Exemplo de configuração de policiamento de microfluxo do switch Catalyst 6500 Series

Opções de download

  • PDF     (128.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (93.0 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (80.4 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:26 de Setembro de 2013
ID do documento:116468

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve o policiamento de microfluxo em Catalyst 6500 Series Switches.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas em um switch Cisco Catalyst 6500 Series executado em um Supervisor Engine 720.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informações de Apoio

Aqui está um caso de uso para sua consideração. Há um requisito da universidade de limitar cada aluno a uma largura de banda de 10 Mbps enquanto eles usam a Internet. Se a vigilância agregada estiver configurada, haverá uma distribuição desigual da largura de banda entre os alunos. O vigilante de microfluxo é mais capaz de nos ajudar a realizar essa tarefa.

O policiamento de microfluxo ajuda os usuários a policiar o tráfego com base nos fluxos. Um fluxo é geralmente definido por IP de origem (SRC-IP), IP de destino (DST-IP), IP SRC-DST, porta SRC-DST ou interface SRC. Aqui está um exemplo:

Source 10.0.0.1 sending a tcp stream to 15.0.0.1 with a source tcp port of 50
and destination 2000
Source 10.0.0.1 sending a tcp stream to 15.0.0.2 with a source tcp port of 60
and destination 2000.

Se a classificação for feita com base no SRC-IP, o número de fluxos será igual a um. Se a classificação for feita com base no DST-IP, o número de fluxos será igual a dois. Se a classificação for feita com base na porta DST, o número de fluxos será igual a um.

Note: Os vigilantes de microfluxo só podem ser aplicados na direção de entrada, ao contrário do vigilante agregado.

Quando aplicamos uma política de serviço em uma interface, seja a interface física ou a interface virtual do switch (SVI), a política de serviço é programada no hardware. A TCAM (Qualidade do Serviço) é usada para armazenar a entrada. Além disso, como o switch deve se lembrar dos fluxos, ele armazena informações de fluxo individuais no hardware. O NetFlow TCAM é usado para essa finalidade. Portanto, há dois lugares onde você pode verificar a programação no hardware: TCAM da Access Control List (ACL) e TCAM do NetFlow.

Como o mesmo NetFlow TCAM é usado por outros recursos, como Network Address Translation (NAT), NetFlow Data Export (NDE) e Web Cache Communication Protocol (WCCP), é possível que haja um conflito na programação do policer de microfluxo no hardware. Alguns cenários de conflito de TCAM são fornecidos no final deste documento.

Exemplos de configuração

Exemplo 1

Há um switch Cisco Catalyst 6500 Series envolvido no roteamento entre VLANs. As fontes de tráfego estão localizadas na VLAN 20 e têm estes endereços IP: 20.20.20.2 e 20.20.20.3. Ambas fontes tentam enviar o tráfego para o endereço IP 30.30.30.2, localizado na VLAN 30. O objetivo é alocar 100 Kbps de largura de banda para cada fonte.

  1. Crie e mapeie uma ACL em um mapa de classe para corresponder o tráfego que vem dessas duas fontes.
    ip access-list ext vlan20_30
    permit ip 20.20.20.0 0.0.0.255 30.30.30.0 0.0.0.255

    class-map POLICE_DIFF_SRC
    match access-group name vlan20_30


  2. Aplique o mapa de classes em um mapa de políticas. Configure a CIR (Committed Information Rate, taxa de informações confirmadas) e os valores de intermitência conforme necessário.

    policy-map POLICE_DIFF_SRC
    class POLICE_DIFF_SRC 
    police flow mask src-only 100000 3000 conform transmit exceed drop


    Aqui estão as opções disponíveis após a máscara de fluxo da polícia:
    police flow mask ?
    dest-only 
    full-flow
    src-only


  3. Aplique a política de serviço na SVI de ingresso ou na interface física de ingresso. Caso aplique-o na interface VLAN, configure mls qos vlan-based na interface física. Isso instrui o Cisco IOS® a procurar uma política na interface VLAN assim que um pacote atingir uma interface da camada 2 em uma VLAN específica.

    interface vlan 20
    service-policy input POLICE_DIFF_SRC

Exemplo 2

Há um switch Catalyst 6500 Series envolvido na comutação da camada 2 do tráfego na mesma VLAN. Este exemplo demonstra como restringir o tráfego que vem de 10.10.10.2 e vai para 10.10.10.3 na VLAN para 100 Kbps de largura de banda. Para que o vigilante afete o tráfego comutado da camada 2, você deve inserir o comando mls qos bridged na interface VLAN 10.

ip access-list ext VLAN10
permit ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255
class-map POLICE_SAME


match access-group name VLAN10
policy-map POLICE_SAME
class POLICE_SAME     
police flow mask src-only 100000 3000 conform transmit exceed drop


int vlan 10 
service-policy in POLICE_SAME 
mls qos bridged

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshoot

  1. Insira o comando show mls qos ip e verifique a ID da FL ao lado do nome do vigilante. Se o ID FL for 1, a política será usada para vigilância de microfluxo.

    6500#show mls qos ip
       QoS Summary [IPv4]:      (* - shared aggregates, Mod - switch module)

     Int Mod Dir  Class-map DSCP  Ag  Trust   FL   AgForward-By   AgPoliced-By
                                                           Id           Id
    ---------------------------------------------------------------------------

    Fa3/3  1 In   POLICE_SAM   0   0*   dscp    1   11266001160            0

    Aqui estão alguns pontos notáveis com base nesta saída:

    • A política é mapeada no hardware.
    • A interface na qual é aplicada é Fa3/3.
    • Se houver uma Placa de Linha (LC - Line Card) habilitada para DFC (Distributed Forwarding Card) presente no chassi, as políticas de QoS serão programadas separadamente para cada DFC e Placa de Recurso de Política (PFC - Policy Feature Card). O número do módulo fornece a entrada para PFC/DFC no slot 1.
    • O mecanismo de supervisor 720 cria um ID de agregação (AgID) para cada vigilante de agregação criado. 1020 AgIDs são as IDs máximas utilizáveis, o que é uma limitação de hardware. Isso não é relevante para o vigilante de microfluxo, mas é um comando útil para o vigilante agregado.
    • O campo trust não tem relevância neste caso.
    • FL ID=1, conforme discutido anteriormente.
    • O AgForward?By e o AgPoliced-By não são usados para calcular os pacotes que são transmitidos ou descartados pelo vigilante de microfluxo (há um comando separado para isso). No entanto, os mesmos contadores são usados para calcular os pacotes transmitidos/descartados por um vigilante agregado.


  2. Insira o comando show tcam int < vlan/or physical interface> qos type1 ip para determinar se a ACL está programada no QoS TCAM.

    6500#show tcam interface fa3/3 qos type1 ip   
        QOS Results:   A - Aggregate Policing       F - Microflow Policing
        M - Mark          T - Trust
        U - Untrust
        ------------------------------------------------------
        FT     ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255  ==> entry is 
        programmed correctly
        MU     ip any any


  3. Verifique a saída do comando show mls NetFlow ip qos nowrap para descobrir se os fluxos estão instalados no Netlflow TCAM.

    6500#show mls NetFlow ip qos nowrap 
    Displaying NetFlow entries in Active Supervisor EARL in module 1
    DstIP           SrcIP           Prot         : SrcPort :   DstPort   Src i/f         :AdjPtr    Pkts   
    Bytes         LastSeen      QoS       PoliceCount  Threshold   Leak          Drop     Bucket
    ------------------------------------------------------------------------------------------------------
    0.0.0.0          0.0.0.0            0                     :0                   :0           -- 
    0x0       140394     
    67383880   15:16:29        0x0                   0                    0           0
    NO             0

    0.0.0.0         10.10.10.2      0                     :0                   :0           --               
    0x0           227
    108506        15:16:22        0x0                  35996208    0           0                NO         3386


    Nessa saída, você pode ver que o fluxo (somente origem) está instalado no NetFlow TCAM e há 35.996.208 pacotes que foram policiados.

Possíveis problemas

É possível que a política de serviço não esteja programada no hardware nesses cenários. Aqui estão algumas razões possíveis:

  1. Há uma limitação de hardware no número de policers de agregação/microfluxo que podem ser configurados. Para reservar recursos de hardware, a política de serviço não é programada no hardware.

    Insira o comando show platform hardware capabilities qoscan para verificar a disponibilidade dos vigilantes.

    6500#show platform hardware capacity qos
    QoS Policer Resources
      Aggregate policers: Module                      Total         Used     %Used
                          1                            1024            102     10%
                          6                            1024            102     10%
      Microflow policer configurations: Module        Total         Used     %Used
                                        1                64            32        50%
                                        6                64            32        50%


  2. Devido a um conflito de máscara de fluxo com outros recursos configurados na mesma interface, o vigilante de microfluxo talvez não consiga armazenar em cache os fluxos no NetFlow TCAM.

    É importante entender o conceito de máscara de fluxo. Para suportar a aceleração de hardware de determinados recursos, há peças de hardware dedicadas (TCAMs) que são usadas para instalar determinados recursos. Há vários recursos que usam o mesmo TCAM, como NAT WCCP NetFlow. Eles usam um TCAM normalmente chamado de TCAM do NetFlow, enquanto para recursos como ACLs de segurança, o Roteamento Baseado em Políticas (PBR - Policy-Based Routing) usa o TCAM da ACL.

    Para o NetFlow TCAM, é necessária uma máscara de fluxo para instalar entradas no hardware. As máscaras de fluxo do NetFlow determinam a granularidade dos fluxos a serem medidos. As máscaras de fluxo muito específicas geram um grande número de entradas da tabela NetFlow e um grande volume de estatísticas a exportar. Máscaras de fluxo menos específicas agregam as estatísticas de tráfego em menos entradas da tabela NetFlow e geram um volume menor de estatísticas.

    O artigo NetFlow Table Configuration descreve os recursos de requisito de máscara de fluxo (suportados).

    • Insira o comando show fm summary e determine se a interface está em um estado inativo. Um estado Inativo indica que há algum recurso configurado na interface que não pode ser programado no hardware. Os pacotes recebidos nessa interface que exigem esse recurso são programados no software.

      6500#show fm summary
      Interface: Vlan13 is up
      TCAM screening for features: INACTIVE inbound
      TCAM screening for features: INACTIVE outbound
      Interface: Vlan72 is up
      TCAM screening for features: ACTIVE inbound
      TCAM screening for features: ACTIVE outbound
      Interface: Vlan84 is up
      TCAM screening for features: ACTIVE inbound
      TCAM screening for features: INACTIVE outbound


    • Insira o comando show fm fie interface <> e determine se o policer de microfluxo está configurado no hardware.

      6500#show fm fie int vlan 10
      Interface Vl10:
      Feature interaction state created: Yes
       Flowmask conflict status for protocol IP : 
       FIE_FLOWMASK_STATUS_SUCCESS
       Flowmask conflict status for protocol OTHER : 
       FIE_FLOWMASK_STATUS_SUCCESS Interface Vl10 [Ingress]:
       Slot(s) using the protocol IP : 1
       FIE Result for protocol IP : FIE_SUCCESS_NO_CONFLICT  
       Features Configured : [empty] - Protocol : IP  
       FM Label when FIE was invoked : 66  Current FM Label : 66  
       Last Merge is for slot: 0  num# of strategies tried : 1
        num# of merged VMRs in bank 1 = 0
        num# of free TCAM entries in Bank1 = Unknown
        num# of merged VMRs in bank 2 = 1
        num# of free TCAM entries in Bank2 = Unknown
       Slot(s) using the protocol OTHER : 1
       FIE Result for protocol OTHER : FIE_SUCCESS_NO_CONFLICT
       Features Configured : OTH_DEF   - Protocol : OTHER
       FM Label when FIE was invoked : 66
       Current FM Label : 66
       Last Merge is for slot: 0
       Features in Bank1 = OTH_DEF
      +-------------------------------------+
              Action Merge Table
      +-------------------------------------+
         OTH_DEF      RSLT    R_RSLT  COL
      +-------------------------------------+
         SB           HB      P       0
          X            P       P       0
      +-------------------------------------+
       num# of strategies tried : 1
       Description of merging strategy used:
       Serialized Banks: FALSE
       Bank1 Only Features: [empty]
       Bank2 Only Features: [empty]
       Banks Swappable: TRUE
       Merge Algorithm: ODM
       num# of merged VMRs in bank 1 = 1
       num# of free TCAM entries in Bank1 = 32745
       num# of merged VMRs in bank 2 = 0
       num# of free TCAM entries in Bank2 = 32744 Interface Vl10 [Egress]:
      No Features Configured
      No IP Guardian Feature Configured
      No IPv6 Guardian Feature Configured
      IP QoS Conflict resolution configured, QoS policy name: POLICE_SAME
    As máscaras de fluxo compatíveis devem ser usadas para recursos configurados na mesma interface que compartilham o NetFlow TCAM. As máscaras de fluxo compatíveis estão disponíveis para quase todos os tipos de combinações.

Outros comandos úteis

  • Aplicar a política
  • Check FL-ID=1 - show mls qos ip
  • Verificar QoS TCAM - show tcam int <> qos type 1 ip
  • Check NetFlow TCAM - show mls NetFlow ip qos module nowrap
  • Verifique a disponibilidade de vigilantes - show platform hardware capabilities fabric
  • Verificar conflito de Máscara de Fluxo (FM) - mostrar log, mostrar resumo do fm
  • Verifique os recursos configurados na interface - show fm fie interface

Histórico de revisões

Revisão Data de publicação Comentários
1.0
26-Sep-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Souvik Ghosh
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos