تقييد نظام ASR1002 مع IPSec و NetFlow و NBAR

المقدمة

يوضح هذا المستند المشكلة مع الإنتاجية على النظام الأساسي ASR1002 مع تكوين إمكانية رؤية التطبيق والتحكم (AVC) باستخدام ميزة IPSec على الموجه.

معلومات أساسية

وفقا لوثائق CCO، توفر ASR10002 سعة معالجة بسرعة 10 جيجابت في الثانية لحركة مرور البيانات العادية، 4 جيجابت في الثانية مع تمكين ميزة IPSec. ولكن هناك تحذير مرتبط بالخرج على منصة ASR1002. NetFlow و NBAR هما ميزتان تستهلك الكثير من الموارد من معالج تدفق الكم (QFP) ومن ثم تقلل من إمكانية توصيل بطاقة حمولة أمان التضمين (ESP) لمعالجة المزيد من حركة المرور وبالتالي تقليل إخراج النظام الإجمالي. مع تهيئة التوافق الكهرومغناطيسي مع بروتوكول IPSec، يمكن أن ينخفض الإنتاج الكلي لمنصة العمل بشدة ويمكن أن يواجه خسارة كبيرة في حركة المرور.

المشكلة: تقييد نظام ASR1002 مع IPSec و NetFlow و NBAR

تم ملاحظة المشكلة في بادئ الأمر عند ترقية النطاق الترددي مع الموفر ويتم إجراء إختبار النطاق الترددي. في البداية تم إرسال حزمة بحجم 1000 بايت، مما سار على نحو جيد تماما، ثم تم إجراء الاختبار باستخدام حزم بحجم 512 بايت وبعد ذلك فإنهم قد لاحظوا تقريبا فقدان حركة المرور بنسبة 80٪. ارجع إلى طبولوجيا إختبار المختبر هذه:

قم بتشغيل هذه الميزات: 

•  DMVPN عبر IPSec
•  Netflow
•  NBAR (كجزء من بيان مطابقة سياسة جودة الخدمة)

التكوين

crypto isakmp policy 1
 encr 3des
 group 2
crypto isakmp policy 2
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco123 address 0.0.0.0 
crypto ipsec security-association replay disable
crypto ipsec transform-set remoteoffice-vpn esp-3des esp-sha-hmac 
 mode tunnel
crypto ipsec transform-set IPTerm-TransSet esp-3des esp-sha-hmac 
 mode tunnel
crypto ipsec profile IPTerminals-VPN
 set transform-set IPTerm-TransSet 
crypto ipsec profile vpn-dmvpn
 set transform-set remoteoffice-vpn
!
<snip>
class-map match-any Test
 match ip precedence 2 
 match ip dscp af21 
 match ip dscp af22 
 match ip dscp af23 
 match access-group name test1
 match protocol ftp
 match protocol secure-ftp
!
policy-map test
<snip>
!
interface Tunnel0
 bandwidth 512000
 ip vrf forwarding CorpnetVPN
 ip address 10.1.1.1 255.255.255.0
 no ip redirects
 ip mtu 1350
 ip flow ingress
 ip nhrp authentication 1dcBb
 ip nhrp map multicast dynamic
 ip nhrp network-id 1000
 ip nhrp holdtime 600
 ip nhrp shortcut
 ip nhrp redirect
 ip virtual-reassembly max-reassemblies 256
 ip tcp adjust-mss 1310
 ip ospf network point-to-multipoint
 ip ospf hello-interval 3
 ip ospf prefix-suppression
 load-interval 30
 qos pre-classify
 tunnel source Loopback0
 tunnel mode gre multipoint
 tunnel key 1234
 tunnel protection ipsec profile vpn-dmvpn
!
int gi 0/1/0
bandwidth 400000
 ip address 12.12.12.1 255.255.255.252
 load-interval 30
 negotiation auto
 ip flow ingress
 service-policy output PM-1DC-AGGREGATE
!

يقع Dynamic Multipoint VPN (DMVPN) بين موجهات ASR1k. تم إنشاء حركة مرور البيانات من IXIA إلى IXIA عبر سحابة DMVPN بحجم حزمة يبلغ 512 بايت لكل 50000 حزمة في الثانية. تم تكوين تدفق آخر لحركة مرور إعادة التوجيه السريع (EF) من IXIA إلى IXIA

مع الدفق أعلاه، لاحظنا فقدان حركة المرور في كلا الدورين لما يصل إلى 30000 صفحة في الثانية. 

ملاحظات

لم تكن هناك زيادة في حالات انخفاض الناتج ولا حالات انخفاض كثيرة تشاهد في فئة EF أو فئات أخرى إلا من الفئة الافتراضية لنهج الخدمة.

وجدت حالات هبوط في QFP باستخدام show platform hardware QFP سقطت الإحصائيات النشطة ولاحظت أن حالات السقوط تلك كانت تتزايد بشكل سريع.

RTR-1#show platform hardware qfp active statistics drop
-------------------------------------------------------------------------
Global Drop Stats Packets Octets
-------------------------------------------------------------------------
IpsecInput 300010 175636790 
IpsecOutput 45739945 23690171340 
TailDrop 552830109 326169749399 

RTR-1#
RTR-1#show platform hardware qfp active statistics drop
-------------------------------------------------------------------------
Global Drop Stats Packets Octets 
-------------------------------------------------------------------------
IpsecInput 307182 179835230 
IpsecOutput 46883064 24282257670 
TailDrop 552830109 326169749399 

RTR-1#

تم التحقق من المزيد من عمليات إسقاط IPSec ل QFP باستخدام الأمر show platform hardware qfp سمة نشطة عمليات إسقاط بيانات IPsec

RTR-1#show platform hardware qfp active feature ipsec data drops
------------------------------------------------------------------------
Drop Type Name Packets 
------------------------------------------------------------------------

 28 IN_PSTATE_CHUNK_ALLOC_FAIL 357317


 54 OUT_PSTATE_CHUNK_ALLOC_FAIL 51497757
 66 N2_GEN_NOTIFY_SOFT_EXPIRY 4023610

RTR-1#

تم ملاحظة أن عداد الإسقاط لعداد IN_PSTATE_CHUNK_ALLOC_FAIL يتطابق مع عداد IPsecInput في عمليات إسقاط QFP ويطابق عداد IPsecOutput الذي يتطابق مع عداد OUT_PSTATE_CHUNK_ALLOC_FAILED.

رأيت هذا إصدار واجب إلى البرمجية خلل# CSCuf25027 .

الحل

 الحل البديل لهذه المشكلة هو تعطيل ميزة "التعرف على التطبيق المستند إلى الشبكة (NBAR)" و NetFlow على الموجه. إذا كنت ترغب في تشغيل جميع الميزات والحصول على سعة معالجة أفضل، فيتمثل الخيار الأفضل في الترقية إلى ASR1002-X أو ASR1006 باستخدام ESP-100.