In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument werden Details zum Control Plane Policing (CoPP) auf Cisco Nexus-Switches und seine relevanten Auswirkungen auf nicht standardmäßige Klassenverletzungen beschrieben.
Cisco empfiehlt, dass Sie mit grundlegenden Informationen bezüglich Control Plane Policing (CoPP), den zugehörigen Richtlinien und Einschränkungen und der allgemeinen Konfiguration sowie der Quality of Service (QoS) Policing (CIR)-Funktionalität vertraut sind. Weitere Informationen zu dieser Funktion finden Sie in den entsprechenden Dokumenten:
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Dieses Dokument ist nicht auf bestimmte Software- und Hardwareanforderungen beschränkt.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Der Datenverkehr auf der Kontrollebene wird durch Umleitungszugriffskontrolllisten (ACLs) zum Supervisor-Modul umgeleitet. Diese sind so programmiert, dass der abgeglichene Datenverkehr, der zwei Schutzebenen - die Hardware-Ratenlimitierung und CoPP - durchläuft, analysiert wird. Störungen oder Angriffe auf das Supervisor-Modul können, wenn sie nicht überprüft werden, zu schwerwiegenden Netzwerkausfällen führen. CoPP soll somit als Schutzmechanismus dienen. Bei Instabilitäten auf Kontrollebene ist es wichtig, CoPP zu überprüfen, da anormale Datenverkehrsmuster, die durch Schleifen oder Überschwemmungen erzeugt werden, oder nicht autorisierte Geräte besteuert werden können und den Supervisor daran hindern, legitimen Datenverkehr zu verarbeiten. Solche Angriffe, die entweder versehentlich von nicht autorisierten Geräten oder böswillig von Angreifern verübt werden können, führen in der Regel zu hohen Datenverkehrsraten, die auf das Supervisor-Modul oder die CPU gerichtet sind.
Control Plan Policing (CoPP) ist eine Funktion zur Klassifizierung und Regelung aller über die In-Band-Ports (Vorderseite) empfangenen Pakete, die an die Routeradresse gerichtet sind oder die Beteiligung eines Supervisors erfordern. Mit dieser Funktion kann eine Richtlinienzuordnung auf die Steuerungsebene angewendet werden. Diese Richtlinienzuordnung ähnelt einer normalen QoS-Richtlinie (Quality of Service) und wird auf den gesamten Datenverkehr angewendet, der von einem Nicht-Management-Port auf den Switch gelangt. Durch den Schutz des Supervisor-Moduls durch Richtlinien kann der Switch Datenverkehrsfluten, die über die Committed Input Rate (CIR) für jede Klasse hinausgehen, durch das Verwerfen von Paketen verhindern, dass der Switch überlastet wird und sich somit auf die Leistung auswirkt.
CoPP-Zähler müssen kontinuierlich überwacht und begründet werden. Dies ist der Zweck dieses Dokuments. Wenn CoPP-Verletzungen deaktiviert sind, kann die Kontrollebene am Prozess des echten Datenverkehrs in der zugehörigen betroffenen Klasse gehindert werden. Die CoPP-Konfiguration ist ein flüssiger und kontinuierlicher Prozess, der auf die Netzwerk- und Infrastrukturanforderungen reagieren muss. Es gibt drei Standard-Systemrichtlinien für CoPP. Cisco empfiehlt standardmäßig die Verwendung der Standardrichtlinie strict
als Ausgangspunkt und wird als Grundlage für dieses Dokument verwendet.
CoPP gilt nur für In-Band-Datenverkehr, der über die Ports an der Vorderseite empfangen wird. Der Out-of-Band-Management-Port (mgmt0) unterliegt nicht CoPP. Die Cisco NX-OS-Gerätehardware führt CoPP für jede Weiterleitungs-Engine aus. Wählen Sie deshalb die Übertragungsraten aus, damit der aggregierte Datenverkehr das Supervisor-Modul nicht überlastet. Dies ist besonders bei End-of-Row-/modularen Switches wichtig, da die CIR für den aggregierten Datenverkehr aller Module gilt, die an die CPU gebunden sind.
Die in diesem Dokument beschriebene Komponente gilt für alle Cisco Nexus-Switches für Rechenzentren.
Der Schwerpunkt dieses Dokuments liegt auf den häufigsten und wichtigsten nicht standardmäßigen Klassenverletzungen bei Nexus-Switches.
Um zu verstehen, wie CoPP interpretiert wird, muss bei der ersten Überprüfung sichergestellt werden, dass ein Profil angewendet wird, und festgestellt werden, ob ein Standardprofil oder ein benutzerdefiniertes Profil auf den Switch angewendet wird.
Anmerkung: Als Best Practice muss CoPP auf allen Nexus Switches aktiviert sein. Wenn diese Funktion nicht aktiviert ist, kann dies zu Instabilitäten für den gesamten Steuerungsebenen-Datenverkehr führen, da unterschiedliche Plattformen den an den Supervisor (SUP) gebundenen Datenverkehr einschränken können. Wenn z. B. CoPP auf einem Nexus 9000 nicht aktiviert ist, ist die Datenverkehrsrate für das SUP auf 50 pps begrenzt, sodass der Switch nahezu funktionsuntüchtig wird. CoPP wird für Nexus 3000- und Nexus 9000-Plattformen als Anforderung angesehen.
Wenn CoPP nicht aktiviert ist, kann es mithilfe des setup
Befehls oder durch Anwendung einer der Standardrichtlinien unter der Konfigurationsoption erneut aktiviert oder auf dem Switch konfiguriert werden: copp profile [dense|lenient|moderate|strict]
.
Ein ungeschütztes Gerät klassifiziert und trennt den Datenverkehr nicht ordnungsgemäß in Klassen. Ein Denial-of-Service-Verhalten für eine bestimmte Funktion oder ein bestimmtes Protokoll ist daher nicht auf diesen Bereich beschränkt und kann sich auf die gesamte Kontrollebene auswirken.
Anmerkung: CoPP-Richtlinien werden durch Umleitungen der Ternary Content-Addressable Memory (TCAM)-Klassifizierung implementiert und sind direkt unter show system internal access-list input statistics module X | b CoPP
oder show hardware access-list input entries detail
zu sehen.
N9K1# show copp status
Last Config Operation: None
Last Config Operation Timestamp: None
Last Config Operation Status: None
Policy-map attached to the control-plane: copp-system-p-policy-strict
copp-system-p-policy-strict is one of the system default profiles, in particular the strict profile.
N9K1# show running-config copp
!Command: show running-config copp
!Running configuration last done at: Tue Apr 26 16:34:10 2022
!Time: Sun May 1 16:30:57 2022
version 10.2(1) Bios:version 05.45
copp profile strict
CoPP klassifiziert den Datenverkehr anhand der Übereinstimmungen, die den IP- oder MAC-ACLs entsprechen. Daher ist es wichtig zu wissen, welcher Datenverkehr unter welcher Klasse klassifiziert wird.
Die Klassen, die plattformabhängig sind, können variieren. Daher ist es wichtig zu verstehen, wie die Klassen zu überprüfen.
Beispiel für Nexus 9000 Top-of-Rack (TOR):
N9K1# show policy-map interface control-plane
Control Plane
Service-policy input: copp-system-p-policy-strict
...
class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-auto-rp
match access-group name copp-system-p-acl-mac-l3-isis
set cos 7
police cir 36000 kbps , bc 1280000 bytes
module 1 :
transmitted 177446058 bytes;
5-minute offered rate 3 bytes/sec
conformed 27 peak-rate bytes/sec
at Sat Apr 23 04:25:27 2022
dropped 0 bytes;
5-min violate rate 0 byte/sec
violated 0 peak-rate byte/sec
...
In diesem Beispiel copp-system-p-class-critical
umfasst die Klassenzuordnung Datenverkehr, der sich auf Routing-Protokolle wie Border Gateway Protocol (BGP), Open Shortest Path First (OSPF) und Enhanced Interior Gateway Router Protocol (EIGRP) bezieht, sowie andere Protokolle wie vPC.
Die Namenskonvention der IP- oder MAC-ACLs ist für das Protokoll bzw. die Funktion mit dem Präfix meist selbsterklärend copp-system-p-acl-[protocol|feature]
.
Um eine bestimmte Klasse anzuzeigen, kann sie direkt angegeben werden, während der Befehl show ausgeführt wird. Beispiele:
N9K-4# show policy-map interface control-plane class copp-system-p-class-management
Control Plane
Service-policy input: copp-system-p-policy-strict
class-map copp-system-p-class-management (match-any)
match access-group name copp-system-p-acl-ftp
match access-group name copp-system-p-acl-ntp
match access-group name copp-system-p-acl-ssh
match access-group name copp-system-p-acl-http
match access-group name copp-system-p-acl-ntp6
match access-group name copp-system-p-acl-sftp
match access-group name copp-system-p-acl-snmp
match access-group name copp-system-p-acl-ssh6
match access-group name copp-system-p-acl-tftp
match access-group name copp-system-p-acl-https
match access-group name copp-system-p-acl-snmp6
match access-group name copp-system-p-acl-tftp6
match access-group name copp-system-p-acl-radius
match access-group name copp-system-p-acl-tacacs
match access-group name copp-system-p-acl-telnet
match access-group name copp-system-p-acl-radius6
match access-group name copp-system-p-acl-tacacs6
match access-group name copp-system-p-acl-telnet6
set cos 2
police cir 36000 kbps , bc 512000 bytes
module 1 :
transmitted 0 bytes;
5-minute offered rate 0 bytes/sec
conformed 0 peak-rate bytes/sec
dropped 0 bytes;
5-min violate rate 0 byte/sec
violated 0 peak-rate byte/sec
Während die CoPP-Standardprofile normalerweise als Teil der Standardkonfiguration ausgeblendet werden, können Sie die Konfiguration wie folgt anzeigen show running-conf copp all
:
N9K1# show running-config copp all
!Command: show running-config copp all
!Running configuration last done at: Tue Apr 26 16:34:10 2022
!Time: Sun May 1 16:41:55 2022
version 10.2(1) Bios:version 05.45
control-plane
scale-factor 1.00 module 1
class-map type control-plane match-any copp-system-p-class-critical
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-auto-rp
match access-group name copp-system-p-acl-mac-l3-isis
(snip)
...
Die Klassenzuordnung copp-system-p-class-critical
verweist auf mehrere Zuordnungsanweisungen, die System-ACLs aufrufen, die standardmäßig ausgeblendet sind, und verweist auf die Klassifizierung, die zugeordnet wird. Beispiel für BGP:
N9K1# show running-config aclmgr all | b copp-system-p-acl-bgp
ip access-list copp-system-p-acl-bgp
10 permit tcp any gt 1023 any eq bgp
20 permit tcp any eq bgp any gt 1023
(snip)
Dies bedeutet, dass jeder BGP-Datenverkehr mit dieser Klasse übereinstimmt und unter sowie allen anderen Protokollen copp-system-p-class-critical
dieser Klasse klassifiziert wird.
Der Nexus 7000 verwendet eine CoPP-Funktionsstruktur, die der des Nexus 9000 sehr ähnlich ist:
N77-A-Admin# show policy-map interface control-plane
Control Plane
service-policy input copp-system-p-policy-strict
class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-lisp
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-rise
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-lisp6
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-rise6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-otv-as
match access-group name copp-system-p-acl-mac-l2pt
match access-group name copp-system-p-acl-mpls-ldp
match access-group name copp-system-p-acl-mpls-rsvp
match access-group name copp-system-p-acl-mac-l3-isis
match access-group name copp-system-p-acl-mac-otv-isis
match access-group name copp-system-p-acl-mac-fabricpath-isis
match protocol mpls router-alert
set cos 7
police cir 36000 kbps bc 250 ms
conform action: transmit
violate action: drop
module 1:
conformed 300763871 bytes,
5-min offered rate 132 bytes/sec
peak rate 125 bytes/sec at Sun May 01 09:50:51 2022
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
module 2:
conformed 4516900216 bytes,
5-min offered rate 1981 bytes/sec
peak rate 1421 bytes/sec at Fri Apr 29 15:40:40 2022
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
module 6:
conformed 0 bytes,
5-min offered rate 0 bytes/sec
peak rate 0 bytes/sec
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
Beachten Sie, dass die Klasse auf einem Nexus 7000, da es sich um modulare Switches handelt, nach Modulen unterteilt ist. Die CIR gilt jedoch für die Gesamtheit aller Module, und CoPP gilt für das gesamte Chassis. Die CoPP-Verifizierung und -Ausgaben sind nur im Standard- oder Admin-VDC (Virtual Device Context) sichtbar.
Es ist besonders wichtig, CoPP auf einem Nexus 7000 zu überprüfen, wenn Probleme auf der Kontrollebene auftreten, da Instabilitäten auf einem VDC mit übermäßigem CPU-gebundenem Datenverkehr, die zu CoPP-Verletzungen führen, die Stabilität anderer VDCs beeinträchtigen können.
Auf einem Nexus 5600 können die Klassen variieren. Für BGP ist es daher eine eigene Klasse:
N5K# show policy-map interface control-plane
Control Plane
(snip)
class-map copp-system-class-bgp (match-any)
match protocol bgp
police cir 9600 kbps , bc 4800000 bytes
conformed 1510660 bytes; action: transmit
violated 0 bytes;
(snip)
Auf einem Nexus 3100 gibt es drei Routing-Protokollklassen. Um zu überprüfen, zu welcher Klasse BGP gehört, verweisen Sie auf die vier referenzierten CoPP-ACL:
EIGRP wird auf dem Nexus 3100 von einer eigenen Klasse behandelt.
N3K-C3172# show policy-map interface control-plane
Control Plane
service-policy input: copp-system-policy
class-map copp-s-routingProto2 (match-any)
match access-group name copp-system-acl-routingproto2
police pps 1300
OutPackets 0
DropPackets 0
class-map copp-s-v6routingProto2 (match-any)
match access-group name copp-system-acl-v6routingProto2
police pps 1300
OutPackets 0
DropPackets 0
class-map copp-s-eigrp (match-any)
match access-group name copp-system-acl-eigrp
match access-group name copp-system-acl-eigrp6
police pps 200
OutPackets 0
DropPackets 0
class-map copp-s-routingProto1 (match-any)
match access-group name copp-system-acl-routingproto1
match access-group name copp-system-acl-v6routingproto1
police pps 1000
OutPackets 0
DropPackets 0
N3K-C3172# show running-config aclmgr
!Command: show running-config aclmgr
!No configuration change since last restart
!Time: Sun May 1 18:14:16 2022
version 9.3(9) Bios:version 5.3.1
ip access-list copp-system-acl-eigrp
10 permit eigrp any 224.0.0.10/32
ipv6 access-list copp-system-acl-eigrp6
10 permit eigrp any ff02::a/128
ip access-list copp-system-acl-routingproto1
10 permit tcp any gt 1024 any eq bgp
20 permit tcp any eq bgp any gt 1024
30 permit udp any 224.0.0.0/24 eq rip
40 permit tcp any gt 1024 any eq 639
50 permit tcp any eq 639 any gt 1024
70 permit ospf any any
80 permit ospf any 224.0.0.5/32
90 permit ospf any 224.0.0.6/32
ip access-list copp-system-acl-routingproto2
10 permit udp any 224.0.0.0/24 eq 1985
20 permit 112 any 224.0.0.0/24
ipv6 access-list copp-system-acl-v6routingProto2
10 permit udp any ff02::66/128 eq 2029
20 permit udp any ff02::fb/128 eq 5353
30 permit 112 any ff02::12/128
ipv6 access-list copp-system-acl-v6routingproto1
10 permit 89 any ff02::5/128
20 permit 89 any ff02::6/128
30 permit udp any ff02::9/128 eq 521
In diesem Fall wird das BGP von der ACL abgeglichen, copp-system-acl-routingproto1
und somit fällt auch die CoPP-Klasse BGP in copp-s-routingProto1
.
CoPP unterstützt QoS-Statistiken zur Verfolgung der aggregierten Zähler für Datenverkehr, der die Committed Input Rate (CIR) für eine bestimmte Klasse für jedes Modul bestätigt oder verletzt.
Jede Klassenzuordnung klassifiziert CPU-gebundenen Datenverkehr basierend auf der entsprechenden Klasse und fügt eine CIR für alle Pakete an, die unter diese Klassifizierung fallen. Als Referenz wird beispielsweise die Klasse verwendet, die sich auf den BGP-Datenverkehr bezieht:
Auf einem Nexus 9000 Top-of-Rack (TOR) für copp-system-p-class-critical
:
class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-auto-rp
match access-group name copp-system-p-acl-mac-l3-isis
set cos 7
police cir 36000 kbps , bc 1280000 bytes
module 1 :
transmitted 177446058 bytes;
5-minute offered rate 3 bytes/sec
conformed 27 peak-rate bytes/sec
at Sat Apr 23 04:25:27 2022
dropped 0 bytes;
5-min violate rate 0 byte/sec
violated 0 peak-rate byte/sec
Im Abschnitt class-map werden nach den Match-Anweisungen die Aktionen angezeigt, die sich auf den gesamten Datenverkehr innerhalb der Klasse beziehen. Der gesamte Datenverkehr innerhalb von copp-system-p-class-critical
wird mit einer Class of Service (CoS) von 7 festgelegt, d. h. dem Datenverkehr mit der höchsten Priorität. Diese Klasse wird mit einer CIR von 36000 Kbit/s und einer Committed-Burst-Rate von 1280000 Byte geregelt.
Datenverkehr, der dieser Richtlinie entspricht, wird zur Verarbeitung an den SUP weitergeleitet, und alle Verletzungen werden verworfen.
set cos 7
police cir 36000 kbps , bc 1280000 bytes
Der nächste Abschnitt enthält die Statistiken für das Modul, für Top-of-Rack (TOR)-Switches, mit einem einzelnen Modul, Modul 1 bezieht sich auf den Switch.
module 1 :
transmitted 177446058 bytes;
5-minute offered rate 3 bytes/sec
conformed 27 peak-rate bytes/sec
at Sat Apr 23 04:25:27 2022
dropped 0 bytes;
5-min violate rate 0 byte/sec
violated 0 peak-rate byte/sec
Die in der Ausgabe angezeigten Statistiken sind historisch, d. h., es wird ein Snapshot der aktuellen Statistiken zum Zeitpunkt der Ausführung des Befehls bereitgestellt.
Es gibt zwei Abschnitte, die Sie hier interpretieren sollten: die übertragenen und verworfenen Abschnitte:
Der übertragene Datenpunkt verfolgt alle übertragenen Pakete, die der Richtlinie entsprechen. Dieser Abschnitt ist wichtig, da er einen Einblick in die Art des Datenverkehrs bietet, den der Supervisor verarbeitet.
Der 5-Minuten-Tarif bietet einen Einblick in den aktuellen Tarif.
Die konforme Spitzenauslastung mit Datum gibt einen Überblick über die höchste Spitzenauslastung pro Sekunde, die noch mit der Richtlinie konform ist, und über den Zeitpunkt, zu dem sie aufgetreten ist.
Wenn ein neuer Höchstwert angezeigt wird, werden dieser Wert und dieses Datum ersetzt.
Der wichtigste Teil der Statistik ist der verworfene Datenpunkt. Wie die übertragenen Statistiken verfolgt der verworfene Abschnitt die kumulativen Bytes, die aufgrund von Verletzungen an die Polizeirate verworfen wurden. Er liefert auch die Verletzungsrate für die letzten 5 Minuten, den verletzten Peak, und wenn es einen Peak gibt, den Zeitstempel dieser Verletzung. Und nochmal, wenn ein neuer Höchstwert gesehen wird, dann ersetzt er diesen Wert und dieses Datum. Auf anderen Plattformen variieren die Ausgänge, aber die Logik ist sehr ähnlich.
Der Nexus 7000 verwendet eine identische Struktur, und die Überprüfung ist dieselbe, obwohl einige Klassen in den referenzierten ACLs geringfügig variieren:
class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-lisp
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-rise
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-lisp6
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-rise6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-otv-as
match access-group name copp-system-p-acl-mac-l2pt
match access-group name copp-system-p-acl-mpls-ldp
match access-group name copp-system-p-acl-mpls-rsvp
match access-group name copp-system-p-acl-mac-l3-isis
match access-group name copp-system-p-acl-mac-otv-isis
match access-group name copp-system-p-acl-mac-fabricpath-isis
match protocol mpls router-alert
set cos 7
police cir 36000 kbps bc 250 ms
conform action: transmit
violate action: drop
module 1:
conformed 300763871 bytes,
5-min offered rate 132 bytes/sec
peak rate 125 bytes/sec at Sun May 01 09:50:51 2022
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
module 2:
conformed 4516900216 bytes,
5-min offered rate 1981 bytes/sec
peak rate 1421 bytes/sec at Fri Apr 29 15:40:40 2022
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
module 6:
conformed 0 bytes,
5-min offered rate 0 bytes/sec
peak rate 0 bytes/sec
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
Auf einem Nexus 5600:
class-map copp-system-class-bgp (match-any)
match protocol bgp
police cir 9600 kbps , bc 4800000 bytes
conformed 1510660 bytes; action: transmit
violated 0 bytes;
Obwohl es keine Informationen über die Rate oder Peaks, aber es stellt immer noch die aggregierten Bytes konform und verletzt.
Auf einem Nexus 3100 wird auf der Steuerungsebene "OutPackets" und "DropPackets" angezeigt.
class-map copp-s-routingProto1 (match-any)
match access-group name copp-system-acl-routingproto1
match access-group name copp-system-acl-v6routingproto1
police pps 1000
OutPackets 8732060
DropPackets 0
"OutPackets" bezieht sich auf konforme Pakete, "DropPackets" auf Verletzungen des CIR. In diesem Szenario werden keine Auslassungen für die zugeordnete Klasse angezeigt.
Auf einem Nexus 3500 wird in der Ausgabe "HW and SW Matched Packets" (Mit Hardware und Software übereinstimmende Pakete) angezeigt:
class-map copp-s-routingProto1 (match-any)
match access-group name copp-system-acl-routingproto1
police pps 900
HW Matched Packets 471425
SW Matched Packets 471425
Die HW Matched Packets beziehen sich auf die Pakete, die in der HW von der ACL abgeglichen werden. Die von der Software abgeglichenen Pakete sind diejenigen, die die Richtlinie erfüllen. Alle Unterschiede zwischen den von der HW und den von der SW abgeglichenen Paketen implizieren eine Verletzung.
In diesem Fall werden bei Routing-Protokollpaketen der Klasse 1 (einschließlich BGP) keine Verluste festgestellt, da die Werte übereinstimmen.
Angesichts der Tatsache, dass die Statistiken der Kontrollebenen-Richtlinien historisch sind, ist es wichtig, festzustellen, ob aktive Verletzungen zunehmen. Die Standardmethode, um diese Aufgabe auszuführen, besteht darin, zwei vollständige Ausgaben zu vergleichen und eventuelle Unterschiede zu überprüfen.
Diese Aufgabe kann manuell durchgeführt werden, oder die Nexus Switches bieten das Vergleichstool, mit dem die Ergebnisse verglichen werden können.
Obwohl die gesamte Ausgabe verglichen werden kann, ist dies nicht erforderlich, da der Fokus nur auf den verworfenen Statistiken liegt. So kann die CoPP-Ausgabe so gefiltert werden, dass sie sich nur auf die Verletzungen konzentriert.
Der Befehl lautet: show policy-map interface control-plane | egrep class|module|violated|dropped | diff -y
Anmerkung: Der Befehl muss zweimal ausgeführt werden, damit diff die aktuelle Ausgabe mit der vorherigen vergleichen kann.
Mit dem vorherigen Befehl können Sie das Delta zwischen zwei Klassen anzeigen und feststellen, ob eine Verletzung zugenommen hat.
Anmerkung: Da es sich bei den CoPP-Statistiken um Verlaufsdaten handelt, wird ebenfalls empfohlen, die Statistiken nach Ausführung des Befehls zu löschen, um zu überprüfen, ob aktive Erhöhungen vorliegen. Führen Sie den folgenden Befehl aus, um die CoPP-Statistik zu löschen: clear copp statistics
.
CoPP ist eine einfache Richtlinienstruktur, da jeder CPU-gebundene Datenverkehr, der gegen die CIR verstößt, verworfen wird. Die Auswirkungen variieren jedoch erheblich je nach Art der Tropfen.
Die Logik ist zwar die gleiche, jedoch nicht die gleiche, wenn Datenverkehr, der an copp-system-p-class-critical.
class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-auto-rp
match access-group name copp-system-p-acl-mac-l3-isis
set cos 7
police cir 36000 kbps , bc 1280000 bytes
Im Vergleich dazu wird Datenverkehr, der für die Klassenzuordnung bestimmt ist, verworfen copp-system-p-class-monitoring
.
class-map copp-system-p-class-monitoring (match-any)
match access-group name copp-system-p-acl-icmp
match access-group name copp-system-p-acl-icmp6
match access-group name copp-system-p-acl-traceroute
set cos 1
police cir 360 kbps , bc 128000 bytes
Die erste betrifft hauptsächlich Routing-Protokolle, die zweite das Internet Control Message Protocol (ICMP), das eine der niedrigsten Prioritäten und CIR hat. Der CIR-Unterschied ist um das Hundertfache. Daher ist es wichtig, die Klassen, Auswirkungen, häufigen Überprüfungen/Überprüfungen und Empfehlungen zu verstehen.
Klassenüberwachung: copp-system-p-class-monitoring
Diese Klasse umfasst ICMP für IPv4 und IPv6 sowie die Traceroute für den an den betreffenden Switch gerichteten Datenverkehr.
class-map copp-system-p-class-monitoring (match-any)
match access-group name copp-system-p-acl-icmp
match access-group name copp-system-p-acl-icmp6
match access-group name copp-system-p-acl-traceroute
set cos 1
police cir 360 kbps , bc 128000 bytes
Auswirkungen
Eine weit verbreitete Fehlvorstellung bei der Fehlerbehebung von Paketverlusten oder Latenz ist das Senden eines Ping an den Switch über dessen Inband-Ports, die durch CoPP in der Übertragungsrate begrenzt sind. Da CoPP ICMP streng regelt, kann selbst bei geringem Datenverkehr oder Engpässen ein Paketverlust durch einen Ping an In-Band-Schnittstellen direkt erkannt werden, wenn diese die CIR verletzen.
Wenn Sie z. B. an direkt verbundene Schnittstellen an gerouteten Ports mit einer Paketnutzlast von 500 Ping-Signalen senden, kann dies in regelmäßigen Abständen zu Verwerfungen führen.
N9K-3# ping 192.168.1.1 count 1000 packet-size 500
...
--- 192.168.1.1 ping statistics ---
1000 packets transmitted, 995 packets received, 0.50% packet loss
round-trip min/avg/max = 0.597/0.693/2.056 ms
Auf dem Nexus, an dem die ICMP-Pakete bestimmt waren, wurden sie vom CoPP verworfen, da die Verletzung erkannt wurde und die CPU geschützt war:
N9K-4# show policy-map interface control-plane class copp-system-p-class-monitoring
Control Plane
Service-policy input: copp-system-p-policy-strict
class-map copp-system-p-class-monitoring (match-any)
match access-group name copp-system-p-acl-icmp
match access-group name copp-system-p-acl-icmp6
match access-group name copp-system-p-acl-traceroute
set cos 1
police cir 360 kbps , bc 128000 bytes
module 1 :
transmitted 750902 bytes;
5-minute offered rate 13606 bytes/sec
conformed 13606 peak-rate bytes/sec
at Sun May 01 22:49:24 2022
dropped 2950 bytes;
5-min violate rate 53 byte/sec
violated 53 peak-rate byte/sec at Sun May 01 22:49:24 2022
Um Latenz oder Paketverluste zu beheben, wird empfohlen, Hosts zu verwenden, die über den Switch auf Datenebene erreichbar sind, nicht auf den Switch selbst, der Datenverkehr auf Kontrollebene wäre. Datenverkehr auf Datenebene wird auf Hardwareebene ohne SUP-Intervention weitergeleitet bzw. geroutet und wird daher nicht durch CoPP geregelt. In der Regel treten keine Unterbrechungen auf.
Empfehlungen
Klassenverwaltung - copp-system-p-class-management
Wie hier gezeigt, umfasst diese Klasse verschiedene Verwaltungsprotokolle, die für Kommunikation (SSH, Telnet), Übertragungen (SCP, FTP, HTTP, SFTP, TFTP), Taktung (NTP), AAA (Radius/TACACS) und Überwachung (SNMP) für IPv4- und IPv6-Kommunikation verwendet werden können.
class-map copp-system-p-class-management (match-any)
match access-group name copp-system-p-acl-ftp
match access-group name copp-system-p-acl-ntp
match access-group name copp-system-p-acl-ssh
match access-group name copp-system-p-acl-http
match access-group name copp-system-p-acl-ntp6
match access-group name copp-system-p-acl-sftp
match access-group name copp-system-p-acl-snmp
match access-group name copp-system-p-acl-ssh6
match access-group name copp-system-p-acl-tftp
match access-group name copp-system-p-acl-https
match access-group name copp-system-p-acl-snmp6
match access-group name copp-system-p-acl-tftp6
match access-group name copp-system-p-acl-radius
match access-group name copp-system-p-acl-tacacs
match access-group name copp-system-p-acl-telnet
match access-group name copp-system-p-acl-radius6
match access-group name copp-system-p-acl-tacacs6
match access-group name copp-system-p-acl-telnet6
set cos 2
police cir 36000 kbps , bc 512000 bytes
Auswirkungen
Zu den gängigsten mit dieser Klasse verknüpften Verhaltensweisen oder Drops gehören:
Empfehlungen
Klasse L3 Unicast-Daten - copp-system-p-class-l3uc-data
Diese Klasse behandelt speziell "Glean Packets". Dieser Pakettyp wird auch vom Hardware Rate Limiter (HWRL) verarbeitet.
Wenn die ARP-Anforderung (Address Resolution Protocol) für den nächsten Hop nicht behoben wird, wenn eingehende IP-Pakete auf einer Linecard weitergeleitet werden, leitet die Linecard die Pakete an das Supervisor-Modul weiter.
Der Supervisor löst die MAC-Adresse für den nächsten Hop auf und programmiert die Hardware.
class-map copp-system-p-class-l3uc-data (match-any)
match exception glean
set cos 1
Dies tritt normalerweise auf, wenn statische Routen verwendet werden und der nächste Hop nicht erreichbar oder nicht aufgelöst ist.
Wenn eine ARP-Anfrage gesendet wird, fügt die Software eine /32-Drop-Adjacency in die Hardware ein, um zu verhindern, dass Pakete an dieselbe Next-Hop-IP-Adresse an den Supervisor weitergeleitet werden. Wenn der ARP behoben ist, wird der Hardwareeintrag mit der richtigen MAC-Adresse aktualisiert. Wenn der ARP-Eintrag nicht vor Ablauf einer Zeitüberschreitung behoben wird, wird der Eintrag von der Hardware entfernt.
Anmerkung: CoPP und HWRL arbeiten zusammen, um sicherzustellen, dass die CPU geschützt ist. Obwohl sie ähnliche Funktionen auszuführen scheinen, tritt HWRL zuerst auf. Die Implementierung basiert darauf, wo die spezifische Funktion in den Forwarding-Engines des ASIC implementiert wird. Dieser serielle Ansatz ermöglicht eine detaillierte und mehrschichtige Absicherung, bei der alle CPU-gebundenen Pakete bewertet werden.
Der HWRL wird pro Instanz/Weiterleitungs-Engine auf dem Modul ausgeführt und kann mit dem Befehl angezeigt werden show hardware rate-limiter
. HWRL wird in diesem technischen Dokument nicht behandelt.
show hardware rate-limiter
Units for Config: kilo bits per second
Allowed, Dropped & Total: aggregated bytes since last clear counters
Module: 1
R-L Class Config Allowed Dropped Total
+----------------+----------+--------------------+--------------------+--------------------+
L3 glean 100 0 0 0
L3 mcast loc-grp 3000 0 0 0
access-list-log 100 0 0 0
bfd 10000 0 0 0
fex 12000 0 0 0
span 50 0 0 0
sflow 40000 0 0 0
vxlan-oam 1000 0 0 0
100M-ethports 10000 0 0 0
span-egress disabled 0 0 0
dot1x 3000 0 0 0
mpls-oam 300 0 0 0
netflow 120000 0 0 0
ucs-mgmt 12000 0 0 0
Auswirkungen
Empfehlungen
hardware ip glean throttle.
Auf dem Nexus 7000 8.4(2) wurde auch die Unterstützung von Blütenfiltern für Glean-Adjacencies für M3- und F4-Module eingeführt. Siehe: Cisco Nexus Serie 7000 NX-OS - Konfigurationshandbuch für Unicast-Routing
Überprüfen Sie alle statischen Routenkonfigurationen, die nicht erreichbare Next-Hop-Adressen verwenden, oder verwenden Sie dynamische Routing-Protokolle, die solche Routen dynamisch aus der RIB entfernen würden.
Klassenkritisch - class-map copp-system-p-class-critical
Diese Klasse bezieht sich aus L3-Sicht auf die wichtigsten Protokolle der Steuerungsebene. Dazu gehören Routing-Protokolle für IPv4 und IPv6, (RIP, OSPF, EIGRP, BGP), Auto-RP, Virtual Port-Channel (vPC) sowie l2pt und IS-IS.
class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-auto-rp
match access-group name copp-system-p-acl-mac-l2pt
match access-group name copp-system-p-acl-mac-l3-isis
set cos 7
police cir 36000 kbps , bc 1280000 bytes
Auswirkungen
Drops bei copp-system-p-class-critical
Übertragungsinstabilität für Routing-Protokolle, z. B. abgebrochene Adjacencies, Konvergenzfehler oder Update-/NLRI-Propagierung.
Die gebräuchlichsten Richtlinien für diese Klasse können sich auf nicht autorisierte Geräte im Netzwerk beziehen, die ungewöhnlich (aufgrund von Fehlkonfigurationen oder Fehlern) oder skalierbar sind.
Empfehlungen
Klasse wichtig - copp-system-p-class-important
Diese Klasse bezieht sich auf die First-Hop Redundancy Protocols (FHRP), die HSRP, VRRP und auch LLDP umfassen
class-map copp-system-p-class-important (match-any)
match access-group name copp-system-p-acl-hsrp
match access-group name copp-system-p-acl-vrrp
match access-group name copp-system-p-acl-hsrp6
match access-group name copp-system-p-acl-vrrp6
match access-group name copp-system-p-acl-mac-lldp
set cos 6
police cir 2500 kbps , bc 1280000 bytes
Auswirkungen
Das häufigste Verhalten, das hier beobachtet wird und zu Drops führt, sind Probleme mit Layer-2-Instabilitäten, die zu Geräten führen, die in einen aktiven Zustand (Split-Brain) übergehen, aggressive Timer, Fehlkonfigurationen oder Skalierbarkeit.
Empfehlungen:
Class L2 Unpoliced - copp-system-p-class-l2-unpoliced
Die L2-Unpoliced-Klasse bezieht sich auf alle kritischen Layer-2-Protokolle, die die Grundlage für alle Protokolle der oberen Schicht bilden und daher als nahezu Unpoliced mit der höchsten CIR und Priorität angesehen werden.
Diese Klasse verarbeitet effektiv Spanning Tree Protocol (STP), Link Aggregation Control Protocol (LACP), Cisco Fabric Service over Ethernet (CFSoE).
class-map copp-system-p-class-l2-unpoliced (match-any)
match access-group name copp-system-p-acl-mac-stp
match access-group name copp-system-p-acl-mac-lacp
match access-group name copp-system-p-acl-mac-cfsoe
match access-group name copp-system-p-acl-mac-sdp-srp
match access-group name copp-system-p-acl-mac-l2-tunnel
match access-group name copp-system-p-acl-mac-cdp-udld-vtp
set cos 7
police cir 50 mbps , bc 8192000 bytes
Diese Klasse verfügt über eine CIR von 50 Mbit/s, die höchste aller Klassen, zusammen mit der höchsten Burst-Rate-Absorption.
Auswirkungen
Drops in dieser Klasse können zu globaler Instabilität führen, da alle Protokolle der oberen Schicht und die Kommunikation auf Daten-, Kontroll- und Verwaltungsebenen von der zugrunde liegenden Layer-2-Stabilität abhängen.
Probleme mit STP-Verletzungen können TCNs und STP-Konvergenzprobleme verursachen. Dazu gehören STP-Streitigkeiten, MAC-Löschungen, Verschiebungen und Lernbehinderungen, die Probleme mit der Erreichbarkeit verursachen und Datenverkehrsschleifen verursachen können, die das Netzwerk destabilisieren.
Diese Klasse verweist auch auf LACP und verarbeitet daher alle mit 0x8809 verknüpften EtherType-Pakete, die alle LACPDUs enthalten, die zum Beibehalten des Zustands der Port-Channel-Bindungen verwendet werden. Instabilität in dieser Klasse kann dazu führen, dass die Port-Channels ein Timeout erhalten, wenn die LACPDUs verworfen werden.
Cisco Fabric Service over Ethernet (CSFoE) gehört zu dieser Klasse und wird verwendet, um kritische Anwendungssteuerungszustände zwischen Nexus-Switches zu kommunizieren. Aus diesem Grund ist es wichtig, dass die Switches stabil bleiben.
Dasselbe gilt für andere Protokolle innerhalb dieser Klasse, darunter CDP, UDLD und VTP.
Empfehlungen
Class Multicast Router - class-map copp-system-p-class-multicast-router
Diese Klasse bezieht sich auf PIM-Pakete (Protocol Independent Multicast) der Kontrollebene, die für die Einrichtung und Steuerung von Multicast Shared Trees über alle PIM-fähigen Geräte im Datenebenenpfad verwendet werden. Sie umfasst First-Hop Router (FHR), Last-Hop Router (LHR), Intermediate-Hop Router (IHR) und Rendezvous Points (RP). Zu den innerhalb dieser Klasse klassifizierten Paketen gehören die PIM-Registrierung für Quellen, PIM-Joins für Empfänger sowohl für IPv4 als auch für IPv6, im Allgemeinen für den für PIM bestimmten Verkehr (224.0.0.13), und das Multicast Source Discovery Protocol (MSDP). Beachten Sie, dass es mehrere zusätzliche Klassen gibt, die sich mit sehr spezifischen Teilen der Multicast- oder RP-Funktionalität befassen, die von verschiedenen Klassen behandelt werden.
class-map copp-system-p-class-multicast-router (match-any)
match access-group name copp-system-p-acl-pim
match access-group name copp-system-p-acl-msdp
match access-group name copp-system-p-acl-pim6
match access-group name copp-system-p-acl-pim-reg
match access-group name copp-system-p-acl-pim6-reg
match access-group name copp-system-p-acl-pim-mdt-join
match exception mvpn
set cos 6
police cir 2600 kbps , bc 128000 bytes
Auswirkungen
Die Hauptauswirkungen auf Drops, die sich auf diese Klasse beziehen, sind mit Problemen verbunden, die mit Multicast-Quellen durch PIM-Registrierung in Richtung der RPs kommunizieren oder PIM-Joins, die nicht ordnungsgemäß verarbeitet wurden, was die Shared oder Shortest Path Trees in Richtung der Quellen des Multicast-Streams oder zu den RPs destabilisieren würde. Das Verhalten kann ausgehende Schnittstellenlisten (OIL) umfassen, die aufgrund fehlender Joins nicht ordnungsgemäß ausgefüllt werden, oder (S, G) oder (*, G), die in der Umgebung nicht konsistent angezeigt werden. Probleme können auch zwischen Multicast-Routing-Domänen auftreten, die für die Verbindung auf MSDP angewiesen sind.
Empfehlungen
Class Multicast Host - copp-system-p-class-multicast-host
Diese Klasse verweist auf die Multicast Listener Discovery (MLD), insbesondere auf MLD-Abfrage, -Bericht, -Reduzierung und MLDv2-Pakettypen. MLD ist ein IPv6-Protokoll, das ein Host verwendet, um Multicast-Daten für eine bestimmte Gruppe anzufordern. Mithilfe der über MLD erfassten Informationen verwaltet die Software eine Liste der Multicast-Gruppen- oder Channel-Zugehörigkeiten auf Schnittstellenbasis. Die Geräte, die MLD-Pakete empfangen, senden die Multicast-Daten, die sie für angeforderte Gruppen oder Kanäle empfangen, aus dem Netzwerksegment der bekannten Empfänger. MLDv1 wird von IGMPv2 abgeleitet, und MLDv2 wird von IGMPv3 abgeleitet. IGMP verwendet IP-Protokoll-2-Nachrichtentypen, während MLD IP-Protokoll-58-Nachrichtentypen verwendet, bei denen es sich um eine Teilmenge der ICMPv6-Nachrichten handelt.
class-map copp-system-p-class-multicast-host (match-any)
match access-group name copp-system-p-acl-mld
set cos 1
police cir 1000 kbps , bc 128000 bytes
Auswirkungen
Drops in dieser Klasse führen zu Problemen bei der verbindungslokalen IPv6-Multicast-Kommunikation, die dazu führen können, dass Listener-Berichte von Empfängern oder Antworten auf allgemeine Abfragen verworfen werden, wodurch die Erkennung von Multicast-Gruppen, die die Hosts empfangen möchten, verhindert wird. Dies kann sich auf den Snooping-Mechanismus auswirken und dazu führen, dass der Datenverkehr nicht ordnungsgemäß über die erwarteten Schnittstellen weitergeleitet wird, die den Datenverkehr angefordert haben.
Empfehlungen
Class Layer 3 Multicast Data - copp-system-p-class-l3mc-data
und Class Layer 3 Multicast IPv6 Data - copp-system-p-class-l3mcv6-data
Diese Klassen verweisen auf Datenverkehr, der einer Multicast-Ausnahmeredirection zur SUP entspricht. In diesem Fall gibt es zwei Bedingungen, die von diesen Klassen behandelt werden. Der erste Fehler ist Reverse-Path Forwarding (RPF), der zweite Fehler ist Destination Miss. "Destination Miss" bezieht sich auf Multicast-Pakete, bei denen die Hardwaresuche für die Layer-3-Multicast-Weiterleitungstabelle fehlschlägt und das Datenpaket an die CPU weitergeleitet wird. Diese Pakete werden manchmal verwendet, um die Multicast-Kontrollebene auszulösen/zu installieren und um Einträge zu den Hardware-Weiterleitungstabellen hinzuzufügen, die auf dem Datenverkehr der Datenebene basieren. Multicast-Pakete auf Datenebene, die die RPF verletzen, würden ebenfalls mit dieser Ausnahme übereinstimmen und als Verletzung klassifiziert werden.
class-map copp-system-p-class-l3mc-data (match-any)
match exception multicast rpf-failure
match exception multicast dest-miss
set cos 1
police cir 2400 kbps , bc 32000 bytes
class-map copp-system-p-class-l3mcv6-data (match-any)
match exception multicast ipv6-rpf-failure
match exception multicast ipv6-dest-miss
set cos 1
police cir 2400 kbps , bc 32000 bytes
Auswirkungen
Bei RPF-Ausfällen und Ziel-Fehlern liegt ein Design- oder Konfigurationsproblem vor, das damit zusammenhängt, wie der Datenverkehr durch den Multicast-Router fließt. Ziel-Fehlschläge sind bei der Statuserstellung häufig, das Verwerfen kann zur Programmierung und zur Erstellung von (*, G), (S, G) Fehlern führen.
Empfehlungen
Klasse IGMP - copp-system-p-class-igmp
Diese Klasse bezieht sich auf alle IGMP-Nachrichten für alle Versionen, die zum Anfordern von Multicast-Daten für eine bestimmte Gruppe verwendet werden und von der IGMP-Snooping-Funktion zum Beibehalten der Gruppen und der relevanten ausgehenden Schnittstellenliste (OIL) verwendet werden, die den Datenverkehr an die interessierten Empfänger auf Layer 2 weiterleitet. Die IGMP-Nachrichten sind lokal von Bedeutung, da sie eine Layer 3-Grenze nicht überschreiten, da ihre Lebensdauer (TTL) 1 betragen muss, da dokumentiert unter RFC2236 (Internet Group Management Protocol, Version 2). Die von dieser Klasse verarbeiteten IGMP-Pakete enthalten alle Mitgliedschaftsabfragen (allgemein oder quell-/gruppenspezifisch) sowie die Mitgliedschaft und hinterlassen Berichte von den Empfängern.
class-map copp-system-p-class-normal-igmp (match-any)
match access-group name copp-system-p-acl-igmp
set cos 3
police cir 3000 kbps , bc 64000 bytes
Auswirkungen
Drops für diese Klasse würden sich auf allen Ebenen einer Multicast-Kommunikation zwischen Quelle und Empfänger als problematisch erweisen, je nachdem, welcher IGMP-Nachrichtentyp aufgrund der Verletzung verworfen wurde. Wenn Mitgliedsberichte von Empfängern verloren gehen, erkennt der Router keine Geräte, die am Datenverkehr interessiert sind, und nimmt daher die Schnittstelle/das VLAN nicht in die entsprechende Liste der ausgehenden Schnittstellen auf. Wenn dieses Gerät auch der abfragende oder designierte Router ist, löst es die relevanten PIM-Join-Nachrichten nicht in Richtung des RP aus, wenn sich die Quelle außerhalb der lokalen Layer-2-Domäne befindet. Daher wird die Datenebene über den Multicast-Tree nicht bis zum Empfänger oder RP eingerichtet. Wenn der Abwesenheitsbericht verloren geht, kann der Empfänger weiterhin unerwünschten Datenverkehr empfangen. Dies kann sich auch auf alle relevanten IGMP-Abfragen auswirken, die vom Abfrager ausgelöst werden, und auf die Kommunikation zwischen den Multicast-Routern in einer Domäne.
Empfehlungen
Klasse Normal - copp-system-p-class-normalcopp-system-p-class-normal
Diese Klasse bezieht sich auf Datenverkehr, der mit dem Standard-ARP-Datenverkehr übereinstimmt und auch den Datenverkehr umfasst, der mit 802.1X verknüpft ist und für die portbasierte Netzwerkzugriffskontrolle verwendet wird. Dies ist eine der häufigsten Klassen, bei der Verstöße festgestellt werden, da ARP-Anfragen, kostenlose ARP- und Reverse ARP-Pakete über die gesamte Layer-2-Domäne gesendet und propagiert werden. ARP-Pakete sind keine IP-Pakete. Sie enthalten keinen L3-Header. Daher wird die Entscheidung ausschließlich anhand des Umfangs der L2-Header getroffen. Wenn ein Router mit einer IP-Schnittstelle konfiguriert ist, die mit diesem Subnetz verknüpft ist, z. B. eine Switch Virtual Interface (SVI), sendet der Router die ARP-Pakete zur Verarbeitung an den SUP, da sie für die Hardware-Broadcast-Adresse bestimmt sind. Broadcast-Stürme, Layer-2-Loops (aufgrund von STP oder Flaps) oder ein unautorisiertes Gerät im Netzwerk können zu einem ARP-Stürm führen, der zu einer erheblichen Zunahme der Verletzungen führt.
class-map copp-system-p-class-normal (match-any)
match access-group name copp-system-p-acl-mac-dot1x
match protocol arp
set cos 1
police cir 1400 kbps , bc 32000 bytes
Auswirkungen
Die Auswirkungen von Verletzungen in dieser Klasse hängen stark von der Dauer der Ereignisse und der Rolle des Switches in der Umgebung ab. Verluste in dieser Klasse implizieren, dass ARP-Pakete derzeit verworfen und daher nicht von der SUP-Engine verarbeitet werden. Dies kann zu zwei Hauptverhaltensweisen führen, die durch unvollständige ARP-Auflösungen verursacht werden.
Aus Sicht des End-Hosts können Geräte im Netzwerk die Adressenauflösung mit dem Switch nicht auflösen oder abschließen. Wenn dieses Gerät als Standard-Gateway für das Segment fungiert, kann dies dazu führen, dass Geräte ihr Gateway nicht auflösen können und daher kein Routing außerhalb ihres L2-Ethernet-Segments (VLAN) durchführen können. Geräte können weiterhin auf dem lokalen Segment kommunizieren, wenn sie die ARP-Auflösung für andere End-Hosts auf dem lokalen Segment vervollständigen können.
Aus Sicht des Switches kann es passieren, dass der Switch den Prozess für die von ihm generierte ARP-Anforderung nicht abschließen kann, wenn Sturm und Sicherheitsverletzungen weit verbreitet sind. Diese Anforderungen werden normalerweise für Next-Hop- oder direkt verbundene Subnetzauflösungen generiert. Obwohl es sich bei den ARP-Antworten um Unicast-Antworten handelt, da sie an die dem Switch angehörende MAC-Adresse gerichtet sind, werden sie unter derselben Klasse klassifiziert, da es sich nach wie vor um ARP-Pakete handelt. Dies führt zu Problemen mit der Erreichbarkeit, da der Switch den Datenverkehr nicht ordnungsgemäß verarbeiten kann, wenn der nächste Hop nicht aufgelöst wird, und kann zu Problemen mit dem Umschreiben des Layer-2-Headers führen, wenn der Adjacency Manager keinen Eintrag für den Host hat.
Die Auswirkungen hängen auch vom Umfang des grundlegenden Problems ab, das die ARP-Verletzung ausgelöst hat. Bei einem Broadcast-Sturm versuchen Hosts und der Switch beispielsweise weiterhin, ARP zu nutzen, um die Adjacency aufzulösen, was zu zusätzlichem Broadcast-Datenverkehr im Netzwerk führen kann. Da ARP-Pakete Layer 2 sind, gibt es keine Layer 3 Time To Live (TTL), um eine L2-Schleife zu unterbrechen, sodass sie weiterhin eine Schleife bilden und exponentiell durch das Netzwerk wachsen, bis die Schleife unterbrochen wird.
Empfehlungen
Class NDP - copp-system-p-acl-ndp
Diese Klasse bezieht sich auf Datenverkehr, der mit IPv6-Paketen zur Erkennung/Ankündigung von Nachbarn und Routeraufforderungs- und -ankündigungspaketen verknüpft ist, die ICMP-Nachrichten zur Bestimmung lokaler Link-Layer-Adressen von Nachbarn verwenden. Sie wird für die Erreichbarkeit und Nachverfolgung benachbarter Geräte verwendet.
class-map copp-system-p-class-ndp (match-any)
match access-group name copp-system-p-acl-ndp
set cos 6
police cir 1400 kbps , bc 32000 bytes
Auswirkungen
Verstöße in dieser Klasse können die IPv6-Kommunikation zwischen benachbarten Geräten beeinträchtigen, da diese Pakete zur dynamischen Erkennung oder für Informationen auf Verbindungsebene bzw. lokal zwischen Hosts und Routern auf der lokalen Verbindung verwendet werden. Eine Unterbrechung dieser Kommunikation kann auch zu Problemen mit der Erreichbarkeit über den zugehörigen lokalen Link hinaus oder über diesen hinaus führen. Wenn Kommunikationsprobleme zwischen IPv6-Nachbarn auftreten, stellen Sie sicher, dass diese Klasse nicht verloren geht.
Empfehlungen
Class Normal DHCP - copp-system-p-class-normal-dhcp
Diese Klasse bezieht sich auf Datenverkehr, der mit dem Bootstrap-Protokoll (BOOTP-Client/Server) verknüpft ist und allgemein als DHCP-Pakete (Dynamic Host Control Protocol) auf demselben lokalen Ethernet-Segment für IPv4 und IPv6 bezeichnet wird. Dies bezieht sich speziell nur auf die Datenverkehrskommunikation, die von einem Bootp-Client stammt oder für einen beliebigen BOOTP-Server bestimmt ist, über den gesamten DORA-Paketaustausch (Discovery, Offer, Request, and Ackwledge, DORA) DHCPv6-Client/Server-Transaktion über die UDP-Ports 546/547.
class-map copp-system-p-class-normal-dhcp (match-any)
match access-group name copp-system-p-acl-dhcp
match access-group name copp-system-p-acl-dhcp6
set cos 1
police cir 1300 kbps , bc 32000 bytes
Auswirkungen
Verstöße in dieser Klasse können dazu führen, dass End-Hosts keine IP-Adresse vom DHCP-Server korrekt abrufen können und somit auf ihren automatischen privaten IP-Adressbereich (APIPA), 169.254.0.0/16, zurückgreifen. Solche Verstöße können in Umgebungen auftreten, in denen Geräte versuchen, gleichzeitig zu booten und somit über den mit der Klasse verknüpften CIR hinausgehen.
Empfehlungen
show ip dhcp global statistics
und Weiterleitungen: show system internal access-list sup-redirect-stats module 1 | grep -i dhcp
.Normale DHCP-Relay-Antwort der Klasse - copp-system-p-class-normal-dhcp-relay-response
Diese Klasse bezieht sich auf Datenverkehr, der mit der DHCP-Relay-Funktion für IPv4 und IPv6 verknüpft ist und an die konfigurierten DHCP-Server weitergeleitet wird, die unter dem Relay konfiguriert wurden. Dies betrifft speziell nur die Datenverkehrskommunikation, die von einem BOOTP-Server ausgeht oder über den gesamten DORA-Paketaustausch an beliebige BOOTP-Clients gerichtet ist, und umfasst auch DHCPv6-Client/Server-Transaktionen über die UDP-Ports 546/547.
class-map copp-system-p-class-normal-dhcp-relay-response (match-any)
match access-group name copp-system-p-acl-dhcp-relay-response
match access-group name copp-system-p-acl-dhcp6-relay-response
set cos 1
police cir 1500 kbps , bc 64000 bytes
Auswirkungen
Verstöße gegen diese Klasse haben die gleichen Auswirkungen wie Verstöße gegen die Klasse copp-system-p-class-normal-dhcp, da beide Teile derselben Transaktion sind. Diese Klasse konzentriert sich hauptsächlich auf die Antwortkommunikation von den Relay-Agent-Servern. Der Nexus fungiert nicht als DHCP-Server, sondern lediglich als Relay-Agent.
Empfehlungen
show ip dhcp relay
und show ip dhcp relay statistics
.Klasse NAT-Fluss - copp-system-p-class-nat-flow
Diese Klasse bezieht sich auf NAT-Datenverkehr von Software-Switches. Wenn eine neue dynamische Übersetzung erstellt wird, wird der Fluss per Software weitergeleitet, bis die Übersetzung in der Hardware programmiert ist. Anschließend wird sie von der CoPP kontrolliert, um den Datenverkehr zum Supervisor zu begrenzen, während der Eintrag in der Hardware installiert ist.
class-map copp-system-p-class-nat-flow (match-any)
match exception nat-flow
set cos 7
police cir 800 kbps , bc 64000 bytes
Auswirkungen
Drops in dieser Klasse treten in der Regel dann auf, wenn eine hohe Rate neuer dynamischer Übersetzungen und Flows in der Hardware installiert wird. Die Auswirkungen betreffen softwaregesteuerte Pakete, die verworfen und nicht an den End-Host übermittelt werden, was zu Verlusten und erneuten Übertragungen führen kann. Sobald der Eintrag in der Hardware installiert ist, wird kein weiterer Datenverkehr an den Supervisor gesendet.
Empfehlungen
Klassenausnahme - copp-system-p-class-exception
Diese Klasse bezieht sich auf Ausnahmepakete, die mit der IP-Option und nicht erreichbaren IP ICMP-Paketen verknüpft sind. Wenn keine Zieladresse in der weiterleitenden Informationsbasis (FIB) vorhanden ist und ein Fehler auftritt, sendet die SUP ein nicht erreichbares ICMP-Paket zurück an den Absender. Pakete mit aktivierten IP-Optionen gehören ebenfalls zu dieser Klasse. Weitere Informationen zu IP-Optionen finden Sie im IANA-Dokument: IP-Optionsnummern
class-map copp-system-p-class-exception (match-any)
match exception ip option
match exception ip icmp unreachable
match exception ipv6 option
match exception ipv6 icmp unreachable
set cos 1
police cir 150 kbps , bc 32000 bytes
Auswirkungen
Diese Klasse wird streng überwacht, und Verwerfungen in dieser Klasse weisen nicht auf einen Fehler hin, sondern auf einen Schutzmechanismus, um den Umfang von nicht erreichbaren ICMP-Paketen und IP-Optionspaketen zu begrenzen.
Empfehlungen
Klassenumleitung - copp-system-p-class-redirect
Diese Klasse bezieht sich auf den Datenverkehr, der dem Precision Time Protocol (PTP) für die Zeitsynchronisierung zugeordnet ist. Dies umfasst Multicast-Datenverkehr für den reservierten Bereich 224.0.1.129/32, Unicast-Datenverkehr auf dem UDP-Port 319/320 und Ethernet-Typ 0X88F7.
class-map copp-system-p-class-redirect (match-any)
match access-group name copp-system-p-acl-ptp
match access-group name copp-system-p-acl-ptp-l2
match access-group name copp-system-p-acl-ptp-uc
set cos 1
police cir 280 kbps , bc 32000 bytes
Auswirkungen
Drops in dieser Klasse können zu Problemen auf Geräten führen, die nicht richtig synchronisiert wurden oder die nicht die richtige Hierarchie festgelegt haben.
Empfehlungen
Klasse OpenFlow - copp-system-p-class-openflow
Diese Klasse bezieht sich auf Datenverkehr, der mit OpenFlow-Agentenvorgängen und der entsprechenden TCP-Verbindung zwischen dem Controller und dem Agenten verknüpft ist.
class-map copp-system-p-class-openflow (match-any)
match access-group name copp-system-p-acl-openflow
set cos 5
police cir 1000 kbps , bc 32000 bytes
Auswirkungen
Stürze in dieser Klasse können zu Problemen in Agenten führen, die die Anweisungen vom Controller zum Verwalten der Weiterleitungsebene des Netzwerks nicht ordnungsgemäß empfangen und verarbeiten.
Empfehlungen
Die ersten Schritte zur Fehlerbehebung bei CoPP-Verletzungen bestehen in der Ermittlung von:
Das aufgelistete Verhalten wurde z. B. erkannt:
copp-system-p-class-normal
hin.class-map copp-system-p-class-normal (match-any)
match access-group name copp-system-p-acl-mac-dot1x
match protocol arp
set cos 1
police cir 1400 kbps , bc 32000 bytes
module 1 :
transmitted 3292445628 bytes;
dropped 522023852 bytes;
Es muss hervorgehoben werden, dass CoPP die Auswirkungen auf den Datenverkehr isoliert, der mit der spezifischen Klasse verknüpft ist, bei der es sich in diesem Beispiel um ARP und copp-system-p-class-normal handelt. Datenverkehr, der mit anderen Klassen wie OSPF oder BGP in Verbindung steht, wird von CoPP nicht verworfen, da er vollständig einer anderen Klasse angehört. Wenn diese Option nicht aktiviert ist, können ARP-Probleme auf andere Probleme übertragen werden, was sich auf Protokolle auswirken kann, die von Anfang an darauf angewiesen sind. Wenn beispielsweise bei einem ARP-Cache eine Zeitüberschreitung auftritt und der Cache aufgrund übermäßiger Verletzungen nicht aktualisiert wird, kann eine TCP-Sitzung wie BGP beendet werden.
Da der durch CoPP geregelte Datenverkehr nur mit CPU-gebundenem Datenverkehr in Verbindung steht, ist das Ethanalyzer-Tool eines der wichtigsten Tools. Dieses Tool ist eine Nexus-Implementierung von TShark und ermöglicht die Erfassung und Dekodierung von Datenverkehr, der vom Supervisor gesendet und empfangen wird. Es können auch Filter verwendet werden, die auf unterschiedlichen Kriterien basieren, z. B. Protokolle oder Header-Informationen. Dies ist ein wertvolles Tool, um den von der CPU gesendeten und empfangenen Datenverkehr zu bestimmen.
Es wird empfohlen, zunächst den vom Supervisor erkannten ARP-Datenverkehr zu untersuchen, wenn das Ethanalyzer-Tool direkt in der Terminalsitzung ausgeführt oder zur Analyse an eine Datei gesendet wird. Es können Filter und Grenzwerte definiert werden, um die Erfassung auf ein bestimmtes Muster oder Verhalten zu fokussieren. Fügen Sie dazu flexible Anzeigefilter hinzu.
Ein weit verbreitetes Missverständnis ist, dass der Ethanalyzer den gesamten Datenverkehr erfasst, der über den Switch läuft. Datenverkehr auf Datenebene zwischen Hosts wird von den Hardware-ASICs zwischen Datenports geswitcht oder geroutet, erfordert keine CPU-Beteiligung und wird daher in der Regel nicht von der Erfassung durch Ethanalyzer erkannt. Zur Erfassung des Datenverkehrs auf Datenebene sollten andere Tools wie ELAM oder SPAN verwendet werden. Verwenden Sie zum Filtern von ARP beispielsweise den folgenden Befehl:
ethanalyzer local interface inband display-filter arp limit-captured-frames 0 autostop duration 60 > arpcpu
Wichtige konfigurierbare Felder:
interface inband
- bezieht sich auf den an das SUP gerichteten Datenverkehr.display-filter arp
- bezieht sich auf den angewendeten tshark-Filter, die meisten Wireshark-Filter werden akzeptiertlimit-captured-frames 0
- bezieht sich auf das Limit, 0 bedeutet "unbegrenzt", bis es durch einen anderen Parameter angehalten oder manuell durch Strg+C angehalten wirdautostop duration 60
- bezieht sich auf den Ethanalyzer-Stopp nach 60 Sekunden, wodurch ein Snapshot von 60 Sekunden ARP-Datenverkehr auf der CPU erstellt wirdDie Ausgabe des Ethanalyzer wird mit > arpcpu auf eine Datei im Bootflash umgeleitet, die manuell verarbeitet werden muss. Nach 60 Sekunden ist die Erfassung abgeschlossen, und der Ethanalyzer wird dynamisch beendet, und die Datei arpcpu befindet sich auf dem Bootflash des Switches, der dann verarbeitet werden kann, um die Top Talkers zu extrahieren. Beispiele:
show file bootflash:arpcpu | sort -k 3,5 | uniq -f 2 -c | sort -r -n | head lines 50
669 2022-05-10 10:29:50.901295 28:ac:9e:ad:5e:47 -> ff:ff:ff:ff:ff:ff ARP Who has 10.1.1.1? Tell 10.1.1.2
668 2022-05-10 10:29:50.901295 28:ac:9e:ad:5e:43 -> ff:ff:ff:ff:ff:ff ARP Who has 10.2.1.1? Tell 10.2.1.2
668 2022-05-10 10:29:50.901295 28:ac:9e:ad:5e:41 -> ff:ff:ff:ff:ff:ff ARP Who has 10.3.1.1? Tell 10.3.1.2
Dieser Filter wird sortiert nach: die Quell- und Zielspalten, dann die gefundenen eindeutigen Übereinstimmungen (ignoriert jedoch die Datumsspalte), zählt die Instanzen und fügt die Anzahl der erkannten Instanzen hinzu, sortiert schließlich von oben nach unten, basierend auf der Anzahl, und zeigt die ersten 50 Ergebnisse an.
In diesem Beispiel wurden innerhalb von 60 Sekunden mehr als 600 ARP-Pakete von drei Geräten empfangen, die als verdächtige Geräte identifiziert wurden. In der ersten Spalte des Filters wird die Anzahl der Instanzen für dieses Ereignis angegeben, die in der Erfassungsdatei für die angegebene Dauer angezeigt wurden.
Es ist wichtig zu verstehen, dass das Ethanalyzer-Tool auf den In-Band-Treiber einwirkt, der im Wesentlichen die Kommunikation in den ASIC darstellt. Theoretisch muss das Paket den Kernel und den Paketmanager durchlaufen, um an den zugehörigen Prozess selbst übergeben zu werden. CoPP und HWRL handeln, bevor der Datenverkehr auf dem Ethanalyzer angezeigt wird. Selbst wenn die Anzahl der Verstöße aktiv zunimmt, fließt ein Teil des Datenverkehrs immer noch durch und wird innerhalb der Polizeirate abgeglichen. Dies hilft, Einblicke in die an die CPU gesendeten Datenverkehrsflüsse zu erhalten. Dies ist ein wichtiger Unterschied, da der auf dem Ethanalyzer gezeigte Datenverkehr NICHT der Datenverkehr ist, der gegen die CIR verstoßen hat und verworfen wurde.
Der Ethanalyzer kann auch offen eingesetzt werden, ohne dass ein Anzeigefilter oder Erfassungsfilter festgelegt wurde, der den gesamten relevanten SUP-Datenverkehr erfasst. Dies kann als Isolationsmaßnahme im Rahmen der Fehlerbehebung verwendet werden.
Weitere Informationen und die Verwendung des Ethanalyzer finden Sie in der TechNote:
Ethanalyzer auf Nexus 7000 - Leitfaden zur Fehlerbehebung
Anmerkung: Nexus 7000 kann vor der Version mit dem 8.x-Code nur Ethanalyzer-Erfassungen über den Admin-VDC durchführen, der SUP-gebundenen Datenverkehr von allen VDCs umfasst. VDC-spezifischer Ethanalyzer ist in 8.x-Codes vorhanden.
Die In-Band-Statistiken für CPU-gebundenen Datenverkehr enthalten relevante Statistiken des In-Band-TX-/RX-CPU-Datenverkehrs. Diese Statistiken können mit dem folgenden Befehl überprüft werden: show hardware internal cpu-mac inband stats
, die einen Einblick in die Statistiken zu aktuellen und Spitzenraten bietet.
show hardware internal cpu-mac inband stats`
================ Packet Statistics ======================
Packets received: 363598837
Bytes received: 74156192058
Packets sent: 389466025
Bytes sent: 42501379591
Rx packet rate (current/peak): 35095 / 47577 pps
Peak rx rate time: 2022-05-10 12:56:18
Tx packet rate (current/peak): 949 / 2106 pps
Peak tx rate time: 2022-05-10 12:57:00
Als Best Practice wird empfohlen, eine Baseline zu erstellen und zu verfolgen, da die Ausgabe des Switches aufgrund der Rolle des Switches und der Infrastruktur erheblich show hardware internal cpu-mac inband stats
variiert. In dieser Laborumgebung sind die üblichen Werte und historischen Höchstwerte typischerweise nicht größer als einige hundert pps, und daher ist dies abnormal. Der Befehl show hardware internal cpu-mac inband events
ist auch als Verlaufsreferenz nützlich, da er Daten zur Spitzenauslastung und zum Zeitpunkt der Erkennung enthält.
Bei den Nexus-Switches handelt es sich um Linux-basierte Systeme. Das Nexus-Betriebssystem (NXOS) nutzt die Vorteile des CPU Preemptive Scheduler, des Multitasking und des Multithreadings seiner jeweiligen Kernarchitektur, um einen fairen Zugriff auf alle Prozesse zu ermöglichen. Daher sind Spitzen nicht immer ein Anzeichen für ein Problem. Wenn jedoch anhaltende Datenverkehrsverletzungen festgestellt werden, ist es wahrscheinlich, dass der zugehörige Prozess ebenfalls stark genutzt wird und unter den CPU-Ausgaben als wichtigste Ressource angezeigt wird. Erstellen Sie mehrere Snapshots der CPU-Prozesse, um die hohe Auslastung eines bestimmten Prozesses zu überprüfen. Dies geschieht durch: show processes cpu sort | exclude 0.0 or show processes cpu sort | grep
.
Die Verifizierungen für Prozess-CPU, In-Band-Statistiken und Ethanalyzer bieten Einblicke in die Prozesse und den Datenverkehr, die derzeit vom Supervisor verarbeitet werden, und helfen, die anhaltende Instabilität auf Kontrollebenen-Datenverkehr zu isolieren, die sich in Datenebenenprobleme kaskadieren kann. Es ist wichtig zu verstehen, dass CoPP ein Schutzmechanismus ist. Sie ist reaktionär, da sie nur auf Datenverkehr einwirkt, der an die SUP gesendet wird. Es wurde entwickelt, um die Integrität der Supervisor durch die Verwerfung von Datenverkehrsraten, die die erwarteten Bereiche überschreiten, zu schützen. Nicht alle Drops weisen auf ein Problem hin oder erfordern einen Eingriff, da ihre Bedeutung von der spezifischen CoPP-Klasse und den verifizierten Auswirkungen abhängt, die auf der Infrastruktur und dem Netzwerkdesign basieren. Drops aufgrund sporadischer Burst-Ereignisse haben keine Auswirkungen, da Protokolle integrierte Mechanismen wie Keepalive und Wiederholungsversuche aufweisen, die mit vorübergehenden Ereignissen umgehen können. Konzentrieren Sie sich über die etablierten Baselines hinaus auf lang anhaltende Ereignisse oder abnormale Ereignisse. Beachten Sie, dass CoPP die umgebungsspezifischen Protokolle und Funktionen einhalten und zur Feinabstimmung fortlaufend überwacht und iteriert werden muss, je nach den Skalierbarkeitsanforderungen, die sich bei der Entwicklung stellen. Wenn Datenverlust auftritt, prüfen Sie, ob CoPP den Datenverkehr unbeabsichtigt oder als Reaktion auf eine Fehlfunktion oder einen Angriff verworfen hat. In jedem Fall ist die Situation zu analysieren und zu bewerten, ob ein Eingreifen erforderlich ist, indem die Auswirkungen und Korrekturmaßnahmen auf die Umwelt analysiert werden, die möglicherweise nicht in den Anwendungsbereich des Switches selbst fallen.
Aktuelle Plattformen/Codes können die Fähigkeit haben, eine SPAN-zu-CPU durchzuführen, indem sie die Spiegelung eines Ports und einen Teil des Datenverkehrs der Datenebene zur CPU übernehmen. Dieser Wert ist normalerweise stark durch die Hardware-Ratenbeschränkung und CoPP begrenzt. Eine sorgfältige Verwendung des SPAN zur CPU wird empfohlen und ist nicht Gegenstand dieses Dokuments.
Weitere Informationen zu dieser Funktion finden Sie in den technischen Hinweisen:
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
2.0 |
26-Mar-2024 |
Alternativer Text hinzugefügt.
Aktualisierte Suchmaschinenoptimierung, maschinelle Übersetzung, Stilanforderungen und Formatierung. |
1.0 |
01-Jul-2022 |
Erstveröffentlichung |