Catalyst 6500 Series Switch Microflow Policing 컨피그레이션 예

다운로드 옵션

  • PDF     (185.6 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (89.0 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (76.3 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2013년 9월 26일 (목)
문서 ID:116468

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Catalyst 6500 Series 스위치의 마이크로플로우 폴리싱에 대해 설명합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 Supervisor Engine 720에서 실행되는 Cisco Catalyst 6500 Series 스위치를 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

다음은 귀하의 고려 사항입니다.각 학생이 인터넷을 사용하는 동안 10Mbps의 대역폭으로 제한해야 하는 대학 요구 사항이 있습니다.종합 폴리싱을 구성한 경우 학생 간에 대역폭의 균등한 분배가 있습니다.Microsoft Flow Policer는 이 작업을 더 효과적으로 수행할 수 있습니다.

마이크로플로우 폴리싱을 사용하면 플로우를 기준으로 트래픽을 폴리싱할 수 있습니다.흐름은 일반적으로 소스 IP(SRC-IP), 대상 IP(DST-IP), SRC-DST IP, SRC-DST 포트 또는 SRC-Interface로 정의됩니다.예를 들면 다음과 같습니다.

Source 10.0.0.1 sending a tcp stream to 15.0.0.1 with a source tcp port of 50
and destination 2000
Source 10.0.0.1 sending a tcp stream to 15.0.0.2 with a source tcp port of 60
and destination 2000.

SRC-IP를 기반으로 분류를 수행하면 흐름 수가 1과 같습니다.DST-IP를 기반으로 분류를 수행하면 흐름 수가 2와 같습니다.DST 포트를 기반으로 분류를 수행하면 흐름 수가 1과 같습니다.

참고:Microsoft Flow Policer는 집계 폴리서와 달리 인그레스 방향에서만 적용할 수 있습니다.

인터페이스(물리적 인터페이스 또는 SVI(Switch Virtual Interface))에서 서비스 정책을 적용하면 서비스 정책이 하드웨어에 프로그래밍됩니다.항목을 저장하는 데 QoS(Quality of Service) TCAM(Ternary Content Addressable Memory)이 사용됩니다.또한 스위치는 플로우를 기억해야 하므로 개별 플로우 정보를 하드웨어에 저장합니다.NetFlow TCAM은 이러한 용도로 사용됩니다.따라서 하드웨어에서 프로그래밍을 확인할 수 있는 두 가지 위치가 있습니다.ACL(Access Control List) TCAM과 NetFlow TCAM이 있습니다.

동일한 NetFlow TCAM이 NAT(Network Address Translation), NDE(NetFlow Data Export), WCCP(Web Cache Communication Protocol)와 같은 다른 기능에서 사용되므로 하드웨어의 마이크로플로우 폴리서 프로그래밍에 충돌이 있을 수 있습니다.일부 TCAM 충돌 시나리오는 이 문서의 끝에 제공됩니다.

구성 예

예 1

Cisco Catalyst 6500 Series 스위치는 VLAN 간 라우팅에 관여합니다.트래픽 소스는 VLAN 20 있으며 다음 IP 주소를 갖습니다.20.20.20.2 및 20.20.20.3. 두 소스 모두 VLAN 30에 있는 IP 주소 30.30.30.2으로 트래픽을 전송하려고 합니다. 목표는 각 소스에 100Kbps의 대역폭을 할당하는 것입니다.

  1. 이러한 두 소스에서 오는 트래픽을 확인하기 위해 클래스 맵에서 ACL을 생성하고 매핑합니다.
    ip access-list ext vlan20_30
    permit ip 20.20.20.0 0.0.0.255 30.30.30.0 0.0.0.255

    class-map POLICE_DIFF_SRC
    match access-group name vlan20_30


  2. 정책 맵에 class-map을 적용합니다.필요에 따라 CIR(Committed Information Rate) 및 버스트 값을 구성합니다.

    policy-map POLICE_DIFF_SRC
    class POLICE_DIFF_SRC 
    police flow mask src-only 100000 3000 conform transmit exceed drop


    경찰 흐름 마스크를 수행한 후 사용할 수 있는 옵션은 다음과 같습니다.
    police flow mask ?
    dest-only 
    full-flow
    src-only


  3. 인그레스 SVI 또는 인그레스 물리적 인터페이스에서 서비스 정책을 적용합니다.인터페이스 VLAN에서 적용하는 경우 물리적 인터페이스에서 mls qos vlan 기반을 구성합니다.그러면 패킷이 특정 VLAN의 레이어 2 인터페이스에 도달하자마자 Cisco IOS®가 인터페이스 VLAN에서 정책을 찾도록 지시합니다.

    interface vlan 20
    service-policy input POLICE_DIFF_SRC

예: 2:

동일한 VLAN에서 트래픽의 레이어 2 스위칭을 수행하는 Catalyst 6500 Series 스위치가 있습니다.이 예에서는 10.10.10.2에서 시작하여 VLAN에서 10.10.10.3으로 이동하는 트래픽을 100Kbps의 대역폭으로 제한하는 방법을 설명합니다.폴리서가 레이어 2-스위치드 트래픽에 영향을 미치도록 하려면 인터페이스 VLAN 10 아래에 mls qos bridged 명령을 입력해야 합니다.

ip access-list ext VLAN10
permit ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255
class-map POLICE_SAME


match access-group name VLAN10
policy-map POLICE_SAME
class POLICE_SAME     
police flow mask src-only 100000 3000 conform transmit exceed drop


int vlan 10 
service-policy in POLICE_SAME 
mls qos bridged

다음을 확인합니다.

현재 이 구성에 대해 사용 가능한 확인 절차가 없습니다.

문제 해결

  1. show mls qos ip 명령 입력하고 폴리서 이름 옆의 FL ID를 확인합니다.FL ID가 1이면 마이크로플로우 폴리싱에 정책이 사용됩니다.

    6500#show mls qos ip
       QoS Summary [IPv4]:      (* - shared aggregates, Mod - switch module)

     Int Mod Dir  Class-map DSCP  Ag  Trust   FL   AgForward-By   AgPoliced-By
                                                           Id           Id
    ---------------------------------------------------------------------------

    Fa3/3  1 In   POLICE_SAM   0   0*   dscp    1   11266001160            0

    이 결과를 기반으로 한 몇 가지 주목할 만한 점은 다음과 같습니다.

    • 정책이 하드웨어에 매핑됩니다.
    • 이 인터페이스가 적용되는 인터페이스는 Fa3/3입니다.
    • 섀시에 DFC(Distributed Forwarding Card) 지원 라인 카드(LC)가 있는 경우 QoS 정책은 각 DFC 및 PFC(Policy Feature Card)에 대해 별도로 프로그래밍됩니다. 모듈 번호는 슬롯 1의 PFC/DFC에 대한 항목을 제공합니다.
    • Supervisor Engine 720은 생성된 모든 집계 폴리서에 대해 집계 ID(AgID)를 생성합니다.1020 AgID는 최대 가용 ID로, 하드웨어 제한 사항입니다.이는 마이크로플로우 폴리서와 관련이 없지만 집계 폴리서에 유용한 명령입니다.
    • 이 경우 트러스트 필드는 관련성이 없습니다.
    • 앞서 설명한 대로 FL ID=1.
    • AgForward?By 및 AgPoliced-By는 마이크로플로우 폴리서가 전송하거나 삭제하는 패킷을 계산하는 데 사용되지 않습니다(이에 대한 별도의 명령이 있음). 그러나 동일한 카운터를 사용하여 집계 폴리서가 전송하거나 삭제한 패킷을 계산합니다.


  2. QoS TCAM에 ACL이 프로그래밍되었는지 확인하려면 show tcam int < vlan/or physical interface> qos type1 ip 명령을 입력합니다.

    6500#show tcam interface fa3/3 qos type1 ip   
        QOS Results:   A - Aggregate Policing       F - Microflow Policing
        M - Mark          T - Trust
        U - Untrust
        ------------------------------------------------------
        FT     ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255  ==> entry is 
        programmed correctly
        MU     ip any any


  3. Netflow TCAM에 플로우가 설치되어 있는지 확인하려면 show mls NetFlow ip qos nowrap 명령의 출력을 확인합니다.

    6500#show mls NetFlow ip qos nowrap 
    Displaying NetFlow entries in Active Supervisor EARL in module 1
    DstIP           SrcIP           Prot         : SrcPort :   DstPort   Src i/f         :AdjPtr    Pkts   
    Bytes         LastSeen      QoS       PoliceCount  Threshold   Leak          Drop     Bucket
    ------------------------------------------------------------------------------------------------------
    0.0.0.0          0.0.0.0            0                     :0                   :0           -- 
    0x0       140394     
    67383880   15:16:29        0x0                   0                    0           0
    NO             0

    0.0.0.0         10.10.10.2      0                     :0                   :0           --               
    0x0           227
    108506        15:16:22        0x0                  35996208    0           0                NO         3386


    이 출력에서 플로우(소스 전용)가 NetFlow TCAM에 설치되어 있고 폴리싱된 35,996,208개의 패킷이 있음을 확인할 수 있습니다.

가능한 문제

이러한 시나리오에서 서비스 정책이 하드웨어에서 프로그래밍되지 않을 수 있습니다.가능한 이유는 다음과 같습니다.

  1. 구성할 수 있는 집계/마이크로플로우 폴리서의 수에 대한 하드웨어 제한이 있습니다.하드웨어 리소스를 예약하기 위해 서비스 정책은 하드웨어에 프로그래밍되지 않습니다.

    정책의 가용성을 확인하려면 show platform hardware capacity quoscan 명령을 입력합니다.

    6500#show platform hardware capacity qos
    QoS Policer Resources
      Aggregate policers: Module                      Total         Used     %Used
                          1                            1024            102     10%
                          6                            1024            102     10%
      Microflow policer configurations: Module        Total         Used     %Used
                                        1                64            32        50%
                                        6                64            32        50%


  2. 플로우 마스크가 동일한 인터페이스에 구성된 다른 기능과 충돌하므로 NetFlow TCAM에서 흐름을 캐시하지 못할 수 있습니다.

    플로우 마스크의 개념을 이해하는 것이 중요합니다.특정 기능의 하드웨어 가속화를 지원하기 위해 특정 기능을 설치하는 데 사용되는 전용 하드웨어(TCAM)가 있습니다.NAT WCCP NetFlow와 같이 동일한 TCAM을 사용하는 여러 기능이 있습니다.이들은 일반적으로 NetFlow TCAM이라고 하는 TCAM을 사용하는 반면, 보안 ACL과 같은 기능인 PBR(Policy-Based Routing)에서는 ACL TCAM을 사용합니다.

    NetFlow TCAM의 경우 하드웨어에 항목을 설치하려면 플로우 마스크가 필요합니다.NetFlow 플로우 마스크는 측정할 플로우의 세분성을 결정합니다.매우 구체적인 플로우 마스크는 많은 수의 NetFlow 테이블 엔트리와 내보낼 대량의 통계를 생성합니다.덜 구체적인 플로우 마스크는 트래픽 통계를 더 적은 NetFlow 테이블 항목으로 집계하고 더 적은 수의 통계를 생성합니다.

    NetFlow Table Configuration 문서는 플로우 마스크 요구 사항(지원되는) 기능에 대해 설명합니다.

    • show fm summary 명령을 입력하고 인터페이스가 비활성 상태에 있는지 확인합니다.Inactive(비활성) 상태는 인터페이스에 하드웨어와 프로그래밍할 수 없는 일부 기능이 구성되어 있음을 나타냅니다.해당 인터페이스에서 수신된 패킷에 해당 기능이 필요합니다.

      6500#show fm summary
      Interface: Vlan13 is up
      TCAM screening for features: INACTIVE inbound
      TCAM screening for features: INACTIVE outbound
      Interface: Vlan72 is up
      TCAM screening for features: ACTIVE inbound
      TCAM screening for features: ACTIVE outbound
      Interface: Vlan84 is up
      TCAM screening for features: ACTIVE inbound
      TCAM screening for features: INACTIVE outbound


    • show fm file interface <> 명령을 입력하고 하드웨어에 마이크로플로우 폴리서가 구성되어 있는지 확인합니다.

      6500#show fm fie int vlan 10
      Interface Vl10:
      Feature interaction state created: Yes
       Flowmask conflict status for protocol IP : 
       FIE_FLOWMASK_STATUS_SUCCESS
       Flowmask conflict status for protocol OTHER : 
       FIE_FLOWMASK_STATUS_SUCCESS Interface Vl10 [Ingress]:
       Slot(s) using the protocol IP : 1
       FIE Result for protocol IP : FIE_SUCCESS_NO_CONFLICT  
       Features Configured : [empty] - Protocol : IP  
       FM Label when FIE was invoked : 66  Current FM Label : 66  
       Last Merge is for slot: 0  num# of strategies tried : 1
        num# of merged VMRs in bank 1 = 0
        num# of free TCAM entries in Bank1 = Unknown
        num# of merged VMRs in bank 2 = 1
        num# of free TCAM entries in Bank2 = Unknown
       Slot(s) using the protocol OTHER : 1
       FIE Result for protocol OTHER : FIE_SUCCESS_NO_CONFLICT
       Features Configured : OTH_DEF   - Protocol : OTHER
       FM Label when FIE was invoked : 66
       Current FM Label : 66
       Last Merge is for slot: 0
       Features in Bank1 = OTH_DEF
      +-------------------------------------+
              Action Merge Table
      +-------------------------------------+
         OTH_DEF      RSLT    R_RSLT  COL
      +-------------------------------------+
         SB           HB      P       0
          X            P       P       0
      +-------------------------------------+
       num# of strategies tried : 1
       Description of merging strategy used:
       Serialized Banks: FALSE
       Bank1 Only Features: [empty]
       Bank2 Only Features: [empty]
       Banks Swappable: TRUE
       Merge Algorithm: ODM
       num# of merged VMRs in bank 1 = 1
       num# of free TCAM entries in Bank1 = 32745
       num# of merged VMRs in bank 2 = 0
       num# of free TCAM entries in Bank2 = 32744 Interface Vl10 [Egress]:
      No Features Configured
      No IP Guardian Feature Configured
      No IPv6 Guardian Feature Configured
      IP QoS Conflict resolution configured, QoS policy name: POLICE_SAME
    NetFlow TCAM을 공유하는 동일한 인터페이스에서 구성된 기능에 호환 가능한 플로우 마스크를 사용해야 합니다.호환 가능한 플로우 마스크는 거의 모든 유형의 조합에 사용할 수 있습니다.

기타 유용한 명령

  • 정책 적용
  • FL-ID=1 확인 - show mls qos ip
  • QoS TCAM 확인 - show tcam int <> qos type 1 ip
  • NetFlow TCAM 확인 - show mls NetFlow ip qos module now
  • 폴리서의 가용성 확인 - 플랫폼 하드웨어 용량 패브릭 표시
  • FM(Flow Mask) 충돌 확인 - show log, show fm summary
  • 인터페이스 아래에 구성된 기능 확인 - show fm 파일 인터페이스
TAC Authored

Cisco 엔지니어가 작성

  • Souvik Ghosh
    Cisco TAC Engineer.

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품