在带MSFC的Catalyst 6000交换机上进行IP MLS配置和故障排除
目录
简介
本文档是有关验证和如何在Catalyst 6500/6000上读取多层交换(MLS)命令的指南。本文档简要回顾了MLS的含义,并举例说明了如何使用MLS。根据这些实例,本文档将说明如何检查MLS的运行,并提供配置MLS的简要的故障诊断技巧
本文档仅适用于配备有以下硬件的 Catalyst 6500/6000 系列交换机:
-
运行Catalyst OS (CatOS) 软件的Supervisor Engine 1A
-
Policy Feature Card (PFC)
-
多层交换机特性卡 (MSFC)
注意:使用任何其他硬件配置(如Supervisor引擎2或多层交换模块(MSM))时,本文档无效。 在 Supervisor 引擎 1A 和 MSFC 上运行 Cisco IOS® 软件时,本文档也不适用。
有关在采用 Supervisor 引擎 2 并运行 CatOS 软件的 Catalyst 6500/6000 系列交换机上排除单播路由故障的类似信息,请参考对带有 Supervisor 引擎 2 且运行 CatOS 系统软件的 Catalyst 6500/6000 系列交换机上涉及 CEF 的单播 IP 路由进行故障检修。
有关专业术语MLS及其操作的更完整的说明,请参阅“相关信息”部分。
开始使用前
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
先决条件
本文档没有任何特定的前提条件。
使用的组件
本文档中的信息基于以下软件和硬件版本。
-
配有MSFC的Catalyst 6500/6000
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
MSFC上的MLS概述
MSFC(多层交换特性卡)是Catalyst 6500/6000 系列 交换机的第二代路由引擎,每秒钟可以路由1500万个包。MSFC只能在装有PFC(策略特性卡)的Supervisor上运行。MSFC 采用 PFC 执行内部 MLS,行为类似于 Catalyst 5000 上的 NetFlow 功能卡 (NFFC)。此内部 MLS 不可见,并且仅限于交换机:内部MLS是不可见的,并且只限于交换机:它不需要配置即可运行,它支持IP、IPX和IP组播的硬件快捷方式。MSFC的配置与使用VLAN接口的RSM或RSFC的配置相似。您可以通过Session 15(用于管理引擎插槽1中的MSFC)或者Session 16(用于管理引擎插槽2中的MSFC)来访问它。
原理类似于 Catalyst 5000 上的多层交换协议 (MLSP)。第一个数据包由 MSFC 路由,并且 PFC 创建一个捷径,由同一个流的所有后续包使用。Catalyst 5000上的MLSP要求MLS-SE和MLS-RP之间的IP通信,而Catalyst 6500/6000上的MLS则不同,它通过串行信道(SCP)上MSFC和PFC之间的通信来运行。
PFC 不能是 Catalyst 5000 MLS 环境的 MLS-SE;不过,MSFC 可以是网络中其他 Catalyst 5000 的 MLS-RP。在这种情况下,您应配置 MSFC 使用与任何其他用作 MLS RP 的 Cisco IOS 路由器相同的 mls rp ip 命令。
示例 1:两个 VLAN 之间的 MSFC 路由
Catalyst 6000上用于单播IP的MLS是即插即用的。您不需要配置它。以下是示例配置,其中tamer是一台Catalyst 6000,它有一个称为tamer-msfc的MSFC。在MSFC上配置VLAN 11和12之间的路由,不需要与MLS相关的单个命令。请记住,在Supervisor引擎不进行任何与MLS相关的配置。
tamer-msfc#wr t Building configuration... Current configuration: ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname tamer-msfc ! boot system flash bootflash:c6msfc-ds-mz.121-1.E2.bin ! ip subnet-zero ip cef ! interface Vlan11 ip address 11.1.1.2 255.255.255.0 ! interface Vlan12 ip address 12.1.1.2 255.255.255.0 ! router eigrp 1 network 11.0.0.0 network 12.0.0.0 no auto-summary ! ip classless no ip http server ! ! line con 0 transport input none line vty 0 4 login ! end
读show mls条目和基本检查
以下是您在Supervisor上执行sh mls命令时应该得到的输出。
tamer (enable) show mls Total packets switched = 8 !--- Number of packet shortcuted by MLS. Total Active MLS entries = 0 !--- Number of flows currently existing. MSFC 11.1.1.2 (Module 15) entries = 0 IP Multilayer switching aging time = 256 seconds IP Multilayer switching fast aging time = 0 seconds, packet threshold = 0 IP Current flow mask is Destination flow Active IP MLS entries = 0 Netflow Data Export version: 7 Netflow Data Export disabled Netflow Data Export port/host is not configured. Total packets exported = 0 IP MSFC ID Module XTAG MAC Vlans --------------- ------ ---- ----------------- ---------------- 11.1.1.2 15 1 00-d0-d3-9c-9e-3c 12,11 !--- MSFC recognized by the switch.
show mls 命令输出应始终有一个 IP MSFC ID。如果在发出 show mls 命令时看不到 IP MSFC ID,请验证以下内容:
-
MSFC是否开通并正在运行(例如不是处于ROMmon模式)
-
MLS在MSFC上是否仍处于激活状态
您可以在MSFC 上执行以下命令来对此进行检查:
tamer-msfc#show mls status MLS global configuration status: global mls ip: enabled !--- Should be enabled for unicast IP. global mls ipx: enabled global mls ip multicast: disabled current ip flowmask for unicast: destination only current ipx flowmask for unicast: destination only
通过使用show mls status命令,您可以确定是否为IP、IPX和IP组播激活了MLS。这些功能始终应默认启用;不过,可以通过在配置模式下发出以下命令禁用它们:
no mls ip
no mls ip 命令只能用于调试的目的。此命令在全局配置模式下为隐藏命令。您也可以通过在接口配置模式下发出 no mls ip 命令,针对每个 VLAN 接口禁用 MLS
注意:请勿在MSFC上发出show mls rp命令。以下命令输出指示 MLS 已禁用。但是,上面在Supervisor引擎上发出的show mls命令输出表明MLS工作正常。出现差异的原因是当处理与Catalyst 5000交换机连接的MLS-rp时,应该使用show mls rp命令。
tamer-msfc#show mls rp ip multilayer switching is globally disabled ipx multilayer switching is globally disabled ipx mls inbound acl override is globally disabled mls id is 00d0.d39c.9e04 mls ip address 0.0.0.0 mls ip flow mask is unknown mls ipx flow mask is unknown number of domains configured for mls 0
候选数据包是可能建立MLS捷径的数据包。其目标 MAC 地址与运行 MLS 的路由器的 MAC 地址相同。在本例中,MSFC的MAC地址是00-d0-d3-9c-9e-3c (show mls)。 我们可以通过执行以下命令show cam mac_address来检查该交换机是否知道交换机上的这个MAC地址就是路由器MAC地址:
tamer (enable) show cam 00-d0-d3-9c-9e-3c * = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry. X = Port Security Entry VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs / [Protocol Type] ---- ------------------ ----- ------------------------------------------- 11 00-d0-d3-9c-9e-3c R# 15/1 12 00-d0-d3-9c-9e-3c R# 15/1 Total Matching CAM Entries Displayed = 2
通过这个输出我们可以确定该交换机知道这个MAC地址就是链接到端口15/1(插槽1中的MSFC端口)的路由器条目。
如果在交换机Supervisor引擎上执行show mls命令时,仍然看不到MSFC,请检查以下命令:
tamer (enable) show mls rlog l2 SWLOG at 815d0c50: magic 1008, size 51200, cur 815d4170, end 815dd460 Current time is: 08/08/00,17:13:25 118 08/08/00,17:13:16:(RouterConfig)Router_cfg: router_add_MAC_to_earl 00-d0-d3- 9c-9e-3c added for mod 15/1 Vlan 12 Earl AL =0 117 08/08/00,17:13:16:(RouterConfig)Router_Cfg: Process add mls entry for mod 15 /1 vlan 12, i/f 1, proto 0, LC 3 116 08/08/00,17:13:16:(RouterConfig)Router_cfg: router_add_MAC_to_earl 00-d0-d3- 9c-9e-3c added for mod 15/1 Vlan 11 Earl AL =0 115 08/08/00,17:13:16:(RouterConfig)Router_Cfg: Process add mls entry for mod 15 /1 vlan 11, i/f 1, proto 0, LC 3
该命令向您显示交换机正在接收来自MSFC的消息,我们还能看到添加了路由器条目。
读show mls输出表
检查show mls条目,该条目显示包括所有快捷方式的完整MLS表。您可以从以下输出中发现我们正在接收所有的流:
tamer (enable) show mls entry Destination-IP Source-IP Prot DstPrt SrcPrt Destination-MAC Vlan EDst --------------- --------------- ----- ------ ------ ----------------- ---- ---- MSFC 11.1.1.2 (Module 15): 10.68.5.1 - - - - 00-d0-00-3f-a3-ff 8 ARPA 12.1.1.1 - - - - 00-00-0c-8c-70-88 12 ARPA 11.1.1.1 - - - - 00-00-0c-09-50-66 11 ARPA ESrc DPort SPort Stat-Pkts Stat-Bytes Uptime Age ---- ------ ------ ---------- ----------- -------- -------- ARPA 1/3 7/3 4 400 00:00:02 00:00:02 ARPA 7/4 7/3 4 400 00:00:08 00:00:08 ARPA 7/3 7/4 9 900 00:00:08 00:00:08 Destination-IPX Destination-MAC Vlan EDst ESrc Port Stat-Pkts ------------------------- ----------------- ---- ---- ---- ----- ---------- Stat-Bytes Uptime Age ----------- -------- -------- MSFC 11.1.1.2 (Module 15): Total entries displayed: 2 tamer (enable)
注意:每个目标创建一个流。如上面输出的最后两行所示,从 12.1.1.1 到 11.1.1.1 的 ping 将创建两个流(每个方向一个)。
以下是对表中信息的一些描述:
-
目的地IP、源IP、Prot、DstPrt和SrcPrt是用于创建捷径的字段。在本例中,由于我们使用“只有目的地”流,因此只存储流的目的地IP地址。只缓存流的目标 IP 地址。通过修改流掩码可以对此进行更改,本文档稍后对此进行说明。
-
目的地MAC是用于重写数据包目的地MAC的MAC地址。利用MSFC的MAC地址来重写源MAC地址。
-
VLAN显示我们到达该IP地址所需要的目的地VLAN(例如,如果需要将数据包发送到中继线,我们就需要该信息)。目标 VLAN 非常重要,例如当需要在中继上发送数据包时。
-
Dport和Sport是流的目的地端口和源端口。
-
Stat-Pkts和Stat-Bytes向您提供有关数据包数量的统计信息,这些包从创建流开始就使用该捷径。
-
正常运行时间是自流创建后的时间。
-
老化时间是最后一次使用该流后消逝的时间。
现在,让我们将流改变成目的地-源。show mls entry命令输出显示正在缓存的源IP地址和目的地IP地址。此外,请注意我们现在正在为每个源IP地址创建一个不同的流,该源IP地址正在与同一个目的地IP地址通信(请注意下面的前两个流):
tamer (enable) set mls flow destination-source Configured IP flowmask is set to destination-source flow. Warning: Configuring more specific flow mask may increase the number of MLS entries dramatically. tamer (enable) 2000 Aug 09 17:05:12 %MLS-5-FLOWMASKCHANGE:IP flowmask changed from DEST to DEST-SRC tamer (enable) show mls entry Destination-IP Source-IP Prot DstPrt SrcPrt Destination-MAC Vlan EDst --------------- --------------- ----- ------ ------ ----------------- ---- ---- MSFC 11.1.1.2 (Module 15): 11.1.1.1 12.1.1.1 - - - 00-00-0c-09-50-66 11 ARPA 11.1.1.1 10.68.5.1 - - - 00-00-0c-09-50-66 11 ARPA 10.68.5.1 11.1.1.1 - - - 00-d0-00-3f-a3-ff 8 ARPA 12.1.1.1 11.1.1.1 - - - 00-00-0c-8c-70-88 12 ARPA MSFC 0.0.0.0 (Module 16): ESrc DPort Sport Stat-Pkts Stat-Bytes Uptime Age ---- ------ ------ ---------- ----------- -------- -------- ARPA 7/3 7/4 4 400 00:00:02 00:00:02 ARPA 7/3 1/3 4 400 00:00:32 00:00:32 ARPA 1/3 7/3 4 400 00:00:32 00:00:32 ARPA 7/4 7/3 4 400 00:00:02 00:00:02 Destination-IPX Destination-MAC Vlan EDst ESrc Port ------------------------- ----------------- ---- ---- ---- ----- ---------- Stat-Pkts Stat-Bytes Uptime Age ----------- -------- -------- MSFC 11.1.1.2 (Module 15): MSFC 0.0.0.0 (Module 16): Total entries displayed: 4 tamer (enable)
第三个选择是设置MLS使用全流。我们会执行一些ping操作和远程会话,来看怎样在TCP端口生成不同的流。以下是在处理少数ping和Telnet会话时MLS表的情形。由于使用的是完整流,因而产生的流总量增加得非常快,而且现在我们可以看到MLS表缓存的信息中使用的TCP端口。TCP 端口信息得以缓存,并显示在 MLS 表中。
tamer (enable) set mls flow full Configured IP flowmask is set to full flow. Warning: Configuring more specific flow mask may increase the number of MLS entries dramatically. Tamer (enable) 2000 Aug 09 17:30:01 %MLS-5-FLOWMASKCHANGE:IP flowmask changed from DEST to FULL tamer (enable) tamer (enable) show mls entry Destination-IP Source-IP Prot DstPrt SrcPrt Destination-MAC Vlan EDst --------------- --------------- ----- ------ ------ ----------------- ---- ---- MSFC 11.1.1.2 (Module 15): 12.1.1.1 11.1.1.1 ICMP - - 00-00-0c-8c-70-88 12 ARPA 11.1.1.1 12.1.1.1 TCP 11001 Telnet 00-00-0c-09-50-66 11 ARPA 12.1.1.1 11.1.1.1 TCP* Telnet 11001 00-00-0c-8c-70-88 12 ARPA 11.1.1.1 10.68.5.1 TCP 11002 Telnet 00-00-0c-09-50-66 11 ARPA 10.68.5.1 11.1.1.1 ICMP - - 00-d0-00-3f-a3-ff 8 ARPA 10.68.5.1 11.1.1.1 TCP* Telnet 11002 00-d0-00-3f-a3-ff 8 ARPA 11.1.1.1 10.68.5.1 ICMP - - 00-00-0c-09-50-66 11 ARPA 11.1.1.1 12.1.1.1 ICMP - - 00-00-0c-09-50-66 11 ARPA ESrc DPort Sport Stat-Pkts Stat-Bytes Uptime Age ---- ------ ------ ---------- ----------- -------- -------- ARPA 7/4 7/3 4 400 00:00:30 00:00:30 ARPA 7/3 7/4 16 688 00:00:26 00:00:24 ARPA 7/4 7/3 18 757 00:00:26 00:00:24 ARPA 7/3 1/3 61 4968 00:00:16 00:00:06 ARPA 1/3 7/3 4 400 00:00:33 00:00:33 ARPA 1/3 7/3 69 2845 00:00:17 00:00:06 ARPA 7/3 1/3 4 400 00:00:33 00:00:33 ARPA 7/3 7/4 4 400 00:00:32 00:00:31 Destination-IPX Destination-MAC Vlan EDst ESrc Port Stat-Pkts ------------------------- ----------------- ---- ---- ---- ----- ---------- Stat-Bytes Uptime Age ----------- -------- -------- MSFC 11.1.1.2 (Module 15): Total entries displayed: 8
备注
-
在实际网络中,产生的流总量最多可达几千。发出show mls entry ip [destination|source]命令以显示特定流,而不是显示完整的流表,如下所示。
tamer (enable) show mls entry ip destination 12.1.1.1 Destination-IP Source-IP Prot DstPrt SrcPrt Destination-MAC Vlan EDst --------------- --------------- ----- ------ ------ ----------------- ---- ---- MSFC 11.1.1.2 (Module 15): 12.1.1.1 - - - - 00-00-0c-8c-70-88 12 ARPA ESrc DPort Sport Stat-Pkts Stat-Bytes Uptime Age ---- ------ ------ ---------- ----------- -------- -------- ARPA 7/4 7/3 4 400 00:00:30 00:00:30
-
您可以使用 show mls statistic 命令来检查流的统计信息。
tamer (enable) show mls statistics entry ip 15 Last Used Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes --------------- --------------- ---- ------ ------ ---------- --------------- MSFC 11.1.1.2 (Module 15): 12.1.1.1 11.1.1.1 ICMP - - 9 900 11.1.1.1 10.68.5.1 TCP 11005 Telnet 20 913 11.1.1.1 10.68.5.1 TCP 11004 Telnet 0 0 10.68.5.1 11.1.1.1 ICMP - - 4 400 10.68.5.1 12.1.1.1 ICMP - - 9 900 12.1.1.1 10.68.5.1 ICMP - - 4 400 11.1.1.1 10.68.5.1 ICMP - - 4 400 11.1.1.1 12.1.1.1 ICMP - - 9 900
特定连接的故障检修
如果与特定IP地址的连接或者两台主机之间的连接有问题,请尝试以下措施:
-
发出show mls entry ip [destination|source]命令,查看流是否已创建。
-
在一行中多次发出show mls statistics entry [source|destination]命令,以查看该快捷方式的stat-pakts计数器是否在增加。
-
检查相关的流。
例如,对于TFTP服务器12.1.1.1和TFTP 客户端11.1.1.1之间的大型文件FTP会话来说,您需要检查以下两个流:
-
目的地12.1.1.1的流,该流应该只得到TFTP许可的确认(小包)(如果使用了目的地 - 源流,则是流12.1.1.1的源)。
-
目的地11.1.1.1的流,该流应该得到许多大包的确认(实际文件传输)(如果使用了目的地 - 源流,则是流11.1.1.1的源)。
这是7.6M左右的文件在12.1.1.1和11.1.1.1之间的TFTP实例。下面是在TFTP开始之前的MLS统计表:
tamer (enable) show mls statistics entry Last Used Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes --------------- --------------- ---- ------ ------ ---------- --------------- MSFC 11.1.1.2 (Module 15): 12.1.1.1 11.1.1.1 ICMP - - 4 400 11.1.1.1 12.1.1.1 ICMP - - 4 400 12.1.1.1 11.1.1.1 TCP 11000 Telnet 20 894
这里,TFTP正好已经开始,我们可以看到为TFTP流创建的其它两个流(udp端口69):下面显示的是为 TFTP 流量(UDP 端口 69)创建的另外两个流。
tamer (enable) show mls statistics entry
Last Used
Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes
--------------- --------------- ---- ------ ------ ---------- ---------------
MSFC 11.1.1.2 (Module 15):
12.1.1.1 11.1.1.1 ICMP - - 4 400
12.1.1.1 11.1.1.1 UDP 69 50532 343 10997
11.1.1.1 12.1.1.1 ICMP - - 4 400
11.1.1.1 12.1.1.1 UDP 50532 69 343 186592
12.1.1.1 11.1.1.1 TCP 11000 Telnet 20 894
在这里,TFTP传输正好结束,可以看到我们在14903个包内由服务器向客户端大约传输了8.1 M,每个包的大小平均为544个字节。在 14,903 个数据包中从服务器到客户端传输了共约 8.1 MB 的数据,平均每个数据包 544 个字节。在其它方向上,我们已经收到相同数量的包,平均大小为476949除以14904,即平均为33个字节。
Tamer (enable) show mls statistics entry
Last Used
Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes
--------------- --------------- ---- ------ ------ ---------- ---------------
MSFC 11.1.1.2 (Module 15):
12.1.1.1 11.1.1.1 ICMP - - 4 400
12.1.1.1 11.1.1.1 UDP 69 50532 14904 476949
11.1.1.1 12.1.1.1 ICMP - - 4 400
11.1.1.1 12.1.1.1 UDP 50532 69 14903 8107224
12.1.1.1 11.1.1.1 TCP 11000 Telnet 20 894
这些表应该使您知道您的流量模式。
示例 2:配置了HSRP的同一机箱里的两个MSFC
以下是配置了HSRP的两个MSFC的运行配置,以及show standby 命令的输出。插槽 15 中的 MSFC 对 VLAN 12 处于活动状态,插槽 16 中的 MSFC 对 VLAN 11 处于活动状态。
| 插槽 15 | 插槽 16 |
|---|---|
tamer-msfc#wr t Building configuration... Current configuration: ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname tamer-msfc ! boot system flash bootflash: c6msfc-ds-mz.121-1.E2.bin ! ip subnet-zero ip cef ! ! ! ! interface Vlan1 ip address 10.200.11.120 255.255.252.0 ! interface Vlan8 ip address 10.68.5.2 255.255.252.0 ! interface Vlan11 ip address 11.1.1.2 255.255.255.0 no ip redirects standby 11 preempt standby 11 ip 11.1.1.3 ! interface Vlan12 ip address 12.1.1.2 255.255.255.0 no ip redirects standby 12 priority 105 preempt standby 12 ip 12.1.1.3 ! router eigrp 1 network 10.0.0.0 network 11.0.0.0 network 12.0.0.0 no auto-summary ! ip classless ! line con 0 transport input none line vty 0 4 login ! end |
tamer-msfc-2#wr t Building configuration... Current configuration: ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname tamer-msfc-2 ! boot system flash bootflash:c6msfc-jsv-mz.121-2.E.bin ! ip subnet-zero ! ! ! ! interface Vlan1 ip address 10.200.11.121 255.255.252.0 ! interface Vlan8 ip address 10.68.5.4 255.255.252.0 ! interface Vlan11 ip address 11.1.1.4 255.255.255.0 no ip redirects standby 11 priority 105 preempt standby 11 ip 11.1.1.3 ! interface Vlan12 ip address 12.1.1.4 255.255.255.0 no ip redirects standby 12 preempt standby 12 ip 12.1.1.3 ! router eigrp 1 network 10.0.0.0 network 11.0.0.0 network 12.0.0.0 no auto-summary ! ip classless! ! line con 0 transport input none line vty 0 4 login ! end |
tamer-msfc>show standby
Vlan11 - Group 11
Local state is Standby, priority 100,
may preempt
Hellotime 3 holdtime 10
Next hello sent in 00:00:00.814
Hot standby IP address is 11.1.1.3 configured
Active router is 11.1.1.4 expires in 00:00:09
Standby router is local
Standby virtual MAC address is 0000.0c07.ac0b
4 state changes, last state change 00:06:36
Vlan12 - Group 12
Local state is Active, priority 105,
may preempt
Hellotime 3 holdtime 10
Next hello sent in 00:00:02.380
Hot standby IP address is 12.1.1.3 configured
Active router is local
Standby router is 12.1.1.4 expires in 00:00:09
Standby virtual MAC address is 0000.0c07.ac0c
2 state changes, last state change 00:12:22
|
tamer-msfc-2#show standby
Vlan11 - Group 11
Local state is Active, priority 105,
may preempt
Hellotime 3 holdtime 10
Next hello sent in 00:00:02.846
Hot standby IP address is 11.1.1.3 configured
Active router is local
Standby router is 11.1.1.2 expires in 00:00:08
Standby virtual MAC address is 0000.0c07.ac0b
2 state changes, last state change 00:07:02
Vlan12 - Group 12
Local state is Standby, priority 100,
may preempt
Hellotime 3 holdtime 10
Next hello sent in 00:00:02.518
Hot standby IP address is 12.1.1.3 configured
Active router is 12.1.1.2 expires in 00:00:07,
priority 105
Standby router is local
Standby virtual MAC address is 0000.0c07.ac0c
4 state changes, last state change 00:04:08
|
上一个实例中的所有信息仍然有效。让我们配置完HSRP后检查一些MLS命令,以便查看该命令改变的部分。
执行Show mls命令
tamer (enable) show mls
Total packets switched = 29894
Total Active MLS entries = 0
MSFC 11.1.1.2 (Module 15) entries = 0
MSFC 10.200.11.121 (Module 16) entries = 0
IP Multilayer switching aging time = 256 seconds
IP Multilayer switching fast aging time = 0 seconds, packet threshold = 0
IP Current flow mask is Full flow
Active IP MLS entries = 0
Netflow Data Export version: 7
Netflow Data Export disabled
Netflow Data Export port/host is not configured.
Total packets exported = 0
IP MSFC ID Module XTAG MAC Vlans
--------------- ------ ---- ----------------- ----------------
11.1.1.2 15 1 00-d0-d3-9c-9e-3c 12,11,8,1
00-00-0c-07-ac-0c 12
10.200.11.121 16 2 00-d0-bc-f0-07-b0 1,8,11,12
00-00-0c-07-ac-0b 11
IPX Multilayer switching aging time = 256 seconds
IPX flow mask is Destination flow
IPX max hop is 15
Active IPX MLS entries = 0
IPX MSFC ID Module XTAG MAC Vlans
--------------- ------ ---- ----------------- ----------------
11.1.1.2 15 1 - -
10.200.11.121 16 2 - -
-
现在PFC可以看到两个MLS路由器。
-
注意,对于我们看到的每一台路由器来说,HSRP组使用的MAC地址是00-00-0c-07-ac-xx。这些MAC地址是HSRP使用的虚拟MAC 地址。我们只看到连接到路由器的组11的MAC地址,该路由器对这个组(VLAN 12的插槽15以及VLAN 11的插槽16)有效。 这意味着除了包含作为MSFC MAC地址的目的地MAC地址的数据包以外,我们还要考虑候选数据包,这些包含有作为HSRP地址的目的地MAC地址。
-
正如第一个实例所述,我们还需要查看这些在第二层cam表中指向MSFC的HSRP地址:
tamer (enable) show cam 00-00-0c-07-ac-0c * = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry. X = Port Security Entry VLAN Dest MAC/Route Des [COs] Destination Ports or VCS / [Protocol Type] ---- ------------------ ----- ------------------------------------------- 12 00-00-0c-07-ac-0c R# 15/1 Total Matching CAM Entries Displayed = 1 tamer (enable) tamer (enable) show cam 00-00-0c-07-ac-0b * = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry. X = Port Security Entry VLAN Dest MAC/Route Des [COs] Destination Ports or VCS / [Protocol Type] ---- ------------------ ----- ------------------------------------------- 11 00-00-0c-07-ac-0b R# 16/1 Total Matching CAM Entries Displayed = 1 tamer (enable)
执行show mls entry命令
tamer (enable) show mls entry Destination-IP Source-IP Prot DstPrt SrcPrt Destination-MAC Vlan EDst --------------- --------------- ----- ------ ------ ----------------- ---- ---- MSFC 11.1.1.2 (Module 15): 11.1.1.1 12.1.1.1 ICMP - - 00-00-0c-09-50-66 11 ARPA MSFC 10.200.11.121 (Module 16): 12.1.1.1 11.1.1.1 ICMP - - 00-10-7b-3b-af-3b 12 ARPA ESrc DPort Sport Stat-Pkts Stat-Bytes Uptime Age ---- ------ ------ ---------- ----------- -------- -------- ARPA 7/3 7/4 4 400 00:00:03 00:00:03 ARPA 7/4 7/3 4 400 00:00:04 00:00:03 Destination-IPX Destination-MAC Vlan EDst ESrc Port Stat-Pkts ------------------------- ----------------- ---- ---- ---- ----- ---------- Stat-Bytes Uptime Age ----------- -------- -------- MSFC 11.1.1.2 (Module 15): MSFC 10.200.11.121 (Module 16):
-
我们现在有两个捷径表:一个是由第一个MSFC创建的流表,另一个是由第二个MSFC创建的流表。一个是由第一个 MSFC 创建的流表,另一个是由第二个 MSFC 创建的流表。
-
通过在11.1.1.1和12.1.1.1之间执行ping操作,从12.1.1.1到11.1.1的数据包进入交换机的VLAN 12,由于它是活动MSFC,因此从12.1.1到11.1.1的数据包被插槽15中的MSFC短路VLAN 12的HSRP路由器),而目的地11.1.1.1的快捷方式由插槽15中的MSFC创建。从11.1.1.1到12.1.1的数据包的快捷方式由插槽16中的MSFC在另一端创建。
故障排除提示
创建流
如果还没有创建流,请使用下面的故障排除提示:
-
执行 show mls 命令时,Supervisor Engine 是否可以看到具有全部预期 MAC 地址的 MSFC?
-
如果可以看到,请进入下一步
-
如果不能看到,请确定MSFC不是ROMmon模式。通过执行sh mls status命令来检查是否已激活MSFC上的MLS 。
-
-
执行show cam命令时,是否出现MSFC的MAC地址?它是否显示为路由器 CAM 条目 (R#)?
-
请检查是否已经在MSFC上配置了抑制MLS的功能。
-
通过查看您正在运行的软件版本的版本说明,检查可能对MLS有影响的功能。
-
限制举例:IP路由器命令限制
IP 路由器命令限制
命令 行为 clear ip route 清除为该MSFC执行第3层交换的所有交换机的全部MLS缓存条目。 ip routing no 形式清除所有MLS缓存条目并终止该MSFC上的IP MLS。 ip security(该命令的所有形式) 抑制接口上的IP MLS。 ip tcp compression-connections 抑制接口上的IP MLS。 ip tcp header-compression 抑制接口上的IP MLS。
-
-
检查您是否已经激活了要求软件处理而不是由硬件快捷方式处理的访问列表。请参见“IOS ACL的硬件和软件处理”获得更多信息
如果以上所列的所有提示都用过以后还有问题,那么请查看MSFC是否仍然正在被许多数据包击中 。
-
也许有某些东西使这些条目不断被清除。造成清除流表的可能原因包括:
-
路由振荡或任何第3层的不稳定性
-
改变了MSFC上的ARP缓存
-
Supervisor Engine上的流掩码被改变
-
目的地VLAN被删除
-
MSFC上的VLAN接口被关闭
-
-
通过软件转发(击中MSFC的数据包)而不是通过硬件快捷方式的一些其它原因可能包括:
-
具有IP选项集的数据包
-
TTL小于或等于1的数据包
-
需要被分割的数据包
-
-
使用哈希算法,您最多可以有128K的流。因此如果超过32K流,就可能会出现哈希冲突,这可能会导致数据包由软件路由。
-
一种避免太多流的方法可能是配置MLS流快速老化。
-
-
请记住,您只可以将MLS应用于IP、IPX和IPX组播。如果您有其它类型的流(例如AppleTalk),则由于使用软件路由,可能导致在MSFC上达到CPU峰值或者出现过多的数据包。
-
根据规定,IP MLS和IPX MLS默认是启用的,但IP组播MLS未被激活。如果您正在使用IP组播,则一定要根据配置指南中的规定激活组播MLS。
注意:Catalyst 6500/6000系列交换机上的生成树拓扑更改通知(TCN)或抖动端口不会导致MLS流表被清除,Catalyst 5000交换机上的MLS也是如此。
IP 记帐排除 MLS 流量
在 Cisco Catalyst 6500 系列中,多层交换 (MLS) 的部署方式是:一旦建立了流,流量就直接在 PFC 处进行交换(硬件交换),并且不经 MSFC 处理,因此缺乏连续记帐。启用 IP 记帐时,只记录新流或程序交换流(软件交换的流),即使如此也须等到条目进入数据库才能记录。因此,当您在这样的平台上启用 IP 记帐时,通常会显示上面的警告消息。
6500(config)#int fa8/40 6500(config-if)#ip accounting Accounting will exclude mls traffic when mls is enabled.
NetFlow Accounting 是首选方法。有关 NetFlow 的详细信息,请参阅配置 NetFlow 。
无法配置 interface-full 流掩码
C6500#mls flow ip interface-full % Unable to configure flow mask for ip protocol: interface-full. Reset to the default flow mask type: none
发出 show fm fie flowmask detail 命令,验证 NAT 是否已启用并使用 Intf Full Flow 掩码。
C6500#show fm fie flowmask detail
!--- Part of the output not shown
Primary Flowmasks registered by Features
----------------------------+------------------------+------------------
---
Feature Flowmask Flowmask Status
----------------------------+------------------------+------------------
---
IP_ACCESS_INGRESS Intf Full Flow Disabled/Unused
IP_ACCESS_EGRESS Intf Full Flow Disabled/Unused
NAT_INGRESS Intf Full Flow Enabled
NAT_EGRESS Intf Full Flow Enabled
!--- Remaining part of the output not shown
如果 NAT 使用 Intf Full Flow 掩码时您试图将 Netflow 配置为 interface-full ,就会出现一个问题,因为存在掩码冲突。若要使用 Netflow 统计,您可以尝试使用 interface-destination-source (mls flow ip interface-destination-source 命令),它与 Netflow 掩码使用没有冲突。
NDE 假设所有流都是使用相同的流掩码创建的。由于此限制,NDE 无法启用需要冲突流掩码的某些功能。硬件加速的 NAT 就是一个具体例子。NDE 和硬件加速的 NAT 互相排斥。
如果发生以下任何事件,NDE 就会失败:
-
启用了硬件加速的 NAT。
-
在交换机上配置了两个或多个具有冲突流掩码的功能。
反之,一旦 NDE 配置成功,就不能配置 NAT 在该硬件中工作,并且不能在交换机上配置流掩码要求有冲突的两个不同功能。
反馈