Catalyst 6500系列交换机微流策略管理配置示例
简介
本文描述在Catalyst 6500系列交换机的微流策略管理。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
在Supervisor引擎720运行的本文档中的信息根据Cisco Catalyst 6500系列交换机。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
背景信息
这是您的考虑事项的一用例。当他们使用互联网时,有大学需求对带宽10Mbps限制每名学员。如果聚集管制配置,则有带宽的一不同等的分配在学员中的。微流策略器更加好能帮助我们达到此任务。
微流策略管理帮助用户修正根据流的流量。流由来源IP (SRC-IP),目的地IP (DST-IP), SRC-DST IP、SRC-DST波尔特或者Src接口通常定义。示例如下:
Source 10.0.0.1 sending a tcp stream to 15.0.0.1 with a source tcp port of 50
and destination 2000
Source 10.0.0.1 sending a tcp stream to 15.0.0.2 with a source tcp port of 60
and destination 2000.
如果分类根据SRC-IP完成,则流数量等于一。如果分类根据DST-IP完成,则流数量等于两。如果分类根据DST波尔特完成,则流数量等于一。
当我们运用服务策略在接口下,物理接口或Switch Virtual Interface (SVI)时,服务策略在硬件里被编程。服务质量(QoS)三重内容可编址存储器用于为了存储条目。另外,因为交换机必须记住流,它在硬件里存储单个流信息。为此使用Netflow TCAM。因此,有您能检查编程在硬件里的两个地方:访问控制表(ACL) TCAM和Netflow TCAM。
因为同样Netflow TCAM由其它特性使用,类似网络地址转换(NAT)、NetFlow输出数据(NDE)和WEB缓存通信协议(WCCP),很可能,有在编程在硬件里的微流策略器的一冲突。一些TCAM冲突方案提供在本文结束时。
配置示例
示例 1
有参与InterVLAN路由Cisco Catalyst 6500系列交换机。流量来源在VLAN 20查找,并且有这些IP地址:20.20.20.2和20.20.20.3。两个来源设法发送往IP地址30.30.30.2的流量,在VLAN 30查找。目标是分配带宽100Kbps到每来源。
- 创建并且映射在类映射的ACL为了匹配来自这两来源的流量。
ip access-list ext vlan20_30
permit ip 20.20.20.0 0.0.0.255 30.30.30.0 0.0.0.255class-map POLICE_DIFF_SRC
match access-group name vlan20_30 - 应用在策略映射的类映射。配置承诺信息速率(CIR)和突发值如所需求。
policy-map POLICE_DIFF_SRC
class POLICE_DIFF_SRC
police flow mask src-only 100000 3000 conform transmit exceed drop
这是在police流掩码以后是可用的选项:police flow mask ?
dest-only
full-flow
src-only - 运用服务策略在入口SVI下或在入口物理接口下。万一应用它在接口VLAN下,请配置mls qos vlan-based在物理接口下。当数据包到达在特定VLAN的一第二层接口这指示Cisco IOS寻找策略在接口VLAN下。
interface vlan 20
service-policy input POLICE_DIFF_SRC
示例 2
有参与流量的第二层交换Catalyst 6500系列交换机在同样VLAN的。此示例deomonstrates如何限制来自10.10.10.2并且去往在VLAN的10.10.10.3带宽100Kbps的流量。为了有策略器影响二层交换机的流量,您必须输入mls qos bridged命令在接口VLAN10下。
ip access-list ext VLAN10
permit ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255
class-map POLICE_SAME
match access-group name VLAN10
policy-map POLICE_SAME
class POLICE_SAME
police flow mask src-only 100000 3000 conform transmit exceed drop
int vlan 10
service-policy in POLICE_SAME
mls qos bridged
验证
当前没有可用于此配置的验证过程。
故障排除
- 输入ip命令的show mls qos,并且检查在策略器名称旁边的FL ID。如果FL ID是1,则策略为微流策略管理是在使用中的。
6500#show mls qos ip
QoS Summary [IPv4]: (* - shared aggregates, Mod - switch module)
Int Mod Dir Class-map DSCP Ag Trust FL AgForward-By AgPoliced-By
Id Id
---------------------------------------------------------------------------
Fa3/3 1 In POLICE_SAM 0 0* dscp 1 11266001160 0
这是根据此输出的一些显著的点:
- 策略在硬件里被映射。
- 它应用的接口是Fa3/3。
- 如果有分布式转发卡(DFC) -在机箱的已启用线卡(LC)存在,则QoS修正为每DFC和策略特性卡(PFC)分开被编程。模块号给PFC/DFC的条目在slot 1。
- Supervisor引擎720创建聚合ID (AgID)创建的每聚合策略器的。1020 AgIDs是最大可用的ID,是硬件限制。这不是与微流策略器相关,然而是聚合策略器的一个有用的命令。
- 信任字段在这种情况下不保持相关性。
- FL ID=1,如以前讨论。
- AgForward ?由和AgPoliced由没有使用为了计算由微流策略器传送或丢弃的数据包(有那的一分开的命令)。然而,同样计数器用于为了计算聚合策略器传送/丢弃的数据包。
- 输入ip命令show tcam的int < vlan/or物理interface> qos的type为了确定ACL是否在QoS TCAM被编程。
6500#show tcam interface fa3/3 qos type1 ip
QOS Results: A - Aggregate Policing F - Microflow Policing
M - Mark T - Trust
U - Untrust
------------------------------------------------------
FT ip 10.10.10.0 0.0.0.255 10.10.10.0 0.0.0.255 ==> entry is
programmed correctly
MU ip any any - 如果流在Netlflow TCAM,安装请检查show mls netflow ip qos nowrap命令的输出为了发现。
6500#show mls NetFlow ip qos nowrap
Displaying NetFlow entries in Active Supervisor EARL in module 1
DstIP SrcIP Prot : SrcPort : DstPort Src i/f :AdjPtr Pkts
Bytes LastSeen QoS PoliceCount Threshold Leak Drop Bucket
------------------------------------------------------------------------------------------------------
0.0.0.0 0.0.0.0 0 :0 :0 --
0x0 140394
67383880 15:16:29 0x0 0 0 0
NO 0
0.0.0.0 10.10.10.2 0 :0 :0 --
0x0 227
108506 15:16:22 0x0 35996208 0 0 NO 3386
在此输出中,您能看到流(source-only)在Netflow TCAM安装,并且有被管辖的35,996,208数据包。
可能的问题
很可能,服务策略没有在硬件里在这些情况下被编程。这是一些可能的来源:
- 有在可以配置聚合/微流策略器的数量的一个硬件限制。为了预留硬件资源,服务策略没有在硬件里被编程。
输入显示平台硬件产能qoscan命令为了检查策略的可用性。6500#show platform hardware capacity qos
QoS Policer Resources
Aggregate policers: Module Total Used %Used
1 1024 102 10%
6 1024 102 10%
Microflow policer configurations: Module Total Used %Used
1 64 32 50%
6 64 32 50% - 由于与其它特性的流掩码冲突配置在同一个接口下,微流策略器也许不能对在Netflow TCAM的缓存流。
了解流掩码的概念是重要的。为了支持某些功能硬件加速,有使用为了配置某些功能的投入的片段硬件(TCAMs)。有使用同样TCAM的多个功能,例如NAT WCCP Netflow。他们使用通常呼叫Netflow TCAM的一TCAM,而对于功能类似安全ACL,基于策略的路由(PBR)使用ACL TCAM。
对于Netflow TCAM,流掩码是需要的为了安装条目在硬件里。Netflow流掩码确定将被测量的流的粒度。非常详细的流掩码生成很大数量的Netflow条目和大容量统计信息导出。较少特定传掩码聚集流量统计到少量Netflow条目,并且生成低容积统计信息。
Netflow表配置条款描述流掩码需求(支持的)功能。
- 输入show fm summary命令,并且确定接口是否在非活动状态。非活动状态表明有某个功能配置在不可能在硬件里被编程的接口下。要求在该接口接收的数据包功能在软件里被编程。
6500#show fm summary
Interface: Vlan13 is up
TCAM screening for features: INACTIVE inbound
TCAM screening for features: INACTIVE outbound
Interface: Vlan72 is up
TCAM screening for features: ACTIVE inbound
TCAM screening for features: ACTIVE outbound
Interface: Vlan84 is up
TCAM screening for features: ACTIVE inbound
TCAM screening for features: INACTIVE outbound - 输入显示fm fie接口<>命令,并且确定微流策略器是否在硬件里配置。
6500#show fm fie int vlan 10
Interface Vl10:
Feature interaction state created: Yes
Flowmask conflict status for protocol IP :
FIE_FLOWMASK_STATUS_SUCCESS
Flowmask conflict status for protocol OTHER :
FIE_FLOWMASK_STATUS_SUCCESS Interface Vl10 [Ingress]:
Slot(s) using the protocol IP : 1
FIE Result for protocol IP : FIE_SUCCESS_NO_CONFLICT
Features Configured : [empty] - Protocol : IP
FM Label when FIE was invoked : 66 Current FM Label : 66
Last Merge is for slot: 0 num# of strategies tried : 1
num# of merged VMRs in bank 1 = 0
num# of free TCAM entries in Bank1 = Unknown
num# of merged VMRs in bank 2 = 1
num# of free TCAM entries in Bank2 = Unknown
Slot(s) using the protocol OTHER : 1
FIE Result for protocol OTHER : FIE_SUCCESS_NO_CONFLICT
Features Configured : OTH_DEF - Protocol : OTHER
FM Label when FIE was invoked : 66
Current FM Label : 66
Last Merge is for slot: 0
Features in Bank1 = OTH_DEF
+-------------------------------------+
Action Merge Table
+-------------------------------------+
OTH_DEF RSLT R_RSLT COL
+-------------------------------------+
SB HB P 0
X P P 0
+-------------------------------------+
num# of strategies tried : 1
Description of merging strategy used:
Serialized Banks: FALSE
Bank1 Only Features: [empty]
Bank2 Only Features: [empty]
Banks Swappable: TRUE
Merge Algorithm: ODM
num# of merged VMRs in bank 1 = 1
num# of free TCAM entries in Bank1 = 32745
num# of merged VMRs in bank 2 = 0
num# of free TCAM entries in Bank2 = 32744 Interface Vl10 [Egress]:
No Features Configured
No IP Guardian Feature Configured
No IPv6 Guardian Feature Configured
IP QoS Conflict resolution configured, QoS policy name: POLICE_SAME
- 输入show fm summary命令,并且确定接口是否在非活动状态。非活动状态表明有某个功能配置在不可能在硬件里被编程的接口下。要求在该接口接收的数据包功能在软件里被编程。
其他有用的命令
- 运用策略
- 检查FL-ID=1 - show mls qos ip
- 检查QoS TCAM - show tcam int <> qos类型1 ip
- 检查Netflow TCAM - show mls netflow ip qos模块nowrap
- 检查策略的可用性-请显示平台硬件产能结构
- 检查流掩码(FM)冲突show log,显示fm摘要
- 检查功能配置在接口下-请显示fm fie接口
反馈