Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit ce qui, comment et pourquoi la fonction CoPP (Control Plane Policing) est utilisée sur les commutateurs de la gamme Nexus 7000, qui incluent les modules F1, F2, M1 et M2 et les cartes de ligne (LC). Il comprend également des politiques de pratiques exemplaires, ainsi que la façon de personnaliser une politique CoPP.
Cisco vous recommande de connaître l'interface de ligne de commande du système d'exploitation Nexus.
Les informations de ce document sont basées sur les commutateurs de la gamme Nexus 7000 avec module Supervisor 1.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Le protocole CoPP est essentiel au fonctionnement du réseau. Une attaque par déni de service (DoS) sur le plan de contrôle/gestion, qui peut être perpétrée par inadvertance ou de manière malveillante, implique généralement des taux de trafic élevés qui entraînent une utilisation excessive du CPU. Le module Supervisor passe un temps excessif à traiter les paquets.
Voici quelques exemples de ces attaques :
Cela peut conduire à :
Les attaques peuvent submerger la stabilité et la disponibilité du réseau et entraîner des pannes de réseau ayant un impact sur l'entreprise.
CoPP est une fonctionnalité matérielle qui protège le superviseur des attaques DoS. Il contrôle le débit auquel les paquets sont autorisés à atteindre le superviseur. La fonctionnalité CoPP est modélisée comme une politique QoS d'entrée associée à l'interface spéciale appelée plan de contrôle. Cependant, CoPP est une fonctionnalité de sécurité et ne fait pas partie de la QoS. Afin de protéger le superviseur, la CoPP sépare les paquets du plan de données des paquets du plan de contrôle (Logique d'exception). Il identifie les paquets d'attaque DoS à partir de paquets valides (Classification). CoPP permet la classification de ces paquets :
Une fois qu’un paquet est classifié, il peut également être marqué et utilisé pour attribuer différentes priorités en fonction du type de paquet. Il est possible de configurer, de dépasser et de violer des actions (transmission, abandon, marquage). Si aucun régulateur n'est attaché à une classe, alors un régulateur par défaut est ajouté dont l'action de conformité est abandonnée. Les paquets glanés sont contrôlés avec la classe par défaut. Une fréquence, deux couleurs et deux fréquences, trois couleurs sont prises en charge.
Le trafic qui touche le processeur sur le module Supervisor peut passer par quatre chemins :
Seul le trafic envoyé via l'interface Inband est soumis à CoPP, car il s'agit du seul trafic qui atteint le module Supervisor via les moteurs de transfert (FE) des cartes de ligne. L'implémentation du commutateur de la gamme Nexus 7000 de CoPP est uniquement basée sur le matériel, ce qui signifie que CoPP n'est pas exécuté dans le logiciel par le module Supervisor. La fonctionnalité CoPP (réglementation) est implémentée sur chaque FE indépendamment. Lorsque les différents taux sont configurés pour la carte de stratégie CoPP, il faut tenir compte du nombre de cartes de ligne dans le système.
Le trafic total reçu par le superviseur est N fois X, où N est le nombre de FE sur le système Nexus 7000, et X le taux autorisé pour la classe particulière. Les valeurs de régulateur configurées s'appliquent par FE, et le trafic agrégé susceptible d'atteindre le CPU est la somme du trafic conforme et transmis sur tous les FE. En d'autres termes, le trafic qui touche le processeur est égal au débit de conformité configuré multiplié par le nombre de FE.
La configuration CoPP n'est implémentée que dans le contexte de périphérique virtuel par défaut (VDC); cependant, les politiques CoPP s'appliquent à tous les VDC. La même stratégie globale est appliquée à toutes les cartes de ligne. CoPP applique le partage de ressources entre les VDC si les ports des mêmes FE appartiennent à des VDC différents (LC de la gamme M1 ou M2). Par exemple, les ports d'un FE, même dans des VDC différents, comptent sur le même seuil pour CoPP.
Si le même FE est partagé entre différents VDC et qu'une classe donnée de trafic du plan de contrôle dépasse le seuil, cela affecte tous les VDC sur le même FE. Il est recommandé de consacrer un FE par VDC afin d'isoler l'application CoPP, si possible.
Lorsque le commutateur est lancé pour la première fois, la stratégie par défaut doit être programmée pour protéger le plan de contrôle. CoPP fournit les stratégies par défaut, qui sont appliquées au plan de contrôle dans le cadre de la séquence de démarrage initiale.
Le commutateur Nexus 7000 est déployé en tant que commutateur d'agrégation ou commutateur principal. C'est donc l'oreille et le cerveau du réseau. Il gère la charge maximale dans le réseau. Il doit traiter les demandes fréquentes et en rafale. Voici quelques demandes :
CoPP est essentiel afin de protéger le processeur contre les serveurs mal configurés ou les attaques DoS potentielles, ce qui permet au processeur d'avoir suffisamment de cycle pour traiter les messages du plan de contrôle critique.
Le commutateur Nexus 7000 adopte une approche basée sur un plan de contrôle distribué. Il comporte un multicoeur sur chaque module d'E/S, ainsi qu'un multicoeur pour le plan de contrôle du commutateur sur le module Supervisor. Il décharge des tâches intensives sur le processeur du module d'E/S pour les listes de contrôle d'accès (ACL) et la programmation FIB. Il fait évoluer la capacité du plan de contrôle avec le nombre de cartes de ligne. Cela évite le goulot d'étranglement du processeur du superviseur, qui est perçu dans une approche centralisée. Les limiteurs de débit matériel et la CoPP basée sur le matériel protègent le plan de contrôle contre les activités malveillantes ou mauvaises.
La politique CoPP sur les meilleures pratiques (BPP) a été introduite dans Cisco NX-OS version 5.2. La sortie de la commande show running-config n'affiche pas le contenu du BPP CoPP. La commande show run all affiche le contenu de CoPP BPP.
------------------------------------SNIP-----------------------------------------
SITE1-AGG1# show run copp
!! Command: show running-config copp
!! Time: Mon Nov 5 22:21:04 2012
version 5.2(7)
copp profile strict
SITE1-AGG1# show run copp all
!! Command: show running-config copp all
!! Time: Mon Nov 5 22:21:15 2012
version 5.2(7)
------------------------------SNIP---------------------
control-plane
service-policy input copp-system-p-policy-strict
copp profile strict
CoPP fournit quatre options à l'utilisateur pour les stratégies par défaut :
Si aucune option n'est sélectionnée ou si la configuration est ignorée, une réglementation stricte est appliquée. Toutes ces options utilisent les mêmes class-maps et classes, mais différentes valeurs CIR (Committed Information Rate) et BC (Burst Count) pour la réglementation. Dans les versions de Cisco NX-OS antérieures à la version 5.2.1, la commande setup a été utilisée pour modifier l'option. La version 5.2.1 de Cisco NX-OS a introduit une amélioration du protocole BPP CoPP afin que l'option puisse être modifiée sans la commande setup ; utilisez la commande copp profile.
SITE1-AGG1# conf t
Enter configuration commands, one per line. End with CNTL/Z.
SITE1-AGG1(config)# copp profile ?
dense The Dense Profile
lenient The Lenient Profile
moderate The Moderate Profile
strict The Strict Profile
SITE1-AGG1(config)# copp profile strict
SITE1-AGG1(config)# exit
Utilisez la commande show copp profile <profile-type> pour afficher la configuration CoPP BPP par défaut. Utilisez la commande show copp status pour vérifier que la stratégie CoPP a été appliquée correctement.
SITE1-AGG1# show copp status
Last Config Operation: copp profile strict
Last Config Operation Timestamp: 20:40:27 PST Nov 5 2012
Last Config Operation Status: Success
Policy-map attached to the control-plane: copp-system-p-policy-strict
Pour afficher la différence entre deux BPP CoPP, utilisez la commande show copp diff profile <profile-type 1> profile <profile-type 2> :
SITE1-AGG1# show copp diff profile strict profile moderate
A '+' represents a line that has been added and
a '-' represents a line that has been removed.
-policy-map type control-plane copp-system-p-policy-strict
- class copp-system-p-class-critical
- set cos 7
- police cir 39600 kbps bc 250 ms conform transmit violate drop
- class copp-system-p-class-important
- set cos 6
- police cir 1060 kbps bc 1000 ms conform transmit violate drop
----------------------SNIP---------------------------------------
+policy-map type control-plane copp-system-p-policy-moderate
+ class copp-system-p-class-critical
+ set cos 7
+ police cir 39600 kbps bc 310 ms conform transmit violate drop
+ class copp-system-p-class-important
+ set cos 6
+ police cir 1060 kbps bc 1250 ms conform transmit violate drop
----------------------SNIP---------------------------------------
Les utilisateurs peuvent créer une stratégie CoPP personnalisée. Cloner le CoPP BPP par défaut et le fixer à l'interface du plan de contrôle car le CoPP BPP est en lecture seule.
SITE2-AGG1(config)# policy-map type control-plane copp-system-p-policy-strict
^
% String is invalid, 'copp-system-p-policy-strict' is not an allowed string at
'^' marker.
La commande copp copy profile <profile-type> <prefix> [suffix] crée un clone du BPP CoPP. Ceci est utilisé afin de modifier les configurations par défaut. La commande copp copy profile est une commande en mode exec. L'utilisateur peut choisir un préfixe ou un suffixe pour le nom de la liste d'accès, des mappages de classes et des mappages de politiques. Par exemple, copp-system-p-policy-strict est remplacé par [prefix]copp-policy-strict[suffix]. Les configurations clonées sont traitées comme des configurations utilisateur et sont incluses dans la sortie show run.
SITE1-AGG1# copp copy profile ?
dense The Dense Profile
lenient The Lenient Profile
moderate The Moderate Profile
strict The Strict Profile
SITE1-AGG1# copp copy profile strict ?
prefix Prefix for the copied policy
suffix Suffix for the copied policy
SITE1-AGG1# copp copy profile strict suffix ?
WORD Enter prefix/suffix for the copied policy (Max Size 20)
SITE1-AGG1# copp copy profile strict suffix CUSTOMIZED-COPP
SITE1-AGG1# show run copp | grep policy-map
policy-map type control-plane copp-policy-strict-CUSTOMIZED-COPP
SITE1-AGG1#
Il est possible de marquer le trafic qui dépasse et viole un débit d'informations autorisé spécifié (PIR) à l'aide des commandes suivantes :
SITE1-AGG1(config)# policy-map type
control-plane copp-policy-strict-CUSTOMIZED-COPP
SITE1-AGG1(config-pmap)# class copp-class-critical-CUSTOMIZED-COPP
SITE1-AGG1(config-pmap-c)# police cir 59600 kbps bc 250 ms ?
<CR>
conform Specify a conform action
pir Specify peak information rate
SITE1-AGG1(config-pmap-c)# police cir 59600 kbps bc 250 ms pir ?
<1-80000000000> Peak Information Rate in bps/kbps/mbps/gbps
SITE1-AGG1(config-pmap-c)# police cir 59600 kbps bc 250 ms pir 100 mbps ?
<CR>
<1-512000000> Peak Burst Size in bytes/kbytes/mbytes/packets/ms/us
be Specify extended burst
conform Specify a conform action
SITE1-AGG1(config-pmap-c)# police cir 59600 kbps bc 250 ms pir 100 mbps conform ?
drop Drop the packet
set-cos-transmit Set conform action cos val
set-dscp-transmit Set conform action dscp val
set-prec-transmit Set conform action precedence val
transmit Transmit the packet
SITE1-AGG1(config-pmap-c)# police cir 59600 kbps bc 250 ms pir 100 mbps conform
set-dscp-transmit ef exceed set dscp1 dscp2 table cir-markdown-map violate
set1 dscp3 dscp4 table1 pir-markdown-map
SITE1-AGG1(config-pmap-c)#
Appliquez la stratégie CoPP personnalisée au plan de contrôle de l'interface globale. Utilisez la commande show copp status afin de vérifier que la stratégie CoPP a été appliquée correctement.
SITE1-AGG1# conf t
Enter configuration commands, one per line. End with CNTL/Z.
SITE1-AGG1(config)# control-plane
SITE1-AGG1(config-cp)# service-policy input ?
copp-policy-strict-CUSTOMIZED-COPP
SITE1-AGG1(config-cp)# service-policy input copp-policy-strict-CUSTOMIZED-COPP
SITE1-AGG1(config-cp)# exit
SITE1-AGG1# sh copp status
Last Config Operation: service-policy input copp-policy-strict-CUSTOMIZED-COPP
Last Config Operation Timestamp: 18:04:03 UTC May 15 2012
Last Config Operation Status: Success
Policy-map attached to the control-plane: copp-policy-strict-CUSTOMIZED-COPP
Cette section décrit un exemple réel dans lequel le client a besoin de plusieurs périphériques de surveillance pour envoyer fréquemment des requêtes ping aux interfaces locales. Dans ce scénario, des difficultés se présentent lorsque le client souhaite modifier la stratégie CoPP afin de :
La solution est présentée dans l'exemple suivant, qui consiste à créer une stratégie personnalisée avec une carte de classe distincte. La class-map séparée contient les adresses IP spécifiées des périphériques de surveillance et la class-map a un CIR plus élevé. Ceci laisse également la surveillance de la carte de classe d'origine, qui capture le trafic ICMP pour toutes les autres adresses IP à un débit de données garanti inférieur.
F340.13.19-Nexus7000-1#
F340.13.19-Nexus7000-1#
F340.13.19-Nexus7000-1# conf t
Enter configuration commands, one per line. End with CNTL/Z.
F340.13.19-Nexus7000-1(config)# copp copy profile strict prefix TAC_CHANGE
F340.13.19-Nexus7000-1(config)#
F340.13.19-Nexus7000-1(config)#
F340.13.19-Nexus7000-1(config)# ip access-list TAC_CHANGE-copp-acl-specific-icmp
F340.13.19-Nexus7000-1(config-acl)#
F340.13.19-Nexus7000-1(config-acl)# permit icmp host 1.1.1.1 host 2.2.2.2 echo
F340.13.19-Nexus7000-1(config-acl)# permit icmp host 1.1.1.1 host 2.2.2.2 echo-reply
F340.13.19-Nexus7000-1(config-acl)#
F340.13.19-Nexus7000-1(config-acl)# exit
F340.13.19-Nexus7000-1(config)# sho ip access-lists TAC_CHANGE-copp-acl-specific-
icmp IP access list TAC_CHANGE-copp-acl-specific-icmp
10 permit icmp 1.1.1.1/32 2.2.2.2/32 echo
20 permit icmp 1.1.1.1/32 2.2.2.2/32 echo-reply
F340.13.19-Nexus7000-1(config)#
F340.13.19-Nexus7000-1(config)#
F340.13.19-Nexus7000-1(config)# class-map type control-plane match-any
TAC_CHANGE-copp-class-specific-icmp
F340.13.19-Nexus7000-1(config-cmap)# match access-group name TAC_CHANGE-copp
-acl-specific-icmp
F340.13.19-Nexus7000-1(config-cmap)#exit
F340.13.19-Nexus7000-1(config)#
F340.13.19-Nexus7000-1(config)#policy-map type control-plane TAC_CHANGE-copp-
policy-strict
F340.13.19-Nexus7000-1(config-pmap)# class TAC_CHANGE-copp-class-specific-icmp
insert-before
TAC_CHANGE-copp-class-monitoring
F340.13.19-Nexus7000-1(config-pmap-c)# set cos 7
F340.13.19-Nexus7000-1(config-pmap-c)# police cir 5000 kbps bc 250 ms conform transmit
violate drop
F340.13.19-Nexus7000-1(config-pmap-c)# exit
F340.13.19-Nexus7000-1(config-pmap)#
F340.13.19-Nexus7000-1(config-pmap)#
F340.13.19-Nexus7000-1(config-pmap)#
F340.13.19-Nexus7000-1(config-pmap)#
F340.13.19-Nexus7000-1(config-pmap)# exit
F340.13.19-Nexus7000-1(config)#
F340.13.19-Nexus7000-1(config)#
F340.13.19-Nexus7000-1(config)# control-plane
F340.13.19-Nexus7000-1(config-cp)# service-policy input TAC_CHANGE-copp-policy-strict
F340.13.19-Nexus7000-1(config-cp)# end
F340.13.19-Nexus7000-1#
F340.13.19-Nexus7000-1# sho policy-map interface control-plane
Control Plane
service-policy input TAC_CHANGE-copp-policy-strict
<abbreviated output>
class-map TAC_CHANGE-copp-class-specific-icmp (match-any)
match access-group name TAC_CHANGE-copp-acl-specific-icmp
set cos 7
police cir 5000 kbps bc 250 ms
conform action: transmit
violate action: drop
module 4:
conformed 0 bytes,
5-min offered rate 0 bytes/sec
peak rate 0 bytes/sec
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
module 7:
conformed 0 bytes,
5-min offered rate 0 bytes/sec
peak rate 0 bytes/sec
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/secclass-map TAC_CHANGE-copp-class-monitoring (match-any)
match access-group name TAC_CHANGE-copp-acl-icmp
match access-group name TAC_CHANGE-copp-acl-icmp6
match access-group name TAC_CHANGE-copp-acl-mpls-oam
match access-group name TAC_CHANGE-copp-acl-traceroute
match access-group name TAC_CHANGE-copp-acl-http-response
match access-group name TAC_CHANGE-copp-acl-smtp-response
match access-group name TAC_CHANGE-copp-acl-http6-response
match access-group name TAC_CHANGE-copp-acl-smtp6-response
set cos 1
police cir 130 kbps bc 1000 ms
conform action: transmit
violate action: drop
module 4:
conformed 0 bytes,
5-min offered rate 0 bytes/sec
peak rate 0 bytes/sec
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
module 7:
conformed 0 bytes,
5-min offered rate 0 bytes/sec
peak rate 0 bytes/sec
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
<abbreviated output>
La structure de données CoPP BPP est construite comme suit :
mac access-list copp-system-p-acl-mac-fabricpath-isis
permit any 0180.c200.0015 0000.0000.0000
permit any 0180.c200.0014 0000.0000.0000
ip access-list copp-system-p-acl-bgp
permit tcp any gt 1024 any eq bgp
permit tcp any eq bgp any gt 1024
class-map type control-plane match-any copp-system-p-class-critical
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-pim
<snip>
match access-group name copp-system-p-acl-mac-fabricpath-isis
policy-map type control-plane copp-system-p-policy-dense
class copp-system-p-class-critical
set cos 7
police cir 5000 kbps bc 250 ms conform transmit violate drop
La configuration du facteur d'échelle introduite dans Cisco NX-OS version 6.0 permet d'adapter le taux de régulateur de la stratégie CoPP appliquée à une carte de ligne particulière. Cela augmente ou réduit le taux de régulateur pour une carte de ligne particulière, mais ne modifie pas la stratégie CoPP actuelle. Les modifications entrent en vigueur immédiatement et il n'est pas nécessaire de réappliquer la politique CoPP.
scale factor option configured within control-plane interface:
Scale-factor <scale factor value> module <module number>
<scale factor value>: from 0.10 to 2.00
Scale factor is recommended when a chassis is loaded with both F2 and M
Series modules.
SITE1-AGG1# conf t
Enter configuration commands, one per line. End with CNTL/Z.
SITE1-AGG1(config)# control-plane
SITE1-AGG1(config-cp)# scale-factor ?
<whole>.<decimal> Specify scale factor value from 0.10 to 2.00
SITE1-AGG1(config-cp)# scale-factor 1.0 ?
module Module
SITE1-AGG1(config-cp)# scale-factor 1.0 module ?
<1-10> Specify module number
SITE1-AGG1(config-cp)# scale-factor 1.0 module 4
SITE1-AGG1# show system internal copp info
<snip>
Linecard Configuration:
-----------------------
Scale Factors
Module 1: 1.00
Module 2: 1.00
Module 3: 1.00
Module 4: 1.00
Module 5: 1.00
Module 6: 1.00
Module 7: 1.00
Module 8: 1.00
Module 9: 1.00
Module 10: 1.00
Avec Cisco NX-OS version 5.1, il est possible de configurer un seuil de perte par nom de classe CoPP qui déclenche un message Syslog en cas de dépassement du seuil. La commande est logging drop threshold <nombre d'octets supprimés> level <niveau de journalisation>.
SITE1-AGG1(config)# policy-map type control-plane
copp-policy-strict-CUSTOMIZED-COPP
SITE1-AGG1(config-pmap)# class copp-class-critical-CUSTOMIZED-COPP
SITE1-AGG1(config-pmap-c)# logging ?
drop Logging for dropped packets
SITE1-AGG1(config-pmap-c)# logging drop ?
threshold Threshold value for dropped packets
SITE1-AGG1(config-pmap-c)# logging drop threshold ?
<CR>
<1-80000000000> Dropped byte count
SITE1-AGG1(config-pmap-c)# logging drop threshold 100 ?
<CR>
level Syslog level
SITE1-AGG1(config-pmap-c)# logging drop threshold 100 level ?
<1-7> Specify the logging level between 1-7
SITE1-AGG1(config-pmap-c)# logging drop threshold 100 level 7
Voici un exemple de message Syslog :
%COPP-5-COPP_DROPS5: CoPP drops exceed threshold in class:
copp-system-class-critical,
check show policy-map interface control-plane for more info.
CoPP prend en charge les mêmes statistiques QoS que toute autre interface. Il affiche les statistiques des classes qui constituent la stratégie de service pour chaque module d'E/S prenant en charge CoPP. Utilisez la commande show policy-map interface control-plane pour afficher les statistiques de CoPP.
Note: Toutes les classes doivent être surveillées en termes de paquets violés.
SITE1-AGG1# show policy-map interface control-plane
Control Plane
service-policy input: copp-policy-strict-CUSTOMIZED-COPP
class-map copp-class-critical-CUSTOMIZED-COPP (match-any)
match access-group name copp-acl-bgp-CUSTOMIZED-COPP
match access-group name copp-acl-bgp6-CUSTOMIZED-COPP
match access-group name copp-acl-eigrp-CUSTOMIZED-COPP
match access-group name copp-acl-igmp-CUSTOMIZED-COPP
match access-group name copp-acl-msdp-CUSTOMIZED-COPP
match access-group name copp-acl-ospf-CUSTOMIZED-COPP
match access-group name copp-acl-ospf6-CUSTOMIZED-COPP
match access-group name copp-acl-pim-CUSTOMIZED-COPP
match access-group name copp-acl-pim6-CUSTOMIZED-COPP
match access-group name copp-acl-rip-CUSTOMIZED-COPP
match access-group name copp-acl-rip6-CUSTOMIZED-COPP
match access-group name copp-acl-vpc-CUSTOMIZED-COPP
match access-group name copp-acl-eigrp6-CUSTOMIZED-COPP
match access-group name copp-acl-mac-l2pt-CUSTOMIZED-COPP
match access-group name copp-acl-mpls-ldp-CUSTOMIZED-COPP
match access-group name copp-acl-mpls-oam-CUSTOMIZED-COPP
match access-group name copp-acl-mpls-rsvp-CUSTOMIZED-COPP
match access-group name copp-acl-otv-as-CUSTOMIZED-COPP
match access-group name copp-acl-mac-otv-isis-CUSTOMIZED-COPP
match access-group name copp-acl-mac-fabricpath-isis-CUSTOMIZED-COPP
match protocol mpls router-alert
match protocol mpls exp 6
set cos 7
threshold: 100, level: 7
police cir 39600 kbps , bc 250 ms
module 1 :
conformed 22454 bytes; action: transmit
violated 0 bytes; action: drop
module 2 :
conformed 0 bytes; action: transmit
violated 0 bytes; action: drop
module 3 :
conformed 19319 bytes; action: transmit
violated 0 bytes; action: drop
module 4 :
conformed 0 bytes; action: transmit
violated 0 bytes; action: drop
Afin d'obtenir une vue globale des compteurs conformés et violés pour tous les modules de carte de classe et d'E/S, utilisez le plan de contrôle d'interface show policy-map | i « class|conformement|Violé ».
SITE1-AGG1# show policy-map interface control-plane | i "class|conform|violated"
class-map copp-class-critical-CUSTOMIZED-COPP (match-any)
conformed 123126534 bytes; action: transmit
violated 0 bytes; action: drop
conformed 0 bytes; action: transmit
violated 0 bytes; action: drop
conformed 107272597 bytes; action: transmit
violated 0 bytes; action: drop
conformed 0 bytes; action: transmit
violated 0 bytes; action: drop
class-map copp-class-important-CUSTOMIZED-COPP (match-any)
conformed 0 bytes; action: transmit
violated 0 bytes; action: drop
conformed 0 bytes; action: transmit
violated 0 bytes; action: drop
conformed 0 bytes; action: transmit
violated 0 bytes; action: drop
conformed 0 bytes; action: transmit
violated 0 bytes; action: drop
La classe copp-class-l2-default et la classe-default doivent être surveillées pour s'assurer qu'il n'y a pas d'augmentations élevées, même pour les compteurs conformes. Idéalement, ces deux classes doivent avoir des valeurs faibles pour le compteur conforme et au moins aucune augmentation de compteur non violée.
La commande statistics per-entry n'est pas prise en charge pour les listes de contrôle d'accès IP ou MAC utilisées dans la carte de classe CoPP, et elle n'a aucun effet lorsqu'elle est appliquée à la liste de contrôle d'accès IP CoPP ou MAC. (Aucune vérification CLI n'est effectuée par l'analyseur CLI). Afin d'afficher les résultats de la liste de contrôle d'accès MAC ou IP CoPP sur un module d'E/S, utilisez la commande show system internal access-list input detail.
Voici un exemple :
!! 0180.c200.0041 is the destination MAC used for FabricPath IS-IS
SITE1-AGG1# show system internal access-list input entries det | grep 0180.c200.0041
[00fc:00f7:00f7] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [30042]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [29975]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [8965]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [8935]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [58233]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [27689]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[00fc:00f7:00f7] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
[0148:00fe:00fe] qos 0000.0000.0000 0000.0000.0000 0180.c200.0041 ffff.ffff.ffff [0]
Voici les meilleures pratiques recommandées pour la configuration CoPP :
Voici les meilleures pratiques recommandées pour la surveillance CoPP :
Ces fonctionnalités ne sont pas prises en charge :
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
04-Dec-2014 |
Première publication |