klasy-domyślne dopasowania kontrolują ruch?

16

Widzę problem z BFD na łączu, które jest nadzorowane, wychodząc, gdzie pojawia się w czasach, gdy policjant jest maksymalny. Pakiety BFD nie przechodzą na drugą stronę. Zastanawiam się, czy cześć BFD podlega policjantowi, czy też wykracza poza niego. Jeśli podlegają policjantowi, czy jest to tak proste, jak dodanie dopasowania do DSCP CS6 i nadanie mu priorytetu? Poniżej znajduje się konfiguracja:

interface GigabitEthernet1/1
 service-policy output 500meg
end

Router-1#sh policy-map 500meg
  Policy Map 500meg
    Class class-default
     police cir 500000000 bc 31250000 be 31250000
       conform-action transmit
       exceed-action drop
       violate-action drop
Błoto
źródło
1
Z jakiego modelu Cisco korzystasz?
Mike Pennington,
@MikePennington 7606 w / WS-X6724-SFP
Błoto
3
Twoje uzasadnienie jest prawidłowe (dla tej platformy, nie dla każdej platformy). Dałbym tylko dedykowaną pojemność CS6, gdybym zagwarantował, co jest w CS6, a co nie. Jeśli nie gwarantuję tego, wolisz używać ACL, aby dopasować konkretnie do BFD. Powiedziawszy, że 7600 nie jest bardzo dobrą platformą dla agresywnych zegarów BFD. Unikałbym bardziej agresywnego interwału niż 1s, 3-krotny mnożnik.
ytti
Czy jakaś odpowiedź ci pomogła? jeśli tak, powinieneś zaakceptować odpowiedź, aby pytanie nie wyskakiwało wiecznie, szukając odpowiedzi. Alternatywnie możesz podać i zaakceptować własną odpowiedź.
Ron Maupin

Odpowiedzi:

2

@Mud, odpowiedź na twoje pytanie jest w zasadzie podzielona na kilka komentarzy, więc po prostu konsoliduję je tutaj w jednej odpowiedzi.

W modelach 7600 / 6500s można filtrować BFD (ruch z płaszczyzny kontrolnej) na poziomie interfejsu, tak jak każdy inny ruch (ruch tranzytowy przechodzący przez urządzenie).

Kiedy zastosujesz ACL do portu na karcie linii, zostanie ona zastosowana do całego ruchu w tym interfejsie. Ruch, który musi być przetwarzany przez RSP lub DFC, jeśli ich używasz, musi zostać tam wykopany, co następuje po przetworzeniu listy ACL.

Zasadniczo włączyłem ostatnio ruch samolotów sterujących do zasad QoS, takich jak te, w których „klasa NC” pasuje tylko do CS6 i CS7:

policy-map QoS-Example
 class NC
  bandwidth percent 2
 !
 class REALTIME
  police rate percent 10
   conform-action transmit
   exceed-action drop
  !
  priority level 1
 !
 class 1
  bandwidth percent 22
 !
 class 2
  bandwidth percent 24
 !
 class 3
  bandwidth percent 12
 ....... and so on

Jeśli piszesz zasady CoPP dla swoich 7600s / 6500s, musisz napisać ACL, które pasują do wszystkich odpowiednich rodzajów ruchu na płaszczyźnie kontrolnej. Możesz więc dopasować ruch BFD, dopasowując ruch do / z portu UDP 3784 (i zablokuj to dalej do adresu IP interfejsu, jeśli to możliwe).

Jak powiedział @ytti, musisz uważać na liczniki BFD w konfiguracji, jeśli nie masz DFC, to działający BFD na mocy RSP / CPU. W takim przypadku możesz również przyjrzeć się poprawieniu globalnej komendy „maksymalny czas przetwarzania” i harmonogramowi procesu „harmonogram przydziału xxx xxx”.

Zalecane przez Cisco minimum to, bfd interval 100 min_rx 100 multiplier 3ale na niektórych urządzeniach produkcyjnych bez DFC faktycznie działam, bfd interval 500 min_rx 500 multiplier 3co było w porządku, myślę, że na urządzeniach z DFC, do których nie mam teraz dostępu, działam tak samo.

Możesz zobaczyć te odniesienia, aby uzyskać więcej informacji, które obejmują strojenie BFD i listy ACL dla ruchu płaszczyzny kontrolnej (zarówno CoPP, jak i ACL interfejsu), a także pewne strojenie płaszczyzny kontrolnej, które jest ogólnie dobrą praktyką, a także zachowanie QoS z ruchem na płaszczyźnie kontrolnej:

http://www.cisco.com/c/en/us/td/docs/routers/7600/troubleshoot/guide/7600_Trouble_Shooting.pdf

http://www.cisco.com/c/en/us/td/docs/routers/7600/ios/12-2SR/configuration/guide/swcg/dos.html

http://www.cisco.com/web/about/security/intelligence/coppwp_gs.html

http://www.cisco.com/c/en/us/support/docs/quality-of-service-qos/qos-congestion-management-queueing/18664-rtgupdates.html

jwbensley
źródło
1

Ze względu na krytyczną naturę pakietu kontrolnego BFD nie wychodzi on przez mapę strategii QoS wychodzenia przy wyjściu i jest umieszczany bezpośrednio w kolejce wychodzenia. Potwierdzono za pomocą TAC.

Subeh
źródło
-1

Zgodnie z tym dokumentem Cisco „Użytkownicy nie mogą na przykład filtrować ani stosować jakości usługi (QoS) do przesyłanego pakietu BFD”. Więc przypuszczam, że te pakiety otrzymują flagę PAK_PRIORITY .

Marco Marzetti
źródło
2
PAK_PRIORITY służy do przyspieszonego przesyłania dalej w routerze / obudowie. To nie jest zewnętrzne oznakowanie. BFD jest płaszczyzną danych i musi być oznaczony / umieszczony w kolejce ręcznie, aby zapewnić lepsze leczenie.
Daniel Dib,
@Daniel ma rację. Zapomniałem wspomnieć, że PAK_PRIORITY jest wewnętrzną flagą, a jej zachowanie zależy od systemu. Na C7600 takie oznaczone pakiety są automatycznie oznaczane CoS6 i chronione przez wszelkiego rodzaju spadki QoS. Tak więc, nawet jeśli możesz się założyć, że pakiety zostaną dostarczone, jeśli chcesz przyspieszyć przekazywanie, powinieneś zdefiniować dedykowaną kolejkę.
Marco Marzetti,
@MarcoMarzetti Więc dla mojego własnego wyjaśnienia: dokument cisco odnosi się do tego, że pakiety BFD wchodzące nie są w stanie uzyskać QoS i nadal podlegają policjantowi wyjściowemu?
Błoto
@Mud PAK_PRIORITY jest rzeczą wewnętrzną (tzn. Nieoznaczoną). „Oprogramowanie Cisco IOS ma również wewnętrzny mechanizm nadawania wewnętrznego priorytetu ważnym datagramom kontrolnym podczas ich przetwarzania w routerze. Ten mechanizm nazywa się PAK_PRIORITY.”
Ryan Foley,