Explications des défauts de perte de paquets dans l'interception commandée en vol
Contenu
Introduction
Ce document décrit chaque type de défaut, et la procédure quand vous voyez ce défaut. Pendant Operaton normal d'une matrice centrale de l'infrastructure d'application de Cisco (interception commandée en vol), l'administrateur peut voir des défauts pour certains types de pertes de paquets.
Contribué par Joseph Ristaino, Takuya Kishida, ingénieurs TAC Cisco.
Objets gérés
Dans l'interception commandée en vol de Cisco, tous les défauts sont augmentés sous les objets gérés (MOIS). Par exemple, un défaut « F11245 - des paquets de baisse d'entrée rate(l2IngrPktsAg15min:dropRate) » considère le dropRate de paramètre dans MOIS l2IngrPktsAg15min.
Cette section introduit une partie d'objet géré par exemple (MOIS) a associé des défauts de paquet de baisse.
| Exemple | Description | Échantillon Paramters | |
| l2IngrPkts | l2IngrPkts5min l2IngrPkts15min l2IngrPkts1h etc…. |
Ceci représente des statistiques de paquet d'entrée par VLAN au cours de chaque période | dropRate floodRate multicastRate unicastRate |
| l2IngrPktsAg | l2IngrPktsAg15min l2IngrPktsAg1h l2IngrPktsAg1d etc…. |
Ceci représente des statistiques de paquet d'entrée par EPG, le BD, VRF etc…. .) Les stats ex EPG représentent l'agrégation des stats VLAN qui appartiennent à l'EPG |
dropRate floodRate multicastRate unicastRate |
| eqptIngrDropPkts | eqptIngrDropPkts15min eqptIngrDropPkts1h eqptIngrDropPkts1d etc…. |
Ceci représente des statistiques de paquet de baisse d'entrée par interface au cours de chaque période | forwardingRate *1 errorRate *1 bufferRate *1 |
*1 : Ces compteurs dans les eqptIngrDropPkts ne sont plus utilisés 1.3(2) des releases dues à a - limite EX de plate-forme dans la baisse en avant avec SUP_REDIRECT.
S'il vous plaît soyez noté que cette implémentation pourrait être changé de nouveau à l'avenir.
Types de compteur de baisse de matériel
Sur des Commutateurs du Nexus 9000 s'exécutant en mode interception commandée en vol, il y a 3 compteurs matériels importants pour la raison de baisse d'interface d'entrée sur l'ASIC.
Un dropRate dans l2IngrPkts, l2IngrPktsAg inclut ces compteurs. Trois paramètres (forwardingRate, errorRate, bufferRate) dans la table ci-dessus pour des eqptIngrDropPkts représentent des compteurs de chaque trois interfaces.
En avant
Les baisses en avant, sont des paquets qui sont lâchés sur le bloc de consultation (LU) de l'ASIC. Dans le bloc LU, une décision de transfert de paquets est prise basé sur les informations d'en-tête de paquet. Si la décision est de relâcher le paquet, la baisse en avant est comptée. Il y a un grand choix de raisons que ceci peut se produire, mais nous permettre parlez les principaux :
SECURITY_GROUP_DENY
Une baisse en raison des contrats manquants pour permettre la transmission.
Quand un paquet entre dans la matrice, le commutateur regarde la source et la destination EPG pour voir s'il y a un contrat qui permet cette transmission. Si la source et la destination sont dans différents EPG, et il n'y a aucun contrat qui permet ce type de paquet entre eux, le commutateur relâchera le paquet et l'étiquettera comme SECURITY_GROUP_DENY. Ceci incrémente le compteur en avant de baisse.
VLAN_XLATE_MISS
Une baisse en raison de VLAN inadéquat.
Quand un paquet entre dans la matrice, le commutateur regarde le paquet pour déterminer si la configuration sur le port permet ce paquet. Par exemple, une trame entre dans la matrice avec une balise de 802.1Q de 10. Si le commutateur a le VLAN 10 sur le port, il examinera le contenu et fera une décision fondée d'expédition sur le MAC de destination. Cependant, si le VLAN 10 n'est pas sur le port, il le relâchera et l'étiquettera comme VLAN_XLATE_MISS. Ceci incrémentera le compteur en avant de baisse.
La raison pour « XLATE » ou « se traduisent » est parce que dans l'interception commandée en vol, le commutateur de feuille prendra une trame avec un encap de 802.1Q et la traduira à un nouveau VLAN qui sera utilisé pour VXLAN et toute autre normalisation à l'intérieur de la matrice. Si la trame entre avec un VLAN non déployé, la « traduction » échouera.
ACL_DROP
Une baisse en raison de petite gorgée-tcam.
la petite gorgée-tcam dans des Commutateurs interception commandée en vol contient des règles particulières d'être appliqué sur la décision normale de l'expédition L2/L3. Les règles dans la petite gorgée-tcam sont intégrées et pas utilisateur configurables. L'objectif des règles de petite gorgée-tcam est principalement de en traiter quelques exceptions ou du trafic d'avion de contrôle et non destiné pour être vérifié ou surveillé par des utilisateurs. Quand le paquet frappe des règles de petite gorgée-tcam et la règle est de relâcher le paquet, le paquet lâché est compté car ACL_DROP et lui incrémenteront le compteur en avant de baisse. Quand ceci s'est produit, il signifie habituellement que le paquet est sur le point d'être expédiée contre les principaux de base d'expédition interception commandée en vol.
Notez que, quoique le nom de baisse soit ACL_DROP, cet « ACL » n'est pas mêmes que la liste de contrôle d'accès normale qui peut être configurée sur les périphériques autonomes NX-OS ou tous les autres routage/périphériques swtching.
SUP_REDIRECT
Ce n'est pas une baisse.
Un paquet réorienté par petite gorgée (c.-à-d. CDP/LLDP/UDLD/BFD etc…) peut être compté en tant que baisse en avant a même pensé que le paquet est correctement traité et expédié à la CPU.
Ceci peut se produire seulement dedans - Plate-forme EX telle que N9K-C93180YC-EX. Ceux-ci ne devraient pas être comptés en tant que « baisse » cependant qu'elle est en raison de plate-forme EX limite ASIC dedans -.
Erreur
Quand le commutateur reçoit une trame non valide, il est abandonné comme erreur. Les exemples de ceci incluent des trames avec des erreurs FCS ou de CRC.
Mémoire tampon
Quand le commutateur reçoit une trame, et il n'y a aucun crédits disponibles de mémoire tampon pour le d'entrée ou le de sortie, la trame sera abandonnée avec la « mémoire tampon ». Ceci laisse entendre typiquement l'encombrement quelque part dans le réseau. Le lien qui affiche que le défaut pourrait être plein, ou, le lien contenant la destination peut être congestionné.
Visionnement des stats de baisse dans le CLI
Objets gérés
Protocole Secure Shell (SSH) à un de l'APIC et du passage après des commandes.
moquery apic1# - c l2IngrPktsAg15min
Ceci fournira tous les exemples d'objet pour cette classe l2IngrPktsAg15min.
Voici un exemple avec un filtre pour questionner un objet spécifique. Dans cet exemple, le filtre est d'afficher seulement un objet avec le dn d'attributs ce qui inclut "tn-TENANT1/ap-APP1/epg-EPG1".
Également cet exemple emploie l'egrep pour afficher seulement des attributs exigés.
Exemple de sortie 1 : Objet de compteur EPG (l2IngrPktsAg15min) du locataire TENANT1, profil APP1 d'application, epg EPG1.
apic1# moquery -c l2IngrPktsAg15min -f 'l2.IngrPktsAg15min.dn*"tn-TENANT1/ap-APP1/epg-EPG1"' | egrep 'dn|drop[P,R]|rep'
dn : uni/tn-TENANT1/ap-APP1/epg-EPG1/CDl2IngrPktsAg15min dropPer : 30 <--- number of drop packet in the current periodic interval (600sec) dropRate : 0.050000 <--- drop packet rate = dropPer(30) / periodic interval(600s) repIntvEnd : 2017-03-03T15:39:59.181-08:00 <--- periodic interval = repIntvEnd - repIntvStart repIntvStart : 2017-03-03T15:29:58.016-08:00 = 15:39 - 15:29
= 10 min = 600 sec
Ou nous pourrions utiliser une autre option - d au lieu de - c pour obtenir un objet spécifique si vous connaissez le dn d'objet.
Exemple de sortie 2 : Objet de compteur EPG (l2IngrPktsAg15min) du locataire TENANT1, profil APP1 d'application, epg EPG2.
apic1# moquery -d uni/tn-TENANT1/ap-APP1/epg-EPG2/CDl2IngrPktsAg15min | egrep 'dn|drop[P,R]|rep' dn : uni/tn-jw1/BD-jw1/CDl2IngrPktsAg15min dropPer : 30 dropRate : 0.050000 repIntvEnd : 2017-03-03T15:54:58.021-08:00 repIntvStart : 2017-03-03T15:44:58.020-08:00
Compteurs matériels
Si vous voyez des défauts, ou voulez vérifier des pertes de paquets sur des switchports utilisant le CLI, la meilleure manière de faire ceci est en visualisant les compteurs de plate-forme dans le matériel. Les la plupart, mais non tous les compteurs sont affichés utilisant l'interface d'exposition. Les 3 principales raisons de baisse peuvent seulement être visualisées utilisant les compteurs de plate-forme. Afin de visualiser ces derniers, exécutez ces étapes :
Feuille
SSH à la feuille et exécuté ces commandes.
Vsh_lc ACI-LEAF#
<X> interne de port de compteurs de show platform module-1#
* où X représente le numéro de port
Exemple de sortie pour 1/31 etherent :
ACI-LEAF# vsh_lc
vsh_lc
module-1#
module-1# show platform internal counters port 31
Stats for port 31
(note: forward drops includes sup redirected packets too)
IF LPort Input Output
Packets Bytes Packets Bytes
eth-1/31 31 Total 400719 286628225 2302918 463380330
Unicast 306610 269471065 453831 40294786
Multicast 0 0 1849091 423087288
Flood 56783 8427482 0 0
Total Drops 37327 0
Buffer 0 0
Error 0 0
Forward 37327
LB 0
AFD RED 0
----- snip -----
Épine
Pour une épine en forme de boîte (N9K-C9336PQ), il est exactement même que la feuille.
Pour les épines modulaires (N9K-C9504 etc…), vous devez d'abord relier la la carte de ligne particulière avant que vous puissiez visualiser les compteurs de plate-forme. SSH à l'épine et exécuté ces commandes
Vsh ACI-SPINE#
<X> d'attach module ACI-SPINE#
<Y> interne de port de compteurs de show platform module-2#.
* où X représente le numéro de module pour le linecard que vous voudriez visualiser
Y représente le numéro de port
Exemple de sortie pour les Ethernets 2/1 :
ACI-SPINE# vsh Cisco iNX-OS Debug Shell This shell should only be used for internal commands and exists for legacy reasons. User should use ibash infrastructure as this will be deprecated. ACI-SPINE#
ACI-SPINE# attach module 2 Attaching to module 2 ... To exit type 'exit', to abort type '$.' Last login: Mon Feb 27 18:47:13 UTC 2017 from sup01-ins on pts/1 No directory, logging in with HOME=/ Bad terminal type: "xterm-256color". Will assume vt100. module-2#
module-2# show platform internal counters port 1 Stats for port 1 (note: forward drops includes sup redirected packets too) IF LPort Input Output Packets Bytes Packets Bytes eth-2/1 1 Total 85632884 32811563575 126611414 25868913406 Unicast 81449096 32273734109 104024872 23037696345 Multicast 3759719 487617769 22586542 2831217061 Flood 0 0 0 0 Total Drops 0 0 Buffer 0 0 Error 0 0 Forward 0 LB 0 AFD RED 0 ----- snip -----
Défauts
F11245 - débit de paquets de baisse d'entrée (l2IngrPktsAg15min:dropRate)
Description :
Ce défaut peut incrémenter quand les paquets de la couche 2 obtiennent relâché avec la raison « de baisse en avant ». Puisqu'il y a un grand choix de différentes raisons,
le plus commun est :
Sur - Plate-forme EX telle que N9K-C93180YC-EX, il y a une limite où les paquets L2 qui doivent obtenir ont réorienté à la CPU (c.-à-d. CDP/LLDP/UDLD/BFD, etc.), obtiendra loggé comme « baisse en avant » aussi bien que l'obtiendra copié sur la CPU. C'est dû à une limite de l'ASIC utilisé dans les modèles EX du Nexus 9000.
Pour cette raison, quand un bon nombre de protocoles d'avion de contrôle sont activés sur une interface, ces défauts peuvent être augmentés.
Résolution :
Puisqu'il n'y a aucune incidence de service, la recommandation de pratique recommandée est d'augmenter le seuil pour le défaut suivant les indications de la section de seuil de stats. Afin de faire ceci, voyez les instructions dans le seuil de stats.
F100264 - débit de paquets d'abandon de mémoire tampon d'entrée (eqptIngrDropPkts5min:bufferRate)
Description :
Ce défaut peut incrémenter quand des paquets sont lâchés sur un port avec la raison « mémoire tampon » comme mentionné ci-dessus, ceci se produit typiquement quand il y a d'encombrement sur une interface au d'entrée ou à la direction de sortie.
Résolution :
Ce défaut représente les paquets abandonnés par effectif dans l'environnement dû à l'encombrement. Les paquets lâchés peuvent entraîner des questions avec des applications s'exécutant dans la matrice interception commandée en vol. Les administrateurs réseau devraient isoler l'écoulement de paquet et déterminer si l'encombrement est dû à la circulation inattendue, à l'Équilibrage de charge inefficace, etc. ; ou utilisation prévue sur ces ports.
F100696 - paquets de baisse d'expédition d'entrée (eqptIngrDropPkts5min:forwardingRate)
Ce défaut est provoqué par par quelques scénarios. Le plus commun est :
Baisses d'épine de la description 1)
Quand un ARP ou le paquet IP est expédié à l'épine pour une consultation de proxy et le point final est inconnu dans la matrice, une offre spéciale glanent le paquet sera générée et envoyée à toutes les feuilles sur le BD approprié
adresse de groupe de multidiffusion. Ceci déclenchera une demande d'ARP de chaque feuille dans le domaine de passerelle (BD) de découvrir le point final. En raison d'une limite, le paquet de glaner reçu par la feuille est également reflété
de nouveau dans la matrice et déclenche une baisse d'expédition sur le lien d'épine. La baisse en avant est seulement incrémentée sur le matériel d'épine de la génération 1.
Résolution 1)
Puisque vous savez que la question est provoqué par par un périphérique envoyant le trafic unicast inconnu dans la matrice interception commandée en vol, vous devez figurer que le périphérique entraîne à ceci, et voir si vous pouvez l'empêcher. Ceci est habituellement provoqué par les périphériques qui balayent ou sondent pour des adresses IP sur des sous-réseaux pour surveiller des buts. Afin de trouver ce que l'IP envoie à ce trafic, SSH sur la feuille qui est connectée à l'interface d'épine affichant le défaut.
De là, vous pouvez exécuter cette commande de voir l'adresse IP source (sip) que déclenche le paquet de glaner :
ACI-LEAF# show ip arp internal event-history event | grep glean | grep sip | more
[116] TID 11304:arp_handle_inband_glean:3035: log_collect_arp_glean;sip = 192.168.21.150;dip = 192.168.20.100;info = Rece
ived glean packet is an IP packet
[116] TID 11304:arp_handle_inband_glean:3035: log_collect_arp_glean;sip = 192.168.21.150;dip = 192.168.20.100;info = Rece
ived glean packet is an IP packet
[116] TID 11304:arp_handle_inband_glean:3035: log_collect_arp_glean;sip = 192.168.21.150;dip = 192.168.20.100;info = Rece
ived glean packet is an IP packet
[116] TID 11304:arp_handle_inband_glean:3035: log_collect_arp_glean;sip = 192.168.21.150;dip = 192.168.20.100;info = Rece
ived glean packet is an IP packet
De là, vous pouvez étudier pourquoi 192.168.21.150 envoie ce trafic dans la matrice, et voir si vous pouvez l'atténuer de là.
Baisses de feuille de la description 2)
Si ce défaut est vu sur une interface de feuille, le casue le plus susceptible est dû aux baisses SECURITY_GROUP_DENY mentionnées.
Résolution 2)
Sur une feuille, vous gardez un log des paquets refusés dû pour contracter des violations. Ce log ne capture pas tous pour protéger des ressources CPU cependant qu'il te fournit toujours une énorme quantité de logs.
Pour obtenir les logs ce que vous voulez, si l'interface le défaut est augmentée en fonction fait partie d'un Port canalisé, vous doit utiliser ces commande et grep pour le Port canalisé. Autrement, vous pouvez utiliser l'interface physique :
Ce log peut être rapidement roulé plus de selon la quantité de baisses de contrat.
ACI-LEAF# show logging ip access-list internal packet-log deny | grep port-channel2 | more [ Sun Feb 19 14:16:12 2017 503637 usecs]: CName: jr:sb(VXLAN: 2129921), VlanType: FD_VLAN, Vlan-Id: 59, SMac: 0x8c604 f0288fc, DMac:0x0022bdf819ff, SIP: 192.168.21.150, DIP: 192.168.20.3, SPort: 0, DPort: 0, Src Intf: port-channel2, Pr oto: 1, PktLen: 98 [ Sun Feb 19 14:16:12 2017 502547 usecs]: CName: jr:sb(VXLAN: 2129921), VlanType: FD_VLAN, Vlan-Id: 59, SMac: 0x8c604 f0288fc, DMac:0x0022bdf819ff, SIP: 192.168.21.150, DIP: 192.168.20.3, SPort: 0, DPort: 0, Src Intf: port-channel2, Pr oto: 1, PktLen: 98 [ Sun Feb 19 14:16:12 2017 500387 usecs]: CName: jr:sb(VXLAN: 2129921), VlanType: FD_VLAN, Vlan-Id: 59, SMac: 0x8c604 f0288fc, DMac:0x0022bdf819ff, SIP: 192.168.21.150, DIP: 192.168.20.3, SPort: 0, DPort: 0, Src Intf: port-channel2, Pr oto: 1, PktLen: 98 [ Sun Feb 19 14:16:12 2017 499779 usecs]: CName: jr:sb(VXLAN: 2129921), VlanType: FD_VLAN, Vlan-Id: 59, SMac: 0x8c604 f0288fc, DMac:0x0022bdf819ff, SIP: 192.168.21.150, DIP: 192.168.20.3, SPort: 0, DPort: 0, Src Intf: port-channel2, Pr oto: 1, PktLen: 98 [ Sun Feb 19 14:16:12 2017 499624 usecs]: CName: jr:sb(VXLAN: 2129921), VlanType: FD_VLAN, Vlan-Id: 59, SMac: 0x8c604 f0288fc, DMac:0x0022bdf819ff, SIP: 192.168.21.150, DIP: 192.168.20.3, SPort: 0, DPort: 0, Src Intf: port-channel2, Pr oto: 1, PktLen: 98
Dans ce cas, 192.168.21.150 essaye d'envoyer des messages ICMP (protocole IP numéro 1) à 192.168.20.3. Cependant, il n'y a aucun contrat entre les 2 EPG qui permet l'ICMP, ainsi le paquet est lâché. Si l'ICMP est censé être permis, un contrat peut être ajouté entre les deux EPG.
Seuil de stats
Cette section décrit comment changer un seuil pour les objets des statistiques qui pourraient potentiellement soulever un compteur de baisse d'agaist de défaut.
L'exemple suivant est de changer le seuil pour la baisse en avant dans les eqptIngrDropPkts.
- Naviguez vers des stratégies >Fabric de matrice des stratégies de collecte >Monitoring de stratégies > de par défaut >Stats.
- De l'objet de surveillance relâchez vers le bas, choisissent la configuration d'interface physique de la couche 1 (l2.PhysIf) et les stats tapent, choisissent des paquets de baisse d'entrée
3. Cliquez sur en fonction + à côté des seuils de config
4. Éditez le seuil pour des abandons de mémoire tampon
5. La recommandation est de désactiver les seuils montants au config pour essentiel, principal, mineur, et avertir pour expédier le débit de baisse.
CommentairesAvez-vous besoin d'aide ?
- Open a Support Case
- (Requires a Cisco Service Contract)