Klassen-Standard-Übereinstimmungen steuern den Datenverkehr?

16

Ich sehe ein Problem mit BFD auf einem Link, der überwacht wird, wenn BFD-Pakete nicht auf die andere Seite gelangen. Ich frage mich, ob BFD-Hellos dem Polizisten unterworfen sind oder ob sie außerhalb des Polizisten fallen. Wenn sie einem Polizisten unterliegen, ist es dann so einfach, eine Übereinstimmung für DSCP CS6 hinzuzufügen und dieser Priorität zuzuweisen? Unten ist die Konfiguration:

interface GigabitEthernet1/1
 service-policy output 500meg
end

Router-1#sh policy-map 500meg
  Policy Map 500meg
    Class class-default
     police cir 500000000 bc 31250000 be 31250000
       conform-action transmit
       exceed-action drop
       violate-action drop
Schlamm
quelle
1
Welches Cisco-Modell verwenden Sie?
Mike Pennington
@MikePennington 7606 mit WS-X6724-SFP
Mud
3
Ihre Begründung ist richtig (für diese Plattform, nicht für jede Plattform). Ich würde nur CS6 dedizierte Kapazität geben, wenn ich garantieren würde, was in CS6 ist und was nicht. Wenn ich das nicht garantiere, verwenden Sie lieber die Zugriffssteuerungsliste, um die Übereinstimmung mit der BFD zu bestimmen. Trotzdem ist der 7600 keine sehr gute Plattform für aggressive BFD-Timer. Ich würde aggressiver als 1s Intervall, 3 Multiplikator scheuen.
Ytti
Hat dir eine Antwort geholfen? In diesem Fall sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie auch Ihre eigene Antwort eingeben und annehmen.
Ron Maupin

Antworten:

2

@Mud, du hast so ziemlich die Antwort auf deine Frage auf mehrere Kommentare verteilt, also fasse ich sie hier nur in einer einzigen Antwort zusammen.

Auf dem 7600s / 6500s können Sie BFD (Control-Plane-Verkehr) auf der Schnittstellenebene wie jeden anderen Verkehr (Transitverkehr, der durch das Gerät fließt) filtern.

Wenn Sie eine ACL auf einen Port auf der Leitungskarte anwenden, wird sie auf den gesamten Datenverkehr auf dieser Schnittstelle angewendet. Datenverkehr, der von den RSPs oder DFCs verarbeitet werden muss, wenn Sie sie verwenden, muss dort weitergeleitet werden, nachdem die ACL verarbeitet wurde.

Als Faustregel beziehe ich in letzter Zeit Verkehr auf der Kontrollebene in QoS-Richtlinien ein, wie z. B. die folgenden, bei denen "Klasse NC" nur CS6 und CS7 entspricht:

policy-map QoS-Example
 class NC
  bandwidth percent 2
 !
 class REALTIME
  police rate percent 10
   conform-action transmit
   exceed-action drop
  !
  priority level 1
 !
 class 1
  bandwidth percent 22
 !
 class 2
  bandwidth percent 24
 !
 class 3
  bandwidth percent 12
 ....... and so on

Wenn Sie eine CoPP-Richtlinie für Ihre 7600er / 6500er erstellen, müssen Sie ACLs erstellen, die mit allen relevanten Arten von Datenverkehr auf der Steuerungsebene übereinstimmen. Sie können also auch den BFD-Verkehr abgleichen, indem Sie den Verkehr von / zu UDP-Port 3784 abgleichen (und ihn, falls möglich, weiter auf Ihre Schnittstellen-IP-Adresse beschränken).

Wie @ytti sagte, müssen Sie vorsichtig mit den BFD-Timern in Ihrem Setup sein, wenn Sie keine DFCs haben und BFD mit RSP / CPU-Leistung betreiben. In diesem Fall möchten Sie möglicherweise auch den globalen Befehl "process-max-time" und den Prozesszeitplan "scheduler allocate xxx xxx" optimieren.

Das von Cisco empfohlene Minimum ist, bfd interval 100 min_rx 100 multiplier 3aber auf einigen Produktionsboxen ohne DFCs, auf denen ich tatsächlich bfd interval 500 min_rx 500 multiplier 3arbeite, war das in Ordnung.

In diesen Verweisen finden Sie weitere Informationen zu BFD-Optimierung und Zugriffssteuerungslisten für Datenverkehr auf Steuerebenen (sowohl CoPP- als auch Schnittstellen-Zugriffssteuerungslisten) sowie zu einigen allgemein bewährten Optimierungsebenen und zum QoS-Verhalten bei Datenverkehr auf Steuerebenen:

http://www.cisco.com/c/en/us/td/docs/routers/7600/troubleshoot/guide/7600_Trouble_Shooting.pdf

http://www.cisco.com/c/en/us/td/docs/routers/7600/ios/12-2SR/configuration/guide/swcg/dos.html

http://www.cisco.com/web/about/security/intelligence/coppwp_gs.html

http://www.cisco.com/c/en/us/support/docs/quality-of-service-qos/qos-congestion-management-queueing/18664-rtgupdates.html

jwbensley
quelle
1

Aufgrund der kritischen Natur des BFD-Steuerpakets durchläuft es beim Hinausgehen nicht die Egress-QoS-Richtlinienzuordnung und wird direkt in die Egress-Warteschlange gestellt. Bestätigt mit TAC.

Subeh
quelle
-1

In diesem Cisco-Dokument heißt es: "Benutzer können beispielsweise Quality of Service (QoS) nicht auf übertragene BFD-Pakete filtern oder anwenden." Ich nehme also an, dass diese Pakete das PAK_PRIORITY-Flag erhalten .

Marco Marzetti
quelle
2
PAK_PRIORITY wird für die beschleunigte Weiterleitung innerhalb des Routers / Gehäuses verwendet. Es ist keine äußere Markierung. BFD ist die Datenebene und muss manuell markiert / in die Warteschlange gestellt werden, um eine bessere Behandlung zu ermöglichen.
Daniel Dib
@ Daniel ist richtig. Ich habe vergessen zu erwähnen, dass PAK_PRIORITY ein internes Flag ist und sein Verhalten systemabhängig ist. Auf dem C7600 werden solche gekennzeichneten Pakete automatisch mit CoS6 markiert und durch jede Art von QoS-Abbrüchen geschützt. Selbst wenn Sie darauf wetten können, dass die Pakete zugestellt werden, sollten Sie eine dedizierte Warteschlange definieren, wenn Sie ein beschleunigtes Weiterleitungsverhalten wünschen.
Marco Marzetti
@MarcoMarzetti Also zu meiner eigenen Klarstellung: Das Cisco-Dokument bezieht sich auf Ingress-BFD-Pakete, die nicht QoS-fähig sind und immer noch einem Egress-Policer unterliegen?
Schlamm
@Mud PAK_PRIORITY ist eine interne Sache (dh nicht markiert). "Die Cisco IOS-Software verfügt außerdem über einen internen Mechanismus, mit dem wichtigen Steuerdatagrammen, die im Router verarbeitet werden, interne Priorität eingeräumt wird. Dieser Mechanismus wird als PAK_PRIORITY bezeichnet."
Ryan Foley