Este documento descreve a vigilância de microfluxo em Catalyst 6500 Series Switch.
Não existem requisitos específicos para este documento.
A informação neste documento é baseada em um Cisco Catalyst 6500 Series Switch que seja executado em um Supervisor Engine 720.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Está aqui um exemplo do uso para sua consideração. Há uma exigência da universidade limitar cada estudante a uma largura de banda de 10Mbps quando usarem o Internet. Se o policiamento do agregado é configurado, a seguir há uma distribuição desigual da largura de banda entre os estudantes. A vigilância de microfluxo pode melhor ajudar-nos a conseguir esta tarefa.
A vigilância de microfluxo ajuda usuários a policiar o tráfego baseado em fluxos. Um fluxo é definido geralmente por IP da fonte (SRC IP), por IP de destino (DST IP), por porta IP SRC-DST, SRC-DST, ou por SRC-relação. Aqui está um exemplo:
Source 10.0.0.1 sending a tcp stream to 15.0.0.1 with a source tcp port of 50
and destination 2000
Source 10.0.0.1 sending a tcp stream to 15.0.0.2 with a source tcp port of 60
and destination 2000.
Se a classificação é feita com base no SRC IP, a seguir o número de fluxos iguala um. Se a classificação é feita com base no DST IP, a seguir o número de fluxos iguala dois. Se a classificação é feita com base na porta DST, a seguir o número de fluxos iguala um.
Quando nós aplicarmos uma política de serviços sob uma relação, a interface física ou a interface virtual do interruptor (SVI), a política de serviços está programada no hardware. O Ternary Content Addressable Memory do Qualidade de Serviço (QoS) (TCAM) é usado a fim armazenar a entrada. Adicionalmente, desde que o interruptor deve recordar os fluxos, armazena a informação de fluxo individual no hardware. O Netflow TCAM é usado por esse motivo. Daqui, há dois lugares onde você pode verificar a programação no hardware: o Access Control List (ACL) TCAM e o Netflow TCAM.
Desde que o mesmo Netflow TCAM é usado por outros recursos, como o Network Address Translation (NAT), a exportação de dados de Netflow (NDE), e o Protocolo de Comunicação de Cache da Web (WCCP), é possível que há um conflito na vigilância de microfluxo que programa no hardware. Algumas encenações do conflito TCAM são fornecidas na extremidade deste documento.
Há um Cisco Catalyst 6500 Series Switch contratado no roteamento de interVLAN. As fontes de tráfego são ficadas situadas no VLAN20, e têm estes endereços IP de Um ou Mais Servidores Cisco ICM NT: 20.20.20.2 e 20.20.20.3. Ambos a tentativa das fontes para enviar o tráfego para o endereço IP 30.30.30.2, que é ficado situado no VLAN 30. O objetivo é atribuir 100Kbps da largura de banda a cada fonte.
ip access-list ext vlan20_30
permit ip 20.20.20.0 0.0.0.255 30.30.30.0 0.0.0.255
class-map POLICE_DIFF_SRC
match access-group name vlan20_30
policy-map POLICE_DIFF_SRC
class POLICE_DIFF_SRC
police flow mask src-only 100000 3000 conform transmit exceed drop
police flow mask ?
dest-only
full-flow
src-only
interface vlan 20
service-policy input POLICE_DIFF_SRC
Há um Catalyst 6500 Series Switch contratado no switching de Camada 2 do tráfego no mesmo VLAN. Deomonstrates deste exemplo como restringir o tráfego que vem de 10.10.10.2 e vai para 10.10.10.3 no VLAN a 100Kbps da largura de banda. A fim ter o tráfego da camada 2-switched da influência do vigilante, você deve incorporar o comando construído uma ponte sobre qos dos mls sob a relação VLAN10.
ip access-list ext VLAN10
permit ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255
class-map POLICE_SAME
match access-group name VLAN10
policy-map POLICE_SAME
class POLICE_SAME
police flow mask src-only 100000 3000 conform transmit exceed drop
int vlan 10
service-policy in POLICE_SAME
mls qos bridged
No momento, não há procedimento de verificação disponível para esta configuração.
6500#show mls qos ip
QoS Summary [IPv4]: (* - shared aggregates, Mod - switch module)
Int Mod Dir Class-map DSCP Ag Trust FL AgForward-By AgPoliced-By
Id Id
---------------------------------------------------------------------------
Fa3/3 1 In POLICE_SAM 0 0* dscp 1 11266001160 0
6500#show tcam interface fa3/3 qos type1 ip
QOS Results: A - Aggregate Policing F - Microflow Policing
M - Mark T - Trust
U - Untrust
------------------------------------------------------
FT ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255 ==> entry is
programmed correctly
MU ip any any
6500#show mls NetFlow ip qos nowrap
Displaying NetFlow entries in Active Supervisor EARL in module 1
DstIP SrcIP Prot : SrcPort : DstPort Src i/f :AdjPtr Pkts
Bytes LastSeen QoS PoliceCount Threshold Leak Drop Bucket
------------------------------------------------------------------------------------------------------
0.0.0.0 0.0.0.0 0 :0 :0 --
0x0 140394
67383880 15:16:29 0x0 0 0 0
NO 0
0.0.0.0 10.10.10.2 0 :0 :0 --
0x0 227
108506 15:16:22 0x0 35996208 0 0 NO 3386
É possível que a política de serviços não está programada no hardware nestas encenações. Estão aqui algumas razões possíveis:
6500#show platform hardware capacity qos
QoS Policer Resources
Aggregate policers: Module Total Used %Used
1 1024 102 10%
6 1024 102 10%
Microflow policer configurations: Module Total Used %Used
1 64 32 50%
6 64 32 50%
6500#show fm summary
Interface: Vlan13 is up
TCAM screening for features: INACTIVE inbound
TCAM screening for features: INACTIVE outbound
Interface: Vlan72 is up
TCAM screening for features: ACTIVE inbound
TCAM screening for features: ACTIVE outbound
Interface: Vlan84 is up
TCAM screening for features: ACTIVE inbound
TCAM screening for features: INACTIVE outbound
6500#show fm fie int vlan 10
Interface Vl10:
Feature interaction state created: Yes
Flowmask conflict status for protocol IP :
FIE_FLOWMASK_STATUS_SUCCESS
Flowmask conflict status for protocol OTHER :
FIE_FLOWMASK_STATUS_SUCCESS Interface Vl10 [Ingress]:
Slot(s) using the protocol IP : 1
FIE Result for protocol IP : FIE_SUCCESS_NO_CONFLICT
Features Configured : [empty] - Protocol : IP
FM Label when FIE was invoked : 66 Current FM Label : 66
Last Merge is for slot: 0 num# of strategies tried : 1
num# of merged VMRs in bank 1 = 0
num# of free TCAM entries in Bank1 = Unknown
num# of merged VMRs in bank 2 = 1
num# of free TCAM entries in Bank2 = Unknown
Slot(s) using the protocol OTHER : 1
FIE Result for protocol OTHER : FIE_SUCCESS_NO_CONFLICT
Features Configured : OTH_DEF - Protocol : OTHER
FM Label when FIE was invoked : 66
Current FM Label : 66
Last Merge is for slot: 0
Features in Bank1 = OTH_DEF
+-------------------------------------+
Action Merge Table
+-------------------------------------+
OTH_DEF RSLT R_RSLT COL
+-------------------------------------+
SB HB P 0
X P P 0
+-------------------------------------+
num# of strategies tried : 1
Description of merging strategy used:
Serialized Banks: FALSE
Bank1 Only Features: [empty]
Bank2 Only Features: [empty]
Banks Swappable: TRUE
Merge Algorithm: ODM
num# of merged VMRs in bank 1 = 1
num# of free TCAM entries in Bank1 = 32745
num# of merged VMRs in bank 2 = 0
num# of free TCAM entries in Bank2 = 32744 Interface Vl10 [Egress]:
No Features Configured
No IP Guardian Feature Configured
No IPv6 Guardian Feature Configured
IP QoS Conflict resolution configured, QoS policy name: POLICE_SAME