Este documento descreve o policiamento de microfluxo em Catalyst 6500 Series Switches.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas em um switch Cisco Catalyst 6500 Series executado em um Supervisor Engine 720.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Aqui está um caso de uso para sua consideração. Há um requisito da universidade de limitar cada aluno a uma largura de banda de 10 Mbps enquanto eles usam a Internet. Se a vigilância agregada estiver configurada, haverá uma distribuição desigual da largura de banda entre os alunos. O vigilante de microfluxo é mais capaz de nos ajudar a realizar essa tarefa.
O policiamento de microfluxo ajuda os usuários a policiar o tráfego com base nos fluxos. Um fluxo é geralmente definido por IP de origem (SRC-IP), IP de destino (DST-IP), IP SRC-DST, porta SRC-DST ou interface SRC. Aqui está um exemplo:
Source 10.0.0.1 sending a tcp stream to 15.0.0.1 with a source tcp port of 50
and destination 2000
Source 10.0.0.1 sending a tcp stream to 15.0.0.2 with a source tcp port of 60
and destination 2000.
Se a classificação for feita com base no SRC-IP, o número de fluxos será igual a um. Se a classificação for feita com base no DST-IP, o número de fluxos será igual a dois. Se a classificação for feita com base na porta DST, o número de fluxos será igual a um.
Quando aplicamos uma política de serviço em uma interface, seja a interface física ou a interface virtual do switch (SVI), a política de serviço é programada no hardware. A TCAM (Qualidade do Serviço) é usada para armazenar a entrada. Além disso, como o switch deve se lembrar dos fluxos, ele armazena informações de fluxo individuais no hardware. O NetFlow TCAM é usado para essa finalidade. Portanto, há dois lugares onde você pode verificar a programação no hardware: TCAM da Access Control List (ACL) e TCAM do NetFlow.
Como o mesmo NetFlow TCAM é usado por outros recursos, como Network Address Translation (NAT), NetFlow Data Export (NDE) e Web Cache Communication Protocol (WCCP), é possível que haja um conflito na programação do policer de microfluxo no hardware. Alguns cenários de conflito de TCAM são fornecidos no final deste documento.
Há um switch Cisco Catalyst 6500 Series envolvido no roteamento entre VLANs. As fontes de tráfego estão localizadas na VLAN 20 e têm estes endereços IP: 20.20.20.2 e 20.20.20.3. Ambas fontes tentam enviar o tráfego para o endereço IP 30.30.30.2, localizado na VLAN 30. O objetivo é alocar 100 Kbps de largura de banda para cada fonte.
ip access-list ext vlan20_30
permit ip 20.20.20.0 0.0.0.255 30.30.30.0 0.0.0.255
class-map POLICE_DIFF_SRC
match access-group name vlan20_30
policy-map POLICE_DIFF_SRC
class POLICE_DIFF_SRC
police flow mask src-only 100000 3000 conform transmit exceed drop
police flow mask ?
dest-only
full-flow
src-only
interface vlan 20
service-policy input POLICE_DIFF_SRC
Há um switch Catalyst 6500 Series envolvido na comutação da camada 2 do tráfego na mesma VLAN. Este exemplo demonstra como restringir o tráfego que vem de 10.10.10.2 e vai para 10.10.10.3 na VLAN para 100 Kbps de largura de banda. Para que o vigilante afete o tráfego comutado da camada 2, você deve inserir o comando mls qos bridged na interface VLAN 10.
ip access-list ext VLAN10
permit ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255
class-map POLICE_SAME
match access-group name VLAN10
policy-map POLICE_SAME
class POLICE_SAME
police flow mask src-only 100000 3000 conform transmit exceed drop
int vlan 10
service-policy in POLICE_SAME
mls qos bridged
No momento, não há procedimento de verificação disponível para esta configuração.
6500#show mls qos ip
QoS Summary [IPv4]: (* - shared aggregates, Mod - switch module)
Int Mod Dir Class-map DSCP Ag Trust FL AgForward-By AgPoliced-By
Id Id
---------------------------------------------------------------------------
Fa3/3 1 In POLICE_SAM 0 0* dscp 1 11266001160 0
6500#show tcam interface fa3/3 qos type1 ip
QOS Results: A - Aggregate Policing F - Microflow Policing
M - Mark T - Trust
U - Untrust
------------------------------------------------------
FT ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255 ==> entry is
programmed correctly
MU ip any any
6500#show mls NetFlow ip qos nowrap
Displaying NetFlow entries in Active Supervisor EARL in module 1
DstIP SrcIP Prot : SrcPort : DstPort Src i/f :AdjPtr Pkts
Bytes LastSeen QoS PoliceCount Threshold Leak Drop Bucket
------------------------------------------------------------------------------------------------------
0.0.0.0 0.0.0.0 0 :0 :0 --
0x0 140394
67383880 15:16:29 0x0 0 0 0
NO 0
0.0.0.0 10.10.10.2 0 :0 :0 --
0x0 227
108506 15:16:22 0x0 35996208 0 0 NO 3386
É possível que a política de serviço não esteja programada no hardware nesses cenários. Aqui estão algumas razões possíveis:
6500#show platform hardware capacity qos
QoS Policer Resources
Aggregate policers: Module Total Used %Used
1 1024 102 10%
6 1024 102 10%
Microflow policer configurations: Module Total Used %Used
1 64 32 50%
6 64 32 50%
6500#show fm summary
Interface: Vlan13 is up
TCAM screening for features: INACTIVE inbound
TCAM screening for features: INACTIVE outbound
Interface: Vlan72 is up
TCAM screening for features: ACTIVE inbound
TCAM screening for features: ACTIVE outbound
Interface: Vlan84 is up
TCAM screening for features: ACTIVE inbound
TCAM screening for features: INACTIVE outbound
6500#show fm fie int vlan 10
Interface Vl10:
Feature interaction state created: Yes
Flowmask conflict status for protocol IP :
FIE_FLOWMASK_STATUS_SUCCESS
Flowmask conflict status for protocol OTHER :
FIE_FLOWMASK_STATUS_SUCCESS Interface Vl10 [Ingress]:
Slot(s) using the protocol IP : 1
FIE Result for protocol IP : FIE_SUCCESS_NO_CONFLICT
Features Configured : [empty] - Protocol : IP
FM Label when FIE was invoked : 66 Current FM Label : 66
Last Merge is for slot: 0 num# of strategies tried : 1
num# of merged VMRs in bank 1 = 0
num# of free TCAM entries in Bank1 = Unknown
num# of merged VMRs in bank 2 = 1
num# of free TCAM entries in Bank2 = Unknown
Slot(s) using the protocol OTHER : 1
FIE Result for protocol OTHER : FIE_SUCCESS_NO_CONFLICT
Features Configured : OTH_DEF - Protocol : OTHER
FM Label when FIE was invoked : 66
Current FM Label : 66
Last Merge is for slot: 0
Features in Bank1 = OTH_DEF
+-------------------------------------+
Action Merge Table
+-------------------------------------+
OTH_DEF RSLT R_RSLT COL
+-------------------------------------+
SB HB P 0
X P P 0
+-------------------------------------+
num# of strategies tried : 1
Description of merging strategy used:
Serialized Banks: FALSE
Bank1 Only Features: [empty]
Bank2 Only Features: [empty]
Banks Swappable: TRUE
Merge Algorithm: ODM
num# of merged VMRs in bank 1 = 1
num# of free TCAM entries in Bank1 = 32745
num# of merged VMRs in bank 2 = 0
num# of free TCAM entries in Bank2 = 32744 Interface Vl10 [Egress]:
No Features Configured
No IP Guardian Feature Configured
No IPv6 Guardian Feature Configured
IP QoS Conflict resolution configured, QoS policy name: POLICE_SAME
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
26-Sep-2013 |
Versão inicial |