Explications des défauts de perte de paquets dans l'interception commandée en vol

Introduction

Ce document décrit chaque type de défaut, et la procédure quand vous voyez ce défaut. Pendant Operaton normal d'une matrice centrale de l'infrastructure d'application de Cisco (interception commandée en vol), l'administrateur peut voir des défauts pour certains types de pertes de paquets.   

 Contribué par Joseph Ristaino, Takuya Kishida, ingénieurs TAC Cisco.

Objets gérés

Dans l'interception commandée en vol de Cisco, tous les défauts sont augmentés sous les objets gérés (MOIS). Par exemple, un défaut « F11245 - des paquets de baisse d'entrée rate(l2IngrPktsAg15min:dropRate) » considère le dropRate de paramètre dans MOIS l2IngrPktsAg15min.

Cette section introduit une partie d'objet géré par exemple (MOIS) a associé des défauts de paquet de baisse.

	Exemple	Description	Échantillon Paramters
l2IngrPkts	l2IngrPkts5min l2IngrPkts15min l2IngrPkts1h etc….	Ceci représente des statistiques de paquet d'entrée par VLAN au cours de chaque période	dropRate floodRate multicastRate unicastRate
l2IngrPktsAg	l2IngrPktsAg15min l2IngrPktsAg1h l2IngrPktsAg1d  etc….	Ceci représente des statistiques de paquet d'entrée par EPG, le BD, VRF etc…. .) Les stats ex EPG représentent l'agrégation des stats VLAN qui appartiennent à l'EPG	dropRate floodRate multicastRate unicastRate
eqptIngrDropPkts	eqptIngrDropPkts15min eqptIngrDropPkts1h eqptIngrDropPkts1d etc….	Ceci représente des statistiques de paquet de baisse d'entrée par interface au cours de chaque période	forwardingRate *1 errorRate *1 bufferRate *1

*1 : Ces compteurs dans les eqptIngrDropPkts ne sont plus utilisés 1.3(2) des releases dues à a - limite EX de plate-forme dans la baisse en avant avec SUP_REDIRECT.

       S'il vous plaît soyez noté que cette implémentation pourrait être changé de nouveau à l'avenir.

Types de compteur de baisse de matériel

Sur des Commutateurs du Nexus 9000 s'exécutant en mode interception commandée en vol, il y a 3 compteurs matériels importants pour la raison de baisse d'interface d'entrée sur l'ASIC.

Un dropRate dans l2IngrPkts, l2IngrPktsAg inclut ces compteurs. Trois paramètres (forwardingRate, errorRate, bufferRate) dans la table ci-dessus pour des eqptIngrDropPkts représentent des compteurs de chaque trois interfaces. 

En avant

Les baisses en avant, sont des paquets qui sont lâchés sur le bloc de consultation (LU) de l'ASIC. Dans le bloc LU, une décision de transfert de paquets est prise basé sur les informations d'en-tête de paquet. Si la décision est de relâcher le paquet, la baisse en avant est comptée. Il y a un grand choix de raisons que ceci peut se produire, mais nous permettre parlez les principaux :

SECURITY_GROUP_DENY

Une baisse en raison des contrats manquants pour permettre la transmission.

Quand un paquet entre dans la matrice, le commutateur regarde la source et la destination EPG pour voir s'il y a un contrat qui permet cette transmission.  Si la source et la destination sont dans différents EPG, et il n'y a aucun contrat qui permet ce type de paquet entre eux, le commutateur relâchera le paquet et l'étiquettera comme SECURITY_GROUP_DENY. Ceci incrémente le compteur en avant de baisse.

VLAN_XLATE_MISS

Une baisse en raison de VLAN inadéquat.

Quand un paquet entre dans la matrice, le commutateur regarde le paquet pour déterminer si la configuration sur le port permet ce paquet.  Par exemple, une trame entre dans la matrice avec une balise de 802.1Q de 10.  Si le commutateur a le VLAN 10 sur le port, il examinera le contenu et fera une décision fondée d'expédition sur le MAC de destination.  Cependant, si le VLAN 10 n'est pas sur le port, il le relâchera et l'étiquettera comme VLAN_XLATE_MISS.  Ceci incrémentera le compteur en avant de baisse.  

La raison pour « XLATE » ou « se traduisent » est parce que dans l'interception commandée en vol, le commutateur de feuille prendra une trame avec un encap de 802.1Q et la traduira à un nouveau VLAN qui sera utilisé pour VXLAN et toute autre normalisation à l'intérieur de la matrice.  Si la trame entre avec un VLAN non déployé, la « traduction » échouera.

ACL_DROP

Une baisse en raison de petite gorgée-tcam.

la petite gorgée-tcam dans des Commutateurs interception commandée en vol contient des règles particulières d'être appliqué sur la décision normale de l'expédition L2/L3. Les règles dans la petite gorgée-tcam sont intégrées et pas utilisateur configurables. L'objectif des règles de petite gorgée-tcam est principalement de en traiter quelques exceptions ou du trafic d'avion de contrôle et non destiné pour être vérifié ou surveillé par des utilisateurs. Quand le paquet frappe des règles de petite gorgée-tcam et la règle est de relâcher le paquet, le paquet lâché est compté car ACL_DROP et lui incrémenteront le compteur en avant de baisse. Quand ceci s'est produit, il signifie habituellement que le paquet est sur le point d'être expédiée contre les principaux de base d'expédition interception commandée en vol.

Notez que, quoique le nom de baisse soit ACL_DROP, cet « ACL » n'est pas mêmes que la liste de contrôle d'accès normale qui peut être configurée sur les périphériques autonomes NX-OS ou tous les autres routage/périphériques swtching.

SUP_REDIRECT

Ce n'est pas une baisse.

Un paquet réorienté par petite gorgée (c.-à-d. CDP/LLDP/UDLD/BFD etc…) peut être compté en tant que baisse en avant a même pensé que le paquet est correctement traité et expédié à la CPU.

Ceci peut se produire seulement dedans - Plate-forme EX telle que N9K-C93180YC-EX. Ceux-ci ne devraient pas être comptés en tant que « baisse » cependant qu'elle est en raison de plate-forme EX limite ASIC dedans -.

Erreur

Quand le commutateur reçoit une trame non valide, il est abandonné comme erreur.  Les exemples de ceci incluent des trames avec des erreurs FCS ou de CRC.

Mémoire tampon

Quand le commutateur reçoit une trame, et il n'y a aucun crédits disponibles de mémoire tampon pour le d'entrée ou le de sortie, la trame sera abandonnée avec la « mémoire tampon ».  Ceci laisse entendre typiquement l'encombrement quelque part dans le réseau.  Le lien qui affiche que le défaut pourrait être plein, ou, le lien contenant la destination peut être congestionné.

Visionnement des stats de baisse dans le CLI

Objets gérés

Protocole Secure Shell (SSH) à un de l'APIC et du passage après des commandes.

moquery apic1# - c l2IngrPktsAg15min

Ceci fournira tous les exemples d'objet pour cette classe l2IngrPktsAg15min.

Voici un exemple avec un filtre pour questionner un objet spécifique. Dans cet exemple, le filtre est d'afficher seulement un objet avec le dn d'attributs ce qui inclut "tn-TENANT1/ap-APP1/epg-EPG1".

Également cet exemple emploie l'egrep pour afficher seulement des attributs exigés.

Exemple de sortie 1 : Objet de compteur EPG (l2IngrPktsAg15min) du locataire TENANT1, profil APP1 d'application, epg EPG1.

apic1# moquery -c l2IngrPktsAg15min -f 'l2.IngrPktsAg15min.dn*"tn-TENANT1/ap-APP1/epg-EPG1"' | egrep 'dn|drop[P,R]|rep'

dn               : uni/tn-TENANT1/ap-APP1/epg-EPG1/CDl2IngrPktsAg15min
dropPer          : 30                              <--- number of drop packet in the current periodic interval (600sec)
dropRate         : 0.050000                        <--- drop packet rate = dropPer(30) / periodic interval(600s)
repIntvEnd       : 2017-03-03T15:39:59.181-08:00   <--- periodic interval = repIntvEnd - repIntvStart
repIntvStart     : 2017-03-03T15:29:58.016-08:00                          = 15:39 - 15:29
                                                                          = 10 min = 600 sec

Ou nous pourrions utiliser une autre option - d au lieu de - c pour obtenir un objet spécifique si vous connaissez le dn d'objet.

Exemple de sortie 2 : Objet de compteur EPG (l2IngrPktsAg15min) du locataire TENANT1, profil APP1 d'application, epg EPG2.

apic1# moquery -d uni/tn-TENANT1/ap-APP1/epg-EPG2/CDl2IngrPktsAg15min | egrep 'dn|drop[P,R]|rep'
dn               : uni/tn-jw1/BD-jw1/CDl2IngrPktsAg15min
dropPer          : 30
dropRate         : 0.050000
repIntvEnd       : 2017-03-03T15:54:58.021-08:00
repIntvStart     : 2017-03-03T15:44:58.020-08:00

Compteurs matériels

Si vous voyez des défauts, ou voulez vérifier des pertes de paquets sur des switchports utilisant le CLI, la meilleure manière de faire ceci est en visualisant les compteurs de plate-forme dans le matériel. Les la plupart, mais non tous les compteurs sont affichés utilisant l'interface d'exposition.  Les 3 principales raisons de baisse peuvent seulement être visualisées utilisant les compteurs de plate-forme.  Afin de visualiser ces derniers, exécutez ces étapes :

Feuille

SSH à la feuille et exécuté ces commandes.

Vsh_lc ACI-LEAF#
<X> interne de port de compteurs de show platform module-1#
                                                    * où X représente le numéro de port

Exemple de sortie pour 1/31 etherent :

ACI-LEAF# vsh_lc
vsh_lc
module-1#
module-1# show platform internal counters port 31
Stats for port 31
(note: forward drops includes sup redirected packets too)
IF          LPort                    Input                       Output
                              Packets       Bytes          Packets    Bytes
eth-1/31    31  Total          400719   286628225      2302918    463380330 
                   Unicast     306610   269471065       453831     40294786 
                   Multicast        0           0      1849091    423087288 
                   Flood        56783     8427482            0            0 
                Total Drops     37327                        0 
                   Buffer           0                        0
                   Error            0                        0
                   Forward      37327
                   LB               0
                   AFD RED                                   0
                       ----- snip -----

Épine

Pour une épine en forme de boîte (N9K-C9336PQ), il est exactement même que la feuille.

Pour les épines modulaires (N9K-C9504 etc…), vous devez d'abord relier la la carte de ligne particulière avant que vous puissiez visualiser les compteurs de plate-forme.  SSH à l'épine et exécuté ces commandes

Vsh ACI-SPINE#

<X> d'attach module ACI-SPINE#

<Y> interne de port de compteurs de show platform module-2#.

                             * où X représente le numéro de module pour le linecard que vous voudriez visualiser

                                            Y représente le numéro de port

Exemple de sortie pour les Ethernets 2/1 :

ACI-SPINE# vsh
Cisco iNX-OS Debug Shell
This shell should only be used for internal commands and exists
for legacy reasons. User should use ibash infrastructure as this
will be deprecated.
ACI-SPINE#
ACI-SPINE# attach module 2
Attaching to module 2 ...
To exit type 'exit', to abort type '$.' 
Last login: Mon Feb 27 18:47:13 UTC 2017 from sup01-ins on pts/1
No directory, logging in with HOME=/
Bad terminal type: "xterm-256color". Will assume vt100.
module-2#
module-2# show platform internal counters port 1
Stats for port 1
(note: forward drops includes sup redirected packets too)
IF          LPort                    Input                       Output
                              Packets       Bytes          Packets    Bytes
eth-2/1      1  Total        85632884  32811563575     126611414   25868913406 
                   Unicast   81449096  32273734109     104024872   23037696345 
                   Multicast  3759719   487617769     22586542   2831217061 
                   Flood            0           0            0            0 
                Total Drops         0                        0 
                   Buffer           0                        0
                   Error            0                        0
                   Forward          0
                   LB               0
                   AFD RED                                   0
                        ----- snip -----

  

Défauts

F11245 - débit de paquets de baisse d'entrée (l2IngrPktsAg15min:dropRate)

Description : 

Ce défaut peut incrémenter quand les paquets de la couche 2 obtiennent relâché avec la raison « de baisse en avant ».  Puisqu'il y a un grand choix de différentes raisons,

le plus commun est :

Sur - Plate-forme EX telle que N9K-C93180YC-EX, il y a une limite où les paquets L2 qui doivent obtenir ont réorienté à la CPU (c.-à-d. CDP/LLDP/UDLD/BFD, etc.), obtiendra loggé comme « baisse en avant » aussi bien que l'obtiendra copié sur la CPU.  C'est dû à une limite de l'ASIC utilisé dans les modèles EX du Nexus 9000.

Pour cette raison, quand un bon nombre de protocoles d'avion de contrôle sont activés sur une interface, ces défauts peuvent être augmentés.  

Résolution :

Puisqu'il n'y a aucune incidence de service, la recommandation de pratique recommandée est d'augmenter le seuil pour le défaut suivant les indications de la section de seuil de stats.  Afin de faire ceci, voyez les instructions dans le seuil de stats.

F100264 - débit de paquets d'abandon de mémoire tampon d'entrée (eqptIngrDropPkts5min:bufferRate)

Description :

Ce défaut peut incrémenter quand des paquets sont lâchés sur un port avec la raison « mémoire tampon » comme mentionné ci-dessus, ceci se produit typiquement quand il y a d'encombrement sur une interface au d'entrée ou à la direction de sortie.

Résolution :

Ce défaut représente les paquets abandonnés par effectif dans l'environnement dû à l'encombrement.  Les paquets lâchés peuvent entraîner des questions avec des applications s'exécutant dans la matrice interception commandée en vol.  Les administrateurs réseau devraient isoler l'écoulement de paquet et déterminer si l'encombrement est dû à la circulation inattendue, à l'Équilibrage de charge inefficace, etc. ; ou utilisation prévue sur ces ports.

F100696 - paquets de baisse d'expédition d'entrée (eqptIngrDropPkts5min:forwardingRate)

Remarque: Commençant dans la version 1.3(2), des baisses en avant sont enlevées de l'objet eqptIngrDropPkts5min, ainsi ce défaut ne devrait pas être vu pour cette question.

Ce défaut est provoqué par par quelques scénarios.  Le plus commun est :

Baisses d'épine de la description 1)

                  Quand un ARP ou le paquet IP est expédié à l'épine pour une consultation de proxy et le point final est inconnu dans la matrice, une offre spéciale glanent le paquet sera générée et envoyée à toutes les feuilles sur le BD approprié
                  adresse de groupe de multidiffusion.  Ceci déclenchera une demande d'ARP de chaque feuille dans le domaine de passerelle (BD) de découvrir le point final.  En raison d'une limite, le paquet de glaner reçu par la feuille est également reflété
                  de nouveau dans la matrice et déclenche une baisse d'expédition sur le lien d'épine.  La baisse en avant est seulement incrémentée sur le matériel d'épine de la génération 1.

Résolution 1)

Puisque vous savez que la question est provoqué par par un périphérique envoyant le trafic unicast inconnu dans la matrice interception commandée en vol, vous devez figurer que le périphérique entraîne à ceci, et voir si vous pouvez l'empêcher.  Ceci est habituellement provoqué par les périphériques qui balayent ou sondent pour des adresses IP sur des sous-réseaux pour surveiller des buts.  Afin de trouver ce que l'IP envoie à ce trafic, SSH sur la feuille qui est connectée à l'interface d'épine affichant le défaut.

De là, vous pouvez exécuter cette commande de voir l'adresse IP source (sip) que déclenche le paquet de glaner :

ACI-LEAF# show ip arp internal event-history event | grep glean | grep sip | more
    [116] TID 11304:arp_handle_inband_glean:3035: log_collect_arp_glean;sip = 192.168.21.150;dip = 192.168.20.100;info = Rece
ived glean packet is an IP packet
    [116] TID 11304:arp_handle_inband_glean:3035: log_collect_arp_glean;sip = 192.168.21.150;dip = 192.168.20.100;info = Rece
ived glean packet is an IP packet
    [116] TID 11304:arp_handle_inband_glean:3035: log_collect_arp_glean;sip = 192.168.21.150;dip = 192.168.20.100;info = Rece
ived glean packet is an IP packet
    [116] TID 11304:arp_handle_inband_glean:3035: log_collect_arp_glean;sip = 192.168.21.150;dip = 192.168.20.100;info = Rece
ived glean packet is an IP packet

 De là, vous pouvez étudier pourquoi 192.168.21.150 envoie ce trafic dans la matrice, et voir si vous pouvez l'atténuer de là.

Baisses de feuille de la description 2)

Si ce défaut est vu sur une interface de feuille, le casue le plus susceptible est dû aux baisses SECURITY_GROUP_DENY mentionnées.  

Résolution 2)

Sur une feuille, vous gardez un log des paquets refusés dû pour contracter des violations. Ce log ne capture pas tous pour protéger des ressources CPU cependant qu'il te fournit toujours une énorme quantité de logs.

Pour obtenir les logs ce que vous voulez, si l'interface le défaut est augmentée en fonction fait partie d'un Port canalisé, vous doit utiliser ces commande et grep pour le Port canalisé.  Autrement, vous pouvez utiliser l'interface physique :

Ce log peut être rapidement roulé plus de selon la quantité de baisses de contrat.

ACI-LEAF# show logging ip access-list internal packet-log deny | grep port-channel2 | more
[ Sun Feb 19 14:16:12 2017 503637 usecs]: CName: jr:sb(VXLAN: 2129921), VlanType: FD_VLAN, Vlan-Id: 59, SMac: 0x8c604
f0288fc, DMac:0x0022bdf819ff, SIP: 192.168.21.150, DIP: 192.168.20.3, SPort: 0, DPort: 0, Src Intf: port-channel2, Pr
oto: 1, PktLen: 98
[ Sun Feb 19 14:16:12 2017 502547 usecs]: CName: jr:sb(VXLAN: 2129921), VlanType: FD_VLAN, Vlan-Id: 59, SMac: 0x8c604
f0288fc, DMac:0x0022bdf819ff, SIP: 192.168.21.150, DIP: 192.168.20.3, SPort: 0, DPort: 0, Src Intf: port-channel2, Pr
oto: 1, PktLen: 98
[ Sun Feb 19 14:16:12 2017 500387 usecs]: CName: jr:sb(VXLAN: 2129921), VlanType: FD_VLAN, Vlan-Id: 59, SMac: 0x8c604
f0288fc, DMac:0x0022bdf819ff, SIP: 192.168.21.150, DIP: 192.168.20.3, SPort: 0, DPort: 0, Src Intf: port-channel2, Pr
oto: 1, PktLen: 98
[ Sun Feb 19 14:16:12 2017 499779 usecs]: CName: jr:sb(VXLAN: 2129921), VlanType: FD_VLAN, Vlan-Id: 59, SMac: 0x8c604
f0288fc, DMac:0x0022bdf819ff, SIP: 192.168.21.150, DIP: 192.168.20.3, SPort: 0, DPort: 0, Src Intf: port-channel2, Pr
oto: 1, PktLen: 98
[ Sun Feb 19 14:16:12 2017 499624 usecs]: CName: jr:sb(VXLAN: 2129921), VlanType: FD_VLAN, Vlan-Id: 59, SMac: 0x8c604
f0288fc, DMac:0x0022bdf819ff, SIP: 192.168.21.150, DIP: 192.168.20.3, SPort: 0, DPort: 0, Src Intf: port-channel2, Pr
oto: 1, PktLen: 98

Dans ce cas, 192.168.21.150 essaye d'envoyer des messages ICMP (protocole IP numéro 1) à 192.168.20.3.  Cependant, il n'y a aucun contrat entre les 2 EPG qui permet l'ICMP, ainsi le paquet est lâché.  Si l'ICMP est censé être permis, un contrat peut être ajouté entre les deux EPG.

Seuil de stats

Cette section décrit comment changer un seuil pour les objets des statistiques qui pourraient potentiellement soulever un compteur de baisse d'agaist de défaut.

L'exemple suivant est de changer le seuil pour la baisse en avant dans les eqptIngrDropPkts.

1. Naviguez vers des stratégies >Fabric de matrice des stratégies de collecte >Monitoring de stratégies > de par défaut >Stats.
   
2. De l'objet de surveillance relâchez vers le bas, choisissent la configuration d'interface physique de la couche 1 (l2.PhysIf) et les stats tapent, choisissent des paquets de baisse d'entrée

    3. Cliquez sur en fonction + à côté des seuils de config

   4. Éditez le seuil pour des abandons de mémoire tampon

    5. La recommandation est de désactiver les seuils montants au config pour essentiel, principal, mineur, et avertir pour expédier le débit de baisse.