Gestion de l'utilisation TCAM Netflow des commutateurs de la gamme Catalyst 6500

Introduction

Ce document décrit un problème rencontré sur les commutateurs de la gamme Cisco Catalyst 6500 lorsque le seuil TCAM (Content Addressable Memory) de Netflow est dépassé et fournit une solution au problème.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les informations de ce document sont basées sur les commutateurs de la gamme Cisco Catalyst 6500 qui exécutent Supervisor Engine 720.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informations générales

Netflow est une fonction utilisée pour collecter des statistiques sur le trafic qui traverse un commutateur. Les statistiques sont ensuite stockées dans la table Netflow jusqu'à ce qu'elles soient exportées par Netflow Data Expert (NDE). Il existe un tableau Netflow sur la carte PFC (Policy Feature Card), ainsi que sur chaque carte DFC (Distributed Forwarding Card). Certaines fonctionnalités, telles que la traduction d'adresses de réseau (NAT), nécessitent que le flux soit traité initialement dans le logiciel, puis accéléré par le matériel. La table Netflow de la carte PFC et de la carte DFC collecte des statistiques pour le trafic qui est à accélération matérielle ou à commutation de flux.

Certaines fonctionnalités utilisent Netflow, telles que NAT et QoS (Quality of Service). NAT utilise Netflow pour prendre des décisions de transfert, tandis que QoS utilise Netflow pour surveiller les flux de microlocalisation. Avec l'utilisation de Netflow Data Export (NDE), vous pouvez exporter ces statistiques vers un collecteur NetFlow externe pour une analyse plus approfondie du comportement du réseau.

Le moteur de supervision Supervisor Engine 720 vérifie la saturation de la table NetFlow à chaque intervalle d'interrogation et active le vieillissement agressif lorsque la taille de la table atteint un seuil défini.

Lorsque la table est presque pleine, de nouveaux flux actifs ne peuvent pas être créés en raison du manque d'espace disponible dans la TCAM. À ce stade, il est logique d'éliminer plus agressivement les flux les moins actifs ou les flux non actifs dans le tableau afin de créer de l'espace pour de nouveaux flux. Le flux peut être réinséré dans la table, à condition qu'il réponde aux valeurs configurées de délai d'attente et de seuil de paquet, qui sont abordées plus loin dans ce document.

Problème

Le commutateur de la gamme Cisco Catalyst 6500 peut signaler ce journal :

EARL_NETFLOW-4-TCAM_THRLD: Netflow TCAM threshold exceeded, TCAM Utilization [[dec]%] 

Voici la sortie de console qui s'affiche lorsque ce problème se produit :

Aug 24 12:30:53: %EARL_NETFLOW-SP-4-TCAM_THRLD:
 Netflow TCAM threshold exceeded, TCAM Utilization [97%]

Aug 24 12:31:53: %EARL_NETFLOW-SP-4-TCAM_THRLD:
 Netflow TCAM threshold exceeded, TCAM Utilization [97%]

Solution

Complétez ces étapes afin d'évaluer et d'optimiser l'utilisation de la TCAM Netflow :

1. Désactivez le service interne s'il est activé sur le commutateur :

   6500(config)#no service internal

2. Vérifiez les limites matérielles pour Netflow TCAM.
   • Utilisez la commande show mls netflow ip count afin de vérifier le nombre de flux présents dans le TCAM. 
   • Utilisez la commande show platform hardware pfc mode afin de vérifier le mode de fonctionnement PFC.

   Note: La capacité de NetFlow TCAM (IPv4) pour PFC3A, PFC3B et PFC3C est de 128 000 entrées. Pour PFC3BXL et PFC3CXL, la capacité est de 256 000 entrées.

3. Préparez-vous à modifier le masque de flux. Netflow utilise le concept de masques. Le masque Netflow vous permet de contrôler le volume et la granularité des statistiques collectées. Cela vous permet de contrôler l'impact sur les processeurs Supervisor Engine. Plus le masque utilisé est spécifique, plus les entrées de la table Netflow sont utilisées.
   
   Par exemple, si vous configurez pour que les statistiques soient définies sur des flux par adresse IP source d'interface, vous utilisez moins d'entrées que si vous conservez des flux par interface-destination-source.
   
   Si le masque de flux est défini sur le mode interface-full, le TCAM pour NetFlow peut déborder, selon le nombre d'interfaces pour lesquelles il est activé. Émettez la commande show mls netflow ip count afin de contrôler ces informations. Même si vous pouvez modifier des masques, le mode interface-full fournit les statistiques les plus granulaires, telles que les informations sur les couches 2, 3 et 4.
4. Vérifiez le masque de flux actuel :

   6500#show mls netflow flowmask
    current ip   flowmask for unicast:   if-full
    current ipv6 flowmask for unicast:    null  

   Modifiez le masque de flux selon les besoins (mot clé interface-full flow définit les entrées TCAM maximales utilisées) :

   6500(config)#mls flow ip ?
     interface-destination         interface-destination flow keyword
     interface-destination-source  interface-destination-source flow keyword
     interface-full                interface-full flow keyword
     interface-source              interface-source only flow keyword

5. Vérifiez les compteurs de vieillissement. Il existe trois temporisateurs différents pour le vieillissement TCAM Netflow : Normal, Rapide et Long.
   • Le minuteur Normal est utilisé afin d'effacer les entrées TCAM inactives. Par défaut, toute entrée qui ne correspond pas en 300 secondes est effacée.
   • Le minuteur Long est utilisé afin d'effacer les entrées qui sont dans la table pendant plus de 1 920 secondes (32 minutes). L'objectif principal du compteur Long est d'empêcher les statistiques incorrectes causées par les compteurs qui s'enroulent.
   • Le minuteur Fast, par défaut, n'est pas activé. Afin d'activer le compteur rapide, utilisez la commande globale mls aging fast [{time seconds} [{threshold packet-count}]]. Le compteur rapide efface toute entrée qui ne voit pas le nombre de paquets configuré dans le temps configuré.

   6500#show mls netflow aging
   
                enable timeout  packet threshold
                ------ -------  ----------------
   normal aging true      300         N/A
   fast aging   true       32         100
   long aging   true     1920         N/A

6. Modifier les compteurs de vieillissement :

   6500(config)#mls aging normal ?
     <32-4092> L3 aging timeout in second
   
   6500(config)#mls aging long ?
     <64-1920> long aging timeout
   
   6500(config)#mls aging fast ?
     threshold fast aging threshold
     time fast aging timeout value
   
   6500(config)#mls aging fast threshold ?
     <1-128> L3 fast aging theshold packet count
     time fast aging timeout value
   
   6500(config)#mls aging fast time ?
     <1-128> L3 fast aging time in seconds
     threshold fast aging threshold

   Si vous activez le compteur rapide, définissez initialement la valeur sur 128 secondes. Si la taille du cache MLS continue de dépasser 32 000 entrées, diminuez le paramètre jusqu'à ce que la taille du cache reste inférieure à 32 000. Si le cache continue à augmenter de plus de 32 000 entrées, diminuez le compteur de vieillissement MLS normal. Toute valeur de compteur de vieillissement qui n'est pas un multiple de huit secondes est ajustée au multiple le plus proche de huit secondes.

   6500(config)#mls aging fast threshold 64 time 30

Informations connexes

• Guide de configuration du logiciel Catalyst 6500 version 12.2SX
• Présentation de Cisco IOS NetFlow - Présentation technique
• Support et documentation techniques - Cisco Systems