Catalyst 6500 Series Switch Microflow Policing 컨피그레이션 예
소개
이 문서에서는 Catalyst 6500 Series 스위치의 마이크로플로우 폴리싱에 대해 설명합니다.
사전 요구 사항
요구 사항
이 문서에 대한 특정 요건이 없습니다.
사용되는 구성 요소
이 문서의 정보는 Supervisor Engine 720에서 실행되는 Cisco Catalyst 6500 Series 스위치를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
다음은 귀하의 고려 사항입니다.각 학생이 인터넷을 사용하는 동안 10Mbps의 대역폭으로 제한해야 하는 대학 요구 사항이 있습니다.종합 폴리싱을 구성한 경우 학생 간에 대역폭의 균등한 분배가 있습니다.Microsoft Flow Policer는 이 작업을 더 효과적으로 수행할 수 있습니다.
마이크로플로우 폴리싱을 사용하면 플로우를 기준으로 트래픽을 폴리싱할 수 있습니다.흐름은 일반적으로 소스 IP(SRC-IP), 대상 IP(DST-IP), SRC-DST IP, SRC-DST 포트 또는 SRC-Interface로 정의됩니다.예를 들면 다음과 같습니다.
Source 10.0.0.1 sending a tcp stream to 15.0.0.1 with a source tcp port of 50
and destination 2000
Source 10.0.0.1 sending a tcp stream to 15.0.0.2 with a source tcp port of 60
and destination 2000.
SRC-IP를 기반으로 분류를 수행하면 흐름 수가 1과 같습니다.DST-IP를 기반으로 분류를 수행하면 흐름 수가 2와 같습니다.DST 포트를 기반으로 분류를 수행하면 흐름 수가 1과 같습니다.
인터페이스(물리적 인터페이스 또는 SVI(Switch Virtual Interface))에서 서비스 정책을 적용하면 서비스 정책이 하드웨어에 프로그래밍됩니다.항목을 저장하는 데 QoS(Quality of Service) TCAM(Ternary Content Addressable Memory)이 사용됩니다.또한 스위치는 플로우를 기억해야 하므로 개별 플로우 정보를 하드웨어에 저장합니다.NetFlow TCAM은 이러한 용도로 사용됩니다.따라서 하드웨어에서 프로그래밍을 확인할 수 있는 두 가지 위치가 있습니다.ACL(Access Control List) TCAM과 NetFlow TCAM이 있습니다.
동일한 NetFlow TCAM이 NAT(Network Address Translation), NDE(NetFlow Data Export), WCCP(Web Cache Communication Protocol)와 같은 다른 기능에서 사용되므로 하드웨어의 마이크로플로우 폴리서 프로그래밍에 충돌이 있을 수 있습니다.일부 TCAM 충돌 시나리오는 이 문서의 끝에 제공됩니다.
구성 예
예 1
Cisco Catalyst 6500 Series 스위치는 VLAN 간 라우팅에 관여합니다.트래픽 소스는 VLAN 20에 있으며 다음 IP 주소를 갖습니다.20.20.20.2 및 20.20.20.3. 두 소스 모두 VLAN 30에 있는 IP 주소 30.30.30.2으로 트래픽을 전송하려고 합니다. 목표는 각 소스에 100Kbps의 대역폭을 할당하는 것입니다.
- 이러한 두 소스에서 오는 트래픽을 확인하기 위해 클래스 맵에서 ACL을 생성하고 매핑합니다.
ip access-list ext vlan20_30
permit ip 20.20.20.0 0.0.0.255 30.30.30.0 0.0.0.255class-map POLICE_DIFF_SRC
match access-group name vlan20_30 - 정책 맵에 class-map을 적용합니다.필요에 따라 CIR(Committed Information Rate) 및 버스트 값을 구성합니다.
policy-map POLICE_DIFF_SRC
class POLICE_DIFF_SRC
police flow mask src-only 100000 3000 conform transmit exceed drop
경찰 흐름 마스크를 수행한 후 사용할 수 있는 옵션은 다음과 같습니다.police flow mask ?
dest-only
full-flow
src-only - 인그레스 SVI 또는 인그레스 물리적 인터페이스에서 서비스 정책을 적용합니다.인터페이스 VLAN에서 적용하는 경우 물리적 인터페이스에서 mls qos vlan 기반을 구성합니다.그러면 패킷이 특정 VLAN의 레이어 2 인터페이스에 도달하자마자 Cisco IOS®가 인터페이스 VLAN에서 정책을 찾도록 지시합니다.
interface vlan 20
service-policy input POLICE_DIFF_SRC
예: 2:
동일한 VLAN에서 트래픽의 레이어 2 스위칭을 수행하는 Catalyst 6500 Series 스위치가 있습니다.이 예에서는 10.10.10.2에서 시작하여 VLAN에서 10.10.10.3으로 이동하는 트래픽을 100Kbps의 대역폭으로 제한하는 방법을 설명합니다.폴리서가 레이어 2-스위치드 트래픽에 영향을 미치도록 하려면 인터페이스 VLAN 10 아래에 mls qos bridged 명령을 입력해야 합니다.
ip access-list ext VLAN10
permit ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255
class-map POLICE_SAME
match access-group name VLAN10
policy-map POLICE_SAME
class POLICE_SAME
police flow mask src-only 100000 3000 conform transmit exceed drop
int vlan 10
service-policy in POLICE_SAME
mls qos bridged
다음을 확인합니다.
현재 이 구성에 대해 사용 가능한 확인 절차가 없습니다.
문제 해결
- show mls qos ip 명령을 입력하고 폴리서 이름 옆의 FL ID를 확인합니다.FL ID가 1이면 마이크로플로우 폴리싱에 정책이 사용됩니다.
6500#show mls qos ip
QoS Summary [IPv4]: (* - shared aggregates, Mod - switch module)
Int Mod Dir Class-map DSCP Ag Trust FL AgForward-By AgPoliced-By
Id Id
---------------------------------------------------------------------------
Fa3/3 1 In POLICE_SAM 0 0* dscp 1 11266001160 0
이 결과를 기반으로 한 몇 가지 주목할 만한 점은 다음과 같습니다.
- 정책이 하드웨어에 매핑됩니다.
- 이 인터페이스가 적용되는 인터페이스는 Fa3/3입니다.
- 섀시에 DFC(Distributed Forwarding Card) 지원 라인 카드(LC)가 있는 경우 QoS 정책은 각 DFC 및 PFC(Policy Feature Card)에 대해 별도로 프로그래밍됩니다. 모듈 번호는 슬롯 1의 PFC/DFC에 대한 항목을 제공합니다.
- Supervisor Engine 720은 생성된 모든 집계 폴리서에 대해 집계 ID(AgID)를 생성합니다.1020 AgID는 최대 가용 ID로, 하드웨어 제한 사항입니다.이는 마이크로플로우 폴리서와 관련이 없지만 집계 폴리서에 유용한 명령입니다.
- 이 경우 트러스트 필드는 관련성이 없습니다.
- 앞서 설명한 대로 FL ID=1.
- AgForward?By 및 AgPoliced-By는 마이크로플로우 폴리서가 전송하거나 삭제하는 패킷을 계산하는 데 사용되지 않습니다(이에 대한 별도의 명령이 있음). 그러나 동일한 카운터를 사용하여 집계 폴리서가 전송하거나 삭제한 패킷을 계산합니다.
- QoS TCAM에 ACL이 프로그래밍되었는지 확인하려면 show tcam int < vlan/or physical interface> qos type1 ip 명령을 입력합니다.
6500#show tcam interface fa3/3 qos type1 ip
QOS Results: A - Aggregate Policing F - Microflow Policing
M - Mark T - Trust
U - Untrust
------------------------------------------------------
FT ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255 ==> entry is
programmed correctly
MU ip any any - Netflow TCAM에 플로우가 설치되어 있는지 확인하려면 show mls NetFlow ip qos nowrap 명령의 출력을 확인합니다.
6500#show mls NetFlow ip qos nowrap
Displaying NetFlow entries in Active Supervisor EARL in module 1
DstIP SrcIP Prot : SrcPort : DstPort Src i/f :AdjPtr Pkts
Bytes LastSeen QoS PoliceCount Threshold Leak Drop Bucket
------------------------------------------------------------------------------------------------------
0.0.0.0 0.0.0.0 0 :0 :0 --
0x0 140394
67383880 15:16:29 0x0 0 0 0
NO 0
0.0.0.0 10.10.10.2 0 :0 :0 --
0x0 227
108506 15:16:22 0x0 35996208 0 0 NO 3386
이 출력에서 플로우(소스 전용)가 NetFlow TCAM에 설치되어 있고 폴리싱된 35,996,208개의 패킷이 있음을 확인할 수 있습니다.
가능한 문제
이러한 시나리오에서 서비스 정책이 하드웨어에서 프로그래밍되지 않을 수 있습니다.가능한 이유는 다음과 같습니다.
- 구성할 수 있는 집계/마이크로플로우 폴리서의 수에 대한 하드웨어 제한이 있습니다.하드웨어 리소스를 예약하기 위해 서비스 정책은 하드웨어에 프로그래밍되지 않습니다.
정책의 가용성을 확인하려면 show platform hardware capacity quoscan 명령을 입력합니다.6500#show platform hardware capacity qos
QoS Policer Resources
Aggregate policers: Module Total Used %Used
1 1024 102 10%
6 1024 102 10%
Microflow policer configurations: Module Total Used %Used
1 64 32 50%
6 64 32 50% - 플로우 마스크가 동일한 인터페이스에 구성된 다른 기능과 충돌하므로 NetFlow TCAM에서 흐름을 캐시하지 못할 수 있습니다.
플로우 마스크의 개념을 이해하는 것이 중요합니다.특정 기능의 하드웨어 가속화를 지원하기 위해 특정 기능을 설치하는 데 사용되는 전용 하드웨어(TCAM)가 있습니다.NAT WCCP NetFlow와 같이 동일한 TCAM을 사용하는 여러 기능이 있습니다.이들은 일반적으로 NetFlow TCAM이라고 하는 TCAM을 사용하는 반면, 보안 ACL과 같은 기능인 PBR(Policy-Based Routing)에서는 ACL TCAM을 사용합니다.
NetFlow TCAM의 경우 하드웨어에 항목을 설치하려면 플로우 마스크가 필요합니다.NetFlow 플로우 마스크는 측정할 플로우의 세분성을 결정합니다.매우 구체적인 플로우 마스크는 많은 수의 NetFlow 테이블 엔트리와 내보낼 대량의 통계를 생성합니다.덜 구체적인 플로우 마스크는 트래픽 통계를 더 적은 NetFlow 테이블 항목으로 집계하고 더 적은 수의 통계를 생성합니다.
NetFlow Table Configuration 문서는 플로우 마스크 요구 사항(지원되는) 기능에 대해 설명합니다.
- show fm summary 명령을 입력하고 인터페이스가 비활성 상태에 있는지 확인합니다.Inactive(비활성) 상태는 인터페이스에 하드웨어와 프로그래밍할 수 없는 일부 기능이 구성되어 있음을 나타냅니다.해당 인터페이스에서 수신된 패킷에 해당 기능이 필요합니다.
6500#show fm summary
Interface: Vlan13 is up
TCAM screening for features: INACTIVE inbound
TCAM screening for features: INACTIVE outbound
Interface: Vlan72 is up
TCAM screening for features: ACTIVE inbound
TCAM screening for features: ACTIVE outbound
Interface: Vlan84 is up
TCAM screening for features: ACTIVE inbound
TCAM screening for features: INACTIVE outbound - show fm file interface <> 명령을 입력하고 하드웨어에 마이크로플로우 폴리서가 구성되어 있는지 확인합니다.
6500#show fm fie int vlan 10
Interface Vl10:
Feature interaction state created: Yes
Flowmask conflict status for protocol IP :
FIE_FLOWMASK_STATUS_SUCCESS
Flowmask conflict status for protocol OTHER :
FIE_FLOWMASK_STATUS_SUCCESS Interface Vl10 [Ingress]:
Slot(s) using the protocol IP : 1
FIE Result for protocol IP : FIE_SUCCESS_NO_CONFLICT
Features Configured : [empty] - Protocol : IP
FM Label when FIE was invoked : 66 Current FM Label : 66
Last Merge is for slot: 0 num# of strategies tried : 1
num# of merged VMRs in bank 1 = 0
num# of free TCAM entries in Bank1 = Unknown
num# of merged VMRs in bank 2 = 1
num# of free TCAM entries in Bank2 = Unknown
Slot(s) using the protocol OTHER : 1
FIE Result for protocol OTHER : FIE_SUCCESS_NO_CONFLICT
Features Configured : OTH_DEF - Protocol : OTHER
FM Label when FIE was invoked : 66
Current FM Label : 66
Last Merge is for slot: 0
Features in Bank1 = OTH_DEF
+-------------------------------------+
Action Merge Table
+-------------------------------------+
OTH_DEF RSLT R_RSLT COL
+-------------------------------------+
SB HB P 0
X P P 0
+-------------------------------------+
num# of strategies tried : 1
Description of merging strategy used:
Serialized Banks: FALSE
Bank1 Only Features: [empty]
Bank2 Only Features: [empty]
Banks Swappable: TRUE
Merge Algorithm: ODM
num# of merged VMRs in bank 1 = 1
num# of free TCAM entries in Bank1 = 32745
num# of merged VMRs in bank 2 = 0
num# of free TCAM entries in Bank2 = 32744 Interface Vl10 [Egress]:
No Features Configured
No IP Guardian Feature Configured
No IPv6 Guardian Feature Configured
IP QoS Conflict resolution configured, QoS policy name: POLICE_SAME
- show fm summary 명령을 입력하고 인터페이스가 비활성 상태에 있는지 확인합니다.Inactive(비활성) 상태는 인터페이스에 하드웨어와 프로그래밍할 수 없는 일부 기능이 구성되어 있음을 나타냅니다.해당 인터페이스에서 수신된 패킷에 해당 기능이 필요합니다.
기타 유용한 명령
- 정책 적용
- FL-ID=1 확인 - show mls qos ip
- QoS TCAM 확인 - show tcam int <> qos type 1 ip
- NetFlow TCAM 확인 - show mls NetFlow ip qos module now
- 폴리서의 가용성 확인 - 플랫폼 하드웨어 용량 패브릭 표시
- FM(Flow Mask) 충돌 확인 - show log, show fm summary
- 인터페이스 아래에 구성된 기능 확인 - show fm 파일 인터페이스
피드백