在具有MSFC的Catalyst 6500/6000交換機上配置並排除IP MLS故障
目錄
簡介
本檔案介紹如何在Catalyst 6500/6000上驗證和讀取多層交換(MLS)命令。本檔案簡要概述了MLS的含義,並舉例說明如何使用MLS。根據這些示例,本文檔介紹如何驗證MLS操作,並提供了配置MLS的簡要故障排除提示。
本檔案僅適用於配備以下硬體的Catalyst 6500/6000系列交換器:
-
執行Catalyst OS(CatOS)軟體的Supervisor Engine 1A
-
原則功能卡(PFC)
-
多層次交換功能卡(MSFC)
注意:使用任何其他硬體配置(例如Supervisor Engine 2或多層交換器模組(MSM))時,本檔案無效。 在Supervisor Engine 1A和MSFC上運行Cisco IOS®軟體時,它也是無效的。
如需更多有關對搭載Supervisor引擎2且執行CatOS軟體的Catalyst 6500/6000系列交換器上的單點傳播路由進行疑難排解的資訊,請參閱對搭載Supervisor引擎2且執行CatOS系統軟體的Catalyst 6500/6000系列交換器上的涉及CEF的單點IP路由進行疑難排解。
有關專業術語MLS及其操作的更完整的說明,請參閱相關資訊部分。
開始之前
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
必要條件
本文件沒有特定先決條件。
採用元件
本檔案中的資訊是根據以下軟體和硬體版本。
-
採用MSFC的Catalyst 6500/6000
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
MSFC上的MLS概述
MSFC是Catalyst 6500/6000系列交換機的第二代路由引擎,每秒可路由1,500萬個資料包。MSFC只能與具有PFC的Supervisor引擎一起使用。MSFC使用PFC執行內部MLS,其作用與Catalyst 5000上的NetFlow功能卡(NFFC)類似。此內部MLS不可見,且完全限於switch:您無需配置任何內容即可使其正常工作,並且它支援IP、IPX和IP組播的硬體快捷方式。MSFC的配置與使用VLAN介面的RSM或RSFC的配置類似。您可以使用作業階段15(適用於插槽1中Supervisor Engine上的MSFC)或作業階段16(適用於插槽2中Supervisor Engine上的MSFC)存取它。
原理類似於Catalyst 5000上的多層交換通訊協定(MLSP)。第一個資料包由MSFC路由,而PFC建立由同一流的所有後續資料包使用的快捷方式。Catalyst 5000上的MLSP要求MLS-SE和MLS-RP之間進行IP通訊,而Catalyst 6500/6000上的MLS則通過串列通道(SCP)上的MSFC和PFC之間的通訊來工作。
PFC不能是Catalyst 5000 MLS環境的MLS-SE;但是,對於網路中的其他Catalyst 5000,MSFC可以是MLS-RP。在這種情況下,您應該使用與任何用作MLS RP的Cisco IOS路由器相同的mls rp ip命令來配置MSFC。
範例 1:兩個VLAN之間的MSFC路由
Catalyst 6500/6000上單播IP的MLS為即插即用。您無需對其進行配置。以下是tamer是Catalyst 6500/6000的範例組態,其中包含名為tamer-msfc的MSFC。在MSFC上配置VLAN 11和12之間的路由,而不使用與MLS相關的單個命令。請記住,Supervisor Engine不會有任何MLS特定組態。
tamer-msfc#wr t Building configuration... Current configuration: ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname tamer-msfc ! boot system flash bootflash:c6msfc-ds-mz.121-1.E2.bin ! ip subnet-zero ip cef ! interface Vlan11 ip address 11.1.1.2 255.255.255.0 ! interface Vlan12 ip address 12.1.1.2 255.255.255.0 ! router eigrp 1 network 11.0.0.0 network 12.0.0.0 no auto-summary ! ip classless no ip http server ! ! line con 0 transport input none line vty 0 4 login ! end
正在讀取show mls條目和基本檢查
以下是在Supervisor Engine上發出show mls命令時應該獲得的輸出。
tamer (enable) show mls Total packets switched = 8 !--- Number of packet shortcuted by MLS. Total Active MLS entries = 0 !--- Number of flows currently existing. MSFC 11.1.1.2 (Module 15) entries = 0 IP Multilayer switching aging time = 256 seconds IP Multilayer switching fast aging time = 0 seconds, packet threshold = 0 IP Current flow mask is Destination flow Active IP MLS entries = 0 Netflow Data Export version: 7 Netflow Data Export disabled Netflow Data Export port/host is not configured. Total packets exported = 0 IP MSFC ID Module XTAG MAC Vlans --------------- ------ ---- ----------------- ---------------- 11.1.1.2 15 1 00-d0-d3-9c-9e-3c 12,11 !--- MSFC recognized by the switch.
show mls命令輸出應始終具有IP MSFC ID。如果您在發出show mls命令時未看到IP MSFC ID,請確認以下情況:
-
MSFC已啟動並正在運行(例如,未停滯在ROMmon模式下)。
-
MSFC上仍然啟用MLS。
您可以在MSFC上發出以下命令來驗證這一點:
tamer-msfc#show mls status MLS global configuration status: global mls ip: enabled !--- Should be enabled for unicast IP. global mls ipx: enabled global mls ip multicast: disabled current ip flowmask for unicast: destination only current ipx flowmask for unicast: destination only
通過發出show mls status命令,可以確定是否已為IP、IPX和IP組播啟用MLS。預設情況下應始終啟用這些功能;但是可以在配置模式下發出以下命令來禁用它們:
no mls ip
no mls ip命令僅用於調試目的。該命令在全域性配置模式下也可用作隱藏命令。您也可以通過在介面配置模式下發出no mls ip命令,針對每個VLAN介面禁用MLS
注意:不要在MSFC上發出show mls rp命令。此命令輸出表示MLS已禁用。但是,上述Supervisor引擎上發出的 show mls命令輸出表明MLS工作正常。之所以會出現這種差異,是因為在與Catalyst 5000交換機一起執行MLS-rp時,應該使用show mls rp命令。
tamer-msfc#show mls rp ip multilayer switching is globally disabled ipx multilayer switching is globally disabled ipx mls inbound acl override is globally disabled mls id is 00d0.d39c.9e04 mls ip address 0.0.0.0 mls ip flow mask is unknown mls ipx flow mask is unknown number of domains configured for mls 0
候選資料包是可能啟動MLS快捷方式設定的資料包。其目的MAC地址等於運行MLS的路由器的MAC地址。在這種情況下,MSFC的MAC地址為00-d0-d3-9c-9e-3c(通過發出show mls命令可看到)。 若要確認交換器知道此MAC位址是路由器MAC位址,請發出show cam mac_address 指令,如下所示。
tamer (enable) show cam 00-d0-d3-9c-9e-3c * = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry. X = Port Security Entry VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs / [Protocol Type] ---- ------------------ ----- ------------------------------------------- 11 00-d0-d3-9c-9e-3c R# 15/1 12 00-d0-d3-9c-9e-3c R# 15/1 Total Matching CAM Entries Displayed = 2
此輸出確認交換機知道此MAC地址是連結到埠15/1(插槽1中的MSFC埠)的路由器條目。
如果在交換器Supervisor Engine上發出show mls指令時仍看不到MSFC,請發出以下指令:
tamer (enable) show mls rlog l2 SWLOG at 815d0c50: magic 1008, size 51200, cur 815d4170, end 815dd460 Current time is: 08/08/00,17:13:25 118 08/08/00,17:13:16:(RouterConfig)Router_cfg: router_add_MAC_to_earl 00-d0-d3- 9c-9e-3c added for mod 15/1 Vlan 12 Earl AL =0 117 08/08/00,17:13:16:(RouterConfig)Router_Cfg: Process add mls entry for mod 15 /1 vlan 12, i/f 1, proto 0, LC 3 116 08/08/00,17:13:16:(RouterConfig)Router_cfg: router_add_MAC_to_earl 00-d0-d3- 9c-9e-3c added for mod 15/1 Vlan 11 Earl AL =0 115 08/08/00,17:13:16:(RouterConfig)Router_Cfg: Process add mls entry for mod 15 /1 vlan 11, i/f 1, proto 0, LC 3
此命令向您顯示交換機從MSFC接收的消息以及新增的路由器條目。
正在讀取show mls輸出表
發出show mls entry命令以檢視包含所有快捷方式的完整MLS表。以下輸出顯示收到的所有流。
tamer (enable) show mls entry Destination-IP Source-IP Prot DstPrt SrcPrt Destination-MAC Vlan EDst --------------- --------------- ----- ------ ------ ----------------- ---- ---- MSFC 11.1.1.2 (Module 15): 10.68.5.1 - - - - 00-d0-00-3f-a3-ff 8 ARPA 12.1.1.1 - - - - 00-00-0c-8c-70-88 12 ARPA 11.1.1.1 - - - - 00-00-0c-09-50-66 11 ARPA ESrc DPort SPort Stat-Pkts Stat-Bytes Uptime Age ---- ------ ------ ---------- ----------- -------- -------- ARPA 1/3 7/3 4 400 00:00:02 00:00:02 ARPA 7/4 7/3 4 400 00:00:08 00:00:08 ARPA 7/3 7/4 9 900 00:00:08 00:00:08 Destination-IPX Destination-MAC Vlan EDst ESrc Port Stat-Pkts ------------------------- ----------------- ---- ---- ---- ----- ---------- Stat-Bytes Uptime Age ----------- -------- -------- MSFC 11.1.1.2 (Module 15): Total entries displayed: 2 tamer (enable)
注意:每個目標建立一個流。從12.1.1.1對11.1.1.1執行ping操作將建立兩個流(每個方向一個),如上面所示輸出中的最後兩行所示。
下表對表中找到的資訊進行了一些說明:
-
目標IP、源IP、埠、DstPrt和SrcPrt是用於建立快捷方式的欄位。在這種情況下,將僅使用目標流。僅快取流的目標IP地址。可以通過修改流掩碼來更改此值,本文檔稍後將對此進行說明。
-
目的MAC是用於重寫資料包的目的MAC的MAC地址。源MAC地址用MSFC的MAC地址重寫。
-
VLAN表示到達該IP地址所需的目標VLAN。目的地VLAN非常重要,例如,如果封包需要在TRUNK上傳送。
-
DPport和Sport是流的目的地埠和源埠。
-
Stat-Pkts和Stat-Bytes為您提供自建立流以來已使用此快捷方式的資料包數量的統計資訊。
-
Uptime是自流建立以來的時間。
-
Age是自上次使用流以來經過的時間。
將流更改為目標源。show mls entry命令輸出會顯示來源IP位址和目的地IP位址正在快取。現在會為傳輸到同一目標IP地址的每個源IP地址建立不同的流,如下所示。
tamer (enable) set mls flow destination-source Configured IP flowmask is set to destination-source flow. Warning: Configuring more specific flow mask may increase the number of MLS entries dramatically. tamer (enable) 2000 Aug 09 17:05:12 %MLS-5-FLOWMASKCHANGE:IP flowmask changed from DEST to DEST-SRC tamer (enable) show mls entry Destination-IP Source-IP Prot DstPrt SrcPrt Destination-MAC Vlan EDst --------------- --------------- ----- ------ ------ ----------------- ---- ---- MSFC 11.1.1.2 (Module 15): 11.1.1.1 12.1.1.1 - - - 00-00-0c-09-50-66 11 ARPA 11.1.1.1 10.68.5.1 - - - 00-00-0c-09-50-66 11 ARPA 10.68.5.1 11.1.1.1 - - - 00-d0-00-3f-a3-ff 8 ARPA 12.1.1.1 11.1.1.1 - - - 00-00-0c-8c-70-88 12 ARPA MSFC 0.0.0.0 (Module 16): ESrc DPort Sport Stat-Pkts Stat-Bytes Uptime Age ---- ------ ------ ---------- ----------- -------- -------- ARPA 7/3 7/4 4 400 00:00:02 00:00:02 ARPA 7/3 1/3 4 400 00:00:32 00:00:32 ARPA 1/3 7/3 4 400 00:00:32 00:00:32 ARPA 7/4 7/3 4 400 00:00:02 00:00:02 Destination-IPX Destination-MAC Vlan EDst ESrc Port ------------------------- ----------------- ---- ---- ---- ----- ---------- Stat-Pkts Stat-Bytes Uptime Age ----------- -------- -------- MSFC 11.1.1.2 (Module 15): MSFC 0.0.0.0 (Module 16): Total entries displayed: 4 tamer (enable)
第三個選項是將MLS設定為全流。執行幾次ping和Telnet會話以檢視如何為每個TCP埠建立不同的資料流。以下是進行幾次ping和Telnet會話後MLS表應顯示的內容。使用全流時,建立的流數量增長非常快。TCP埠資訊被快取,並顯示在MLS表中。
tamer (enable) set mls flow full Configured IP flowmask is set to full flow. Warning: Configuring more specific flow mask may increase the number of MLS entries dramatically. Tamer (enable) 2000 Aug 09 17:30:01 %MLS-5-FLOWMASKCHANGE:IP flowmask changed from DEST to FULL tamer (enable) tamer (enable) show mls entry Destination-IP Source-IP Prot DstPrt SrcPrt Destination-MAC Vlan EDst --------------- --------------- ----- ------ ------ ----------------- ---- ---- MSFC 11.1.1.2 (Module 15): 12.1.1.1 11.1.1.1 ICMP - - 00-00-0c-8c-70-88 12 ARPA 11.1.1.1 12.1.1.1 TCP 11001 Telnet 00-00-0c-09-50-66 11 ARPA 12.1.1.1 11.1.1.1 TCP* Telnet 11001 00-00-0c-8c-70-88 12 ARPA 11.1.1.1 10.68.5.1 TCP 11002 Telnet 00-00-0c-09-50-66 11 ARPA 10.68.5.1 11.1.1.1 ICMP - - 00-d0-00-3f-a3-ff 8 ARPA 10.68.5.1 11.1.1.1 TCP* Telnet 11002 00-d0-00-3f-a3-ff 8 ARPA 11.1.1.1 10.68.5.1 ICMP - - 00-00-0c-09-50-66 11 ARPA 11.1.1.1 12.1.1.1 ICMP - - 00-00-0c-09-50-66 11 ARPA ESrc DPort Sport Stat-Pkts Stat-Bytes Uptime Age ---- ------ ------ ---------- ----------- -------- -------- ARPA 7/4 7/3 4 400 00:00:30 00:00:30 ARPA 7/3 7/4 16 688 00:00:26 00:00:24 ARPA 7/4 7/3 18 757 00:00:26 00:00:24 ARPA 7/3 1/3 61 4968 00:00:16 00:00:06 ARPA 1/3 7/3 4 400 00:00:33 00:00:33 ARPA 1/3 7/3 69 2845 00:00:17 00:00:06 ARPA 7/3 1/3 4 400 00:00:33 00:00:33 ARPA 7/3 7/4 4 400 00:00:32 00:00:31 Destination-IPX Destination-MAC Vlan EDst ESrc Port Stat-Pkts ------------------------- ----------------- ---- ---- ---- ----- ---------- Stat-Bytes Uptime Age ----------- -------- -------- MSFC 11.1.1.2 (Module 15): Total entries displayed: 8
備註
-
在即時網路中,建立的流數量可達數千個。發出show mls entry ip [destination|source] 命令以顯示特定流,而不是顯示完整的流表,如下所示。
tamer (enable) show mls entry ip destination 12.1.1.1 Destination-IP Source-IP Prot DstPrt SrcPrt Destination-MAC Vlan EDst --------------- --------------- ----- ------ ------ ----------------- ---- ---- MSFC 11.1.1.2 (Module 15): 12.1.1.1 - - - - 00-00-0c-8c-70-88 12 ARPA ESrc DPort Sport Stat-Pkts Stat-Bytes Uptime Age ---- ------ ------ ---------- ----------- -------- -------- ARPA 7/4 7/3 4 400 00:00:30 00:00:30
-
您可以通過發出show mls statistics命令來驗證流的統計資訊,如下所示。
tamer (enable) show mls statistics entry ip 15 Last Used Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes --------------- --------------- ---- ------ ------ ---------- --------------- MSFC 11.1.1.2 (Module 15): 12.1.1.1 11.1.1.1 ICMP - - 9 900 11.1.1.1 10.68.5.1 TCP 11005 Telnet 20 913 11.1.1.1 10.68.5.1 TCP 11004 Telnet 0 0 10.68.5.1 11.1.1.1 ICMP - - 4 400 10.68.5.1 12.1.1.1 ICMP - - 9 900 12.1.1.1 10.68.5.1 ICMP - - 4 400 11.1.1.1 10.68.5.1 ICMP - - 4 400 11.1.1.1 12.1.1.1 ICMP - - 9 900
對特定連線進行故障排除
如果與特定IP地址或兩個特定主機之間存在連線問題,請嘗試下列步驟進行故障排除:
-
發出show mls entry ip [destination|source]命令,檢視是否已建立流。
-
在一行中多次發出show mls statistics entry [source|destination]命令,以檢視該快捷方式的stat-packts計數器是否增加。
-
驗證相關流量。
例如,對於TFTP伺服器12.1.1.1和TFTP客戶端11.1.1.1之間的大檔案的FTP會話,您需要驗證以下兩個流:
-
目的地為12.1.1.1且只能由TFTP確認(小型封包)命中的主機(如果已使用目的地來源流量,則為流量來源12.1.1.1)。
-
目的地為11.1.1.1且應該被許多大資料包(實際檔案傳輸)命中的資料包(如果使用目的地源流,則為流的源11.1.1.1)。
以下是12.1.1.1.1和11.1.1.1之間傳輸一個7.6 MB左右檔案的示例。以下是TFTP開始之前的MLS狀態表:
tamer (enable) show mls statistics entry Last Used Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes --------------- --------------- ---- ------ ------ ---------- --------------- MSFC 11.1.1.2 (Module 15): 12.1.1.1 11.1.1.1 ICMP - - 4 400 11.1.1.1 12.1.1.1 ICMP - - 4 400 12.1.1.1 11.1.1.1 TCP 11000 Telnet 20 894
TFTP剛剛啟動。為TFTP流量(UDP埠69)建立的另外兩個流如下所示。
tamer (enable) show mls statistics entry
Last Used
Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes
--------------- --------------- ---- ------ ------ ---------- ---------------
MSFC 11.1.1.2 (Module 15):
12.1.1.1 11.1.1.1 ICMP - - 4 400
12.1.1.1 11.1.1.1 UDP 69 50532 343 10997
11.1.1.1 12.1.1.1 ICMP - - 4 400
11.1.1.1 12.1.1.1 UDP 50532 69 343 186592
12.1.1.1 11.1.1.1 TCP 11000 Telnet 20 894
TFTP傳輸剛剛結束。14,903個資料包在伺服器與客戶端之間傳輸了約8.1 MB,每個資料包的平均大小為544位元組。在另一個方向上,接收相同數量的資料包,平均大小為476,949除以14,904,即33位元組。
Tamer (enable) show mls statistics entry
Last Used
Destination IP Source IP Prot DstPrt SrcPrt Stat-Pkts Stat-Bytes
--------------- --------------- ---- ------ ------ ---------- ---------------
MSFC 11.1.1.2 (Module 15):
12.1.1.1 11.1.1.1 ICMP - - 4 400
12.1.1.1 11.1.1.1 UDP 69 50532 14904 476949
11.1.1.1 12.1.1.1 ICMP - - 4 400
11.1.1.1 12.1.1.1 UDP 50532 69 14903 8107224
12.1.1.1 11.1.1.1 TCP 11000 Telnet 20 894
這些表應能讓您瞭解您的流量模式應該是什麼樣子。
範例 2:在同一機箱中為HSRP配置兩個MSFC
下面是為HSRP配置的兩個MSFC的運行配置以及show standby命令的輸出。插槽15中的MSFC對於VLAN 12是活動的,插槽16中的MSFC對於VLAN 11是活動的。
| 插槽15 | 插槽16 |
|---|---|
tamer-msfc#wr t Building configuration... Current configuration: ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname tamer-msfc ! boot system flash bootflash: c6msfc-ds-mz.121-1.E2.bin ! ip subnet-zero ip cef ! ! ! ! interface Vlan1 ip address 10.200.11.120 255.255.252.0 ! interface Vlan8 ip address 10.68.5.2 255.255.252.0 ! interface Vlan11 ip address 11.1.1.2 255.255.255.0 no ip redirects standby 11 preempt standby 11 ip 11.1.1.3 ! interface Vlan12 ip address 12.1.1.2 255.255.255.0 no ip redirects standby 12 priority 105 preempt standby 12 ip 12.1.1.3 ! router eigrp 1 network 10.0.0.0 network 11.0.0.0 network 12.0.0.0 no auto-summary ! ip classless ! line con 0 transport input none line vty 0 4 login ! end |
tamer-msfc-2#wr t Building configuration... Current configuration: ! version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname tamer-msfc-2 ! boot system flash bootflash:c6msfc-jsv-mz.121-2.E.bin ! ip subnet-zero ! ! ! ! interface Vlan1 ip address 10.200.11.121 255.255.252.0 ! interface Vlan8 ip address 10.68.5.4 255.255.252.0 ! interface Vlan11 ip address 11.1.1.4 255.255.255.0 no ip redirects standby 11 priority 105 preempt standby 11 ip 11.1.1.3 ! interface Vlan12 ip address 12.1.1.4 255.255.255.0 no ip redirects standby 12 preempt standby 12 ip 12.1.1.3 ! router eigrp 1 network 10.0.0.0 network 11.0.0.0 network 12.0.0.0 no auto-summary ! ip classless! ! line con 0 transport input none line vty 0 4 login ! end |
tamer-msfc>show standby
Vlan11 - Group 11
Local state is Standby, priority 100,
may preempt
Hellotime 3 holdtime 10
Next hello sent in 00:00:00.814
Hot standby IP address is 11.1.1.3 configured
Active router is 11.1.1.4 expires in 00:00:09
Standby router is local
Standby virtual MAC address is 0000.0c07.ac0b
4 state changes, last state change 00:06:36
Vlan12 - Group 12
Local state is Active, priority 105,
may preempt
Hellotime 3 holdtime 10
Next hello sent in 00:00:02.380
Hot standby IP address is 12.1.1.3 configured
Active router is local
Standby router is 12.1.1.4 expires in 00:00:09
Standby virtual MAC address is 0000.0c07.ac0c
2 state changes, last state change 00:12:22
|
tamer-msfc-2#show standby
Vlan11 - Group 11
Local state is Active, priority 105,
may preempt
Hellotime 3 holdtime 10
Next hello sent in 00:00:02.846
Hot standby IP address is 11.1.1.3 configured
Active router is local
Standby router is 11.1.1.2 expires in 00:00:08
Standby virtual MAC address is 0000.0c07.ac0b
2 state changes, last state change 00:07:02
Vlan12 - Group 12
Local state is Standby, priority 100,
may preempt
Hellotime 3 holdtime 10
Next hello sent in 00:00:02.518
Hot standby IP address is 12.1.1.3 configured
Active router is 12.1.1.2 expires in 00:00:07,
priority 105
Standby router is local
Standby virtual MAC address is 0000.0c07.ac0c
4 state changes, last state change 00:04:08
|
上一個範例中的所有資訊仍然有效。要驗證配置HSRP後發生了什麼更改,請檢視下面的MLS命令的輸出。
發出show mls命令
tamer (enable) show mls
Total packets switched = 29894
Total Active MLS entries = 0
MSFC 11.1.1.2 (Module 15) entries = 0
MSFC 10.200.11.121 (Module 16) entries = 0
IP Multilayer switching aging time = 256 seconds
IP Multilayer switching fast aging time = 0 seconds, packet threshold = 0
IP Current flow mask is Full flow
Active IP MLS entries = 0
Netflow Data Export version: 7
Netflow Data Export disabled
Netflow Data Export port/host is not configured.
Total packets exported = 0
IP MSFC ID Module XTAG MAC Vlans
--------------- ------ ---- ----------------- ----------------
11.1.1.2 15 1 00-d0-d3-9c-9e-3c 12,11,8,1
00-00-0c-07-ac-0c 12
10.200.11.121 16 2 00-d0-bc-f0-07-b0 1,8,11,12
00-00-0c-07-ac-0b 11
IPX Multilayer switching aging time = 256 seconds
IPX flow mask is Destination flow
IPX max hop is 15
Active IPX MLS entries = 0
IPX MSFC ID Module XTAG MAC Vlans
--------------- ------ ---- ----------------- ----------------
11.1.1.2 15 1 - -
10.200.11.121 16 2 - -
-
現在PFC可看到兩個MLS路由器。
-
對於顯示的每台路由器,HSRP組使用的MAC地址為00-00-0c-07-ac-xx。這些MAC地址是HSRP使用的虛擬MAC地址。您只看到組11的MAC地址連結到該組的活動路由器(VLAN 12的插槽15和VLAN 11的插槽16)。 這意味著除目的MAC地址為MSFC MAC地址的資料包外,還考慮候選資料包,即目的MAC為HSRP地址的資料包。
-
如第一個示例中所述,您還需要在第2層CAM表中看到指向MSFC的這些HSRP地址。
tamer (enable) show cam 00-00-0c-07-ac-0c * = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry. X = Port Security Entry VLAN Dest MAC/Route Des [COs] Destination Ports or VCS / [Protocol Type] ---- ------------------ ----- ------------------------------------------- 12 00-00-0c-07-ac-0c R# 15/1 Total Matching CAM Entries Displayed = 1 tamer (enable) tamer (enable) show cam 00-00-0c-07-ac-0b * = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry. X = Port Security Entry VLAN Dest MAC/Route Des [COs] Destination Ports or VCS / [Protocol Type] ---- ------------------ ----- ------------------------------------------- 11 00-00-0c-07-ac-0b R# 16/1 Total Matching CAM Entries Displayed = 1 tamer (enable)
發出show mls entry命令
tamer (enable) show mls entry Destination-IP Source-IP Prot DstPrt SrcPrt Destination-MAC Vlan EDst --------------- --------------- ----- ------ ------ ----------------- ---- ---- MSFC 11.1.1.2 (Module 15): 11.1.1.1 12.1.1.1 ICMP - - 00-00-0c-09-50-66 11 ARPA MSFC 10.200.11.121 (Module 16): 12.1.1.1 11.1.1.1 ICMP - - 00-10-7b-3b-af-3b 12 ARPA ESrc DPort Sport Stat-Pkts Stat-Bytes Uptime Age ---- ------ ------ ---------- ----------- -------- -------- ARPA 7/3 7/4 4 400 00:00:03 00:00:03 ARPA 7/4 7/3 4 400 00:00:04 00:00:03 Destination-IPX Destination-MAC Vlan EDst ESrc Port Stat-Pkts ------------------------- ----------------- ---- ---- ---- ----- ---------- Stat-Bytes Uptime Age ----------- -------- -------- MSFC 11.1.1.2 (Module 15): MSFC 10.200.11.121 (Module 16):
-
現在有兩個快捷方式表:一個用於第一MSFC建立的流,另一個用於第二MSFC建立的流。
-
在11.1.1.1和12.1.1.1之間ping交換機VLAN 12中從12.1.1.1到11.1.1.1的資料包(這是配置了HSRP地址作為其預設網關的兩台PC)後,MSFC在插槽15中(因為它是用於VLAN 12的活動HSRP路由器)將資料包短路(從12.1.1.1到11.1的資料包快捷方式)建立在插槽15中2.1.1.1已由MSFC在插槽16中的另一端建立。
疑難排解提示
建立流
如果尚未建立流,請使用以下故障排除提示:
-
發出show mls命令時,Supervisor Engine是否看到具有所有預期MAC位址的MSFC?
-
如果是,請轉至下一步。
-
如果不是,請確保MSFC未停滯在ROMmon模式。發出show mls status命令以驗證MSFC上是否已啟用MLS。
-
-
發出show cam命令時,MSFC的MAC地址是否存在?它是否顯示為路由器cam條目(R#)?
-
確認您尚未在MSFC上配置用於禁用MLS的功能。
-
通過檢視正在運行的軟體版本的發行說明,檢查可能影響MLS的功能。
-
下表中顯示了限制的示例。
IP路由器命令限制
指令 行為 clear ip route 清除為此MSFC執行第3層交換的所有交換機的所有MLS快取條目。 ip routing no形式清除所有MLS快取條目並禁用此MSFC上的IP MLS。 ip security(此命令的所有形式) 禁用介面上的IP MLS。 ip tcp compression-connections 禁用介面上的IP MLS。 ip tcp header-compression 禁用介面上的IP MLS。
-
-
確認您已啟用請求軟體處理而不是由硬體快捷方式處理的訪問清單。如需詳細資訊,請參閱IOS ACL的硬體和軟體處理。
如果您已瞭解上面列出的所有提示,但仍出現問題,請驗證MSFC是否仍被大量資料包所攻擊。
-
有些原因可能導致條目連續清除。清除流表的一些可能原因可能包括:
-
路由擺動或任何第3層不穩定。
-
MSFC上的ARP快取更改。
-
Supervisor Engine上更改了流掩碼。
-
目標VLAN被刪除。
-
MSFC上的VLAN介面關閉。
-
-
軟體轉送(封包命中MSFC)而不是硬體快捷方式的其他原因可能包括:
-
已設定IP選項的資料包。
-
TTL小於或等於1的資料包。
-
需要分段的資料包。
-
-
您可以擁有高達128 K的流,但使用雜湊演算法。如果流量超過32,000個,您可能會開始產生雜湊衝突,這將導致軟體路由資料包。
-
避免流過多的方法是為MLS流配置快速老化。
-
-
請記住,您只能擁有用於IP、IPX和IP組播的MLS。如果您有其他型別的流量(例如AppleTalk),它們將被軟體路由,並可能導致MSFC上的CPU峰值或MSFC上出現過多的資料包命中。
-
按照規定,IP MLS和IPX MLS預設啟用,但IP組播MLS預設未啟用。如果您使用的是IP多點傳送,請確保按照配置指南中的指定對多點傳送啟用MLS。
註:Catalyst 6500/6000系列交換器上的跨距樹狀目錄拓撲變更通知(TCN)或擺動連線埠不會造成MLS流量表被清除,Catalyst 5000交換器上的MLS的情況亦然。
IP記帳不包括MLS流量
在Cisco Catalyst 6500系列中,多層交換(MLS)的部署方式如下:一旦建立流,流量會在PFC(硬體交換)直接交換,且不會由MSFC處理,因此缺乏連續計量。啟用時,IP記帳只記錄新的或程式交換的流(軟體交換),即使如此,也只記錄到輸入到資料庫中。因此,在這樣的平台上啟用IP記帳時,通常會顯示先前的警告訊息。
6500(config)#int fa8/40 6500(config-if)#ip accounting Accounting will exclude mls traffic when mls is enabled.
NetFlow記賬是首選方法。有關NetFlow的詳細資訊,請參閱配置NetFlow。
無法配置介面全流量掩碼
C6500#mls flow ip interface-full % Unable to configure flow mask for ip protocol: interface-full. Reset to the default flow mask type: none
發出show fm file flowmask detail命令,驗證是否已啟用NAT並使用Intf Full Flow掩碼。
C6500#show fm fie flowmask detail
!--- Part of the output not shown
Primary Flowmasks registered by Features
----------------------------+------------------------+------------------
---
Feature Flowmask Flowmask Status
----------------------------+------------------------+------------------
---
IP_ACCESS_INGRESS Intf Full Flow Disabled/Unused
IP_ACCESS_EGRESS Intf Full Flow Disabled/Unused
NAT_INGRESS Intf Full Flow Enabled
NAT_EGRESS Intf Full Flow Enabled
!--- Remaining part of the output not shown
如果NAT使用Intf Full Flow掩碼,並且當您嘗試為Netflow配置interface-full時,由於存在流掩碼衝突,因此存在問題。如果要使用Netflow stat,可以嘗試使用interface-destination-source(mls flow ip interface-destination-source命令),該命令不會與Netflow掩碼的使用衝突。
NDE假設所有流都是使用相同的流掩碼建立的。由於此限制,無法使用需要衝突流掩碼的特定功能啟用NDE。一個具體的例子是硬體加速NAT。NDE和硬體加速NAT互斥。
如果發生以下任何事件,NDE將失敗:
-
已啟用硬體加速NAT。
-
交換器上已設定兩個或多個具有衝突流量遮罩的功能。
反之,成功配置NDE後,就不能將NAT配置為在硬體中工作,並且不能在交換機上配置兩個不同的功能,這兩個功能具有衝突的流量掩碼要求。
意見