Exemple de configuration de la régulation de microflux des commutateurs de la gamme Catalyst 6500

Options de téléchargement

  • PDF     (161.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (94.8 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (82.7 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:26 septembre 2013
ID du document:116468

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit la réglementation de microflux sur les commutateurs de la gamme Catalyst 6500.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les informations de ce document sont basées sur un commutateur de la gamme Cisco Catalyst 6500 qui fonctionne sur un Supervisor Engine 720.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informations générales

Voici un exemple d'utilisation à prendre en considération. Il est nécessaire que l'université limite chaque étudiant à une bande passante de 10 Mbits/s lorsqu'il utilise Internet. Si la réglementation agrégée est configurée, il y a une distribution inégale de la bande passante entre les étudiants. Microflow policer est mieux en mesure de nous aider à accomplir cette tâche.

Le contrôle de microflux aide les utilisateurs à contrôler le trafic en fonction des flux. Un flux est généralement défini par IP source (SRC-IP), IP de destination (DST-IP), IP SRC-DST, port SRC-DST ou interface SRC-DST. Voici un exemple :

Source 10.0.0.1 sending a tcp stream to 15.0.0.1 with a source tcp port of 50
and destination 2000
Source 10.0.0.1 sending a tcp stream to 15.0.0.2 with a source tcp port of 60
and destination 2000.

Si la classification est effectuée en fonction de la SRC-IP, le nombre de flux est égal à un. Si la classification est effectuée sur la base de l'IP DST, le nombre de flux est égal à deux. Si la classification est effectuée en fonction du port DST, le nombre de flux est égal à un.

Note: Les régulateurs de microflux ne peuvent être appliqués que dans la direction d'entrée, contrairement au régulateur d'agrégation.

Lorsque nous appliquons une stratégie de service sous une interface, soit l'interface physique, soit l'interface virtuelle de commutateur (SVI), la stratégie de service est programmée dans le matériel. La mémoire TCAM (Ternary Content Addressable Memory) de qualité de service (QoS) est utilisée pour stocker l'entrée. En outre, comme le commutateur doit se souvenir des flux, il stocke les informations de flux individuelles dans le matériel. Le TCAM NetFlow est utilisé à cette fin. Il existe donc deux endroits où vous pouvez vérifier la programmation dans le matériel : la TCAM de la liste de contrôle d'accès (ACL) et la TCAM NetFlow.

Puisque le même TCAM NetFlow est utilisé par d'autres fonctionnalités, telles que la traduction d'adresses de réseau (NAT), l'exportation de données NetFlow (NDE) et le protocole de communication Web Cache (WCCP), il est possible qu'il y ait un conflit dans la programmation du régulateur de microflux dans le matériel. Certains scénarios de conflit TCAM sont fournis à la fin de ce document.

Exemples de configuration

Exemple 1

Un commutateur de la gamme Cisco Catalyst 6500 est engagé dans le routage interVLAN. Les sources de trafic sont situées dans le VLAN 20, et ont les adresses IP suivantes : 20.20.20.2 et 20.20.20.3. Les deux sources essaient d'envoyer le trafic vers l'adresse IP 30.30.30.2, située dans le VLAN 30. L'objectif est d'allouer 100 Kbits/s de bande passante à chaque source.

  1. Créez et mappez une liste de contrôle d’accès dans une carte de classe afin de correspondre au trafic provenant de ces deux sources.
    ip access-list ext vlan20_30
    permit ip 20.20.20.0 0.0.0.255 30.30.30.0 0.0.0.255

    class-map POLICE_DIFF_SRC
    match access-group name vlan20_30


  2. Appliquez le class-map dans un policy-map. Configurez le débit de données garanti (CIR) et les valeurs de rafale selon les besoins.

    policy-map POLICE_DIFF_SRC
    class POLICE_DIFF_SRC 
    police flow mask src-only 100000 3000 conform transmit exceed drop


    Voici les options disponibles après le masque de flux de police :
    police flow mask ?
    dest-only 
    full-flow
    src-only


  3. Appliquez la stratégie de service sous l'interface SVI d'entrée ou sous l'interface physique d'entrée. Si vous l'appliquez sous le VLAN d'interface, configurez mls qos vlan-based sous l'interface physique. Cela demande à Cisco IOS® de rechercher une stratégie sous le VLAN d'interface dès qu'un paquet atteint une interface de couche 2 dans un VLAN spécifique.

    interface vlan 20
    service-policy input POLICE_DIFF_SRC

Exemple 2

Il existe un commutateur de la gamme Catalyst 6500 engagé dans la commutation de couche 2 du trafic dans le même VLAN. Cet exemple montre comment restreindre le trafic qui provient de 10.10.10.2 et va vers 10.10.10.3 dans le VLAN à 100 Kbits/s de bande passante. Pour que le régulateur affecte le trafic commuté de couche 2, vous devez entrer la commande mls qos bridged sous l'interface VLAN 10.

ip access-list ext VLAN10
permit ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255
class-map POLICE_SAME


match access-group name VLAN10
policy-map POLICE_SAME
class POLICE_SAME     
police flow mask src-only 100000 3000 conform transmit exceed drop


int vlan 10 
service-policy in POLICE_SAME 
mls qos bridged

Vérification

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannage

  1. Entrez la commande show mls qos ip et vérifiez l'ID FL en regard du nom du régulateur. Si l'ID FL est 1, la stratégie est utilisée pour la réglementation de microflux.

    6500#show mls qos ip
       QoS Summary [IPv4]:      (* - shared aggregates, Mod - switch module)

     Int Mod Dir  Class-map DSCP  Ag  Trust   FL   AgForward-By   AgPoliced-By
                                                           Id           Id
    ---------------------------------------------------------------------------

    Fa3/3  1 In   POLICE_SAM   0   0*   dscp    1   11266001160            0

    Voici quelques points intéressants basés sur ce résultat :

    • La stratégie est mappée dans le matériel.
    • L'interface sur laquelle elle est appliquée est Fa3/3.
    • Si une carte de ligne (LC) compatible DFC (Distributed Forwarding Card) est présente dans le châssis, les stratégies QoS sont programmées séparément pour chaque carte DFC et PFC (Policy Feature Card). Le numéro du module indique l'entrée de la carte PFC/DFC dans le logement 1.
    • Supervisor Engine 720 crée un ID d'agrégat (AgID) pour chaque régulateur d'agrégat créé. 1020 AgID sont les ID utilisables maximum, ce qui est une limitation matérielle. Ceci n'est pas pertinent pour le régulateur de microflux, mais est une commande utile pour le régulateur d'agrégation.
    • Le champ d'approbation n'a aucune pertinence dans ce cas.
    • ID FL=1, comme indiqué précédemment.
    • Les commandes AgForward?By et AgPoliced-By ne sont pas utilisées pour calculer les paquets qui sont transmis ou abandonnés par le régulateur de microflux (il existe une commande distincte pour cela). Cependant, les mêmes compteurs sont utilisés pour calculer les paquets transmis/abandonnés par un régulateur d'agrégation.


  2. Entrez la commande show tcam int < vlan/or Physical interface> qos type1 ip afin de déterminer si la liste de contrôle d’accès est programmée dans le TCAM QoS.

    6500#show tcam interface fa3/3 qos type1 ip   
        QOS Results:   A - Aggregate Policing       F - Microflow Policing
        M - Mark          T - Trust
        U - Untrust
        ------------------------------------------------------
        FT     ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255  ==> entry is 
        programmed correctly
        MU     ip any any


  3. Vérifiez le résultat de la commande show mls NetFlow ip qos nowrap afin de découvrir si les flux sont installés dans le TCAM Netlflow.

    6500#show mls NetFlow ip qos nowrap 
    Displaying NetFlow entries in Active Supervisor EARL in module 1
    DstIP           SrcIP           Prot         : SrcPort :   DstPort   Src i/f         :AdjPtr    Pkts   
    Bytes         LastSeen      QoS       PoliceCount  Threshold   Leak          Drop     Bucket
    ------------------------------------------------------------------------------------------------------
    0.0.0.0          0.0.0.0            0                     :0                   :0           -- 
    0x0       140394     
    67383880   15:16:29        0x0                   0                    0           0
    NO             0

    0.0.0.0         10.10.10.2      0                     :0                   :0           --               
    0x0           227
    108506        15:16:22        0x0                  35996208    0           0                NO         3386


    Dans cette sortie, vous pouvez voir que le flux (source uniquement) est installé dans le TCAM NetFlow et qu'il y a 35 996 208 paquets qui ont été contrôlés.

Problèmes possibles

Il est possible que la stratégie de service ne soit pas programmée dans le matériel dans ces scénarios. Voici quelques raisons possibles :

  1. Le nombre de régulateurs agrégés/microflux pouvant être configurés est limité par le matériel. Afin de réserver des ressources matérielles, la stratégie de service n'est pas programmée dans le matériel.

    Entrez la commande show platform hardware Capacity qoscan afin de vérifier la disponibilité des contrôleurs.

    6500#show platform hardware capacity qos
    QoS Policer Resources
      Aggregate policers: Module                      Total         Used     %Used
                          1                            1024            102     10%
                          6                            1024            102     10%
      Microflow policer configurations: Module        Total         Used     %Used
                                        1                64            32        50%
                                        6                64            32        50%


  2. En raison d'un conflit de masque de flux avec d'autres fonctionnalités configurées sous la même interface, le régulateur de microflux peut ne pas être en mesure de mettre en cache les flux dans le TCAM NetFlow.

    Il est important de comprendre le concept de masque de flux. Afin de prendre en charge l'accélération matérielle de certaines fonctionnalités, il existe des TCAM dédiés qui sont utilisés pour installer certaines fonctionnalités. Il existe plusieurs fonctionnalités qui utilisent le même TCAM, telles que NAT WCCP NetFlow. Ils utilisent une TCAM, généralement appelée TCAM NetFlow, tandis que pour les fonctions telles que les listes de contrôle d'accès de sécurité, le routage basé sur des politiques (PBR) utilise la TCAM de l'ACL.

    Pour le TCAM NetFlow, un masque de flux est nécessaire pour installer des entrées dans le matériel. Les masques de flux NetFlow déterminent la granularité des flux à mesurer. Des masques de flux très spécifiques génèrent un grand nombre d'entrées de table NetFlow et un volume important de statistiques à exporter. Les masques de flux moins spécifiques regroupent les statistiques de trafic en moins d'entrées de la table NetFlow et génèrent un volume de statistiques inférieur.

    L'article Configuration de la table NetFlow décrit les fonctions de condition de masque de flux (prises en charge).

    • Entrez la commande show fm summary et déterminez si l'interface est dans un état inactif. Un état Inactif indique que certaines fonctionnalités configurées sous l'interface ne peuvent pas être programmées dans le matériel. Les paquets reçus sur cette interface qui nécessitent cette fonctionnalité sont programmés dans le logiciel.

      6500#show fm summary
      Interface: Vlan13 is up
      TCAM screening for features: INACTIVE inbound
      TCAM screening for features: INACTIVE outbound
      Interface: Vlan72 is up
      TCAM screening for features: ACTIVE inbound
      TCAM screening for features: ACTIVE outbound
      Interface: Vlan84 is up
      TCAM screening for features: ACTIVE inbound
      TCAM screening for features: INACTIVE outbound


    • Entrez la commande show fm fie interface <> et déterminez si le microflow policer est configuré dans le matériel.

      6500#show fm fie int vlan 10
      Interface Vl10:
      Feature interaction state created: Yes
       Flowmask conflict status for protocol IP : 
       FIE_FLOWMASK_STATUS_SUCCESS
       Flowmask conflict status for protocol OTHER : 
       FIE_FLOWMASK_STATUS_SUCCESS Interface Vl10 [Ingress]:
       Slot(s) using the protocol IP : 1
       FIE Result for protocol IP : FIE_SUCCESS_NO_CONFLICT  
       Features Configured : [empty] - Protocol : IP  
       FM Label when FIE was invoked : 66  Current FM Label : 66  
       Last Merge is for slot: 0  num# of strategies tried : 1
        num# of merged VMRs in bank 1 = 0
        num# of free TCAM entries in Bank1 = Unknown
        num# of merged VMRs in bank 2 = 1
        num# of free TCAM entries in Bank2 = Unknown
       Slot(s) using the protocol OTHER : 1
       FIE Result for protocol OTHER : FIE_SUCCESS_NO_CONFLICT
       Features Configured : OTH_DEF   - Protocol : OTHER
       FM Label when FIE was invoked : 66
       Current FM Label : 66
       Last Merge is for slot: 0
       Features in Bank1 = OTH_DEF
      +-------------------------------------+
              Action Merge Table
      +-------------------------------------+
         OTH_DEF      RSLT    R_RSLT  COL
      +-------------------------------------+
         SB           HB      P       0
          X            P       P       0
      +-------------------------------------+
       num# of strategies tried : 1
       Description of merging strategy used:
       Serialized Banks: FALSE
       Bank1 Only Features: [empty]
       Bank2 Only Features: [empty]
       Banks Swappable: TRUE
       Merge Algorithm: ODM
       num# of merged VMRs in bank 1 = 1
       num# of free TCAM entries in Bank1 = 32745
       num# of merged VMRs in bank 2 = 0
       num# of free TCAM entries in Bank2 = 32744 Interface Vl10 [Egress]:
      No Features Configured
      No IP Guardian Feature Configured
      No IPv6 Guardian Feature Configured
      IP QoS Conflict resolution configured, QoS policy name: POLICE_SAME
    Les masques de flux compatibles doivent être utilisés pour les fonctionnalités configurées sous la même interface qui partagent le TCAM NetFlow. Des masques de flux compatibles sont disponibles pour presque tous les types de combinaisons.

Autres commandes utiles

  • Appliquer la stratégie
  • Vérifier FL-ID=1 - show mls qos ip
  • Vérifiez QoS TCAM - show tcam int <> qos type 1 ip
  • Vérifier le TCAM NetFlow - show mls NetFlow ip qos module nowrap
  • Vérifier la disponibilité des régulateurs - show platform hardware capacité fabric
  • Rechercher le conflit de masque de flux (FM) - show log, show fm summary
  • Vérifier les fonctionnalités configurées sous l'interface - show fm file interface

Historique de révision

Révision Date de publication Commentaires
1.0
26-Sep-2013
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Souvik Ghosh
    Cisco TAC Engineer.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits