-acl-mac-l3-isis
(snip)
...
تشير خريطة الفئة CoPP-system-p-class-critical، التي تم رؤيتها من قبل، إلى عبارات تطابق متعددة تقوم باستدعاء قوائم التحكم في الوصول للنظام، والتي تكون مخفية بشكل افتراضي، وتشير إلى التصنيف الذي تتم مطابقته. على سبيل المثال، لبروتوكول BGP:
N9K1# show running-config aclmgr all | b copp-system-p-acl-bgp
ip access-list copp-system-p-acl-bgp
10 permit tcp any gt 1023 any eq bgp
20 permit tcp any eq bgp any gt 1023
(snip)
وهذا يعني أن أي حركة مرور BGP تطابق هذه الفئة وتصنف تحت CoPP-system-p-class-critical، مع جميع البروتوكولات الأخرى على هذه الفئة نفسها.
يتبع Nexus 7000 بنية ميزات CoPP المماثلة جدا ل Nexus 9000:
N77-A-Admin# show policy-map interface control-plane
Control Plane
service-policy input copp-system-p-policy-strict
class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-lisp
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-rise
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-lisp6
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-rise6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-otv-as
match access-group name copp-system-p-acl-mac-l2pt
match access-group name copp-system-p-acl-mpls-ldp
match access-group name copp-system-p-acl-mpls-rsvp
match access-group name copp-system-p-acl-mac-l3-isis
match access-group name copp-system-p-acl-mac-otv-isis
match access-group name copp-system-p-acl-mac-fabricpath-isis
match protocol mpls router-alert
set cos 7
police cir 36000 kbps bc 250 ms
conform action: transmit
violate action: drop
module 1:
conformed 300763871 bytes,
5-min offered rate 132 bytes/sec
peak rate 125 bytes/sec at Sun May 01 09:50:51 2022
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
module 2:
conformed 4516900216 bytes,
5-min offered rate 1981 bytes/sec
peak rate 1421 bytes/sec at Fri Apr 29 15:40:40 2022
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
module 6:
conformed 0 bytes,
5-min offered rate 0 bytes/sec
peak rate 0 bytes/sec
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
من المهم ملاحظة أنه في Nexus 7000، حيث أنها محولات معيارية، يمكنك الاطلاع على الفئة مقسومة حسب الوحدة النمطية، ومع ذلك، ينطبق CIR على تجميع جميع الوحدات النمطية، وينطبق CoPP على الهيكل بالكامل. يمكن ملاحظة التحقق من CoPP ومخرجات هذا البرنامج فقط من سياق الجهاز الظاهري (VDC) الافتراضي أو سياق الإدارة.
من المهم بشكل خاص التحقق من CoPP على Nexus 7000 إذا ظهرت مشاكل في مستوى التحكم، لأن عدم الاستقرار على VDC مع حركة المرور المرتبطة بوحدة المعالجة المركزية (CPU) الزائدة التي تتسبب في انتهاكات CoPP يمكن أن تؤثر على إستقرار مراكز البيانات الأخرى.
تختلف الصفوف على Nexus 5600. وبالتالي فإن بروتوكول بوابة الحدود (BGP) يمثل فئته المنفصلة:
N5K# show policy-map interface control-plane
Control Plane
(snip)
class-map copp-system-class-bgp (match-any)
match protocol bgp
police cir 9600 kbps , bc 4800000 bytes
conformed 1510660 bytes; action: transmit
violated 0 bytes;
(snip)
على Nexus 3100، هناك 3 فئات لبروتوكول التوجيه، لذلك للتحقق من الفئة BGP التي تنتمي إليها، قم بالرجوع إلى قائمة التحكم في الوصول ل CoPP ال 4 المشار إليها:
يتم التعامل مع EIGRP بواسطة فئته الخاصة على Nexus 3100.
N3K-C3172# show policy-map interface control-plane
Control Plane
service-policy input: copp-system-policy
class-map copp-s-routingProto2 (match-any)
match access-group name copp-system-acl-routingproto2
police pps 1300
OutPackets 0
DropPackets 0
class-map copp-s-v6routingProto2 (match-any)
match access-group name copp-system-acl-v6routingProto2
police pps 1300
OutPackets 0
DropPackets 0
class-map copp-s-eigrp (match-any)
match access-group name copp-system-acl-eigrp
match access-group name copp-system-acl-eigrp6
police pps 200
OutPackets 0
DropPackets 0
class-map copp-s-routingProto1 (match-any)
match access-group name copp-system-acl-routingproto1
match access-group name copp-system-acl-v6routingproto1
police pps 1000
OutPackets 0
DropPackets 0
N3K-C3172# show running-config aclmgr
!Command: show running-config aclmgr
!No configuration change since last restart
!Time: Sun May 1 18:14:16 2022
version 9.3(9) Bios:version 5.3.1
ip access-list copp-system-acl-eigrp
10 permit eigrp any 224.0.0.10/32
ipv6 access-list copp-system-acl-eigrp6
10 permit eigrp any ff02::a/128
ip access-list copp-system-acl-routingproto1
10 permit tcp any gt 1024 any eq bgp
20 permit tcp any eq bgp any gt 1024
30 permit udp any 224.0.0.0/24 eq rip
40 permit tcp any gt 1024 any eq 639
50 permit tcp any eq 639 any gt 1024
70 permit ospf any any
80 permit ospf any 224.0.0.5/32
90 permit ospf any 224.0.0.6/32
ip access-list copp-system-acl-routingproto2
10 permit udp any 224.0.0.0/24 eq 1985
20 permit 112 any 224.0.0.0/24
ipv6 access-list copp-system-acl-v6routingProto2
10 permit udp any ff02::66/128 eq 2029
20 permit udp any ff02::fb/128 eq 5353
30 permit 112 any ff02::12/128
ipv6 access-list copp-system-acl-v6routingproto1
10 permit 89 any ff02::5/128
20 permit 89 any ff02::6/128
30 permit udp any ff02::9/128 eq 521
في هذه الحالة، تتم مطابقة بروتوكول BGP مع قائمة التحكم في الوصول CoPP-system-ACL-routingproto1، وبالتالي فإن بروتوكول BGP من فئة CoPP يقع في بروتوكول توجيه CoPP-SProto1.
عدادات وإحصائيات تنظيم مستوى التحكم
يدعم CoPP إحصائيات جودة الخدمة لتعقب العدادات الإجمالية لحركة المرور التي تؤكد أو تنتهك معدل الإدخال الملتزم به (CIR) لفئة معينة، لكل وحدة نمطية.
تصنف كل خريطة فئة حركة مرور ربط وحدة المعالجة المركزية (CPU)، استنادا إلى الفئة التي تناظرها وترفق معرف فئة المورد (CIR) لجميع الحزم التي تقع ضمن هذا التصنيف. على سبيل المثال، يتم إستخدام الفئة المرتبطة بحركة مرور BGP كمرجع:
في محول من Nexus 9000 يتم تركيبه أعلى الحامل (TOR) ويناسب CoPP-system-P-Class:
class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-auto-rp
match access-group name copp-system-p-acl-mac-l3-isis
set cos 7
police cir 36000 kbps , bc 1280000 bytes
module 1 :
transmitted 177446058 bytes;
5-minute offered rate 3 bytes/sec
conformed 27 peak-rate bytes/sec
at Sat Apr 23 04:25:27 2022
dropped 0 bytes;
5-min violate rate 0 byte/sec
violated 0 peak-rate byte/sec
في قسم من خريطة الفئة، بعد عبارات المطابقة، نرى الإجراءات المتعلقة بكل حركة المرور داخل الفئة. يتم تعيين جميع حركات المرور المصنفة داخل CoPP-System-P-Class-Critical على فئة الخدمة (CoS) تبلغ 7، وهي أعلى حركة مرور أولوية، ويتم تنظيم هذه الفئة باستخدام CIR بسرعة 36000 كيلوبت/ثانية ومعدل اندفاع ملتزم يبلغ 128000 بايت. تتم إعادة توجيه حركة المرور التي تتوافق مع هذا النهج إلى بروتوكول الشجرة المتفرعة (SUP) لمعالجتها ويتم إسقاط أي انتهاكات.
set cos 7
police cir 36000 kbps , bc 1280000 bytes
يحتوي القسم التالي على الإحصاءات المتعلقة بالوحدة النمطية، لمحولات (TOR) التي يتم تركيبها أعلى الحامل، مع وحدة نمطية واحدة، تشير الوحدة النمطية 1 إلى المحول.
module 1 :
transmitted 177446058 bytes;
5-minute offered rate 3 bytes/sec
conformed 27 peak-rate bytes/sec
at Sat Apr 23 04:25:27 2022
dropped 0 bytes;
5-min violate rate 0 byte/sec
violated 0 peak-rate byte/sec
إن الإحصائيات التي تتم رؤيتها على الناتج تاريخية، وبالتالي فإن هذا يوفر لقطة للإحصائيات الحالية في الوقت الذي يتم فيه تشغيل الأمر.
هناك قسمان للترجمة هنا: الأقسام المرسلة والمأسقطت:
تتعقب نقطة البيانات المرسلة جميع الحزم المرسلة التي تتوافق مع النهج. هذا القسم مهم لأنه يوفر رؤية متعمقة في نوع حركة المرور التي يقوم المشرف بمعالجتها.
وتوفر قيمة السعر المعروض التي تبلغ 5 دقائق نظرة متعمقة على المعدل الحالي.
يوفر معدل وتاريخ الذروة المتطابقين، إنبثاقا لأعلى معدل ذروة لكل ثانية والتي لا تزال متطابقة مع النهج والوقت الذي حدث فيه.
إذا تم رؤية ذروة جديدة، فإنها تحل محل هذه القيمة والتاريخ.
أهم جزء في الإحصائيات هو نقطة البيانات التي تم إسقاطها. وتماما مثل الإحصائيات التي تم إرسالها، يتتبع القسم الذي تم إسقاطه وحدات البايت التراكمية التي تم إسقاطها بسبب المخالفات لمعدل الشرطة.
كما توفر، معدل الانتهاك خلال الخمس دقائق الأخيرة، الذروة المنتهكة، وإذا كانت هناك ذروة، الطابع الزمني لانتهاك الذروة. ومرة أخرى، إذا تم رؤية ذروة جديدة، فإنها ستحل محل هذه القيمة والتاريخ. وعلى منصات أخرى، تتباين النواتج، ولكن المنطق مشابه للغاية.
يتبع Nexus 7000 هيكلا متطابقا ويكون التحقق هو نفسه، رغم أن بعض الفئات تختلف قليلا على قوائم التحكم في الوصول المشار إليها:
class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-lisp
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-rise
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-lisp6
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-rise6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-otv-as
match access-group name copp-system-p-acl-mac-l2pt
match access-group name copp-system-p-acl-mpls-ldp
match access-group name copp-system-p-acl-mpls-rsvp
match access-group name copp-system-p-acl-mac-l3-isis
match access-group name copp-system-p-acl-mac-otv-isis
match access-group name copp-system-p-acl-mac-fabricpath-isis
match protocol mpls router-alert
set cos 7
police cir 36000 kbps bc 250 ms
conform action: transmit
violate action: drop
module 1:
conformed 300763871 bytes,
5-min offered rate 132 bytes/sec
peak rate 125 bytes/sec at Sun May 01 09:50:51 2022
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
module 2:
conformed 4516900216 bytes,
5-min offered rate 1981 bytes/sec
peak rate 1421 bytes/sec at Fri Apr 29 15:40:40 2022
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
module 6:
conformed 0 bytes,
5-min offered rate 0 bytes/sec
peak rate 0 bytes/sec
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
على Nexus 5600:
class-map copp-system-class-bgp (match-any)
match protocol bgp
police cir 9600 kbps , bc 4800000 bytes
conformed 1510660 bytes; action: transmit
violated 0 bytes;
وعلى الرغم من أنها لا توفر معلومات عن المعدل أو القمم، إلا أنها لا تزال توفر وحدات البايت المجمعة متطابقة ومخربة.
على Nexus 3100، يعرض إخراج مستوى التحكم، حزم الخروج وحزم الإسقاط
class-map copp-s-routingProto1 (match-any)
match access-group name copp-system-acl-routingproto1
match access-group name copp-system-acl-v6routingproto1
police pps 1000
OutPackets 8732060
DropPackets 0
تشير الحزم الخارجية إلى الحزم المضمنة، بينما تشير الحزم drop إلى الانتهاكات إلى CIR. في هذا السيناريو، لا نرى أي حالات سقوط على الفئة المقترنة.
على Nexus 3500، يعرض الإخراج الحزم المتطابقة مع الأجهزة والبرامج:
class-map copp-s-routingProto1 (match-any)
match access-group name copp-system-acl-routingproto1
police pps 900
HW Matched Packets 471425
SW Matched Packets 471425
تشير الحزم المتطابقة إلى الحزم التي تتم مطابقتها في HW بواسطة قائمة التحكم في الوصول (ACL). الحزم المطابقة في برنامج SW هي الحزم التي تتوافق مع الشرطة. أي إختلافات بين الحزم المتطابقة مع HW و SW تعني حدوث انتهاك.
في هذه الحالة، لا توجد عمليات إسقاط مرئية على حزم فئة بروتوكول التوجيه 1 (والتي تتضمن BGP)، حيث تطابق القيم.
التحقق من وجود انتهاكات نشطة للإفلات
ونظرا لأن إحصائيات تنظيم مستوى التحكم تاريخية، فمن المهم تحديد ما إذا كانت هناك انتهاكات نشطة في تزايد. الطريقة القياسية لأداء هذه المهمة هي مقارنة مخرجين كاملين والتحقق من أي إختلافات.
يمكن تنفيذ هذه المهمة يدويا، أو توفر محولات Nexus أداة 'diff' التي يمكن أن تساعد في مقارنة المخرجات.
وفي حين يمكن مقارنة الناتج بأكمله، إلا أنه غير مطلوب لأن التركيز يقتصر على الإحصاءات التي تم إسقاطها. وبالتالي، يمكن تصفية ناتج CoPP للتركيز فقط على الانتهاكات.
الأمر: show policy-map interface control-plane | فئة egrep|وحدة نمطية|تم الانتهاك|تم الإسقاط | diff -y
يسمح الأمر سابق أنت أن يرى دلتا بين إثنان صنف والعثور على انتهاك يزيد.
أنواع عمليات إسقاط CoPP
CoPP عبارة عن بنية ضبط بسيطة، حيث يتم إسقاط أي حركة مرور مرتبطة بوحدة المعالجة المركزية (CPU) تنتهك CIR. بيد أن التأثيرات المترتبة على هذا تتباين إلى حد كبير تبعا لنوع حالات الهبوط. على الرغم من أن المنطق هو نفسه، إلا أنه ليس هو نفسه لإسقاط حركة المرور الموجهة إلى CoPP-system-P-class-critical
class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-auto-rp
match access-group name copp-system-p-acl-mac-l3-isis
set cos 7
police cir 36000 kbps , bc 1280000 bytes
مقارنة بحركة المرور المسقطة الموجهة إلى مراقبة CoPP-System-P-Class-خريطة.
class-map copp-system-p-class-monitoring (match-any)
match access-group name copp-system-p-acl-icmp
match access-group name copp-system-p-acl-icmp6
match access-group name copp-system-p-acl-traceroute
set cos 1
police cir 360 kbps , bc 128000 bytes
الأولى تتعلق ببروتوكولات التوجيه في الغالب، والثانية تتعلق ببروتوكول رسائل التحكم في الإنترنت (ICMP)، الذي يتسم بإحدى الأولويات الأقل وبروتوكول التحكم في الإنترنت (CIR). الفرق في CIR هو مئة ضعف. وبالتالي، من المهم فهم الفئات والتأثيرات وعمليات التحقق/التحقق المشتركة والتوصيات.
فئات CoPP
مراقبة الفئة - CoPP-system-p-class-monitoring
وتشتمل هذه الفئة على بروتوكول ICMP ل IPv4 و IPv6 و traceroute لحركة مرور البيانات الموجهة إلى المحول المعني.
class-map copp-system-p-class-monitoring (match-any)
match access-group name copp-system-p-acl-icmp
match access-group name copp-system-p-acl-icmp6
match access-group name copp-system-p-acl-traceroute
set cos 1
police cir 360 kbps , bc 128000 bytes
التأثير
-مفهوم خاطئ شائع عند أستكشاف أخطاء الحزم وإصلاحها فقدان أو زمن الوصول يتم ربط المحول من خلال المنافذ داخل النطاق الخاصة به، والتي تكون محدودة المعدل بواسطة CoPP. بما أن CoPP يعتمد بشكل كبير على بروتوكول ICMP، حتى مع انخفاض حركة المرور أو الازدحام، يمكن ملاحظة فقدان الحزم عند دق الواجهات داخل النطاق مباشرة إذا كانت تنتهك بروتوكول CIR.
على سبيل المثال، عن طريق دق الواجهات المتصلة مباشرة على المنافذ الموجهة، باستخدام حمولة الحزمة التي تبلغ 500، يمكن مشاهدة عمليات الإسقاط بشكل دوري.
N9K-3# ping 192.168.1.1 count 1000 packet-size 500
...
--- 192.168.1.1 ping statistics ---
1000 packets transmitted, 995 packets received, 0.50% packet loss
round-trip min/avg/max = 0.597/0.693/2.056 ms
على Nexus، حيث تم توجيه حزم ICMP، نرى أن CoPP أسقطتها حيث تم اكتشاف الانتهاك وكانت وحدة المعالجة المركزية محمية:
N9K-4# show policy-map interface control-plane class copp-system-p-class-monitoring
Control Plane
Service-policy input: copp-system-p-policy-strict
class-map copp-system-p-class-monitoring (match-any)
match access-group name copp-system-p-acl-icmp
match access-group name copp-system-p-acl-icmp6
match access-group name copp-system-p-acl-traceroute
set cos 1
police cir 360 kbps , bc 128000 bytes
module 1 :
transmitted 750902 bytes;
5-minute offered rate 13606 bytes/sec
conformed 13606 peak-rate bytes/sec
at Sun May 01 22:49:24 2022
dropped 2950 bytes;
5-min violate rate 53 byte/sec
violated 53 peak-rate byte/sec at Sun May 01 22:49:24 2022
إذا تم أستكشاف أخطاء زمن الوصول أو فقد الحزمة وإصلاحها، فمن المستحسن إستخدام الأجهزة المضيفة التي يمكن الوصول إليها من خلال المحول بواسطة مستوى البيانات، والتي لا يتم توجيهها إلى المحول نفسه الذي سيكون حركة مرور بيانات مستوى التحكم. تتم إعادة توجيه/توجيه حركة مرور مستوى البيانات على مستوى الأجهزة دون تدخل SUP وبالتالي لا يتم تنظيمها بواسطة CoPP، وعادة ما لا تتعرض لأي عمليات إسقاط.
التوصيات
-التحقق من النتائج الإيجابية الخاطئة لفقد الحزمة بإرسال إختبار اتصال عبر المحول من خلال مستوى البيانات، وليس إلى المحول
-الحد من نظام مراقبة الشبكة (NMS) أو الأدوات التي تستخدم بروتوكول ICMP المحول بشكل مكثف لتجنب الاندفاع عبر معدل الإدخال الملتزم به للفئة. تذكر أن CoPP ينطبق على جميع حركة مرور التجميع التي تقع في الفئة.
إدارة الفئة - CoPP-system-p-class-management
كما هو موضح هنا، تتضمن هذه الفئة بروتوكولات إدارة مختلفة يمكن إستخدامها للاتصالات (SSH و Telnet) وعمليات النقل (SCP و FTP و HTTP و SFTP و TFTP) والساعة (NTP) و AAA (RADIUS/TACACS) والمراقبة (SNMP) لاتصالات IPv4 و IPv6.
class-map copp-system-p-class-management (match-any)
match access-group name copp-system-p-acl-ftp
match access-group name copp-system-p-acl-ntp
match access-group name copp-system-p-acl-ssh
match access-group name copp-system-p-acl-http
match access-group name copp-system-p-acl-ntp6
match access-group name copp-system-p-acl-sftp
match access-group name copp-system-p-acl-snmp
match access-group name copp-system-p-acl-ssh6
match access-group name copp-system-p-acl-tftp
match access-group name copp-system-p-acl-https
match access-group name copp-system-p-acl-snmp6
match access-group name copp-system-p-acl-tftp6
match access-group name copp-system-p-acl-radius
match access-group name copp-system-p-acl-tacacs
match access-group name copp-system-p-acl-telnet
match access-group name copp-system-p-acl-radius6
match access-group name copp-system-p-acl-tacacs6
match access-group name copp-system-p-acl-telnet6
set cos 2
police cir 36000 kbps , bc 512000 bytes
التأثير
تتضمن أكثر السلوكيات أو حالات السقوط شيوعا المقترنة بهذه الفئة ما يلي:
-بطء واجهة سطر الأوامر المتصور عند الاتصال ب SSH/Telnet. إذا كان هناك حالات هبوط نشطة في الفصل، فقد تكون جلسات الاتصال بطيئة وتعاني من حالات السقوط.
-نقل الملفات باستخدام بروتوكولات FTP و SCP و SFTP و TFTP على المحول. والسلوك الأكثر شيوعا الذي تم عرضه هو محاولة نقل صور تمهيد النظام/بدء التشغيل بواسطة منافذ الإدارة داخل النطاق. قد يؤدي ذلك إلى زيادة وقت النقل وجلسات الإرسال المغلقة/المنهاة التي يحددها النطاق الترددي الإجمالي للفئة.
-مشاكل مزامنة NTP، وهذه الفئة مهمة أيضا لأنها تخفف من عملاء NTP المارقين أو الهجمات.
-AAA كما تقع خدمات RADIUS و TACACS في هذه الفئة. إذا تم فهم التأثير على هذه الفئة، فقد يؤثر على خدمات التخويل والمصادقة على المحول لحسابات المستخدم، والذي يمكن أن يساهم أيضا في التأخير على أوامر CLI (واجهة سطر الأوامر).
-يتم أيضا تنظيم SNMP ضمن هذه الفئة. أكثر السلوكيات شيوعا التي تتم ملاحظتها بسبب عمليات الإسقاط بسبب فئة SNMP هي على خوادم NMS، التي تقوم بالمشي أو المجموعات المجمعة المجمعة أو عمليات المسح على الشبكة. عند حدوث عدم إستقرار دوري، عادة ما يتم ربطه بجدول مجموعة NMS.
التوصيات
-إذا تم إدراك بطء واجهة سطر الأوامر (CLI)، بالإضافة إلى عمليات السقوط في هذه الفئة، أستخدم الوصول إلى وحدة التحكم، أو الوصول إلى الإدارة خارج النطاق (mgmt0).
-إذا كان يجب تحميل صور النظام إلى المحول، فاستخدم منفذ الإدارة خارج النطاق (mgmt0) أو أستخدم منافذ USB لسرعة النقل.
-إذا تم فقد حزم NTP، فتحقق من "show ntp peer-status" وتحقق من عمود قابلية الوصول، فلن تتم ترجمة أي عمليات إسقاط إلى 377.
-إذا ظهرت مشاكل مع خدمات AAA، فاستخدم المستخدمين المحليين فقط لاستكشاف الأخطاء وإصلاحها، إلى أن يتم الحد من السلوك
-تتضمن عمليات تخفيف مشاكل SNMP سلوكا أقل عدوانية أو مجموعة مستهدفة أو تقليل ماسحات الشبكة الضوئية. فحص الأوقات الدورية بدءا من الماسحات الضوئية وحتى الأحداث التي تتم رؤيتها على مستوى وحدة المعالجة المركزية.
بيانات البث الأحادي من الفئة L3 - CoPP-system-p-class-l3uc-data
تتعامل هذه الفئة بشكل خاص مع الحزم شديدة الانحدار. تتم معالجة هذا النوع من الحزمة أيضا بواسطة أدوات تحديد معدل الأجهزة (WHRL).
إذا لم يتم حل طلب بروتوكول تحليل العنوان (ARP) للخطوة التالية عند إعادة توجيه حزم IP الواردة في بطاقة خط، فإن بطاقة الخط تقوم بإعادة توجيه الحزم إلى الوحدة النمطية للمشرف.
يقوم المشرف بحل عنوان MAC للخطوة التالية ويبرمج الأجهزة.
class-map copp-system-p-class-l3uc-data (match-any)
match exception glean
set cos 1
يحدث هذا عادة عند إستخدام المسارات الثابتة وعدم إمكانية الوصول إلى الخطوة التالية أو عدم حلها.
عند إرسال طلب ARP، يضيف البرنامج عملية تجاور /32 إسقاط في الجهاز لمنع الحزم من إعادة توجيه عنوان IP للخطوة التالية نفسها إلى المشرف. عندما يتم حل ARP، يتم تحديث إدخال الجهاز بعنوان MAC الصحيح. إذا لم يتم حل إدخال ARP قبل فترة المهلة، فسيتم إزالة الإدخال من الجهاز.
يتم تنفيذ HWRL لكل مثيل/محرك إعادة التوجيه على الوحدة النمطية ويمكن عرضه باستخدام الأمر show hardware rate-limiter'. HWRL خارج نطاق هذا المستند التقني.
show hardware rate-limiter
Units for Config: kilo bits per second
Allowed, Dropped & Total: aggregated bytes since last clear counters
Module: 1
R-L Class Config Allowed Dropped Total
+----------------+----------+--------------------+--------------------+--------------------+
L3 glean 100 0 0 0
L3 mcast loc-grp 3000 0 0 0
access-list-log 100 0 0 0
bfd 10000 0 0 0
fex 12000 0 0 0
span 50 0 0 0
sflow 40000 0 0 0
vxlan-oam 1000 0 0 0
100M-ethports 10000 0 0 0
span-egress disabled 0 0 0
dot1x 3000 0 0 0
mpls-oam 300 0 0 0
netflow 120000 0 0 0
ucs-mgmt 12000 0 0 0
التأثير
-يتم معاقبة حركة مرور مستوى البيانات على المشرف كانتهاك، نظرا لأنه لا يمكن معالجتها في الأجهزة، وبالتالي فإنها تخلق ضغطا على وحدة المعالجة المركزية.
التوصيات
-إن الحل الشائع لهذه المسألة لتقليل حالات السقوط السريع هو التأكد من إمكانية الوصول إلى الخطوة التالية، ولتمكين التحكم في الشبكة بواسطة أمر التكوين: 'جهاز ip glean throttle'
-في Nexus 7000، قدم أيضا دعم مرشح النمو (BLOOM) لتجاور العناصر لوحدات M3 و F4. ارجع إلى: https://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/nx-os/unicast/configuration/guide/b-7k-Cisco-Nexus-7000-Series-NX-OS-Unicast-Routing-Configuration-Guide-Release/n7k_unicast_config_ipv4.html#concept_4B4BF5FE17DE443EAAD710690FE670EB
-راجع أي تكوينات مسار ثابتة تستخدم عناوين الخطوة التالية التي يتعذر الوصول إليها، أو تستخدم بروتوكولات التوجيه الديناميكية التي من شأنها إزالة هذه المسارات من RIB بشكل ديناميكي
فئة حرجة - class-map coPP-system-p-class-critical
تشير هذه الفئة إلى بروتوكولات مستوى التحكم الأكثر أهمية من منظور L3، والتي تتضمن بروتوكولات التوجيه ل IPv4 و IPv6، (RIP، OSPF، EIGRP، BGP)، و Auto-RP، و Virtual Port-channel (vPC)، و L2pt و IS-IS.
class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-auto-rp
match access-group name copp-system-p-acl-mac-l2pt
match access-group name copp-system-p-acl-mac-l3-isis
set cos 7
police cir 36000 kbps , bc 1280000 bytes
التأثير
تسقط على عدم إستقرار النقل الحرج ل CoPP-system-p إلى بروتوكولات التوجيه، والتي يمكن أن تتضمن عمليات التجاور التي تسقط أو حالات فشل التقارب، أو تحديث/نشر NLRI.
يمكن أن ترتبط أكثر عمليات إسقاط النهج شيوعا على هذه الفئة بالأجهزة المخادعة على الشبكة التي تعمل بشكل غير طبيعي (بسبب التكوين الخاطئ أو الفشل) أو قابلية التطوير.
التوصيات
-إذا لم يتم الكشف عن أي حالات شاذة، مثل الجهاز الدوار أو عدم إستقرار L2 مما يتسبب في إعادة تقارب مستمرة لبروتوكولات الطبقة العليا، فقد يلزم تكوين مخصص ل CoPP أو فئة أكثر تساهلا لاستيعاب المقياس.
-ارجع إلى دليل تكوين CoPP لكيفية تكوين ملف تعريف CoPP مخصص من ملف تعريف افتراضي موجود حاليا.
https://www.cisco.com/c/en/us/td/docs/dcn/nx-os/nexus9000/102x/configuration/Security/cisco-nexus-9000-nx-os-security-configuration-guide-102x/m-configuring-copp.html#task_E3D04369F59F471885BC5E8CD24337CA
فئة مهمة - CoPP-system-p-class-هام
تتعلق هذه الفئة ببروتوكولات تكرار الخطوة الأولى (FHRP)، بما في ذلك HSRP و VRRP وكذلك LLDP
class-map copp-system-p-class-important (match-any)
match access-group name copp-system-p-acl-hsrp
match access-group name copp-system-p-acl-vrrp
match access-group name copp-system-p-acl-hsrp6
match access-group name copp-system-p-acl-vrrp6
match access-group name copp-system-p-acl-mac-lldp
set cos 6
police cir 2500 kbps , bc 1280000 bytes
التأثير
أكثر السلوكيات شيوعا والتي تؤدي إلى حالات السقوط، هي مشكلات عدم الاستقرار من الطبقة الثانية، والتي تؤدي إلى تحول الأجهزة إلى سيناريوهات حالة نشطة (انقسام الدماغ)، أوأوقاتا عدائية، أو سوء تهيئة، أو قابلية توسع.
التوصيات
-ضمان تكوين المجموعات بشكل صحيح لبروتوكول FHRP، والتفاوض بشكل صحيح حول الأدوار إما النشطة/الاحتياطية أو الأساسية/الثانوية، وعدم وجود نقاط وصول في الحالة.
-التحقق من وجود مشاكل تقارب في L2 أو مشاكل متعلقة بنشر البث المتعدد لمجال L2.
تم إلغاء تنظيم الفئة L2 - CoPP-system-p-class-l2-unpolicy
تشير فئة L2 غير المحمية إلى جميع بروتوكولات الطبقة 2 المهمة التي هي أساس جميع بروتوكولات الطبقة العليا، وبالتالي تعتبر غير منظمة تقريبا مع أعلى CIR والأولوية.
بشكل فعال، معالجات هذه الفئة، بروتوكول الشجرة الممتدة (STP)، بروتوكول التحكم في تجميع الارتباطات (LACP)، خدمة البنية عبر شبكة إيثرنت (CFSoE) من Cisco
class-map copp-system-p-class-l2-unpoliced (match-any)
match access-group name copp-system-p-acl-mac-stp
match access-group name copp-system-p-acl-mac-lacp
match access-group name copp-system-p-acl-mac-cfsoe
match access-group name copp-system-p-acl-mac-sdp-srp
match access-group name copp-system-p-acl-mac-l2-tunnel
match access-group name copp-system-p-acl-mac-cdp-udld-vtp
set cos 7
police cir 50 mbps , bc 8192000 bytes
تعمل هذه الفئة على تزويد مراكز الشرطة بسعة 50 ميغابت في الثانية، وهي أعلى مستوى من بين جميع الفئات التعليمية إلى جانب أعلى معدل امتصاص للاندفاع.
التأثير
وقد تؤدي عمليات السقوط على هذه الفئة إلى عدم الاستقرار العالمي، حيث تعتمد جميع بروتوكولات الطبقة العليا والاتصالات على مستويات البيانات والتحكم والإدارة على إستقرار ضمني للطبقة 2.
يمكن أن تتسبب المشاكل المتعلقة بانتهاكات بروتوكول الشجرة المتفرعة (STP) في حدوث مشاكل في تقارب شبكات TCN وبروتوكول الشجرة المتفرعة (STP)، والتي تتضمن نزاعات بروتوكول الشجرة المتفرعة (STP) ونوافذ عناوين MAC والتحركات وتعلم السلوكيات المعطلة، والتي تتسبب في حدوث مشاكل في إمكانية الوصول ويمكن أن تتسبب في حلقات مرور تتسبب في زعزعة إستقرار الشبكة.
تشير هذه الفئة أيضا إلى LACP، وبالتالي تعالج جميع حزم EtherType المرتبطة ب 0x8809، والتي تتضمن جميع وحدات بيانات بروتوكول التحكم في الوصول الخاصة بالمنفذ المستخدمة للحفاظ على حالة سندات قناة المنفذ. يمكن أن يتسبب عدم الاستقرار على هذه الفئة في انتهاء مهلة قنوات المنفذ إذا تم إسقاط وحدات LACPDU.
وتندرج خدمة Cisco Fabric Service over Ethernet (CSFoE) ضمن هذه الفئة وتستخدم للاتصال بحالات التحكم في التطبيقات الهامة بين محولات Nexus، وبالتالي فهي ضرورية لتحقيق الاستقرار.
يطبق ال نفسه على آخر بروتوكول ضمن هذا صنف، أي يتضمن CDP، UDLD، و VTP.
التوصيات
-أكثر السلوكيات شيوعا تتعلق بعدم إستقرار شبكة إيثرنت L2. تأكد من تصميم بروتوكول الشجرة المتفرعة (STP) بشكل صحيح بطريقة محددة باستخدام تحسينات الميزات ذات الصلة في التشغيل لتقليل تأثير الأجهزة التي تحتاج إلى إعادة تقارب أو مخادعة في الشبكة. تأكد من تكوين نوع منفذ STP المناسب لجميع أجهزة المضيف النهائي التي لا تشارك في ملحق L2 على أنه تم تكوين منافذ خط اتصال الحافة/الحافة لتقليل TCNs.
-إستخدام تحسينات بروتوكول الشجرة المتفرعة (STP)، مثل BPDUguard، و Loopguard، و BPDUfilter، و RootGuard حيثما كان ذلك مناسبا لتحديد نطاق الفشل أو المشكلات المتعلقة بالأجهزة التي تحتوي على أخطاء في التكوين أو الأجهزة الدخيلة على الشبكة.
-التحقق من سلوكيات حركة MAC التي يمكن أن تؤدي إلى تعطيل تعلم MAC وتفريغ. راجع: https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/nx-os-software/213906-nexus-9000-mac-move-troubleshooting-and.html
موجه البث المتعدد من الفئة - موجه البث المتعدد من الفئة Class-Map CoPP-system-p-Class
تشير هذه الفئة إلى حزم البث المتعدد المستقل لبروتوكول مستوى التحكم (PIM) المستخدمة لإنشاء الأشجار المشتركة للبث المتعدد الموجه والتحكم فيها من خلال جميع الأجهزة التي تم تمكين PIM في مسار مستوى البيانات، بما في ذلك موجه الخطوة الأولى (FHR) وموجه الخطوة الأخيرة (LHR) وموجهات الخطوة المتوسطة (IHR) ونقاط rendezvouz (RPs). تتضمن الحزم المصنفة ضمن هذه الفئة تسجيل PIM للمصادر، ووصلات PIM لأجهزة الاستقبال لكل من IPv4 و IPv6، بشكل عام أي حركة مرور موجهة ل PIM (224.0.0.13)، وبروتوكول اكتشاف مصدر البث المتعدد (MSDP). اعلم أن هناك العديد من الفئات الإضافية، والتي تتعامل مع أجزاء محددة للغاية من وظائف البث المتعدد أو RP التي يتم معالجتها بواسطة فئات مختلفة.
class-map copp-system-p-class-multicast-router (match-any)
match access-group name copp-system-p-acl-pim
match access-group name copp-system-p-acl-msdp
match access-group name copp-system-p-acl-pim6
match access-group name copp-system-p-acl-pim-reg
match access-group name copp-system-p-acl-pim6-reg
match access-group name copp-system-p-acl-pim-mdt-join
match exception mvpn
set cos 6
police cir 2600 kbps , bc 128000 bytes
التأثير
يرتبط التأثير الرئيسي على عمليات السقوط التي تتصل بهذه الفئة بالقضايا التي تتصل بمصادر البث المتعدد بواسطة تسجيل PIM تجاه نقاط الوصول عن بعد (RP) أو نقاط ربط PIM التي لم تتم معالجتها بشكل صحيح، مما يؤدي إلى زعزعة إستقرار أشجار المسار المشتركة أو الأقصر تجاه مصادر تيار البث المتعدد أو إلى نقاط الوصول عن بعد (RP). يمكن أن يتضمن السلوك قائمة الواجهة الصادرة (OIL) التي لم يتم ملؤها بشكل صحيح بسبب الروابط المفقودة، أو (S، G)، أو (*، G) التي لا يتم رؤيتها بشكل متناسق عبر البيئة. يمكن أيضا أن تنشأ مشاكل بين مجالات توجيه البث المتعدد التي تعتمد على MSDP للاتصال البيني.
التوصيات
-يشير السلوك الأكثر شيوعا للمشكلات المتعلقة بالتحكم في PIM إلى مشكلات النطاق أو السلوكيات الدخيلة. ويلاحظ أن أحد السلوكيات الأكثر شيوعا يرجع إلى تنفيذ بروتوكول UPnP، والذي يمكن أن يتسبب أيضا في حدوث مشاكل في إستهلاك الذاكرة. يمكن معالجة هذا الأمر بواسطة عوامل التصفية والنطاق المخفض للأجهزة المخادعة. للحصول على تفاصيل حول كيفية الرجوع إلى حزم التحكم في البث المتعدد والتخفيض وترشيح هذه الحزم وفقا لدور الشبكة الخاص بالجهاز:
تكوين تصفية البث المتعدد على Nexus 7K/N9K - Cisco
مضيف البث المتعدد من الفئة - CoPP-system-p-class-multicast-host
تشير هذه الفئة إلى اكتشاف مستمع البث المتعدد (MLD)، وخاصة أنواع حزم الاستعلام والتقرير والاختزال و MLDv2. MLD هو بروتوكول IPv6 يستخدمه المضيف لطلب بيانات البث المتعدد لمجموعة معينة. مع المعلومات التي يتم الحصول عليها من خلال MLD، يحتفظ البرنامج بقائمة من عضوية مجموعة البث المتعدد أو قنوات البث المتعدد لكل واجهة. تقوم الأجهزة التي تستلم حزم MLD بإرسال بيانات البث المتعدد التي تستلمها للمجموعات المطلوبة أو القنوات خارج مقطع الشبكة من المتلقي المعروف. MLDv1 مشتق من IGMPv2، و MLDv2 مشتق من IGMPv3. يستخدم IGMP أنواع رسائل بروتوكول IP 2، بينما يستخدم MLD أنواع رسائل بروتوكول IP 58، وهي مجموعة فرعية من رسائل ICMPv6.
class-map copp-system-p-class-multicast-host (match-any)
match access-group name copp-system-p-acl-mld
set cos 1
police cir 1000 kbps , bc 128000 bytes
التأثير
عمليات الإسقاط على هذه الفئة تتم ترجمتها إلى مشاكل على إتصالات البث المتعدد ل IPv6 المحلية الخاصة بالارتباط، والتي يمكن أن تتسبب في إسقاط تقارير المصغي من المستقبلات أو الاستجابات إلى الاستعلامات العامة، مما يمنع اكتشاف مجموعات البث المتعدد التي تريد الأجهزة المضيفة إستلامها. هذا يستطيع أثرت ال يتطفل آلية ولا بشكل صحيح أرسلت حركة مرور من خلال قارن متوقع أن طلب الحركة مرور.
التوصيات
-بما أن حركة مرور MLD ذات أهمية على مستوى الارتباط المحلي ل IPv6، إذا ظهرت حالات السقوط على هذه الفئة، فإن أسباب السلوك الأكثر شيوعا تتعلق بالحجم، أو عدم إستقرار L2، أو الأجهزة الدخيلة.
بيانات البث المتعدد من المستوى الثالث من الفئة - CoPP-system-p-class-l3mc-data و Class 3 Multicast IPv6 بيانات - CoPP-system-p-class-l3mcv6-data
تشير هذه الفئات إلى حركة المرور التي تطابق إعادة توجيه إستثناء البث المتعدد نحو بروتوكول SUP. في هذه الحالة، هناك شرطان تتناولهما هذه الفئات. الأول هو فشل إعادة توجيه المسار العكسي (RPF) والثاني هو ملكة جمال الوجهة. تشير ملكة جمال الوجهة إلى حزم البث المتعدد حيث يفشل البحث في الأجهزة الخاصة بجدول إعادة توجيه البث المتعدد للطبقة 3، وبالتالي يتم ضرب حزمة البيانات إلى وحدة المعالجة المركزية. يتم إستخدام هذه الحزم في بعض الأحيان لتشغيل/تثبيت مستوى التحكم في البث المتعدد وإضافة إدخالات جداول إعادة توجيه الأجهزة، استنادا إلى حركة مرور مستوى البيانات. كما ستتطابق حزم البث المتعدد لمستوى البيانات التي تنتهك إعادة توجيه المسار العكسي (RPF) مع هذا الاستثناء ويتم تصنيفها كانتهاك.
class-map copp-system-p-class-l3mc-data (match-any)
match exception multicast rpf-failure
match exception multicast dest-miss
set cos 1
police cir 2400 kbps , bc 32000 bytes
class-map copp-system-p-class-l3mcv6-data (match-any)
match exception multicast ipv6-rpf-failure
match exception multicast ipv6-dest-miss
set cos 1
police cir 2400 kbps , bc 32000 bytes
التأثير
تعني حالات فشل RPF وحالات فشل الوجهة وجود مشكلة في التصميم أو التكوين تتعلق بكيفية تدفق حركة المرور عبر موجه البث المتعدد. فأخطاء الوجهة شائعة عند إنشاء الدولة، ويمكن أن تؤدي عمليات السقوط إلى برمجة وإنشاء (*، ز)، (س، ز) الفشل.
التوصيات
-قم بإجراء تغييرات على التصميم الأساسي لبروتوكول معلومات التوجيه (RIB) للبث الأحادي، أو قم بإضافة مسار ثابت لتوجيه حركة المرور عبر واجهة معينة، في حالة فشل إعادة توجيه المسار العكسي (RPF).
- ارجع إلى https://www.cisco.com/c/en/us/support/docs/ip/ip-multicast/16450-mcastguide0.html#anc5
IGMP من الفئة - CoPP-system-p-class-IGMP
تشير هذه الفئة إلى جميع رسائل IGMP، لجميع الإصدارات التي يتم إستخدامها لطلب بيانات البث المتعدد لمجموعة معينة، ويتم إستخدامها من قبل وظيفة التطفل على بروتوكول IGMP للحفاظ على المجموعات وقائمة الواجهة الصادرة ذات الصلة (OIL) التي تعيد توجيه حركة المرور إلى المتلقين المهتمين في الطبقة 2. رسائل بروتوكول IGMP ذات أهمية محلية لأنها لا تجتاز حدود الطبقة 3، حيث يجب أن يكون وقت حياتها (TTL) 1، كما هو موثق تحت RFC2236 (https://datatracker.ietf.org/doc/html/rfc2236). تتضمن حزم IGMP التي تتم معالجتها بواسطة هذه الفئة جميع استعلامات العضوية (العامة أو الخاصة بالمصدر/المجموعة)، بالإضافة إلى تقارير العضوية والإجازات من المستلمين.
class-map copp-system-p-class-normal-igmp (match-any)
match access-group name copp-system-p-acl-igmp
set cos 3
police cir 3000 kbps , bc 64000 bytes
التأثير
ستترجم عمليات الإسقاط على هذه الفئة إلى مشاكل على جميع مستويات اتصال البث المتعدد بين المصدر والمستلم، حسب نوع رسالة IGMP التي تم إسقاطها بسبب الانتهاك. إذا تم فقد تقارير العضوية من الأجهزة المتلقية، فلن يكون الموجه على دراية بالأجهزة المعنية بحركة المرور وبالتالي لا يتضمن الواجهة/شبكة VLAN على قائمة الواجهة الصادرة ذات الصلة. إذا كان هذا الجهاز هو أيضا المستعلم أو الموجه المعين، فإنه لا يشغل رسائل انضمام PIM ذات الصلة تجاه RP إذا كان المصدر خارج نطاق الطبقة 2 المحلي، وبالتالي فإنه لا يقوم بإنشاء مستوى البيانات عبر شجرة البث المتعدد على طول الطريق إلى المستقبل أو RP. في حالة فقدان تقرير المغادرة، يمكن أن يستمر المستقبل في تلقي حركة مرور غير مرغوب فيها. قد يؤثر هذا أيضا على جميع استعلامات IGMP ذات الصلة التي يتم تشغيلها بواسطة المستعلم والاتصال بين موجهات البث المتعدد في مجال ما.
التوصيات
-السلوكيات الأكثر شيوعا المرتبطة بعمليات إسقاط بروتوكول إدارة مجموعات الإنترنت (IGMP) تتعلق بعدم إستقرار المستوى الثاني أو مشكلات أجهزة التوقيت أو النطاق.
عادي فئة - CoPP-system-p-class-normal
تشير هذه الفئة إلى حركة المرور التي تطابق حركة مرور ARP القياسية، وتتضمن أيضا حركة المرور المرتبطة ب 802.1X، المستخدمة للتحكم في الوصول إلى الشبكة القائمة على المنافذ. هذه هي إحدى أكثر الفئات شيوعا التي تواجه الانتهاكات كطلبات ARP، ويتم بث حزم ARP العكسية ونشرها عبر مجال الطبقة 2 بالكامل. من المهم تذكر أن حزم ARP ليست حزم IP، ولا تحتوي هذه الحزم على رأس L3، وبالتالي يتم إتخاذ القرار بشكل محض على نطاق رؤوس L2. إذا تم تكوين موجه باستخدام واجهة IP المرتبطة بتلك الشبكة الفرعية، مثل واجهة المحول الظاهرية (SVI)، فإن الموجه يقوم بضرب حزم ARP إلى بروتوكول الشجرة المتفرعة (SUP) لمعالجتها، حيث يتم توجيهها إلى عنوان بث الأجهزة. أي عاصفة بث، حلقة الطبقة 2 (بسبب بروتوكول الشجرة المتفرعة (STP) أو الوصلات)، أو جهاز موجه في الشبكة يمكن أن تؤدي إلى عاصفة ARP التي تتسبب في زيادة الانتهاكات بشكل كبير.
class-map copp-system-p-class-normal (match-any)
match access-group name copp-system-p-acl-mac-dot1x
match protocol arp
set cos 1
police cir 1400 kbps , bc 32000 bytes
التأثير
يعتمد تأثير الانتهاكات في هذه الفئة بشكل كبير على مدة الأحداث ودور المحول في البيئة. تشير عمليات الإسقاط في هذه الفئة إلى أنه يتم تجاهل حزم ARP وبالتالي لا تتم معالجتها بواسطة محرك SUP الذي يمكن أن يؤدي إلى سلوكين رئيسيين بسبب حلول ARP غير المكتملة.
من منظور المضيف النهائي، لا يمكن للأجهزة الموجودة في الشبكة حل حل العنوان أو استكماله باستخدام المحول. إذا كان هذا الجهاز يعمل كبوابة افتراضية للمقطع، فقد يؤدي إلى أجهزة غير قادرة على حل بوابتها ومن ثم غير قادرة على التوجيه خارج مقطع إيثرنت L2 (VLAN) الخاص بها. ما يزال بإمكان الأجهزة الاتصال على المقطع المحلي إذا كان بإمكانها إكمال دقة ARP للمضيفين النهائيين الآخرين على المقطع المحلي.
من منظور المحول، إذا كانت العاصفة والانتهاكات سائدة، فإنها يمكن أيضا أن تؤدي إلى عدم قدرة المحول على إكمال العملية الخاصة بطلب ARP الذي أنشأه. يتم إنشاء هذه الطلبات عادة لدقة الخطوة التالية أو دقة الشبكة الفرعية المتصلة مباشرة. بينما تكون ردود ARP unicast في الطبيعة، بما أنها موجهة إلى MAC المملوك من المفتاح، فإنها تصنف تحت هذه الفئة نفسها، بما أنها لا تزال حزم ARP. وهذا يترجم إلى مشاكل إمكانية الوصول لأن المحول لا يستطيع معالجة حركة مرور البيانات بشكل صحيح إذا لم يتم حل الخطوة التالية، ويمكن أن يؤدي إلى مشاكل مع إعادة كتابة رأس الطبقة 2، إذا لم يكن لدى مدير التجاور إدخال للمضيف.
يعتمد التأثير أيضا على نطاق المشكلة الأساسية أن أثار ال ARP انتهاك. على سبيل المثال، في عاصفة بث، تستمر الأجهزة المضيفة والمحول في ARP لمحاولة حل التجاور، والذي يمكن أن يؤدي إلى حركة مرور بث إضافية على الشبكة، ونظرا لأن حزم ARP هي الطبقة 2، فلا يوجد وقت للطبقة 3 للتشغيل (TTL) لكسر حلقة L2 وبالتالي فإنها تستمر في التكرار، وتنمو بشكل أسي من خلال الشبكة حتى يتم كسر الحلقة.
التوصيات
-حل أي حالة عدم إستقرار أساسية من المستوى الثاني يمكن أن تتسبب في حدوث عواصف ARP في البيئة، مثل بروتوكول الشجرة المتفرعة (STP) أو الوصلات أو الأجهزة المخادعة. قم بفك حلقات التكرار تلك حسب ما هو مطلوب، باستخدام أي طريقة مرغوبة لفتح مسار الارتباط.
-يمكن أيضا إستخدام السيطرة على العواصف للحد من عاصفة ARP. إذا لم يتم تمكين التحكم في العاصفة، فتحقق من إحصائيات العداد على الواجهات للتحقق من النسبة المئوية لحركة مرور البث التي تمت رؤيتها على الواجهات فيما يتعلق بإجمالي حركة المرور التي تمر عبر الواجهة.
-إذا لم تحدث عاصفة، ولكن لا تزال هناك حالات سقوط مستمرة على البيئة، فتحقق من حركة مرور SUP للتعرف على أي أجهزة مخادعة، حيث تقوم بإرسال حزم ARP بشكل مستمر على الشبكة، مما قد يؤثر على حركة المرور الشرعية.
-يمكن ملاحظة الزيادات اعتمادا على عدد البيئات المضيفة على الشبكة ودور المحول على البيئة، وقد تم تصميم ARP لإعادة محاولة الإدخالات وحلها وتحديثها، وبالتالي فمن المتوقع أن يرى حركة مرور ARP في جميع الأوقات. إذا ظهرت حالات السقوط المتقطعة فقط، فقد تكون عابرة اعتمادا على حمل الشبكة ولا يمكن ملاحظة أي تأثير. لكن من المهم مراقبة الشبكة ومعرفة ماهيتها للتعرف بشكل صحيح على المتوقع من الموقف غير الطبيعي وتمييزه عنه.
NDP للفئة - CoPP-system-p-ACL-NDP
تشير هذه الفئة إلى حركة المرور المرتبطة باكتشاف/إعلان جار IPv6 وحزم إعلانات والتماس الموجه التي تستخدم رسائل ICMP لتحديد عناوين طبقة الارتباط المحلية للجيران، ويتم إستخدامها للوصول إلى الأجهزة المجاورة وتعقبها.
class-map copp-system-p-class-ndp (match-any)
match access-group name copp-system-p-acl-ndp
set cos 6
police cir 1400 kbps , bc 32000 bytes
التأثير
قد تؤدي الانتهاكات على هذه الفئة إلى إعاقة اتصال IPv6 بين الأجهزة المجاورة، حيث يتم إستخدام هذه الحزم لتسهيل الاكتشاف الديناميكي أو معلومات طبقة الارتباط/المحلية بين الأجهزة المضيفة والموجهات على الارتباط المحلي. كما يمكن أن يتسبب قطع هذا الاتصال في حدوث مشاكل تتعلق بإمكانية الوصول إلى ما بعد الارتباط المحلي المقترن أو من خلاله. إذا كانت هناك مشكلات إتصالات بين جيران IPv6، فتأكد من عدم حدوث حالات سقوط على هذه الفئة.
التوصيات
-فحص أي سلوكيات ICMP غير طبيعية من الأجهزة المجاورة، وخاصة تلك المتعلقة باكتشاف الموجه و/أو اكتشافه المجاور
-تأكد من أن جميع قيم المؤقت والفترات الزمنية المتوقعة للرسائل الدورية متناسقة عبر البيئة، ويتم أحترامها، على سبيل المثال لرسائل إعلان الموجه (رسائل RA).
class normal dhcp - coPP-system-p-class-normal-dhcp
تشير هذه الفئة إلى حركة المرور المرتبطة ببروتوكول نظام تمهيد تشغيل الكمبيوتر (عميل/خادم بروتوكول نظام تمهيد تشغيل الكمبيوتر (BOOTP)، المعروف بشكل عام باسم حزم بروتوكول التحكم في المضيف الديناميكي (DHCP) على نفس مقطع الإيثرنت المحلي لكل من IPv4 و IPv6. وهذا يتعلق فقط باتصالات حركة المرور التي تنشأ من أي عميل BOOTP أو موجهة إلى أي خوادم BOOTP، من خلال تبادل حزم البيانات والعرض والطلب والتعرف عليها (DORA) بالكامل، ويتضمن أيضا حركة عميل/خادم DHCPv6 من خلال منافذ UDP 546/547.
class-map copp-system-p-class-normal-dhcp (match-any)
match access-group name copp-system-p-acl-dhcp
match access-group name copp-system-p-acl-dhcp6
set cos 1
police cir 1300 kbps , bc 32000 bytes
التأثير
قد تؤدي الانتهاكات على هذه الفئة إلى عدم قدرة المضيفين النهائيين على الحصول على IP بشكل صحيح من خادم DHCP، وبالتالي ترجع إلى نطاق عنوان IP الخاص (APIPA) الخاص الخاص بهم، 169.254.0.0/16. ويمكن أن تحدث مثل هذه الانتهاكات في البيئات التي تحاول فيها الأجهزة التمهيد في وقت واحد ومن ثم تنتقل إلى ما هو أبعد من معرف مواقع المعلومات (CIR) المرتبط بالفئة.
التوصيات
-تحقق باستخدام التقاط، على المضيفين وخادم DHCP، من رؤية حركة DORA بالكامل. إذا كان المحول جزءا من هذا الاتصال، فمن المهم أيضا التحقق من الحزم التي تمت معالجتها أو تثبيتها على وحدة المعالجة المركزية، والتحقق من الإحصائيات على المحول: 'show ip dhcp global statistics' وإعادة التوجيه: 'show system internal access-list sup-redirect-stats module 1 | GREP -i dhcp'.
إستجابة ترحيل DHCP العادية للفئة - coPP-system-p-normal-dhcp-relay-response
تشير هذه الفئة إلى حركة المرور المقترنة بوظيفة ترحيل DHCP لكل من IPv4 و IPv6، الموجهة إلى خوادم DHCP التي تم تكوينها ضمن الترحيل. وهذا يتعلق فقط باتصال حركة المرور الذي تم إنشاؤه من أي خادم BOOTP أو الموجه إلى أي عملاء BOOTP من خلال تبادل حزم DORA بالكامل، كما يتضمن أيضا حركة عميل/خادم DHCPv6 من خلال منافذ UDP 546/547.
class-map copp-system-p-class-normal-dhcp-relay-response (match-any)
match access-group name copp-system-p-acl-dhcp-relay-response
match access-group name copp-system-p-acl-dhcp6-relay-response
set cos 1
police cir 1500 kbps , bc 64000 bytes
التأثير
تحمل الانتهاكات لهذه الفئة نفس التأثير مثل الانتهاكات للفئة CoPP-system-p-class-normal-dhcp، لأنها تشكل كلا جزأين من المعاملة نفسها. تركز هذه الفئة بشكل أساسي على إتصالات الاستجابة من خوادم وكيل الترحيل. لا يعمل Nexus كخادم DHCP، فقد تم تصميمه فقط للعمل كعميل ترحيل.
التوصيات
تنطبق هنا نفس التوصيات مثل class normal DHCP. بما أن وظيفة Nexus هي فقط العمل كعميل ترحيل، فإنك تتوقع على SUP أن ترى الحركة بالكامل بين المضيف والمحول يعمل كترحيل، كما يعمل المحول والخوادم على التكوين.
تأكد من عدم وجود أجهزة مخادعة، مثل خوادم DHCP غير المتوقعة التي تعمل على الشبكة التي يمكن أن تستجيب للنطاق، أو الأجهزة التي علقت في حلقة تفيض الشبكة باستخدام حزم اكتشاف DHCP. يمكن إجراء فحوصات إضافية بواسطة الأوامر: 'show ip dhcp relay' و'show ip dhcp relay statistics'.
تدفق من الفئة NAT - CoPP-system-p-class-nat-flow
تشير هذه الفئة إلى حركة مرور تدفق NAT لمحول البرنامج. عند إنشاء ترجمة ديناميكية جديدة، تتم إعادة توجيه التدفق إلى أن تتم برمجة الترجمة في الجهاز، ومن ثم يتم توجيهه بواسطة CoPP للحد من حركة مرور البيانات التي يتم انتقاؤها إلى المشرف أثناء تثبيت الإدخال في الجهاز.
class-map copp-system-p-class-nat-flow (match-any)
match exception nat-flow
set cos 7
police cir 800 kbps , bc 64000 bytes
التأثير
تحدث عمليات السقوط على هذه الفئة عادة عند تثبيت معدل مرتفع من الترجمات الديناميكية الجديدة والتدفقات في الأجهزة. يتعلق التأثير بالحزم المحولة للبرامج التي يتم التخلص منها ولا يتم تسليمها إلى المضيف النهائي، مما يمكن أن يؤدي إلى الفقدان وإعادة الإرسال. وبمجرد تثبيت الإدخال في الأجهزة، لا يتم فرض عقوبات على حركة مرور البيانات الأخرى إلى المشرف.
التوصيات
-التحقق من الإرشادات والقيود الخاصة ب NAT الديناميكي على النظام الأساسي ذي الصلة. هناك قيود معروفة أن يكون وثقت على منصة، مثل 3548، حيث الترجمة يمكن أن يأخذ عدة ثوان. ارجع إلى: https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus3548/sw/93x/interfaces/configuration/guide/b-cisco-nexus-3500-nx-os-interfaces-configuration-guide-93x/b-cisco-nexus-3500-nx-os-interfaces-configuration-guide-93x_chapter_0110.html#id_35947
إستثناء الفئة - CoPP-system-p-class-exception
تشير هذه الفئة إلى حزم الاستثناءات المرتبطة بخيار IP وحزم ICMP التي يتعذر الوصول إليها. إذا لم يكن عنوان وجهة موجودا على قاعدة معلومات إعادة التوجيه (FIB) وأدى إلى حدوث خطأ، يرسل بروتوكول SUP حزمة ICMP التي يتعذر الوصول إليها مرة أخرى إلى المرسل. الحزم المزودة بخيارات IP الممكنة تقع أيضا ضمن هذه الفئة.، ارجع إلى مستند ANA، للحصول على تفاصيل حول خيارات IP: https://www.iana.org/assignments/ip-parameters/ip-parameters.xhtml#ip-parameters-1
class-map copp-system-p-class-exception (match-any)
match exception ip option
match exception ip icmp unreachable
match exception ipv6 option
match exception ipv6 icmp unreachable
set cos 1
police cir 150 kbps , bc 32000 bytes
التأثير
يتم تنظيم هذه الفئة بشدة، ولا تشير عمليات الإسقاط على هذه الفئة إلى فشل بل إلى آلية حماية لتحديد نطاق حزم ICMP التي يتعذر الوصول إليها وخيارات IP.
التوصيات
-التحقق من وجود أي تدفقات لحركة المرور التي تتم مشاهدتها أو تثبيتها على وحدة المعالجة المركزية للوجهات غير الموجودة على FIB.
إعادة توجيه الفئة - CoPP-system-p-class-redirect
تشير هذه الفئة إلى حركة المرور المقترنة ببروتوكول وقت Precision (PTP)، المستخدم لمزامنة الوقت. هذا يتضمن حركة مرور البث المتعدد للنطاق المحجوز 224.0.1.129/32، حركة مرور البث الأحادي على UDP ميناء 319/320 والنوع الآخر 0x88F7.
class-map copp-system-p-class-redirect (match-any)
match access-group name copp-system-p-acl-ptp
match access-group name copp-system-p-acl-ptp-l2
match access-group name copp-system-p-acl-ptp-uc
set cos 1
police cir 280 kbps , bc 32000 bytes
التأثير
يمكن أن تؤدي عمليات الإسقاط على هذه الفئة إلى مشاكل على الأجهزة التي لم تتم مزامنتها بشكل صحيح أو التي لم تقم بإنشاء التسلسل الهيكلي المناسب.
التوصيات
-تأكد من إستقرار الساعات ومن تكوينها بشكل صحيح. تأكدت شكلت ال PTP أداة يكون ل multicast أو unicast PTP أسلوب، غير أن لا كلا في نفس الوقت. ويتم توثيق ذلك أيضا بموجب الإرشادات والحدود، ويمكن أن يدفع حركة المرور إلى ما هو أبعد من معدل الإدخال الملتزم به.
-مراجعة تصميم وتهيئة ساعة الحد وكافة أجهزة PTP في البيئة. تأكد من اتباع جميع الإرشادات والقيود لكل منصة لأنها تختلف.
Class OpenFlow- CoPP-system-p-class-openFlow
تشير هذه الفئة إلى حركة المرور المقترنة بعمليات عامل OpenFlow واتصال TCP المقابل بين وحدة التحكم والوكيل.
class-map copp-system-p-class-openflow (match-any)
match access-group name copp-system-p-acl-openflow
set cos 5
police cir 1000 kbps , bc 32000 bytes
التأثير
يمكن أن تؤدي عمليات الإسقاط على هذه الفئة إلى حدوث مشاكل على الوكلاء الذين لا يستلمون التعليمات الواردة من وحدة التحكم لإدارة مستوى إعادة التوجيه للشبكة بشكل صحيح ويعالجونها
التوصيات
-تأكد من عدم ظهور حركة مرور متكررة على الشبكة، أو أي جهاز يعطل الاتصال بين وحدة التحكم والوكلاء.
-التحقق من عدم إستقرار شبكة L2 (STP، حلقات التكرار).
أستكشاف أخطاء عمليات إسقاط CoPP وإصلاحها
الخطوات الأولى لاستكشاف أخطاء CoPP وإصلاحها هي تحديد:
- أثر المسألة ونطاقها
-فهم تدفق حركة المرور من خلال البيئة ودور المحول في الاتصالات المتأثرة
-تحديد ما إذا كانت هناك انتهاكات للفئة المقترنة المشتبه بها أم لا، والتكرار حسب الضرورة.
على سبيل المثال، تم اكتشاف السلوك المدرج:
-لا يمكن للأجهزة الاتصال بأجهزة أخرى خارج شبكتها، ولكن يمكن أن تتصل محليا.
-تم عزل التأثير إلى الاتصال الموجه خارج شبكة VLAN، ويعمل المحول كبوابة افتراضية.
-يشير فحص الأجهزة المضيفة إلى أنها لا تستطيع إختبار اتصال البوابة، بعد التحقق من جدول ARP الخاص بها، يظل إدخال البوابة غير مكتمل.
-لا توجد أي مشاكل في الاتصال بين كافة الأجهزة المضيفة الأخرى التي لديها حل البوابة. يشير فحص CoPP على المحول الذي يعمل كبوابة إلى وجود انتهاكات على CoPP-system-p-class-normal.
class-map copp-system-p-class-normal (match-any)
match access-group name copp-system-p-acl-mac-dot1x
match protocol arp
set cos 1
police cir 1400 kbps , bc 32000 bytes
module 1 :
transmitted 3292445628 bytes;
dropped 522023852 bytes;
-بالإضافة إلى ذلك، عمليات التحقق من الأوامر المتعددة، قم بإظهار عمليات السقوط التي تتزايد بشكل نشط.
-يمكن أن تؤدي هذه الانتهاكات إلى إسقاط حركة مرور ARP المشروعة، مما يؤدي إلى رفض سلوك الخدمات.
ملاحظة: من المهم إبراز أن CoPP تعزل التأثير على حركة المرور المرتبطة بالفئة المحددة، والتي هي في هذا المثال ARP و CoPP-system-p-class-normal. لا يتم إسقاط حركة المرور المتعلقة بالفئات الأخرى، مثل OSPF و BGP بواسطة CoPP، حيث أنها تقع داخل فئة مختلفة بالكامل. إذا تركت غير محددة، يمكن أن تتسلسل مشاكل ARP إلى مشاكل أخرى، والتي يمكن أن تؤثر على البروتوكولات التي تعتمد عليها للبدء. على سبيل المثال، إذا انتهت مهلة ذاكرة التخزين المؤقت ل ARP ولم يتم تحديثها بسبب الانتهاكات الزائدة، يمكن إنهاء جلسة عمل TCP مثل BGP.
-ينصح بإجراء فحوصات مستوى التحكم، مثل إيثاناليزر وإحالات النطاق داخل وحدة المعالجة المركزية (CPU) و عملية وحدة المعالجة المركزية (CPU) لعزل المسألة بشكل أكبر.
إيثاناليزر
بما أن حركة المرور التي يتم تنظيمها بواسطة CoPP مرتبطة فقط بحركة المرور المرتبطة بوحدة المعالجة المركزية، فإن أحد أهم الأدوات هو الإيثاناليزر. هذه الأداة هي تنفيذ Nexus ل TShark وتسمح بحركة المرور التي يتم إرسالها واستقبالها بواسطة المشرف بأن يتم التقاطها وفك ترميزها. كما يمكنه إستخدام عوامل التصفية التي تستند إلى معايير مختلفة، مثل البروتوكولات أو معلومات الرأس، ومن ثم يصبح أداة قيمة لتحديد حركة المرور التي يتم إرسالها واستقبالها بواسطة وحدة المعالجة المركزية.
تتمثل التوصية في فحص حركة مرور ARP التي تتم رؤيتها من قبل المشرف عند تشغيل أداة ethanalyzer مباشرة على جلسة عمل المحطة الطرفية أو إرسالها إلى ملف للتحليل. يمكن تعريف المرشحات والحدود لتركيز الالتقاط في نمط أو سلوك معين. للقيام بذلك، أضف عوامل تصفية عرض مرنة.
هناك مفهوم خاطئ شائع وهو أن الإيثاناليزر يلتقط كل حركة المرور التي تجتاز عبر المحول. يتم تحويل حركة مرور مستوى البيانات، بين الأجهزة المضيفة، أو توجيهها بواسطة بطاقات ASICs الخاصة بالأجهزة بين منافذ البيانات لا تتطلب مشاركة وحدة المعالجة المركزية (CPU) وبالتالي لا يتم رؤيتها عادة بواسطة التقاط الإيثاناليزر. لالتقاط حركة مرور مستوى البيانات، ينصح باستخدام أدوات أخرى، مثل ELAM أو SPAN. على سبيل المثال، لتصفية ARP، أستخدم الأمر:
الإيثاناليزر محلي قارن ن داخلي عرض-مرشح ARP إطار حد-التقاط-إطارات 0 مدة الإيقاف التلقائي 60 > arpcpu
الحقول الهامة القابلة للتكوين:
- 'interface inband' - يشير إلى حركة المرور الموجهة إلى SUP
- 'display-filter arp' - يشير إلى مرشح القرش المطبق، يتم قبول معظم مرشحات Wireshark
- 'Limit-capture-frame 0' - يشير إلى الحد، 0 يساوي غير محدود، حتى يتم إيقافه بواسطة معلمة أخرى أو يتم إيقافه يدويا بواسطة Ctrl+C
- 'مدة الإيقاف التلقائي 60' - تشير إلى توقف الإيثاناليزر بعد 60 ثانية، وبالتالي فإنها تشكل لقطة لمدة 60 ثانية من حركة مرور ARP التي تتم رؤيتها على وحدة المعالجة المركزية
يتم إعادة توجيه إخراج الإيثاناليزر إلى ملف على ذاكرة التمهيد المؤقتة (bootflash) باستخدام '> arpcpu'، لمعالجته يدويا. بعد 60 ثاني، يتم الالتقاط، وينتهي الإيثاناليزر بشكل ديناميكي، والملف arpcpu على bootflash من المفتاح، أي يستطيع بعد ذلك معالجة أن يستخرج السماعات الأعلى. على سبيل المثال:
show file bootflash:arpcpu | sort -k 3,5 | uniq -f 2 -c | sort -r -n | head lines 50
669 2022-05-10 10:29:50.901295 28:ac:9e:ad:5e:47 -> ff:ff:ff:ff:ff:ff ARP Who has 10.1.1.1? Tell 10.1.1.2
668 2022-05-10 10:29:50.901295 28:ac:9e:ad:5e:43 -> ff:ff:ff:ff:ff:ff ARP Who has 10.2.1.1? Tell 10.2.1.2
668 2022-05-10 10:29:50.901295 28:ac:9e:ad:5e:41 -> ff:ff:ff:ff:ff:ff ARP Who has 10.3.1.1? Tell 10.3.1.2
يتم فرز عامل التصفية هذا استنادا إلى: الأعمدة المصدر والوجهة، ثم التطابقات الفريدة التي تم العثور عليها (ولكنها تتجاهل عمود التاريخ)، وتحسب التواجدات وتضيف العدد الذي تم مشاهدته، وأخيرا تقوم بفرز من أعلى إلى أسفل، بناء على العد، وتعرض النتائج الخمسين الأولى.
في مثال المختبر هذا، في 60 ثانية، تم إستلام أكثر من 600 حزمة ARP من ثلاث أجهزة، والتي تم التعرف عليها على أنها الأجهزة المسيئة المشتبه بها. يوضح العمود الأول في عامل التصفية بالتفصيل عدد المثيلات الخاصة بهذا الحدث التي تم رؤيتها في ملف الالتقاط خلال المدة المحددة.
ومن المهم فهم أن أداة الإيثاناليزر تعمل على المحرك داخل النطاق، وهو أساسا الاتصال بدائرة التفتيش الجوي. من الناحية النظرية، يجب أن تمر الحزمة عبر kernel ومدير الحزمة ليتم تسليمهما إلى العملية المقترنة نفسها. يعمل CoPP و HWRL قبل رؤية حركة المرور على الإيثاناليزر. وحتى إذا كانت الانتهاكات في أزدياد، فإن بعض حركة المرور لا تزال تمر وتتوافق مع معدل الشرطة، مما يساعد على تكوين فكرة عن تدفقات حركة المرور التي تتعرض لها وحدة المعالجة المركزية. وهذا فرق مهم، لأن حركة المرور التي تشاهد على الإيثاناليزر ليست حركة المرور التي خالفت CIR وتم إسقاطها.
كما يمكن إستخدام الإيثاناليزر أيضا بطريقة مفتوحة، بدون أي عامل تصفية عرض أو عامل تصفية التقاط محدد لحجز حركة مرور SUP ذات الصلة. يمكن إستخدام هذا الإجراء كتدبير عزل كجزء من نهج أستكشاف الأخطاء وإصلاحها.
للحصول على تفاصيل إضافية واستخدام الإيثاناليزر، راجع الملاحظة الفنية:
ملاحظة: يمكن ل Nexus 7000، قبل إصدار رمز 8.x، إجراء عمليات التقاط الإيثاناليزر فقط من خلال VDC للمسؤول، والذي يتضمن حركة مرور البيانات المرتبطة ببروتوكول SUP من جميع VDC. يوجد الإيثاناليزر الخاص ب VDC في رموز 8.x.
حالات CPU-MAC داخل النطاق
تعمل حالات النطاق داخل النطاق المرتبطة بحركة المرور المرتبطة بوحدة المعالجة المركزية على الاحتفاظ بالإحصاءات ذات الصلة لحركة مرور وحدة المعالجة المركزية (CPU) داخل النطاق TX/RX. يمكن التحقق من هذه الإحصائيات باستخدام الأمر: إظهار إحصائيات النطاق الداخلي لوحدة المعالجة المركزية (CPU-MAC) الداخلية للأجهزة"، الذي يوفر نظرة متعمقة على إحصائيات المعدل الحالي ومعدل الذروة.
show hardware internal cpu-mac inband stats`
================ Packet Statistics ======================
Packets received: 363598837
Bytes received: 74156192058
Packets sent: 389466025
Bytes sent: 42501379591
Rx packet rate (current/peak): 35095 / 47577 pps
Peak rx rate time: 2022-05-10 12:56:18
Tx packet rate (current/peak): 949 / 2106 pps
Peak tx rate time: 2022-05-10 12:57:00
كأفضل ممارسة، ينصح بإنشاء خط أساسي وتعقبه لأن الاعتماد على دور المحول ومخرج البنية الأساسية ل "عرض حالة النطاق الداخلي لوحدة المعالجة المركزية (CPU) الخاصة بالأجهزة" يختلف بشكل ملحوظ. في بيئة المعمل هذه، القيم المعتادة والقمم التاريخية لا تزيد عادة عن بضع مئات من ppp، وبالتالي فإن هذا غير طبيعي. الأمر show hardware internal cpu-mac inBand events' مفيد أيضا كمرجع تاريخي، لأنه يحتوي على بيانات متعلقة بالاستخدام الأقصى والوقت الذي تم الكشف عنه.
معالجة وحدة المعالجة المركزية
إن محولات Nexus هي أنظمة قائمة على نظام التشغيل Linux، ويستفيد نظام التشغيل Nexus (NXOS) من برنامج الجدولة الزمنية الاستباقية لوحدة المعالجة المركزية (CPU) والمهام المتعددة والتشغيل المتعدد لبنية النوى الخاصة به، لتوفير إمكانية وصول عادلة إلى جميع العمليات، ومن ثم فإن الزيادات ليست دائما مؤشرا على وجود مشكلة. ومع ذلك، إذا شوهد حدوث انتهاكات مستمرة لحركة المرور، فمن المرجح أن تستخدم العملية المرتبطة بها أيضا إستخداما مكثفا، ويبدو أنها مورد رئيسي في إطار نواتج وحدة المعالجة المركزية. قم بأخذ لقطات متعددة لعمليات وحدة المعالجة المركزية للتحقق من الاستخدام العالي لعملية معينة باستخدام: إظهار العمليات فرز وحدة المعالجة المركزية | إستثناء 0.0 أو إظهار عمليات فرز وحدة المعالجة المركزية | GREP <process>.
توفر عمليات التحقق من وحدة المعالجة المركزية (CPU) والحالات داخل النطاق الترددي والإيثاناليزر نظرة متعمقة على العمليات وحركة المرور التي تتم معالجتها حاليا بواسطة المشرف، كما تساعد على عزل عدم الاستقرار المستمر على حركة مرور بيانات مستوى التحكم التي يمكن أن تتزامن في مشاكل مستوى البيانات. ومن المهم فهم أن الشراكة عبر المحيط الهادئ هي آلية للحماية. إنها رجعية لأنها تؤثر فقط على حركة المرور التي تتم معاقبتها. وهو مصمم لحماية سلامة المشرف بتجاهل معدلات المرور التي تتجاوز النطاقات المتوقعة. لا تشير جميع عمليات الإسقاط إلى مشكلة أو تتطلب تدخلا، لأن أهميتها تتعلق بفئة CoPP المحددة والتأثير الذي تم التحقق منه، بناء على البنية الأساسية وتصميم الشبكة. ولا تترجم عمليات السقوط بسبب أحداث الانفجار المتقطعة إلى تأثير، لأن البروتوكولات تتضمن آليات مترابطة، مثل عمليات إعادة التوجيه وإعادة المحاولة التي يمكن أن تتعامل مع الأحداث العابرة. الحفاظ على التركيز على الأحداث المتواصلة أو الأحداث غير الطبيعية التي تتجاوز الحدود الأساسية المحددة. تذكر أنه يجب على CoPP الالتزام بالبروتوكولات والميزات الخاصة بالبيئة ويجب مراقبتها ومواصلة تكرارها لتحسين ذلك، استنادا إلى إحتياجات قابلية التطوير عند تطورها. إذا حدثت عمليات السقوط، فحدد ما إذا كان CoPP قد قام بإسقاط حركة المرور بشكل غير مقصود أو إستجابة لعطل أو هجوم. في أي من الحالتين، قم بتحليل الحالة وتقييم الحاجة إلى التدخل من خلال تحليل التأثير والتدابير التصحيحية على البيئة، والتي يمكن أن تكون خارج نطاق المحول نفسه.
معلومات إضافية
يمكن أن يكون للأنظمة الأساسية/الرموز الحديثة، القدرة على تنفيذ فسحة بين دعامتين إلى وحدة المعالجة المركزية، من خلال نسخة مطابقة لمنفذ ما ونقطة لحركة مرور مستوى البيانات إلى وحدة المعالجة المركزية. عادة ما يكون هذا المعدل مقيدا بشدة بواسطة حد معدل الأجهزة و CoPP. نصح إستعمال حريص من الفسحة بين دعامتين إلى CPU، وهو خارج النطاق من هذا وثيقة. راجع الملاحظة الفنية المدرجة للحصول على مزيد من المعلومات حول هذه الميزة:
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
01-Jul-2022 |
الإصدار الأولي |
التعليقات