المقدمة
يوضح هذا المستند كيفية عمل ميزة تقييد بروتوكول IP للأجهزة مع الأمثلة ونية هذه الميزة.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة الأساسية من Nexus 7000 sery مفتاح تشكيل.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Nexus 7000 مع الإصدار 6.2.x والإصدارات الأحدث
- بطاقة خط F2e series
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
عندما تقوم بإعادة توجيه حزمة IP واردة في بطاقة خط، إذا لم يتم حل طلب بروتوكول تحليل العنوان (ARP) للخطوة التالية، تقوم بطاقة الخط بإعادة توجيه الحزم إلى المشرف لإنشاء طلب ARP. بمجرد إستجابة طلب ARP إلى المشرف، فإنه يقوم بحل عنوان MAC للخطوة التالية ويبرمج الأجهزة.
إذا لم يتمكن المشرف من حل إدخال ARP، يرسل بطاقة الخط جميع الحزم الموجهة إلى ذلك العنوان إلى المشرف. يقوم المشرف بإنشاء طلبات ARP إلى أجل غير مسمى حتى يتم حل إدخال ARP. هناك أدوات تحديد معدل أجهزة تسمى glean موضوعة لحماية معالج المشرف (CPU) من حركة المرور الزائدة.
المشكلة التي يمكن أن تنشأ هي إسقاط IP وجهة واحدة من الشبكة بسبب الصيانة أو مشكلة في الجهاز، وفجأة يتم إرسال جميع حركة المرور الموجهة إليها إلى وحدة المعالجة المركزية. ونظرا لأن محدد المعدل في موضعه، فإن وحدة المعالجة المركزية (CPU) لا تصل إلى قيمة عالية ولكن يمكن أن يستهلك عنوان IP هذا للوجهة الواحدة محدد المعدل بالكامل ولا يعطي الآخرين حق وصول IP المشروع إلى وحدة المعالجة المركزية. تم إنشاء تقييد IP لأعطال أجهزة IP لهذا السيناريو.
باستخدام تكوين تقييد تقييد تقييد سرعة ip للأجهزة، تصل حركة المرور الموجهة لكل وجهة غير معروفة إلى إجراء أداة تحديد معدل الأجهزة (HWRL) لوحدة المعالجة المركزية (CPU) لحل ARP. سينتج عن الوجهة التي يتعذر الوصول إليها تجاور /32 إسقاط يتم إنشاؤه في الأجهزة. وهذا يمنع الحزم الإضافية إلى عنوان IP للخطوة التالية نفسها التي سيتم إعادة توجيهها إلى المشرف. بينما تتم إضافة عمليات إسقاط التجاور هذه، يتم إسقاط الحزم التالية بعد أن يستمر المشرف في إنشاء طلبات ARP حتى يتم حل الخطوة التالية. يتم تثبيت عملية إسقاط التجاور لفترة قصيرة من الوقت، وهي قابلة للتكوين. بمجرد انتهاء صلاحية المؤقت، يتم إرسال حزمة واحدة مرة أخرى إلى وحدة المعالجة المركزية ويتم تكرار العملية. يقتصر عدد الإدخالات التي يتم تثبيتها في هذه الطريقة على 1000 بشكل افتراضي، ولكن يمكن تكوينها لعدد أكبر من الإدخالات المطلوبة. الغرض من ذلك هو الحد من التأثير على حجم جدول قاعدة معلومات التوجيه (RIB).
إختبار معملي
في هذه الحالة، يكون لديك خادم، 172.28.191.200، معطل بسبب فشل في الأجهزة، وغير متوفر حاليا لحركة مرور الخدمة.
ملاحظة: لا يوجد إدخال ARP للمضيف ولا يتم إنشاء أي تجاور.
N7K# show ip route vrf VRF_ABC 172.28.191.200
IP Route Table for VRF "VRF_ABC"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.28.191.192/28, ubest/mbest: 1/0, attached >>> There is no /32 entry
*via 172.28.191.195, Vlan1601, [0/0], 02:01:17, direct
يتم إرسال حركة المرور إلى المشرف لإنشاء طلب ARP:
N7K# show system internal forwarding vrf VRF_ABC ipv4 route 172.28.191.200 detail
slot 1
=======
RPF Flags legend:
S - Directly attached route (S_Star)
V - RPF valid
M - SMAC IP check enabled
G - SGT valid
E - RPF External table valid
172.28.191.192/28 , sup-eth2
Dev: 0 , Idx: 0x65fb , Prio: 0x8487 , RPF Flags: VS , DGT: 0 , VPN: 9
RPF_Intf_5: Vlan1601 (0x19 )
AdjIdx: 0x5a , LIFB: 0 , LIF: sup-eth2 (0x1fe1 ), DI: 0xc01
DMAC: 0000.0000.0000 SMAC: 0000.0000.0000
172.28.191.192/28 , sup-eth2
Dev: 1 , Idx: 0x65fb , Prio: 0x8487 , RPF Flags: VS , DGT: 0 , VPN: 9
RPF_Intf_5: Vlan1601 (0x19 )
AdjIdx: 0x5a , LIFB: 0 , LIF: sup-eth2 (0x1fe1 ), DI: 0xc01
DMAC: 0000.0000.0000 SMAC: 0000.0000.0000
172.28.191.192/28 , sup-eth2
Dev: 2 , Idx: 0x65fb , Prio: 0x8487 , RPF Flags: VS , DGT: 0 , VPN: 9
RPF_Intf_5: Vlan1601 (0x19 )
AdjIdx: 0x5a , LIFB: 0 , LIF: sup-eth2 (0x1fe1 ), DI: 0xc01
DMAC: 0000.0000.0000 SMAC: 0000.0000.0000
172.28.191.192/28 , sup-eth2
Dev: 5 , Idx: 0x65f1 , Prio: 0x84f2 , RPF Flags: VS , DGT: 0 , VPN: 9
RPF_Intf_5: Vlan1601 (0x19 )
AdjIdx: 0x5a , LIFB: 0 , LIF: sup-eth2 (0x1fe1 ), DI: 0xc01
DMAC: 0000.0000.0000 SMAC: 0000.0000.0000
تقوم أدوات تحديد المعدل الضئيل للوحدة النمطية المحددة بخنق حركة المرور إلى 100 حزمة في الثانية، لكل وحدة نمطية. يمكنك رؤية إسقاط بعض الحزم.
N7K# show hardware rate-limiter
Units for Config: packets per second
Allowed, Dropped & Total: aggregated since last clear counters
rl-1: STP and Fabricpath-ISIS
rl-2: L3-ISIS and OTV-ISIS
rl-3: UDLD, LACP, CDP and LLDP
rl-4: Q-in-Q and ARP request
rl-5: IGMP, NTP, DHCP-Snoop, Port-Security, Mgmt and Copy traffic
Module: 1
R-L Class Config Allowed Dropped Total
+------------------+--------+---------------+---------------+-----------------+
L3 mtu 500 0 0 0
L3 ttl 500 0 0 0
L3 control 10000 0 0 0
L3 glean 100 3326 3190 6516
L3 mcast dirconn 3000 0 0 0
L3 mcast loc-grp 3000 0 0 0
L3 mcast rpf-leak 500 0 0 0
L2 storm-ctrl Disable
access-list-log 100 0 0 0
copy 30000 1877 0 1877
receive 30000 318 0 318
عند تكوين الأمر hardware ip glean throttle:
N7K(config)#hardware ip glean throttle
يتم تثبيت التجاور في الحامل:
N7K# show ip route 172.28.191.200 vrf VRF-ABC
IP Route Table for VRF "VRF-ABC"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.28.191.200/32, ubest/mbest: 1/0, attached
*via 172.28.191.200, Vlan1601, [250/0], 00:01:37, am
عندما تنظر إلى برمجة الأجهزة، يتم تثبيت فهرس إسقاط:
N7K# show system internal forwarding vrf VRF_ABC ipv4 route 172.28.191.200 detail
slot 1
=======
RPF Flags legend:
S - Directly attached route (S_Star)
V - RPF valid
M - SMAC IP check enabled
G - SGT valid
E - RPF External table valid
172.28.191.200/32 , Drop
Dev: 0 , Idx: 0x1a5 , Prio: 0x8b61 , RPF Flags: VS , DGT: 0 , VPN: 9
RPF_Intf_5: Vlan1601 (0x19 )
AdjIdx: 0x8913 , LIFB: 0 , LIF: Drop (0x0 ), DI: 0x0
DMAC: 0000.0000.0000 SMAC: 0000.0000.0000
172.28.191.200/32 , Drop
Dev: 1 , Idx: 0x1a5 , Prio: 0x8b61 , RPF Flags: VS , DGT: 0 , VPN: 9
RPF_Intf_5: Vlan1601 (0x19 )
AdjIdx: 0x8913 , LIFB: 0 , LIF: Drop (0x0 ), DI: 0x0
DMAC: 0000.0000.0000 SMAC: 0000.0000.0000
172.28.191.200/32 , Drop
Dev: 2 , Idx: 0x1a5 , Prio: 0x8b61 , RPF Flags: VS , DGT: 0 , VPN: 9
RPF_Intf_5: Vlan1601 (0x19 )
AdjIdx: 0x8913 , LIFB: 0 , LIF: Drop (0x0 ), DI: 0x0
DMAC: 0000.0000.0000 SMAC: 0000.0000.0000
172.28.191.200/32 , Drop
Dev: 5 , Idx: 0x1e1 , Prio: 0x88ee , RPF Flags: VS , DGT: 0 , VPN: 9
RPF_Intf_5: Vlan1601 (0x19 )
AdjIdx: 0x8914 , LIFB: 0 , LIF: Drop (0x0 ), DI: 0x0
DMAC: 0000.0000.0000 SMAC: 0000.0000.0000
يمكنك الآن رؤية أن أدوات تحديد معدل الأجهزة لا ترى أي حالات سقوط.
N7K# show hardware rate-limiter
Units for Config: packets per second
Allowed, Dropped & Total: aggregated since last clear counters
rl-1: STP and Fabricpath-ISIS
rl-2: L3-ISIS and OTV-ISIS
rl-3: UDLD, LACP, CDP and LLDP
rl-4: Q-in-Q and ARP request
rl-5: IGMP, NTP, DHCP-Snoop, Port-Security, Mgmt and Copy traffic
Module: 1
R-L Class Config Allowed Dropped Total
+------------------+--------+---------------+---------------+-----------------+
L3 mtu 500 0 0 0
L3 ttl 500 0 0 0
L3 control 10000 0 0 0
L3 glean 100 0 0 0
L3 mcast dirconn 3000 0 0 0
L3 mcast loc-grp 3000 0 0 0
L3 mcast rpf-leak 500 0 0 0
L2 storm-ctrl Disable
access-list-log 100 0 0 0
copy 30000 1877 0 1877
receive 30000 318 0 318
معلومات ذات صلة
التعليقات