Exemplo de configuração de policiamento de microfluxo do switch Catalyst 6500 Series

Introduction

Este documento descreve o policiamento de microfluxo em Catalyst 6500 Series Switches.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas em um switch Cisco Catalyst 6500 Series executado em um Supervisor Engine 720.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informações de Apoio

Aqui está um caso de uso para sua consideração. Há um requisito da universidade de limitar cada aluno a uma largura de banda de 10 Mbps enquanto eles usam a Internet. Se a vigilância agregada estiver configurada, haverá uma distribuição desigual da largura de banda entre os alunos. O vigilante de microfluxo é mais capaz de nos ajudar a realizar essa tarefa.

O policiamento de microfluxo ajuda os usuários a policiar o tráfego com base nos fluxos. Um fluxo é geralmente definido por IP de origem (SRC-IP), IP de destino (DST-IP), IP SRC-DST, porta SRC-DST ou interface SRC. Aqui está um exemplo:

Source 10.0.0.1 sending a tcp stream to 15.0.0.1 with a source tcp port of 50
and destination 2000
Source 10.0.0.1 sending a tcp stream to 15.0.0.2 with a source tcp port of 60
and destination 2000.

Se a classificação for feita com base no SRC-IP, o número de fluxos será igual a um. Se a classificação for feita com base no DST-IP, o número de fluxos será igual a dois. Se a classificação for feita com base na porta DST, o número de fluxos será igual a um.

Note: Os vigilantes de microfluxo só podem ser aplicados na direção de entrada, ao contrário do vigilante agregado.

Quando aplicamos uma política de serviço em uma interface, seja a interface física ou a interface virtual do switch (SVI), a política de serviço é programada no hardware. A TCAM (Qualidade do Serviço) é usada para armazenar a entrada. Além disso, como o switch deve se lembrar dos fluxos, ele armazena informações de fluxo individuais no hardware. O NetFlow TCAM é usado para essa finalidade. Portanto, há dois lugares onde você pode verificar a programação no hardware: TCAM da Access Control List (ACL) e TCAM do NetFlow.

Como o mesmo NetFlow TCAM é usado por outros recursos, como Network Address Translation (NAT), NetFlow Data Export (NDE) e Web Cache Communication Protocol (WCCP), é possível que haja um conflito na programação do policer de microfluxo no hardware. Alguns cenários de conflito de TCAM são fornecidos no final deste documento.

Exemplos de configuração

Exemplo 1

Há um switch Cisco Catalyst 6500 Series envolvido no roteamento entre VLANs. As fontes de tráfego estão localizadas na VLAN 20 e têm estes endereços IP: 20.20.20.2 e 20.20.20.3. Ambas fontes tentam enviar o tráfego para o endereço IP 30.30.30.2, localizado na VLAN 30. O objetivo é alocar 100 Kbps de largura de banda para cada fonte.

1. Crie e mapeie uma ACL em um mapa de classe para corresponder o tráfego que vem dessas duas fontes.
   

   ip access-list ext vlan20_30
   permit ip 20.20.20.0 0.0.0.255 30.30.30.0 0.0.0.255

   
   

   class-map POLICE_DIFF_SRC
   match access-group name vlan20_30

   
   
   
2. Aplique o mapa de classes em um mapa de políticas. Configure a CIR (Committed Information Rate, taxa de informações confirmadas) e os valores de intermitência conforme necessário.
   
   

   policy-map POLICE_DIFF_SRC
   class POLICE_DIFF_SRC 
   police flow mask src-only 100000 3000 conform transmit exceed drop

   
   
   Aqui estão as opções disponíveis após a máscara de fluxo da polícia:
   

   police flow mask ?
   dest-only 
   full-flow
   src-only

   
   
   
3. Aplique a política de serviço na SVI de ingresso ou na interface física de ingresso. Caso aplique-o na interface VLAN, configure mls qos vlan-based na interface física. Isso instrui o Cisco IOS^® a procurar uma política na interface VLAN assim que um pacote atingir uma interface da camada 2 em uma VLAN específica.
   
   

   interface vlan 20
   service-policy input POLICE_DIFF_SRC

Exemplo 2

Há um switch Catalyst 6500 Series envolvido na comutação da camada 2 do tráfego na mesma VLAN. Este exemplo demonstra como restringir o tráfego que vem de 10.10.10.2 e vai para 10.10.10.3 na VLAN para 100 Kbps de largura de banda. Para que o vigilante afete o tráfego comutado da camada 2, você deve inserir o comando mls qos bridged na interface VLAN 10.

ip access-list ext VLAN10
permit ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255
class-map POLICE_SAME


match access-group name VLAN10
policy-map POLICE_SAME
class POLICE_SAME     
police flow mask src-only 100000 3000 conform transmit exceed drop


int vlan 10 
service-policy in POLICE_SAME 
mls qos bridged

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshoot

1. Insira o comando show mls qos ip e verifique a ID da FL ao lado do nome do vigilante. Se o ID FL for 1, a política será usada para vigilância de microfluxo.
   
   

   6500#show mls qos ip
      QoS Summary [IPv4]:      (* - shared aggregates, Mod - switch module)
   
    Int Mod Dir  Class-map DSCP  Ag  Trust   FL   AgForward-By   AgPoliced-By
                                                          Id           Id
   ---------------------------------------------------------------------------
   
   Fa3/3  1 In   POLICE_SAM   0   0*   dscp    1   11266001160            0

   
   Aqui estão alguns pontos notáveis com base nesta saída:
   
   
   • A política é mapeada no hardware.
   • A interface na qual é aplicada é Fa3/3.
   • Se houver uma Placa de Linha (LC - Line Card) habilitada para DFC (Distributed Forwarding Card) presente no chassi, as políticas de QoS serão programadas separadamente para cada DFC e Placa de Recurso de Política (PFC - Policy Feature Card). O número do módulo fornece a entrada para PFC/DFC no slot 1.
   • O mecanismo de supervisor 720 cria um ID de agregação (AgID) para cada vigilante de agregação criado. 1020 AgIDs são as IDs máximas utilizáveis, o que é uma limitação de hardware. Isso não é relevante para o vigilante de microfluxo, mas é um comando útil para o vigilante agregado.
   • O campo trust não tem relevância neste caso.
   • FL ID=1, conforme discutido anteriormente.
   • O AgForward?By e o AgPoliced-By não são usados para calcular os pacotes que são transmitidos ou descartados pelo vigilante de microfluxo (há um comando separado para isso). No entanto, os mesmos contadores são usados para calcular os pacotes transmitidos/descartados por um vigilante agregado.
   
   
   
2. Insira o comando show tcam int < vlan/or physical interface> qos type1 ip para determinar se a ACL está programada no QoS TCAM.
   
   

   6500#show tcam interface fa3/3 qos type1 ip   
       QOS Results:   A - Aggregate Policing       F - Microflow Policing
       M - Mark          T - Trust
       U - Untrust
       ------------------------------------------------------
       FT     ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255  ==> entry is 
       programmed correctly
       MU     ip any any

   
   
   
3. Verifique a saída do comando show mls NetFlow ip qos nowrap para descobrir se os fluxos estão instalados no Netlflow TCAM.
   
   

   6500#show mls NetFlow ip qos nowrap 
   Displaying NetFlow entries in Active Supervisor EARL in module 1
   DstIP           SrcIP           Prot         : SrcPort :   DstPort   Src i/f         :AdjPtr    Pkts   
   Bytes         LastSeen      QoS       PoliceCount  Threshold   Leak          Drop     Bucket
   ------------------------------------------------------------------------------------------------------
   0.0.0.0          0.0.0.0            0                     :0                   :0           -- 
   0x0       140394     
   67383880   15:16:29        0x0                   0                    0           0
   NO             0
   
   0.0.0.0         10.10.10.2      0                     :0                   :0           --               
   0x0           227
   108506        15:16:22        0x0                  35996208    0           0                NO         3386

   
   
   Nessa saída, você pode ver que o fluxo (somente origem) está instalado no NetFlow TCAM e há 35.996.208 pacotes que foram policiados.

Possíveis problemas

É possível que a política de serviço não esteja programada no hardware nesses cenários. Aqui estão algumas razões possíveis:

1. Há uma limitação de hardware no número de policers de agregação/microfluxo que podem ser configurados. Para reservar recursos de hardware, a política de serviço não é programada no hardware.
   
   Insira o comando show platform hardware capabilities qoscan para verificar a disponibilidade dos vigilantes.
   
   

   6500#show platform hardware capacity qos
   QoS Policer Resources
     Aggregate policers: Module                      Total         Used     %Used
                         1                            1024            102     10%
                         6                            1024            102     10%
     Microflow policer configurations: Module        Total         Used     %Used
                                       1                64            32        50%
                                       6                64            32        50%

   
   
   
2. Devido a um conflito de máscara de fluxo com outros recursos configurados na mesma interface, o vigilante de microfluxo talvez não consiga armazenar em cache os fluxos no NetFlow TCAM.
   
   É importante entender o conceito de máscara de fluxo. Para suportar a aceleração de hardware de determinados recursos, há peças de hardware dedicadas (TCAMs) que são usadas para instalar determinados recursos. Há vários recursos que usam o mesmo TCAM, como NAT WCCP NetFlow. Eles usam um TCAM normalmente chamado de TCAM do NetFlow, enquanto para recursos como ACLs de segurança, o Roteamento Baseado em Políticas (PBR - Policy-Based Routing) usa o TCAM da ACL.
   
   Para o NetFlow TCAM, é necessária uma máscara de fluxo para instalar entradas no hardware. As máscaras de fluxo do NetFlow determinam a granularidade dos fluxos a serem medidos. As máscaras de fluxo muito específicas geram um grande número de entradas da tabela NetFlow e um grande volume de estatísticas a exportar. Máscaras de fluxo menos específicas agregam as estatísticas de tráfego em menos entradas da tabela NetFlow e geram um volume menor de estatísticas.
   
   O artigo NetFlow Table Configuration descreve os recursos de requisito de máscara de fluxo (suportados).
   
   
   • Insira o comando show fm summary e determine se a interface está em um estado inativo. Um estado Inativo indica que há algum recurso configurado na interface que não pode ser programado no hardware. Os pacotes recebidos nessa interface que exigem esse recurso são programados no software.
     
     

     6500#show fm summary
     Interface: Vlan13 is up
     TCAM screening for features: INACTIVE inbound
     TCAM screening for features: INACTIVE outbound
     Interface: Vlan72 is up
     TCAM screening for features: ACTIVE inbound
     TCAM screening for features: ACTIVE outbound
     Interface: Vlan84 is up
     TCAM screening for features: ACTIVE inbound
     TCAM screening for features: INACTIVE outbound

     
     
     
   • Insira o comando show fm fie interface <> e determine se o policer de microfluxo está configurado no hardware.
     
     

     6500#show fm fie int vlan 10
     Interface Vl10:
     Feature interaction state created: Yes
      Flowmask conflict status for protocol IP : 
      FIE_FLOWMASK_STATUS_SUCCESS
      Flowmask conflict status for protocol OTHER : 
      FIE_FLOWMASK_STATUS_SUCCESS Interface Vl10 [Ingress]:
      Slot(s) using the protocol IP : 1
      FIE Result for protocol IP : FIE_SUCCESS_NO_CONFLICT  
      Features Configured : [empty] - Protocol : IP  
      FM Label when FIE was invoked : 66  Current FM Label : 66  
      Last Merge is for slot: 0  num# of strategies tried : 1
       num# of merged VMRs in bank 1 = 0
       num# of free TCAM entries in Bank1 = Unknown
       num# of merged VMRs in bank 2 = 1
       num# of free TCAM entries in Bank2 = Unknown
      Slot(s) using the protocol OTHER : 1
      FIE Result for protocol OTHER : FIE_SUCCESS_NO_CONFLICT
      Features Configured : OTH_DEF   - Protocol : OTHER
      FM Label when FIE was invoked : 66
      Current FM Label : 66
      Last Merge is for slot: 0
      Features in Bank1 = OTH_DEF
     +-------------------------------------+
             Action Merge Table
     +-------------------------------------+
        OTH_DEF      RSLT    R_RSLT  COL
     +-------------------------------------+
        SB           HB      P       0
         X            P       P       0
     +-------------------------------------+
      num# of strategies tried : 1
      Description of merging strategy used:
      Serialized Banks: FALSE
      Bank1 Only Features: [empty]
      Bank2 Only Features: [empty]
      Banks Swappable: TRUE
      Merge Algorithm: ODM
      num# of merged VMRs in bank 1 = 1
      num# of free TCAM entries in Bank1 = 32745
      num# of merged VMRs in bank 2 = 0
      num# of free TCAM entries in Bank2 = 32744 Interface Vl10 [Egress]:
     No Features Configured
     No IP Guardian Feature Configured
     No IPv6 Guardian Feature Configured
     IP QoS Conflict resolution configured, QoS policy name: POLICE_SAME

   As máscaras de fluxo compatíveis devem ser usadas para recursos configurados na mesma interface que compartilham o NetFlow TCAM. As máscaras de fluxo compatíveis estão disponíveis para quase todos os tipos de combinações.

Outros comandos úteis

• Aplicar a política
• Check FL-ID=1 - show mls qos ip
• Verificar QoS TCAM - show tcam int <> qos type 1 ip
• Check NetFlow TCAM - show mls NetFlow ip qos module nowrap
• Verifique a disponibilidade de vigilantes - show platform hardware capabilities fabric
• Verificar conflito de Máscara de Fluxo (FM) - mostrar log, mostrar resumo do fm
• Verifique os recursos configurados na interface - show fm fie interface

Histórico de revisões