أستكشاف أخطاء السيناريوهات وإصلاحها باستخدام تشويش NULL0 و MSS
المحتويات
المقدمة
يصف هذا المستند تأثيرات وجود الحد الأقصى لضبط حجم المقطع (MSS) والمسارات الثابتة التي تشير إلى القيمة الخالية 0 على Catalyst 9K.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- ضبط المعرفة المتعلقة بالمفاهيم حول بروتوكول TCP و MSS
- فهم النظام الأساسي ل Cisco Catalyst 9K لإعادة توجيه مستوى التحكم وتصحيح الأخطاء.
الأنظمة الأساسية المدعومة
هذا وثيقة مناسب لكل مادة حفازة 9 ك منصة يركض cisco IOS® XE 17.3.x وفيما بعد.
المكون المستخدم
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- محولات Catalyst 9300 Series التي تشغل الإصدار IOS-XE 17.3.4
- محولات Catalyst 9400 Series التي تشغل الإصدار IOS-XE 17.3.4
- IXIA لتوليد حركة المرور
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
نهج أستكشاف الأخطاء وإصلاحها
المخطط
يتكون الإعداد من محولات C9000 مع مولد حركة مرور لإعادة إنتاج المشكلة. تم تضمين إختبارات لمزيد من العزل:
الشرط 1: بدون 'Null0' أو 'MSS Adjust'
الشرط 2: باستخدام مسار ثابت يشير إلى Null0، لا يوجد تعديل MSS
الشرط 3: تم تمكين كل من NULL0 و MSS
إصدارات البرامج والأجهزة
- مادة حفازة 9300 و 9400 يركض cisco IOS XE 17.3.4 صيغة
- IXIA لتوليد حركة المرور
متطلبات التكوين
- لم يتم تكوين 'ip tcp adjust-mss' و 'null0 route'
- مع تكوين المسار 'null0' فقط
- مع تكوين 'ip tcp adjust-mss' و'null0 route'
'ip tcp adjust-mss value' (قيمة أقل من الحد الأقصى لوحدة الإرسال (MTU)) (على واجهة النفق أو واجهة المحول الظاهرية (SVI) (مدخل))
'ip route x.x.x.x.x.x.Null0' (المسارات الثابتة التي تشير إلى Null0)
استنادا إلى الشروط الموضحة، يمكنك مراقبة الاتصال المتقطع بنظراء بروتوكول العبارة الحدودية (BGP) المتصلة مباشرة وبمنافذ SVIs التي تم تكوينها على الجهاز نفسه أو على الأجهزة النظيرة المتصلة مباشرة. كما توجد زيادة متناسقة في عدادات الإسقاط في قائمة انتظار إعادة توجيه البرامج (SW) أثناء تشغيل أوامر تصحيح الأخطاء (CoPP) والتحكم في مستوى التحكم. يوضح التحقيق أن حركة المرور المخصصة ل Null0 يتم توجيهها بدلا من ذلك إلى وحدة المعالجة المركزية. تسبب هذا السلوك في تعطيل بروتوكول BGP عن طريق منع إكمال تأكيد الاتصال ثلاثي الإتجاه ل TCP. وبالإضافة إلى ذلك، فشلت إختبارات الاتصال لعناوين IP الخاصة ب SVI التي تم تكوينها على المحول.
السيناريوهات
الحالة 1. بدون 'Null0' أو 'MSS Adjust'
إذا لم يتم تكوين 'ip tcp adjust-mss' أو 'route فارغ'، يبقى عداد الإسقاط في قائمة انتظار إعادة توجيه SW في '0' بعد حركة المرور التي تم إنشاؤها من IXIA، كما هو متوقع.
أحلت هذا سجل مقياس سرعة:
Cat-9400-1# Show platform hardware fed active qos queue stats internal cpu policer
CPU Queue Statistics
=====================================================================================
(default) (set) Queue Queue
QId PlcIdx Queue Name Enabled Rate Rate Drop(Bytes) Drop(Frames)
--------------------------------------------------------------------------------------------
14 13 Sw forwarding Yes 1000 200 0 0>>>>>>>>>>>>>>>>>>>>>>>>>>>>No increment
الحالة 2. مع وجود نقاط مسار ثابتة إلى Null0، لا يوجد تعديل MSS
مع تكوين المسار Null0 فقط، يبقى عداد الإسقاط في قائمة انتظار إعادة توجيه SW في '0' بعد حركة المرور التي تم إنشاؤها من IXIA، كما هو متوقع.
أحلت هذا سجل مقياس سرعة:
Cat-9400-1# Show platform hardware fed active qos queue stats internal cpu policer
CPU Queue Statistics
=====================================================================================
(default) (set) Queue Queue
QId PlcIdx Queue Name Enabled Rate Rate Drop(Bytes) Drop(Frames)
--------------------------------------------------------------------------------------------
14 13 Sw forwarding Yes 1000 200 0 0>>>>>>>>>>>>>>>>>>>>>>>>>>>>No increment
الحالة 3. تم تمكين كل من 'Null0' و'MSS Adjust'
With both "ip tcp adjust-mss" and a "null route" configured:
Configuration:
On Cat 9300:
Cat-9300-1#show run interface twoGigabitEthernet 1/0/1
interface TwoGigabitEthernet1/0/1 (Interface connected to IXIA)
no switchport
ip address 10.1.12.xx 255.255.255.0
end
Cat-9300-1#show run interface tenGigabitEthernet 1/1/3
interface TenGigabitEthernet1/1/3 (Physical interface connected to C9400)
no switchport
mtu 9000
ip address 203.63.xxx.xx 255.255.255.0
no ip redirects
no ip unreachables
ip mtu 1500
load-interval 30
end
Cat-9300-1#show run interface tunnel421
interface Tunnel421
description Tunnel 421 to Scrubbing Center - SYD EDGE 1 and 2 - AR1 Tunnel 30
ip address 10.88.178.xx 255.255.255.0
ip mtu 1470
load-interval 30
Cisco Confidential
keepalive 10 3
tunnel source 203.63.xxx.xx
tunnel destination 203.63.xxx.xx
end
On cat 9400:
Cat-9400-1#show run interface tenGigabitEthernet 1/0/3
interface TenGigabitEthernet1/0/3 (Interface connected to C9300)
no switchport
mtu 9000
ip address 203.63.xxx.xx 255.255.255.0
no ip redirects
no ip unreachables
ip mtu 1500
load-interval 30
end
interface Tunnel421
ip address 10.88.178.xx 255.255.255.0
ip mtu 1470
ip tcp adjust-mss 500>>>>>>>>>>>>
load-interval 30
keepalive 10 3
tunnel source 203.63.xxx.xx
tunnel destination 203.63.xxx.xx
end
Null0 Routes:
ip route 10.2.12.xx 255.255.255.255 null0>>>>>>>>Destination IP is of IXIA connected to 9300
Cat-9400-1#show ip route
Gateway of last resort is 203.63.xxx.xx to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 203.63.xxx.xx
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
S 10.2.12.0/24 [1/0] via 192.168.12.xx
S 10.2.12.xx/32 is directly connected, Null0
C 10.88.178.0/24 is directly connected, Tunnel421
L 10.88.178.xx/32 is directly connected, Tunnel421
بعد إجراء عمليات توجيه و تكوين ضبط MSS ل Null0 على واجهة نفق الدخول الخاصة ب C9400، تم إنشاء حركة مرور البيانات من IXIA، وزيادات عداد الإسقاط لهوية قائمة انتظار وحدة المعالجة المركزية (QID) 14، كما هو موضح في الصورة التالية.
إيكسيا
إخراج C9400 CoPP:
Cat-9400-1# show platform hardware fed active qos queue stats internal cpu policer
=====================================================================================
(default) (set) Queue Queue
QId PlcIdx Queue Name Enabled Rate Rate Drop(Bytes) Drop(Frames)
--------------------------------------------------------------------------------------------
14 13 Sw forwarding Yes 1000 200 3252568000 3214000>>>>>> Drops increasing in this Queue
Cat-9400-1# show platform hardware fed active qos queue stats internal cpu policer
CPU Queue Statistics
=====================================================================================
(default) (set) Queue Queue
QId PlcIdx Queue Name Enabled Rate Rate Drop(Bytes) Drop(Frames)
--------------------------------------------------------------------------------------------
0 11 DOT1X Auth Yes 1000 1000 0 0
1 1 L2 Control Yes 2000 2000 0 0
2 14 Forus traffic Yes 4000 4000 0 0
3 0 ICMP GEN Yes 600 600 0 0
4 2 Routing Control Yes 5400 5400 0 0
5 14 Forus Address resolution Yes 4000 4000 0 0
6 0 ICMP Redirect Yes 600 600 0 0
7 16 Inter FED Traffic Yes 2000 2000 0 0
8 4 L2 LVX Cont Pack Yes 1000 1000 0 0
9 19 EWLC Control Yes 13000 13000 0 0
10 16 EWLC Data Yes 2000 2000 0 0
11 13 L2 LVX Data Pack Yes 1000 200 0 0
12 0 BROADCAST Yes 600 600 0 0
13 10 Openflow Yes 200 200 0 0
14 13 Sw forwarding Yes 1000 200 40147794808 39671734>>>>>>With MSS adjust and Null0 configured.
15 8 Topology Control Yes 13000 13000 0 0
16 12 Proto Snooping Yes 2000 2000 0 0
17 6 DHCP Snooping Yes 400 400 0 0
شرح المسارات الثابتة و MSS الفارغة0
وفقا للنظرية، لمعالجة حركة المرور غير المرغوب فيها مثل حركة مرور البث أو حظر الوصول إلى شبكات فرعية معينة، يتمثل أحد الخيارات في إعداد مسار ثابت يوجه حركة المرور إلى Null0. يتسبب ذلك في تجاهل الموجه لأي حركة مرور مخصصة لتلك الشبكة.
أمر ل Null0
ip route <destination-network> <subnet-mask> null 0
For an example:
ip route 10.2.12.xx 255.255.255.255 null0>>>>>>Destination IP is of IXIA connected to 9300
تضمن الصياغة الخالية 0 عدم إعادة توجيه 10.2.12.1/32 من أي مكان. وهو ما يعني أن أي حركة مرور موجهة لشبكة الوجهة يتم تجاهلها (إسقاطها) في Null0.
TCP MSS
من ناحية أخرى، ضبط TCP MSS:
تقوم ضبط MSS بتعديل MSS لحزم TCP. عند حدوث عدم تطابق MTU- غالبا بين الأجهزة ذات إعدادات MTU المختلفة أو من خلال أنفاق مثل VPNs- يمكن تجزئة الحزم.
التجزئة غير مرغوب فيها لحركة مرور TCP لأنها يمكن أن تؤدي إلى فقدان الحزمة أو انخفاض الأداء. ويعالج ضغط MSS هذه المشكلة من خلال ضبط حجم مقاطع TCP، مما يضمن أن الحزم صغيرة بما يكفي لملاءمتها ضمن المسار MTU، وبالتالي تمنع التجزئة. عند تطبيق ضبط MSS على واجهات النفق و SVIs بقيمة تم تعيينها على 1360 لاتصالات TCP، فإنه يضمن أن حجم المقطع أصغر من MTU المسار، مما يمنع التجزئة.
السيناريو المثالي
Null0 هي واجهة 'الثقب الأسود' الظاهرية التي تسقط أي حركة مرور موجهة نحوها. من المفيد منع حلقات التوجيه أو حركة المرور غير المرغوب فيها.
ضبط TCP MSS هو أمر يضمن أن تكون أجزاء TCP صغيرة بما يكفي لتجنب التجزئة عند المرور عبر الأجهزة أو الأنفاق باستخدام وحدات الحد الأقصى للنقل (MTU) الأصغر.
الشرط
على الرغم من إستخدام هاتين الميزتين بشكل عام لأغراض مختلفة، إلا أنهما يمكن أن تلعبا دورا في تصميم شبكة شامل لإدارة تدفق حركة المرور، وتجنب التجزئة، وتحسين الأداء. ومع ذلك، على محولات Catalyst 9K، يمكن أن يؤدي إستخدام كل من ضبط NULL0 و MSS معا إلى حدوث تعارضات، وزيادة حمل وحدة المعالجة المركزية (CPU)، وانتهاك سياسة CoPP.
التحقق
Show platform hardware fed active qos queue stats internal cpu policer
Identify the QID where the drop counters increments. After finding the QID (for example, QID 14), run the debug command:
#debug platform software fed switch active punt packet-capture set-filter "fed.queue == 14"
#debug platform software fed switch active punt packet-capture start
#debug platform software fed switch active punt packet-capture stop
#show platform software fed switch active punt packet-capture brief
#show platform software fed switch active punt packet-capture detailed
باستخدام أوامر تصحيح الأخطاء، تحقق من السجلات بالتنسيق التالي لتحديد عنوان IP الخاص بنقاط المهاجمين على وحدة المعالجة المركزية، حتى مع المسارات Null0 التي تم تكوينها:
------ Punt Packet Number: XX, Timestamp: 2024/12/14 12:54:57.508 ------
interface : physical: [if-id: 0x00000000], pal: Tunnel411 [if-id: 0x000000d2]
metadata : cause: 11 [For-us data], sub-cause: 1, q-no: 14, linktype: MCP_LINK_TYPE_IP [1]
ether hdr : Partial ether header, ethertype: 0x0800 (IPv4)
Cisco Confidential
ipv4 hdr : dest ip: XX.XX.XX.XX, src ip: XX.XX.XX.XX
ipv4 hdr : packet len: 44, ttl: 242, protocol: 6 (TCP)
tcp hdr : dest port: 777, src port: 41724
تصحيح الأخطاء
Cat-9400-1# debug platform software fed active punt packet-capture set-filter "fed.queue == 14"
Filter setup successful. Captured packets will be cleared
Cat-9400-1#debug platform software fed active punt packet-capture start
Punt packet capturing started.
Cat-9400-1#debug platform software fed active punt packet-capture stop
Punt packet capturing stopped. Captured 4096 packet(s)
Cat-9400-1#show platform software fed active punt packet-capture brief
Total captured so far: 4096 packets. Capture capacity : 4096 packets
Capture filter : "fed.queue == 14"
------ Punt Packet Number: 1, Timestamp: 2025/01/23 16:16:54.978 ------
interface : physical: [if-id: 0x00000000], pal: Tunnel421 [if-id: 0x0000002e]
metadata : cause: 11 [For-us data], sub-cause: 1, q-no: 14, linktype: MCP_LINK_TYPE_IP [1]
ether hdr : Partial ether header, ethertype: 0x0800 (IPv4)
ipv4 hdr : dest ip: 10.2.12.xx, src ip: 10.1.12.xx >>>10.2.12.xx is IXIA
ipv4 hdr : packet len: 1006, ttl: 63, protocol: 6 (TCP)
tcp hdr : dest port: 60, src port: 60
------ Punt Packet Number: 2, Timestamp: 2025/01/23 16:16:54.978 ------
interface : physical: [if-id: 0x00000000], pal: Tunnel421 [if-id: 0x0000002e]
metadata : cause: 11 [For-us data], sub-cause: 1, q-no: 14, linktype: MCP_LINK_TYPE_IP [1]
ether hdr : Partial ether header, ethertype: 0x0800 (IPv4)
ipv4 hdr : dest ip: 10.2.12.xx, src ip: 10.1.12.xx >>>10.2.12.xx is IXIA
ipv4 hdr : packet len: 1006, ttl: 63, protocol: 6 (TCP)
tcp hdr : dest port: 60, src port: 60
------ Punt Packet Number: 3, Timestamp: 2025/01/23 16:16:54.978 ------
interface : physical: [if-id: 0x00000000], pal: Tunnel421 [if-id: 0x0000002e]
metadata : cause: 11 [For-us data], sub-cause: 1, q-no: 14, linktype: MCP_LINK_TYPE_IP [1]
ether hdr : Partial ether header, ethertype: 0x0800 (IPv4)
ipv4 hdr : dest ip: 10.2.12.xx, src ip: 10.1.12.xx >>>10.2.12.xx is IXIA
Cisco Confidential
ipv4 hdr : packet len: 1006, ttl: 63, protocol: 6 (TCP)
tcp hdr : dest port: 60, src port: 60
القرار
لمنع تخطي قوائم انتظار وحدة المعالجة المركزية (CPU) بحركة المرور غير المرغوب فيها والتأثير على اتصال TCP/Secure Shell (SSH)، قم بحظر عناوين IP هذه قبل أن تصل إلى محولات Catalyst 9K أو قم بإزالة تعديل MSS على الدخول.
عادة، تقوم حزمة مزامنة TCP (SYN) بالتأثير على قائمة انتظار وحدة المعالجة المركزية. MSS هو خيار في رأس TCP يشير إلى الحد الأقصى لحجم المقطع الذي يمكن أن يقبله المتلقي، باستثناء رؤوس TCP/IP. وعادة ما يتم ضبطها للمصافحة ثلاثية الإتجاه، وخاصة في حزمة SYN.
لحل هذه المشكلة، قم بحظر IPs الضارة جغرافيا على عبارة الأمان/البرامج اللاسلكية لمنع تجاوز قائمة انتظار منظم وحدة المعالجة المركزية (CPU) وتثبيت روابط BGP واتصالات TCP.
قرار
بمجرد حظر بروتوكولات IP الضارة على بوابة الأمان/البرامج الثابتة بنجاح، توقفت حركة مرور البيانات عن تجاوز قائمة انتظار وحدة المعالجة المركزية (CPU).
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
14-Aug-2025
|
الإصدار الأولي |
التعليقات