簡介
本文檔介紹原子計數器策略在交換矩陣上的工作方式。此功能允許您監控交換矩陣上的流量丟棄/過量資料包。
必要條件
需求
本文件沒有特定需求。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 思科以應用程式為中心的基礎架構(ACI)
- APIC版本1.0(3n)
- n9000-aci版本11.0(3n)
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
背景資訊
本文使用了以下縮寫:
- APIC — 應用策略基礎設施控制器
- TEP — 通道端點
- VRF — 虛擬路由和轉送
- TCAM — 三重內容可定址儲存器
- EPG — 終端組
- MO — 託管對象
「疑難解答」部分包含一些有助於理解該主題的重要資訊。最重要的是,測量的流量必須遍歷交換矩陣(枝葉>主幹>枝葉),才能利用所有原子計數器策略。為連線到同一枝葉的兩個端點建立策略將僅允許傳輸計數器遞增。
請注意,存在多種型別的原子計數器。本文檔介紹如何配置按需原子計數器策略。管理員可以開啟或關閉這些選項。還有一個「永遠線上」的原子計數器可以測量葉之間的流量。這些是TEP到TEP的原子計數器。可以在以下項中看到它們:
- dbgIngrTep(輸入TEP計數器)
- dbgEgrTep(輸出TEP計數器)
針對每個枝葉上的每個TEP對其計數。可以輪詢這些編號的應用策略基礎設施控制器(APIC),但不建議這樣做。對於有興趣監控其網路上流量的客戶而言,最佳操作方法就是配置按需計數器。
為了正常運作,原子計數器會翻動eVXLAN標頭中的「M」位元。它們不是隨著時間而遞增,而是隨著「資料包」而遞增。 M位告訴節點資料包的哪一組(奇數或偶數)遞增。原子計數器的工作方式是輪詢其各自的奇數和偶數庫上的計數器的節點。例如,由於配置了按需策略,APIC可能會測量枝葉1上的奇數庫和枝葉4上的偶數庫。這允許APIC從每個儲存體計數匯出已傳輸和已接收的資料包,然後根據差異匯出丟棄和超額資料包的數量。
配置按需策略時,如果TCAM條目匹配且設定了奇/偶位,計數器會遞增。這表示您必須通過兩個終端/終端組/IP之間的約定設定策略,然後嘗試測量原子計數器才能正常工作。
以下是配置原子策略計數器時要考慮的一些警告:
-
當終端位於不同租戶或位於同一租戶內的不同上下文(VRF)中時,不支援使用原子計數器。
-
在未獲知IP位址(IP位址為0.0.0.0)的純第2層組態中,不支援端點到EPG和EPG到端點原子計數器原則。在這些情況下,支援終端到終端和EPG到EPG策略。外部策略基於虛擬路由和轉發(VRF),需要學習的IP地址,並且受支援。
-
當原子計數器源或目標為終結點時,終結點必須為動態而非靜態。與動態端點(fv:CEp)不同,靜態端點(fv:StCEp)沒有原子計數器所需的子對象(fv:RsCEpToPathEp)。
-
在傳輸拓撲中,枝葉交換機未與所有主幹交換機完全網狀,因此枝葉到枝葉(TEP到TEP)計數器不能按預期工作。
-
對於枝葉到枝葉(TEP到TEP)原子計數器,一旦隧道數量增加硬體限制,系統會將模式從跟蹤模式更改為路徑模式,並且使用者不再顯示每主幹流量。
-
原子計數器不計算主幹代理流量。
-
在資料包進入交換矩陣之前或轉發到枝葉埠之前丟棄的資料包將被原子計數器忽略。
-
不會計算虛擬機器監控程式中交換的資料包(相同埠組和主機)。
-
原子計數器需要活動交換矩陣網路時間協定(NTP)策略。
-
以fvCEp作為源和/或目標配置的原子計數器策略僅計算從/到fvCEp託管對象(MO)中存在的MAC和IP地址的流量。 如果fvCEp MO具有空IP地址欄位,則無論該IP地址為何,該MAC地址的所有流量都會被計數。如果APIC已獲取一個fvCEp的多個IP地址,則僅從fvCEp MO中的一個IP地址發出的流量將計算為如前所述。為了配置特定IP地址的原子計數器策略,請使用fvIp MO作為源和/或目標。
-
如果fvCEp後面有fvIp,則必須新增基於fvIP的策略,而不是基於fvCEp的策略。
如需詳細資訊,請參閱思科APIC疑難排解指南 — 原子計數器指南和限制。
設定
為了配置原子計數器策略,請完成以下步驟:
- 確定要配置的原子計數器策略的型別。
- 建立策略。
- 新增要用於策略的篩選器。
確定要配置的原子策略型別
可以配置以下型別的按需原子計數器策略:
- EP到EP
- EP到EPG
- EP到Ext
- EPG到EP
- EPG到EPG
- EPG到IP
- IP外部
- IP到EPG
每個縮寫詞的含義如下:
- EP — 終端
- EPG — 終端組
- 外部 — 外部網路
- IP - IP地址
請注意,對於任何基於EP的策略,必須先在交換矩陣上學習端點,然後才能配置策略。
您選擇配置的策略型別將決定下一部分中必須配置的引數。
建立策略
本節中使用的螢幕截圖用於EPG到EPG策略。根據您配置的型別,您的檢視可能會有所不同,但核心概念將相同。
EP到EP
您可以在兩種源型別之間選擇:EP和IP。如果選擇EP,則選擇已在交換矩陣上獲知的端點。如果您選擇IP,則選擇在交換矩陣上獲知的端點以及IP地址。這樣,您就可以在決定特定終端和可能位於終端後面的特定IP主機之間更加細緻。
EPG到EPG
為策略選擇源和目標EPG。此度量從源EPG中的所有端點到目標EPG中的任何端點的流量。
EP到EPG
選擇源的過程與「EP到EP」策略相同。選擇目標的過程與「EPG到EPG」策略相同。
EP到Ext
選擇源的過程與「EP到EP」策略相同。必須輸入「外部IP」以指定交換矩陣外部的IP地址,該地址將用作計數器的目標。您可以通過將「/」置於地址後並指定子網大小來選擇特定IP地址或IP地址範圍。
EPG到EP
選擇源的過程與「EPG到EPG」策略相同。選擇目標的過程與「EP到EP」策略相同。
EPG到IP
選擇源的過程與「EPG到EPG」策略相同。選擇目標的過程與「EP到外部」策略相同。
IP外部
為流量選擇源IP地址,並在「源IP」欄位中輸入該地址。可以是特定IP地址或IP子網。選擇目標的過程與「EP到EP」策略相同。
IP到EPG
選擇源的過程與「Ext to IP」策略相同。選擇目標的過程與「EPG到EPG」策略相同。
新增要用於策略的篩選器
無論您配置何種型別的策略,此處顯示的螢幕都是一致的。請注意,原子計數器篩選器的對象型別與應用於交換矩陣中合約的篩選器的對象型別不同,儘管它們具有類似的功能。
- 名稱 — 在此處輸入原子計數器篩選器的名稱。請注意,此篩選器僅特定於此策略,不會重複使用。
- Protocol — 您可以從下拉選單中選擇協定,或輸入與0到255之間的協定對應的編號。0到255的範圍與IP資料包報頭中包含的IP協定編號相對應。
- 來源連線埠 — 您可以從下拉選單中選擇常用通訊協定之一,或輸入介於0和65535之間的數字。
- 目的地連線埠 — 您可以從下拉選單中選擇常用通訊協定之一,或輸入介於0和65535之間的數字。
- 描述 — 這只是對過濾器的描述,有助於識別。它不會影響此過濾器識別或未識別哪些流量。
還可以使用REST API配置原子計數器。以下是用於建立EPG到EPG策略的POST請求示例:
URL - https://<apic-ip>/api/node/mo/uni/tn-Leigh/epgToEpg-Test-Policy.json
JSON
{"dbgacEpgToEpg":
{"attributes":
{"dn":"uni/tn-Leigh/epgToEpg-Test-Policy",
"name":"Test-Policy",
"rn":"epgToEpg-Test-Policy",
"status":"created"},
"children":[
{"dbgacFilter":
{"attributes":
{"dn":"uni/tn-Leigh/epgToEpg-Test-Policy/filt-filter-all",
"name":"filter-all",
"rn":"filt-filter-all",
"status":"created"},
"children":[]}},
{"dbgacRsFromEpg":
{"attributes":
{"tDn":"uni/tn-Leigh/ap-Project-App/epg-EPG-1",
"status":"created,modified"},
"children":[]}},
{"dbgacRsToEpgForEpgToEpg":
{"attributes":
{"tDn":"uni/tn-Leigh/ap-Project-App/epg-EPG-2",
"status":"created"},
"children":[]
}
}
]
}
}
驗證
使用本節內容,確認您的組態是否正常運作。
驗證所配置的原子計數器策略是否運行的最簡單方法是確保在「Policy」頁籤下將「Administrative State」設定為「Enabled」。
要檢視策略上每個統計資訊的計數器,請導航到「操作」頁籤。在此您應該可以看到,如果流量流動,傳輸和允許的資料包數量將增加。如果丟棄1%或更多的資料包,則會觸發次要故障;如果丟棄5%或更多的資料包,則會觸發主要故障。
疑難排解
本節提供的資訊可用於對組態進行疑難排解。
如果您沒有看到任何計數器的增量,下面是您可能面臨的一些問題:
- 策略是否已啟用?
- 策略的篩選器是否配置正確?
- 在兩個端點或測量其間流量的裝置之間是否有合約?
如果您確定策略配置正確、已啟用且測試的終端成功傳遞流量,則問題可能是兩個終端連線到同一枝葉。由於硬體架構的設計,流量必須通過枝葉上的Northstar ASIC,以便計數器增加。如果流量僅通過一個枝葉,則您只會看到傳輸計數增加。
如果您看到大量丟棄的或過多的資料包,則一種可能是兩台裝置之間存在超訂用。