ASR1002-Plattformbeschränkung mit IPSec, Netflow, NBAR

Download-Optionen

  • PDF     (127.0 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (88.6 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (76.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:2. November 2016
Dokument-ID:200789

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Dieses Dokument beschreibt das Problem mit dem Durchsatz auf der ASR1002-Plattform mit AVC (Application Visibility and Control), die zusammen mit der IPSec-Funktion auf dem Router konfiguriert wurde.

Hintergrundinformationen

Laut CCO-Dokumentation bietet der ASR10002 einen Durchsatz von 10 Gbit/s für den normalen Datenverkehr, 4 Gbit/s bei aktivierter IPSec-Funktion. Beim Durchsatz der ASR1002-Plattform besteht jedoch ein Problem. NetFlow und NBAR sind zwei Funktionen, die eine Menge Ressourcen vom Quantum Flow Processor (QFP) benötigen und so die Verkabelung der Encapsulating Security Payload (ESP)-Karte zur Verarbeitung von mehr Datenverkehr und somit zur Verringerung des Gesamtsystemdurchsatzes reduzieren. Bei der AVC-Konfiguration in Verbindung mit IPSec kann der Gesamtdurchsatz der Plattform erheblich reduziert werden und kann zu enormen Datenverkehrsverlusten führen.

Problem: ASR1002-Plattformbeschränkung mit IPSec, Netflow, NBAR

Das Problem wurde zunächst bemerkt, als die Bandbreite mit dem Anbieter aktualisiert wurde und Bandbreitentests durchgeführt wurden. Ursprünglich wurden 1000-Byte-Pakete gesendet, was perfekt lief. Anschließend wurden die Tests mit 512-Byte-Paketen durchgeführt, nach denen fast 80 % Datenverkehrsverluste auftraten. Weitere Informationen finden Sie in dieser Testtopologie:

200789-ASR1002-platform-limitation-with-IPSec-00.jpeg

Führen Sie folgende Funktionen aus: 

  •  DMVPN über IPSec
  •  NetFlow
  •  NBAR (als Teil der QoS-Richtlinie-Match-Anweisung)

Konfiguration

crypto isakmp policy 1
 encr 3des
 group 2
crypto isakmp policy 2
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco123 address 0.0.0.0 
crypto ipsec security-association replay disable
crypto ipsec transform-set remoteoffice-vpn esp-3des esp-sha-hmac 
 mode tunnel
crypto ipsec transform-set IPTerm-TransSet esp-3des esp-sha-hmac 
 mode tunnel
crypto ipsec profile IPTerminals-VPN
 set transform-set IPTerm-TransSet 
crypto ipsec profile vpn-dmvpn
 set transform-set remoteoffice-vpn
!
<snip>
class-map match-any Test
 match ip precedence 2 
 match ip dscp af21 
 match ip dscp af22 
 match ip dscp af23 
 match access-group name test1
 match protocol ftp
 match protocol secure-ftp
!
policy-map test
<snip>
!
interface Tunnel0
 bandwidth 512000
 ip vrf forwarding CorpnetVPN
 ip address 10.1.1.1 255.255.255.0
 no ip redirects
 ip mtu 1350
 ip flow ingress
 ip nhrp authentication 1dcBb
 ip nhrp map multicast dynamic
 ip nhrp network-id 1000
 ip nhrp holdtime 600
 ip nhrp shortcut
 ip nhrp redirect
 ip virtual-reassembly max-reassemblies 256
 ip tcp adjust-mss 1310
 ip ospf network point-to-multipoint
 ip ospf hello-interval 3
 ip ospf prefix-suppression
 load-interval 30
 qos pre-classify
 tunnel source Loopback0
 tunnel mode gre multipoint
 tunnel key 1234
 tunnel protection ipsec profile vpn-dmvpn
!
int gi 0/1/0
bandwidth 400000
 ip address 12.12.12.1 255.255.255.252
 load-interval 30
 negotiation auto
 ip flow ingress
 service-policy output PM-1DC-AGGREGATE
!


Das Dynamic Multipoint VPN (DMVPN) befindet sich zwischen den beiden ASR1k-Routern. Der Datenverkehr wurde von IXIA nach IXIA über die DMVPN-Cloud mit einer Paketgröße von 512 Byte bei 50.000 pps generiert. Ein weiterer Stream ist für Expedited Forwarding (EF)-Datenverkehr von IXIA nach IXIA konfiguriert.

Mit dem oben genannten Stream wurden Datenverkehrsverluste in beiden Datenströmen für bis zu 30.000 pps festgestellt. 

Beobachtungen

Außer in der Standardklasse der Dienstrichtlinie gab es nur wenige inkrementelle Ausgabeverwerbe und nicht viel Verwerfungen in der EF-Klasse oder anderen Klassen.

Bei QFP wurden Verwerfungen mithilfe von show platform hardware qfp active statistics festgestellt und diese Verwerfungen stiegen schnell an.

RTR-1#show platform hardware qfp active statistics drop
-------------------------------------------------------------------------
Global Drop Stats Packets Octets
-------------------------------------------------------------------------
IpsecInput 300010 175636790 
IpsecOutput 45739945 23690171340 
TailDrop 552830109 326169749399 

RTR-1#
RTR-1#show platform hardware qfp active statistics drop
-------------------------------------------------------------------------
Global Drop Stats Packets Octets 
-------------------------------------------------------------------------
IpsecInput 307182 179835230 
IpsecOutput 46883064 24282257670 
TailDrop 552830109 326169749399 

RTR-1#

Weitere IPSec-Verwerfen wurden mithilfe des Befehls show platform hardware qfp active feature ipsec data drop auf QFP überprüft.

RTR-1#show platform hardware qfp active feature ipsec data drops
------------------------------------------------------------------------
Drop Type Name Packets 
------------------------------------------------------------------------

 28 IN_PSTATE_CHUNK_ALLOC_FAIL 357317


 54 OUT_PSTATE_CHUNK_ALLOC_FAIL 51497757
 66 N2_GEN_NOTIFY_SOFT_EXPIRY 4023610

RTR-1#

Es wurde festgestellt, dass der Drop-Zähler für den Zähler IN_PSTATE_CHUNK_ALLOC_FAIL mit dem Wert IpsecInput-Zähler im QFP-Drops und dem mit dem Zähler IpsecOutput übereinstimmenden Wert OUT_PSTATE_CHUNK_ALLOC_FAIL_ übereinstimmt.

Dieses Problem ist auf den Softwarefehler# CSCuf25027 zurückzuführen.

Lösung

 Als Problemumgehung gilt die Deaktivierung der Funktion "NetFlow" und "Network Based Application Recognition" (NBAR) auf dem Router. Wenn Sie alle Funktionen ausführen und einen besseren Durchsatz erzielen möchten, empfiehlt sich ein Upgrade auf ASR1002-X oder ASR1006 mit ESP-100.

TAC Authored

Beiträge von Cisco Ingenieuren

  • Vinit Jain
    Cisco TAC-Techniker

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren