Controleer het besturingsplane en het toezicht op overtredingen op Nexus-platforms

Inleiding

Dit document beschrijft informatie over Control Plane Policing (CoPP) op Cisco Nexus-switches en de relevante invloed op niet-standaard klasseschendingen.

Voorwaarden

Cisco raadt u aan basisinformatie te begrijpen met betrekking tot Control Plane Policing (CoPP), de richtlijnen en beperkingen ervan, en de algemene configuratie, evenals Quality-of-Service (QoS)-toezicht (CIR). Raadpleeg voor meer informatie over deze functie de betreffende documenten:

• Cisco Nexus 9000 Series NX-OS security configuratiehandleiding, release 10.2(x)
• CoPP op Nexus 7000 Series Switches
• Cisco Nexus 9000 Series configuratiehandleiding voor NX-OS Quality-of-Service, release 10.2(x)

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardwarevereisten.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Het verkeer van het controlevliegtuig wordt omgeleid naar de supervisor module door omleiding van toegangscontrolelijsten (ACLs) die worden geprogrammeerd om het aangepaste verkeer te richten dat door twee lagen van bescherming, de hardware tarief-limiters en CoPP overgaat. Alle verstoringen of aanvallen op de supervisor module, indien ongecontroleerd gelaten, kunnen leiden tot ernstige netwerkstoringen; dus CoPP is er om te dienen als een beschermingsmechanisme. Als er instabiliteit op het niveau van het controlevliegtuig is, is het belangrijk om CoPP te controleren, omdat abnormale verkeerspatronen die van lijnen of overstromingen worden gemaakt, of schurkenapparaten kunnen belasten en verhinderen de supervisor wettig verkeer te verwerken. Zulke aanvallen, die ofwel onbedoeld door schurkenapparaten ofwel kwaadwillig door aanvallers kunnen worden uitgevoerd, hebben doorgaans te maken met hoge verkeerssnelheden die bestemd zijn voor de supervisor module of de CPU.

Control Plan Policing (CoPP) is een functie die alle pakketten die worden ontvangen via de in-band (voorpaneel) poorten die zijn bestemd voor het routeradres, classificeert en bewaakt of waarbij een supervisor is betrokken. Deze eigenschap laat een beleidskaart toe om op het controlevliegtuig worden toegepast. Deze beleidskaart ziet eruit als een beleid van de normale kwaliteit van de dienst (QoS) en wordt toegepast op al verkeer dat de switch van een niet-beheerhaven ingaat. De bescherming van de supervisor module door toezicht staat de switch switch toe om overstromingen van verkeer te verlichten die voorbij de toegewijde inputtarief (CIR) voor elke klasse door de verwerping van pakketten gaan worden overweldigd en zo een invloed op prestaties te verhinderen.

Het is belangrijk om de tellers van de CoPP voortdurend te controleren en te rechtvaardigen, wat het doel van dit document is. Als CoPP-overtredingen niet worden gecontroleerd, kunnen deze voorkomen dat het besturingsplane het proces van echt verkeer op de gekoppelde betrokken klasse doorloopt. CoPP-configuratie is een vloeiend en doorlopend proces dat moet inspelen op de netwerk- en infrastructuurvereisten. Er zijn drie standaard systeembeleid voor CoPP. Standaard raadt Cisco het gebruik van het standaardbeleid strict aan als het beginpunt en wordt het gebruikt als de basis voor dit document.

CoPP is alleen van toepassing op in-band verkeer dat wordt ontvangen via de poorten op het voorpaneel. De out-of-band beheerpoort (mgmt0) is niet onderhevig aan CoPP. De hardware van het Cisco NX-OS apparaat voert CoPP uit per-door:sturen-motor basis. Daarom kies tarieven zodat het geaggregeerde verkeer niet de supervisor module overweldigt. Dit is vooral belangrijk voor end-of-row/modulaire switches, omdat de CIR van toepassing is op het geaggregeerde verkeer van alle CPU-gebonden verkeer.

Toepasselijke hardware

De component die in dit document wordt besproken, is van toepassing op alle switches van Cisco Nexus-datacenters.

Interpretatie van Control Plane Policing

De focus van dit document is het aanpakken van de meest voorkomende en kritieke niet-standaard klasseoverschrijdingen op Nexus switches.

Standaard CoPP standaardprofiel

Om te begrijpen hoe CoPP moet worden geïnterpreteerd, moet de eerste verificatie zijn om ervoor te zorgen dat een profiel wordt toegepast en om te begrijpen of er een standaardprofiel of een aangepast profiel wordt toegepast op de switch.

Opmerking: als best practice moeten alle Nexus-switches CoPP ingeschakeld hebben. Als deze functie niet is ingeschakeld, kan dit instabiliteit veroorzaken voor al het verkeer van besturingsplane, aangezien verschillende platforms het door Supervisor (SUP) gebonden verkeer kunnen beperken. Als CoPP bijvoorbeeld niet is ingeschakeld op een Nexus 9000, dan is het verkeer dat is bestemd voor de SUP beperkt tot 50 pps, waardoor de switch bijna onbruikbaar is gemaakt. CoPP wordt beschouwd als een vereiste op Nexus 3000 en Nexus 9000 platforms.


Als CoPP niet is ingeschakeld, kan het opnieuw worden ingeschakeld of geconfigureerd op de switch door het gebruik van de setup opdracht of door de toepassing van een van de standaard standaardbeleidsregels onder de configuratieoptie: copp profile [dense|lenient|moderate|strict].

Een onbeschermd apparaat classificeert en scheidt verkeer niet behoorlijk in klassen en zo is om het even welke ontkenning van de dienstgedrag voor een specifieke eigenschap of een protocol niet beperkt tot dat werkingsgebied en kan het volledige controlevliegtuig beïnvloeden.

Opmerking: CoPP-beleid wordt geïmplementeerd door TCAM-classificatie (Ternary Content-Addressable Memory) en kan rechtstreeks onder show system internal access-list input statistics module X | b CoPP of show hardware access-list input entries detailonder worden gezien.

N9K1# show copp status Last Config Operation: None Last Config Operation Timestamp: None Last Config Operation Status: None Policy-map attached to the control-plane: copp-system-p-policy-strict copp-system-p-policy-strict is one of the system default profiles, in particular the strict profile. N9K1# show running-config copp !Command: show running-config copp !Running configuration last done at: Tue Apr 26 16:34:10 2022 !Time: Sun May 1 16:30:57 2022 version 10.2(1) Bios:version 05.45 copp profile strict


Toezicht op besturingsplane

CoPP classificeert verkeer op basis van de overeenkomsten die corresponderen met de IP- of MAC-ACL’s. Het is dus belangrijk om te begrijpen welk verkeer is geclassificeerd onder welke klasse.

De klassen, die platformafhankelijk zijn, kunnen variëren. Daarom is het belangrijk om te begrijpen hoe je de klassen kan verifiëren.

Bijvoorbeeld op Nexus 9000 top-of-rack (TOR):

N9K1# show policy-map interface control-plane 
Control Plane

Service-policy input: copp-system-p-policy-strict
...
class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-auto-rp
match access-group name copp-system-p-acl-mac-l3-isis
set cos 7
police cir 36000 kbps , bc 1280000 bytes 
module 1 : 
transmitted 177446058 bytes;
5-minute offered rate 3 bytes/sec
conformed 27 peak-rate bytes/sec
at Sat Apr 23 04:25:27 2022

dropped 0 bytes;
5-min violate rate 0 byte/sec
violated 0 peak-rate byte/sec
...


In dit voorbeeld omvat de klasse-kaart verkeer dat copp-system-p-class-critical gerelateerd is aan routingprotocollen, zoals BGP-protocol (Border Gateway Protocol), Open Shortest Path First (OSPF), Enhanced Interior Gateway Router Protocol (EIGRP) en bevat andere protocollen, zoals vPC.

De IP of MAC ACLs naamconventie is meestal zelfverklarend voor het protocol of de functie in kwestie, met het prefix copp-system-p-acl-[protocol|feature].

Om een specifieke klasse te bekijken, kan deze direct worden gespecificeerd terwijl de show opdracht wordt uitgevoerd. Voorbeeld:

N9K-4# show policy-map interface control-plane class copp-system-p-class-management
Control Plane

Service-policy input: copp-system-p-policy-strict

class-map copp-system-p-class-management (match-any)
match access-group name copp-system-p-acl-ftp
match access-group name copp-system-p-acl-ntp
match access-group name copp-system-p-acl-ssh
match access-group name copp-system-p-acl-http
match access-group name copp-system-p-acl-ntp6
match access-group name copp-system-p-acl-sftp
match access-group name copp-system-p-acl-snmp
match access-group name copp-system-p-acl-ssh6
match access-group name copp-system-p-acl-tftp
match access-group name copp-system-p-acl-https
match access-group name copp-system-p-acl-snmp6
match access-group name copp-system-p-acl-tftp6
match access-group name copp-system-p-acl-radius
match access-group name copp-system-p-acl-tacacs
match access-group name copp-system-p-acl-telnet
match access-group name copp-system-p-acl-radius6
match access-group name copp-system-p-acl-tacacs6
match access-group name copp-system-p-acl-telnet6
set cos 2
police cir 36000 kbps , bc 512000 bytes 
module 1 :
transmitted 0 bytes;
5-minute offered rate 0 bytes/sec
conformed 0 peak-rate bytes/sec

dropped 0 bytes;
5-min violate rate 0 byte/sec
violated 0 peak-rate byte/sec


Terwijl de standaardprofielen van CoPP normaal verborgen zijn als deel van de standaardconfiguratie, kunt u de configuratie zien met show running-conf copp all:

N9K1# show running-config copp all

!Command: show running-config copp all
!Running configuration last done at: Tue Apr 26 16:34:10 2022
!Time: Sun May 1 16:41:55 2022

version 10.2(1) Bios:version 05.45 
control-plane
scale-factor 1.00 module 1
class-map type control-plane match-any copp-system-p-class-critical
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-auto-rp
match access-group name copp-system-p-acl-mac-l3-isis
(snip)
...

De class-map copp-system-p-class-critical, die eerder te zien is, verwijst naar meerdere matchverklaringen die een beroep doen op systeem ACL's, die standaard verborgen zijn, en verwijst naar de classificatie die is aangepast. Bijvoorbeeld, voor BGP:

N9K1# show running-config aclmgr all | b copp-system-p-acl-bgp
ip access-list copp-system-p-acl-bgp
10 permit tcp any gt 1023 any eq bgp 
20 permit tcp any eq bgp any gt 1023 
(snip)


Dit betekent dat om het even welk BGP verkeer deze klasse aanpast en onder copp-system-p-class-critical, samen met alle andere protocollen over die zelfde klasse geclassificeerd.

De Nexus 7000 gebruikt een zeer vergelijkbare CoPP-functiestructuur als de Nexus 9000:

N77-A-Admin# show policy-map interface control-plane 
Control Plane
service-policy input copp-system-p-policy-strict

class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-lisp
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-rise
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-lisp6
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-rise6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-otv-as
match access-group name copp-system-p-acl-mac-l2pt
match access-group name copp-system-p-acl-mpls-ldp
match access-group name copp-system-p-acl-mpls-rsvp
match access-group name copp-system-p-acl-mac-l3-isis
match access-group name copp-system-p-acl-mac-otv-isis
match access-group name copp-system-p-acl-mac-fabricpath-isis
match protocol mpls router-alert
set cos 7
police cir 36000 kbps bc 250 ms 
conform action: transmit 
violate action: drop 
module 1:
conformed 300763871 bytes,
5-min offered rate 132 bytes/sec
peak rate 125 bytes/sec at Sun May 01 09:50:51 2022
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
module 2:
conformed 4516900216 bytes,
5-min offered rate 1981 bytes/sec
peak rate 1421 bytes/sec at Fri Apr 29 15:40:40 2022
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
module 6:
conformed 0 bytes,
5-min offered rate 0 bytes/sec
peak rate 0 bytes/sec
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec


Het is belangrijk om op te merken dat op een Nexus 7000, aangezien dit modulaire switches zijn, u de klasse door module wordt verdeeld ziet; nochtans, is CIR van toepassing op het totaal van alle modules, en CoPP is op het volledige chassis van toepassing. De CoPP-verificatie en -uitgangen kunnen alleen worden gezien vanuit de standaard of Admin Virtual Device Context (VDC).


Het is vooral belangrijk om CoPP op een Nexus 7000 te verifiëren als er problemen met het besturingsplane worden gezien, omdat instabiliteit op een VDC met excessief CPU-gebonden verkeer dat CoPP-overtredingen veroorzaakt de stabiliteit van andere VDC's kan beïnvloeden.

Op een Nexus 5600 variëren de klassen. Voor BGP is het dus een aparte klasse:

N5K# show policy-map interface control-plane 
Control Plane
(snip)
class-map copp-system-class-bgp (match-any)
match protocol bgp
police cir 9600 kbps , bc 4800000 bytes 
conformed 1510660 bytes; action: transmit 
violated 0 bytes;
(snip)

Op een Nexus 3100 zijn er 3 routingprotocolklassen, zodat kan worden geverifieerd tot welke klasse BGP behoort, kruisverwijzing naar de 4 CoPP ACL die als referentie wordt gebruikt:
EIGRP wordt behandeld door zijn eigen klasse op Nexus 3100.

N3K-C3172# show policy-map interface control-plane 
Control Plane

service-policy input: copp-system-policy

class-map copp-s-routingProto2 (match-any)
match access-group name copp-system-acl-routingproto2
police pps 1300 
OutPackets 0
DropPackets 0
class-map copp-s-v6routingProto2 (match-any)
match access-group name copp-system-acl-v6routingProto2
police pps 1300 
OutPackets 0
DropPackets 0
class-map copp-s-eigrp (match-any)
match access-group name copp-system-acl-eigrp
match access-group name copp-system-acl-eigrp6
police pps 200 
OutPackets 0
DropPackets 0
class-map copp-s-routingProto1 (match-any)
match access-group name copp-system-acl-routingproto1
match access-group name copp-system-acl-v6routingproto1
police pps 1000 
OutPackets 0
DropPackets 0

N3K-C3172# show running-config aclmgr

!Command: show running-config aclmgr
!No configuration change since last restart
!Time: Sun May 1 18:14:16 2022

version 9.3(9) Bios:version 5.3.1 
ip access-list copp-system-acl-eigrp
10 permit eigrp any 224.0.0.10/32 
ipv6 access-list copp-system-acl-eigrp6
10 permit eigrp any ff02::a/128 
ip access-list copp-system-acl-routingproto1
10 permit tcp any gt 1024 any eq bgp 
20 permit tcp any eq bgp any gt 1024 
30 permit udp any 224.0.0.0/24 eq rip 
40 permit tcp any gt 1024 any eq 639 
50 permit tcp any eq 639 any gt 1024 
70 permit ospf any any 
80 permit ospf any 224.0.0.5/32 
90 permit ospf any 224.0.0.6/32 
ip access-list copp-system-acl-routingproto2
10 permit udp any 224.0.0.0/24 eq 1985 
20 permit 112 any 224.0.0.0/24 
ipv6 access-list copp-system-acl-v6routingProto2
10 permit udp any ff02::66/128 eq 2029 
20 permit udp any ff02::fb/128 eq 5353 
30 permit 112 any ff02::12/128 
ipv6 access-list copp-system-acl-v6routingproto1
10 permit 89 any ff02::5/128 
20 permit 89 any ff02::6/128 
30 permit udp any ff02::9/128 eq 521 


In dit geval wordt BGP gematched door de ACL copp-system-acl-routingproto1, en dus valt de CoPP klasse BGP in is copp-s-routingProto1.

Control Plane policing-statistieken en -tellers

CoPP ondersteunt QoS-statistieken om de geaggregeerde tellers van verkeer bij te houden die de vastgelegde invoersnelheid (CIR) voor een bepaalde klasse en voor elke module bevestigt of overtreedt.


Elke class-map classificeert CPU-gebonden verkeer op basis van de klasse waaraan het beantwoordt en voegt een CIR toe aan alle pakketten die onder die classificatie vallen. Als voorbeeld, de klasse die op BGP verkeer betrekking heeft wordt gebruikt als verwijzing:

Op een Nexus 9000 top-of-rack (TOR) voor copp-system-p-class-critical:

class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-auto-rp
match access-group name copp-system-p-acl-mac-l3-isis
set cos 7
police cir 36000 kbps , bc 1280000 bytes 
module 1 : 
transmitted 177446058 bytes;
5-minute offered rate 3 bytes/sec
conformed 27 peak-rate bytes/sec
at Sat Apr 23 04:25:27 2022

dropped 0 bytes;
5-min violate rate 0 byte/sec
violated 0 peak-rate byte/sec

Op de sectie van de klasse-kaart, na de matchverklaringen, ziet u de acties die op al verkeer binnen de klasse betrekking hebben. Al het verkeer dat binnen copp-system-p-class-critical is geclassificeerd, wordt ingesteld met een Class of Service (CoS) van 7, wat het verkeer met de hoogste prioriteit is, en deze klasse wordt bewaakt met een CIR van 36000 kbps en een gecommitteerd-burst-rate van 1280000 bytes.

Het verkeer dat met dit beleid in overeenstemming is wordt doorgestuurd naar de SUP die wordt verwerkt en alle schendingen worden beëindigd.

set cos 7
police cir 36000 kbps , bc 1280000 bytes

De volgende sectie bevat de statistieken die betrekking hebben op de module, voor top-of-rack (TOR) switches, met één enkele module, verwijst module 1 naar de switch.

module 1 : 
transmitted 177446058 bytes;
5-minute offered rate 3 bytes/sec
conformed 27 peak-rate bytes/sec
at Sat Apr 23 04:25:27 2022

dropped 0 bytes;
5-min violate rate 0 byte/sec
violated 0 peak-rate byte/sec

De statistieken die op de output worden gezien zijn historisch, zodat verstrekt dit een momentopname van de huidige statistieken wanneer het bevel in werking wordt gesteld.

Er zijn twee secties die hier moeten worden geïnterpreteerd: de uitgezonden en verbroken secties:
Verzonden datapunt volgt alle verzonden pakketten die met het beleid in overeenstemming zijn. Deze sectie is belangrijk aangezien het inzicht in het type van verkeer verstrekt de supervisor processen.

De waarde van de 5-minuten aangeboden prijs geeft inzicht in de huidige prijs.
De conformed pieksnelheid en datum, geeft een momentopname van de hoogste pieksnelheid per seconde die nog steeds in overeenstemming was binnen het beleid en de tijd dat het voorkwam.
Als er een nieuwe piek wordt gezien, dan vervangt deze deze waarde en datum.

Het belangrijkste deel van de statistieken is het gelaten vallen datapunt. Net als bij de verzonden statistieken worden in de gedropte sectie de cumulatieve bytes die zijn gedropt als gevolg van overtredingen van de politiesnelheid bijgehouden. Het geeft ook de overschrijdingssnelheid voor de laatste 5 minuten, de geschonden piek, en als er een piek is, het tijdstempel van die piekschending. En nogmaals, als er een nieuwe piek wordt gezien, dan vervangt die deze waarde en datum. Op andere platformen variëren de outputs, maar de logica is zeer vergelijkbaar.

Nexus 7000 gebruikt een identieke structuur en de verificatie is hetzelfde, hoewel sommige klassen enigszins afwijken van de genoemde ACL’s:

class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-lisp
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-rise
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-lisp6
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-rise6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-otv-as
match access-group name copp-system-p-acl-mac-l2pt
match access-group name copp-system-p-acl-mpls-ldp
match access-group name copp-system-p-acl-mpls-rsvp
match access-group name copp-system-p-acl-mac-l3-isis
match access-group name copp-system-p-acl-mac-otv-isis
match access-group name copp-system-p-acl-mac-fabricpath-isis
match protocol mpls router-alert
set cos 7
police cir 36000 kbps bc 250 ms 
conform action: transmit 
violate action: drop 
module 1:
conformed 300763871 bytes,
5-min offered rate 132 bytes/sec
peak rate 125 bytes/sec at Sun May 01 09:50:51 2022
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
module 2:
conformed 4516900216 bytes,
5-min offered rate 1981 bytes/sec
peak rate 1421 bytes/sec at Fri Apr 29 15:40:40 2022
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec
module 6:
conformed 0 bytes,
5-min offered rate 0 bytes/sec
peak rate 0 bytes/sec
violated 0 bytes,
5-min violate rate 0 bytes/sec
peak rate 0 bytes/sec

Op een Nexus 5600:

class-map copp-system-class-bgp (match-any)
match protocol bgp
police cir 9600 kbps , bc 4800000 bytes 
conformed 1510660 bytes; action: transmit 
violated 0 bytes;

Hoewel het geen informatie over snelheid of pieken verstrekt, verstrekt het nog de gezamenlijke in overeenstemming gebrachte en overtreden bytes.

Op een Nexus 3100 toont de uitvoer van het besturingsplane, OutPackets en DropPackets.

class-map copp-s-routingProto1 (match-any)
match access-group name copp-system-acl-routingproto1
match access-group name copp-system-acl-v6routingproto1
police pps 1000 
OutPackets 8732060
DropPackets 0

OutPackets verwijzen naar conforme pakketten, terwijl DropPackets verwijzen naar overtredingen van de CIR. In dit scenario, ziet u geen dalingen op de bijbehorende klasse.

Op een Nexus 3500 toont de uitvoer HW en SW overeenkomende pakketten:

class-map copp-s-routingProto1 (match-any)
match access-group name copp-system-acl-routingproto1
police pps 900 
HW Matched Packets 471425
SW Matched Packets 471425

HW Gekoppelde pakketten verwijzen naar de pakketten die in HW door ACL worden aangepast. De SW-overeenkomende pakketten zijn die welke voldoen aan het beleid. Elk verschil tussen de HW en SW overeenkomende pakketten impliceert een overtreding.


In dit geval, zijn er geen druppels gezien op het routing protocol-1 klassepakketten (die BGP omvatten), als de waarden overeenkomen.

Controleer op schending van actieve drop

Gezien het feit dat de controlevliegtuig politiestatistieken historisch zijn, is het belangrijk om te bepalen of de actieve schendingen toenemen. De standaardmanier om deze taak uit te voeren is twee volledige outputs te vergelijken en eventuele verschillen te verifiëren.


Deze taak kan handmatig worden uitgevoerd, of de Nexus switches bieden het diff-gereedschap dat kan helpen om de uitgangen te vergelijken.


Terwijl de gehele output kan worden vergeleken, is deze niet nodig omdat de focus alleen op de gedropte statistieken ligt. Zo kan de CoPP output worden gefilterd om zich alleen op de schendingen te concentreren.

De opdracht is: show policy-map interface control-plane | egrep class|module|violated|dropped | diff -y

Opmerking: de opdracht moet tweemaal worden uitgevoerd om het diff de stroom te kunnen vergelijken met de vorige uitvoer.

Met de vorige opdracht kunt u de delta tussen twee klassen zien en overschrijdingen opsporen.

Opmerking: Aangezien de CoPP-statistieken historisch zijn, is een andere aanbeveling om de statistieken te wissen nadat de opdracht wordt uitgevoerd, om te verifiëren of er actieve verhogingen zijn. Om de CoPP-statistieken te wissen, voert u de opdracht uit: clear copp statistics.

Soorten CoPP Drops

CoPP is een eenvoudige controlestructuur, aangezien om het even welk cpu gebonden verkeer dat CIR overtreedt wordt gelaten vallen. De implicaties variëren echter aanzienlijk afhankelijk van het type druppels.

Hoewel de logica hetzelfde is, is het niet hetzelfde om verkeer dat is bestemd voor copp-system-p-class-critical.

class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-auto-rp
match access-group name copp-system-p-acl-mac-l3-isis
set cos 7
police cir 36000 kbps , bc 1280000 bytes

Vergeleken met drop-verkeer bestemd voor class-map copp-system-p-class-monitoring.

class-map copp-system-p-class-monitoring (match-any)
match access-group name copp-system-p-acl-icmp
match access-group name copp-system-p-acl-icmp6
match access-group name copp-system-p-acl-traceroute
set cos 1
police cir 360 kbps , bc 128000 bytes

De eerste heeft betrekking op routeringsprotocollen, de tweede op Internet Control Message Protocol (ICMP), dat een van de laagste prioriteiten en CIR heeft. Het verschil op CIR is honderd keer zo groot. Daarom is het belangrijk om de klassen, effecten, gemeenschappelijke controles/verificaties, en aanbevelingen te begrijpen.

CoPP-klassen

Klasse bewaking - copp-system-p-class-monitoring


Deze klasse omvat ICMP voor IPv4, IPv6 en traceroute van verkeer dat naar de switch in kwestie is geleid.

class-map copp-system-p-class-monitoring (match-any)
match access-group name copp-system-p-acl-icmp
match access-group name copp-system-p-acl-icmp6
match access-group name copp-system-p-acl-traceroute
set cos 1
police cir 360 kbps , bc 128000 bytes 

Impact

Een veel voorkomend misverstand als pakketverlies of latentie problemen oplevert, is om de switch te pingen via zijn in-band poorten, die door CoPP zijn beperkt. Als CoPP zwaar toezicht op ICMP, zelfs met een laag verkeer of congestie, kan pakketverlies worden gezien door een ping naar in-band interfaces direct als zij CIR overtreden.

Bijvoorbeeld, door te pingelen aan direct verbonden interfaces op gerouteerde poorten, met een pakketlading van 500, kunnen de dalingen periodiek worden gezien.

N9K-3# ping 192.168.1.1 count 1000 packet-size 500
...
--- 192.168.1.1 ping statistics ---
1000 packets transmitted, 995 packets received, 0.50% packet loss
round-trip min/avg/max = 0.597/0.693/2.056 ms

Op de Nexus, waar de ICMP-pakketten waren bestemd, ziet u dat CoPP ze heeft laten vallen terwijl de overschrijding werd gedetecteerd en de CPU was beveiligd:

N9K-4# show policy-map interface control-plane class copp-system-p-class-monitoring
Control Plane

Service-policy input: copp-system-p-policy-strict

class-map copp-system-p-class-monitoring (match-any)
match access-group name copp-system-p-acl-icmp
match access-group name copp-system-p-acl-icmp6
match access-group name copp-system-p-acl-traceroute
set cos 1
police cir 360 kbps , bc 128000 bytes 
module 1 :
transmitted 750902 bytes;
5-minute offered rate 13606 bytes/sec
conformed 13606 peak-rate bytes/sec
at Sun May 01 22:49:24 2022

dropped 2950 bytes;
5-min violate rate 53 byte/sec
violated 53 peak-rate byte/sec at Sun May 01 22:49:24 2022

Om latentie of pakketverlies op te lossen, wordt aanbevolen om hosts te gebruiken die door de switch kunnen worden bereikt met het gegevensvliegtuig, dat niet bestemd is voor de switch zelf, wat verkeer van besturingsplane zou zijn. Gegevensvliegverkeer wordt doorgestuurd/gerouteerd op hardwareniveau zonder SUP-interventie en wordt dus niet gecontroleerd door CoPP, en ondervindt doorgaans geen druppels.

Aanbevelingen

• Verzend een ping over de switch door het gegevensvliegtuig, niet naar de switch, om valse positieve resultaten voor pakketverlies te verifiëren.
• Limit Network Monitoring System (NMS) of tools die op agressieve wijze ICMP op de switch gebruiken om een burst te voorkomen door de vastgelegde invoersnelheid voor de klasse. Onthoud dat CoPP van toepassing is op al het geaggregeerde verkeer dat in de klasse valt.

Klasse beheer - copp-system-p-class-management

Zoals hier gezien, omvat deze klasse verschillende beheerprotocollen die kunnen worden gebruikt voor communicatie (SSH, Telnet), overdrachten (SCP, FTP, HTTP, SFTP, TFTP), kloktijd (NTP), AAA (Radius/TACACS) en bewaking (SNMP), voor IPv4- en IPv6-communicatie.

class-map copp-system-p-class-management (match-any)
match access-group name copp-system-p-acl-ftp
match access-group name copp-system-p-acl-ntp
match access-group name copp-system-p-acl-ssh
match access-group name copp-system-p-acl-http
match access-group name copp-system-p-acl-ntp6
match access-group name copp-system-p-acl-sftp
match access-group name copp-system-p-acl-snmp
match access-group name copp-system-p-acl-ssh6
match access-group name copp-system-p-acl-tftp
match access-group name copp-system-p-acl-https
match access-group name copp-system-p-acl-snmp6
match access-group name copp-system-p-acl-tftp6
match access-group name copp-system-p-acl-radius
match access-group name copp-system-p-acl-tacacs
match access-group name copp-system-p-acl-telnet
match access-group name copp-system-p-acl-radius6
match access-group name copp-system-p-acl-tacacs6
match access-group name copp-system-p-acl-telnet6
set cos 2
police cir 36000 kbps , bc 512000 bytes

Impact

De meest voorkomende gedragingen of vallen die aan deze klasse zijn gekoppeld, zijn:

• Waargenomen CLI-traagheid bij verbinding via SSH/Telnet. Als er actieve druppels op de klas zijn, dan kunnen de communicatie sessies langzaam zijn en lijden aan druppels.
• Bestanden overdragen met FTP-, SCP-, SFTP- en TFTP-protocollen op de switch. Het meest voorkomende gedrag dat wordt gezien is een poging om de opstartbeelden van het systeem/kickstart over te dragen door in-band beheerpoorten. Dit kan leiden tot hogere overdrachttijden en gesloten/beëindigde transmissiesessies bepaald door de totale bandbreedte voor de klasse.
• NTP synchronisatieproblemen, deze klasse is ook belangrijk omdat het schurken NTP agenten of aanvallen verlicht.
• Ook AAA Radius- en TACACS-diensten vallen in deze klasse. Als de impact op deze klasse wordt waargenomen, kan dit invloed hebben op de autorisatie- en authenticatiediensten op de switch voor gebruikersaccounts, wat ook kan bijdragen aan vertragingen bij de CLI-opdrachten.
• SNMP wordt ook geobserveerd onder deze klasse. Het meest voorkomende gedrag dat wordt gezien als gevolg van een daling als gevolg van de SNMP-klasse is op NMS-servers, die wandelingen, bulkcollecties of netwerkscans uitvoeren. Wanneer periodieke instabiliteit optreedt, is deze meestal gecorreleerd aan het NMS-inzamelingsschema.

Aanbevelingen

• Als CLI-traagheid wordt waargenomen, samen met dalingen in deze klasse, gebruik consoletoegang of beheer out-of-band toegang (mgmt0).
• Als er systeemafbeeldingen naar de switch moeten worden geüpload, gebruikt u de out-of-band beheerpoort (mgmt0) of de USB-poorten voor de snelste overdracht.
• Als NTP-pakketten verloren gaan, controleer of ntp peer-status wordt weergegeven en controleer de bereikbaarheidskolom, geen druppels vertalen naar 377.
• Als er problemen zijn met AAA-services, kunt u alleen lokale gebruikers gebruiken om problemen op te lossen, totdat het gedrag is verzacht.
• Beperking van SNMP-problemen omvat minder agressief gedrag, gerichte verzameling of minimalisering van netwerkscanners. Bekijk periodieke tijden van scanners tot gebeurtenissen op CPU-niveau.

Class L3 Unicast Data - copp-system-p-class-l3uc-data

Deze klasse behandelt specifiek glean pakketten. Dit type pakket wordt ook verwerkt door de Hardware Rate Limiter (HWRL).


Als het verzoek van het Protocol van de Resolutie van het Adres (ARP) voor de volgende hop niet wordt opgelost wanneer de inkomende IP pakketten in een lijnkaart door:sturen, door:sturen de lijnkaart de pakketten aan de supervisor module.


De supervisor lost het adres van MAC voor de volgende hop op en programmeert de hardware.

class-map copp-system-p-class-l3uc-data (match-any)
match exception glean
set cos 1

Dit gebeurt normaal wanneer statische routes worden gebruikt en de volgende hop onbereikbaar of onopgelost is.

Wanneer een ARP verzoek wordt verzonden, voegt de software een /32 dalingsnabijheid in de hardware toe om de pakketten aan het zelfde volgende-hopIP adres te verhinderen aan de supervisor door te sturen. Wanneer ARP wordt opgelost, wordt de hardware-ingang bijgewerkt met het juiste MAC-adres. Als de ARP ingang niet vóór een onderbrekingsperiode wordt opgelost, wordt de ingang verwijderd uit de hardware.

Opmerking: CoPP en HWRL werken tegelijkertijd om er zeker van te zijn dat de CPU is beveiligd. Terwijl zij lijken om gelijkaardige functies uit te oefenen, komt HWRL eerst voor. De implementatie is gebaseerd op waar de specifieke eigenschap wordt uitgevoerd op de voorwaartse motoren op de ASIC. Deze seriële benadering maakt granulariteit en meerlaagse bescherming mogelijk die alle aan CPU gebonden pakketten waarderen.

De HWRL wordt uitgevoerd per instantie/voorwaartse motor op de module en kan met de opdracht worden bekeken show hardware rate-limiter. HWRL valt buiten het toepassingsgebied van dit technische document.

show hardware rate-limiter

Units for Config: kilo bits per second
Allowed, Dropped & Total: aggregated bytes since last clear counters


Module: 1
R-L Class Config Allowed Dropped Total
+----------------+----------+--------------------+--------------------+--------------------+
L3 glean 100 0 0 0
L3 mcast loc-grp 3000 0 0 0
access-list-log 100 0 0 0
bfd 10000 0 0 0
fex 12000 0 0 0
span 50 0 0 0
sflow 40000 0 0 0
vxlan-oam 1000 0 0 0
100M-ethports 10000 0 0 0
span-egress disabled 0 0 0
dot1x 3000 0 0 0
mpls-oam 300 0 0 0
netflow 120000 0 0 0
ucs-mgmt 12000 0 0 0

Impact

• Het verkeer van de gegevensplaat wordt gestraft aan de supervisor als schending, aangezien het niet in hardware kan worden verwerkt, en leidt zo tot druk op cpu.

Aanbevelingen

• De gemeenschappelijke resolutie voor deze kwestie om de gleeddruppels te minimaliseren is de volgende hop te verzekeren bereikbaar is, en glean-throttling door het configuratiebevel toe te laten: hardware ip glean throttle.

Op Nexus 7000 8.4(2), introduceerde het ook de steun van de bloomfilter voor glimlaannabijheid voor M3 en F4 modules. Raadpleeg: Cisco Nexus 7000 Series NX-OS Unicast Routing Configuration Guide

Herzie om het even welke statische routeconfiguraties die onbereikbare volgende-hopadressen gebruiken, of gebruik dynamische routeringsprotocollen die dergelijke routes dynamisch uit de RIB zouden verwijderen.

Klasse kritiek - class-map copp-system-p-class-critical

Deze klasse verwijst naar de meest kritieke besturingsplatformprotocollen vanuit een L3-perspectief, waaronder routingprotocollen voor IPv4 en IPv6, (RIP, OSPF, EIGRP, BGP), auto-RP, virtueel poortkanaal (vPC) en l2pt en IS-IS.

class-map copp-system-p-class-critical (match-any)
match access-group name copp-system-p-acl-bgp
match access-group name copp-system-p-acl-rip
match access-group name copp-system-p-acl-vpc
match access-group name copp-system-p-acl-bgp6
match access-group name copp-system-p-acl-ospf
match access-group name copp-system-p-acl-rip6
match access-group name copp-system-p-acl-eigrp
match access-group name copp-system-p-acl-ospf6
match access-group name copp-system-p-acl-eigrp6
match access-group name copp-system-p-acl-auto-rp
match access-group name copp-system-p-acl-mac-l2pt
match access-group name copp-system-p-acl-mac-l3-isis
set cos 7
police cir 36000 kbps , bc 1280000 bytes 

Impact

Drops op copp-system-p-class-critical overdrachtinstabiliteit aan het routing van protocollen, die kunnen omvatten gevallen van nabijheid of convergentiefouten, of update/NLRI-propagatie.
De meest voorkomende beleidsdalingen op deze klasse kunnen betrekking hebben op schurkenapparaten op het netwerk die abnormaal (wegens misconfiguratie of mislukking) of schaalbaarheid handelen.

Aanbevelingen

• Als er geen anomalieën worden gedetecteerd, zoals een schurkenapparaat of L2 instabiliteit die continue reconvergentie van de bovenste laag protocollen veroorzaakt, dan kan een aangepaste configuratie van CoPP of een meer inschikkelijke klasse worden vereist om de schaal aan te passen.
• Raadpleeg de CoPP-configuratiegids voor het configureren van een aangepast CoPP-profiel op basis van een standaardprofiel dat momenteel bestaat.
  Het beleid voor beste praktijken van CoPP kopiëren

Klasse belangrijk - copp-system-p-class-important


Deze klasse heeft betrekking op de eerste-hop redundantie protocollen (FHRP), die HSRP, VRRP, en ook LLDP omvatten

class-map copp-system-p-class-important (match-any)
match access-group name copp-system-p-acl-hsrp
match access-group name copp-system-p-acl-vrrp
match access-group name copp-system-p-acl-hsrp6
match access-group name copp-system-p-acl-vrrp6
match access-group name copp-system-p-acl-mac-lldp
set cos 6
police cir 2500 kbps , bc 1280000 bytes

Impact


Het meest voorkomende gedrag dat hier wordt waargenomen en tot vallen leidt, zijn problemen met Layer 2-instabiliteit, die leidt tot apparaten die overgaan in actieve toestand (gespleten brein) scenario's, agressieve timers, misconfiguraties of schaalbaarheid.

Aanbevelingen:

• Zorg voor FHRP dat groepen goed zijn geconfigureerd en de rollen actief/stand-by of primair/secundair zijn, en goed worden onderhandeld, en er zijn geen flaps op de staat.
• Controleer op convergentieproblemen bij L2 of problemen met multicast-doorgifte voor het L2-domein.

Class L2 Unpoliced - copp-system-p-class-l2-unpoliced

De klasse L2 unpoliced verwijst naar alle kritieke Layer 2-protocollen die de basis vormen voor alle bovenlaagprotocollen en dus als bijna ongecontroleerd worden beschouwd met de hoogste CIR en prioriteit.


Deze klasse verwerkt effectief Spanning-Tree Protocol (STP), Link Aggregation Control Protocol (LACP), Cisco Fabric Service over Ethernet (CFSoE)

class-map copp-system-p-class-l2-unpoliced (match-any)
match access-group name copp-system-p-acl-mac-stp
match access-group name copp-system-p-acl-mac-lacp
match access-group name copp-system-p-acl-mac-cfsoe
match access-group name copp-system-p-acl-mac-sdp-srp
match access-group name copp-system-p-acl-mac-l2-tunnel
match access-group name copp-system-p-acl-mac-cdp-udld-vtp
set cos 7
police cir 50 mbps , bc 8192000 bytes

Deze klasse heeft een CIR van de politie van 50 Mbps, de hoogste van alle klassen, samen met de hoogste absorptie van de barstsnelheid.

Impact

Druppels op deze klasse kunnen leiden tot wereldwijde instabiliteit, aangezien alle bovenlaagprotocollen en communicatie op gegevens, controle, en beheervlakken zich baseren op een onderliggende Layer 2-stabiliteit.

Problemen met STP-overtredingen kunnen TCN's en STP-convergentieproblemen veroorzaken, zoals STP-geschillen, MAC-flushes, bewegingen en leren van gedragingen met een handicap, die problemen met de bereikbaarheid veroorzaakt en verkeerslussen kan veroorzaken die het netwerk destabiliseren.

Deze klasse verwijst ook naar LACP, en behandelt dus alle EtherType-pakketten geassocieerd met 0x8809, die alle LACPDUs omvatten die worden gebruikt om de staat van de port-channel-obligaties te handhaven. Instabiliteit op deze klasse kan ervoor zorgen dat de poortkanalen uitlopen als de LACPDU's worden gedropt.

Cisco Fabric Service over Ethernet (CSFoE) valt binnen deze klasse en wordt gebruikt om essentiële applicatiecontrolestaten te communiceren tussen Nexus-switches en is daarom essentieel voor stabiliteit.

Het zelfde is op andere protocollen binnen deze klasse van toepassing, die CDP, UDLD, en VTP omvat.

Aanbevelingen

• Het meest voorkomende gedrag heeft betrekking op L2 Ethernet instabiliteit. Zorg ervoor dat STP goed is ontworpen op een deterministische manier met de relevante functieverbeteringen in het spel om het effect van reconvergentie of schurkenapparaten in het netwerk te minimaliseren. Zorg ervoor dat het juiste STP poorttype is geconfigureerd voor alle end-host apparaten die niet deelnemen aan de L2-extensie, als edge/edge trunkpoorten zijn geconfigureerd om TCN's te minimaliseren.
• Gebruik STP-verbeteringen, zoals BPDUguard, Loopguard, BPDUfilter en RootGuard, waar van toepassing, om het bereik van een fout of problemen met verkeerde configuratie of schurkenapparaten op het netwerk te beperken.
• Raadpleeg: Cisco Nexus 9000 NX-OS Layer 2-switching configuratiehandleiding, release 10.2(x)
• Controleer op MAC-bewegingsgedrag dat kan leiden tot uitschakeling van MAC-leren en flushes. Raadpleeg:Nexus 9000 Mac-methoden voor probleemoplossing en preventie

Class Multicast router - class-map copp-system-p-class-multicast-router


Deze klasse verwijst naar controlevliegtuig Protocol Independent Multicast (PIM)-pakketten die worden gebruikt voor de vaststelling en controle van gerouteerde multicast-gedeelde bomen via alle voor PIM geschikte apparaten in het gegevensplatform, en omvat First-Hop Router (FHR), Last-Hop Router (LHR), Intermediate-Hop Routers (IHR) en Rendezvous Points (RPs). Pakketten die in deze klasse zijn geclassificeerd, omvatten PIM-registratie voor bronnen, PIM-verbindingen voor ontvangers voor zowel IPv4 als IPv6, in het algemeen elk verkeer dat voor PIM (24.0.0.13) is bestemd, en Multicast Source Discovery Protocol (MSDP). Houd er rekening mee dat er meerdere extra klassen zijn die zeer specifieke delen van multicast- of RP-functionaliteit behandelen die door verschillende klassen worden verwerkt.

class-map copp-system-p-class-multicast-router (match-any)
match access-group name copp-system-p-acl-pim
match access-group name copp-system-p-acl-msdp
match access-group name copp-system-p-acl-pim6
match access-group name copp-system-p-acl-pim-reg
match access-group name copp-system-p-acl-pim6-reg
match access-group name copp-system-p-acl-pim-mdt-join
match exception mvpn
set cos 6
police cir 2600 kbps , bc 128000 bytes 

Impact

De belangrijkste impact op druppels die betrekking hebben op deze klasse worden geassocieerd met problemen die communiceren naar multicast bronnen door PIM registratie naar de RP's of PIM toetreedt niet goed verwerkt, wat de gedeelde of kortste pad bomen naar de bronnen van de multicast stroom of naar de RP's zou destabiliseren. Het gedrag kan uitgaande interfacelijst (OLIE) omvatten niet behoorlijk bevolkt wegens afwezige toetredingen, of (S, G), of (*, G) niet constant over het milieu gezien. Er kunnen ook problemen ontstaan tussen multicast-routeringsdomeinen die voor interconnectie afhankelijk zijn van MSDP.

Aanbevelingen

• Het meest voorkomende gedrag bij PIM-gerelateerde problemen verwijst naar schaalproblemen of schurkengedrag. Een van de meest voorkomende gedragingen wordt gezien als gevolg van de implementatie op UPnP, die ook geheugenuitputting problemen kan veroorzaken. Dit kan worden aangepakt door filters en een beperkt bereik van de schurkenapparaten. Zie voor meer informatie over hoe multicast-controlepakketten voor mitigatie en filter die afhankelijk zijn van de netwerkrol van het apparaat: Configure Multicast Filtering on Nexus 7K/N9K - Cisco

Class Multicast Host - copp-system-p-class-multicast-host

Deze klasse verwijst naar Multicast Listener Discovery (MLD), met name MLD-query-, rapport-, reductie- en MLDv2-pakkettypen. MLD is een IPv6 protocol dat een host gebruikt om multicast gegevens voor een bepaalde groep aan te vragen. Met de informatie die via MLD wordt verkregen, houdt de software een lijst bij van multicast groep- of kanaallidmaatschap per interface. De apparaten die MLD-pakketten ontvangen, verzenden de multicast gegevens die ze ontvangen voor de gevraagde groepen of kanaliseren het netwerksegment van de bekende ontvangers. MLDv1 is afgeleid van IGMPv2 en MLDv2 is afgeleid van IGMPv3. IGMP maakt gebruik van IP Protocol 2-berichttypes, terwijl MLD IP Protocol 58-berichttypes gebruikt, een subset van de ICMPv6-berichten.

class-map copp-system-p-class-multicast-host (match-any)
match access-group name copp-system-p-acl-mld
set cos 1
police cir 1000 kbps , bc 128000 bytes 

Impact

De druppels op deze klasse vertalen aan kwesties op verbinding-lokale IPv6 multicast mededelingen, die luisteraarrapporten van ontvangers of reacties op algemene vragen kunnen veroorzaken worden gelaten vallen, die ontdekking van multicast groepen verhinderen de gastheren willen ontvangen. Dit kan gevolgen hebben voor het snuffelmechanisme en het verkeer niet goed doorsturen door verwachte interfaces die om het verkeer vroegen.

Aanbevelingen

• Aangezien MLD-verkeer op een link-lokaal niveau voor IPv6 significant is, hebben de meest voorkomende oorzaken van gedrag betrekking op schaal, L2-instabiliteit of schurkenapparaten.

Class Layer 3 Multicast Data - copp-system-p-class-l3mc-data  en Class Layer 3 Multicast IPv6-gegevens - copp-system-p-class-l3mcv6-data

Deze klassen verwijzen naar verkeer dat een multicast uitzonderingsomleiding naar SUP aanpast. In dit geval zijn er twee voorwaarden die door deze klassen worden behandeld. De eerste is de fout van het Omgekeerd-Path Forwarding (RPF) en de tweede is de Miss van de Bestemming. De Mis van de bestemming verwijst naar multicast pakketten waar de raadpleging in hardware voor Layer 3 multicast het door:sturen lijst ontbreekt, en zo wordt het gegevenspakket gestraft aan CPU. Deze pakketten worden soms gebruikt om het multicast controlevliegtuig teweeg te brengen/te installeren en de hardware toe te voegen die tabelingangen door:sturen, die op het verkeer van het gegevensvliegtuig worden gebaseerd. Data-vlak multicast pakketten die de RPF overtreden zouden ook overeenkomen met deze uitzondering en geclassificeerd worden als een overtreding.

class-map copp-system-p-class-l3mc-data (match-any)
match exception multicast rpf-failure
match exception multicast dest-miss
set cos 1
police cir 2400 kbps , bc 32000 bytes

class-map copp-system-p-class-l3mcv6-data (match-any)
match exception multicast ipv6-rpf-failure
match exception multicast ipv6-dest-miss
set cos 1
police cir 2400 kbps , bc 32000 bytes 

Impact

RPF-fouten en doelfouten impliceren een ontwerp- of configuratieprobleem met betrekking tot hoe het verkeer door de multicast router stroomt. Bestemmingsfouten zijn gebruikelijk bij het creëren van een staat, druppels kunnen leiden tot het programmeren en creëren van (*, G), (S, G) mislukkingen.

Aanbevelingen

• Veranderingen in het fundamentele unicast RIB-ontwerp uitvoeren, of statische route toevoegen om verkeer door een bepaalde interface te sturen, in het geval van RPF-storingen.
• Verwijs naar Router niet door:sturen multicast pakketten naar host vanwege RPF-fout

IGMP van klasse - copp-system-p-class-igmp


Deze klasse verwijst naar alle IGMP-berichten, voor alle versies die worden gebruikt om multicast-gegevens voor een bepaalde groep aan te vragen, en die door de IGMP-spionagefunctionaliteit worden gebruikt om de groepen en relevante uitgaande interfacelijst (OIL) te behouden die het verkeer doorsturen naar de geïnteresseerde ontvangers op Layer 2. De IGMP-berichten zijn lokaal belangrijk omdat ze geen Layer 3-grens overschrijden, aangezien hun tijd om te leven (TTL) 1 moet zijn, zoals gedocumenteerd onder RFC2236 (Internet Group Management Protocol, versie 2). De IGMP-pakketten die door deze klasse worden verwerkt, bevatten alle lidmaatschapsvragen (algemeen of bron/groepsspecifiek), samen met de lidmaatschaps- en verlofrapporten van de ontvangers.

class-map copp-system-p-class-normal-igmp (match-any)
match access-group name copp-system-p-acl-igmp
set cos 3
police cir 3000 kbps , bc 64000 bytes 

Impact

De druppels op deze klasse zouden aan kwesties op alle niveaus van een multicast communicatie tussen bron en ontvanger vertalen, afhankelijk van het type van IGMP- bericht dat wegens de schending wordt gelaten vallen. Als lidmaatschapsrapporten van ontvangers verloren gaan, dan is de router zich niet bewust van apparaten die geïnteresseerd zijn in het verkeer en daarom bevat het niet de interface/VLAN op zijn relevante uitgaande interfacelijst. Als dit apparaat ook de querier of aangewezen router is, brengt het niet relevante PIM samen berichten naar de RP als de bron voorbij het lokale Layer 2 domein is, dus het nooit het gegevensvlak over de multicast boom helemaal tot aan de ontvanger of RP. Als het verlofrapport verloren gaat, kan de ontvanger ongewenst verkeer blijven ontvangen. Dit kan ook van invloed zijn op alle relevante IGMP-vragen die door de query worden geactiveerd en op de communicatie tussen de multicast-routers in een domein.

Aanbevelingen

• De meest voorkomende gedragingen die geassocieerd worden met IGMP-druppels hebben betrekking op L2-instabiliteit, problemen met timers of schaal.

Class Normal - copp-system-p-class-normalcopp-system-p-class-normal

Deze klasse verwijst naar verkeer dat overeenkomt met standaard ARP-verkeer en omvat ook verkeer dat is gekoppeld aan 802.1X, gebruikt voor poortgebaseerde netwerktoegangscontrole. Dit is een van de meest voorkomende klassen die overtredingen tegenkomen als ARP-verzoeken, gratuleuze ARP, omgekeerde ARP-pakketten worden uitgezonden en verspreid door het gehele Layer 2-domein. Het is belangrijk om te onthouden dat ARP-pakketten geen IP-pakketten zijn, deze pakketten geen L3-header bevatten, en dus wordt de beslissing alleen genomen over de scope van de L2-headers. Als een Switch is geconfigureerd met een IP-interface die aan dat subnetnummer is gekoppeld, zoals een router Virtual Interface (SVI), worden de ARP-pakketten doorgeprikt naar de SUP die moet worden verwerkt, zoals ze zijn bestemd voor het hardware-uitzendadres. Elke uitzendingsonweer, Layer 2-lus (vanwege STP of flaps) of een rouge-apparaat in het netwerk kan leiden tot een ARP-onweer waardoor schendingen aanzienlijk toenemen.

class-map copp-system-p-class-normal (match-any)
match access-group name copp-system-p-acl-mac-dot1x
match protocol arp
set cos 1
police cir 1400 kbps , bc 32000 bytes 

Impact

De gevolgen van overtredingen in deze klasse hangen sterk af van de duur van de gebeurtenissen en de rol van de switch op het milieu. De dalingen in deze klasse impliceren dat ARP pakketten momenteel worden verworpen en zo niet door de motor van de SUP verwerkt die tot twee hoofdgedragingen kan leiden die door onvolledige ARP resoluties worden veroorzaakt.

Vanuit het perspectief van de eindhost kunnen apparaten in het netwerk de adresresolutie niet oplossen of voltooien met de switch. Als dit apparaat fungeert als de standaardgateway voor het segment, kan het leiden tot apparaten die hun gateway niet kunnen oplossen en dus niet kunnen leiden buiten hun L2 Ethernet-segment (VLAN). Apparaten kunnen nog steeds communiceren op het lokale segment als ze de ARP-resolutie voor andere eindhosts op het lokale segment kunnen voltooien.

Vanuit het perspectief van de switch, als de storm en de overtredingen overheersen, kan het ook tot de switch leiden niet het proces voor ARP verzoek kan voltooien het produceerde. Deze verzoeken worden normaal gegenereerd voor volgende hop of direct verbonden subnetresoluties. Terwijl de ARP antwoorden unicast zijn, aangezien zij aan MAC worden gericht die door de switch wordt bezeten, worden zij geclassificeerd onder deze zelfde klasse, aangezien zij nog ARP pakketten zijn. Dit vertaalt zich in bereikbaarheidsproblemen omdat de switch geen verkeer goed kan verwerken als de volgende hop niet wordt opgelost, en kan leiden tot problemen met Layer 2 header herschrijven, als de nabijheidsmanager geen toegang heeft voor de host.

De impact hangt ook af van de omvang van de fundamentele kwestie die tot de ARP-schending heeft geleid. Bijvoorbeeld, in een uitzendingsonweer, blijven de gastheren en de switch ARP proberen om de nabijheid op te lossen, die tot extra uitzendingsverkeer op het netwerk kan leiden, en aangezien ARP de pakketten Layer 2 zijn, is er geen Layer 3 tijd om te leven (TTL) om een L2 lijn te breken en zo blijven zij lopen, en exponentieel groeien door het netwerk tot de lijn wordt gebroken.

Aanbevelingen

• Los elke fundamentele L2 instabiliteit op die ARP stormen op de omgeving kan veroorzaken, zoals STP, flaps of schurkenapparaten. Breek die lussen zoals vereist, door om het even welke gewenste methode om de verbindingsweg te openen.
• Storm-control kan ook worden gebruikt om een ARP storm te verlichten. Als stormcontrole niet wordt toegelaten, verifieer tegenstatistieken over interfaces om het percentage uitzendingsverkeer te verifiëren dat op de interfaces in verhouding tot het totale verkeer wordt gezien dat door de interface overgaat.
• Als er geen storm is, maar de constante dalingen worden nog gezien op het milieu, verifiëren SUP verkeer om het even welke schurkenapparaten te identificeren, die constant ARP pakketten op het netwerk verzenden, die wettig verkeer kunnen beïnvloeden.
• De verhogingen die kunnen worden gezien hangen af van het aantal hosts op het netwerk en de rol van de switch op de omgeving. ARP is ontworpen om vermeldingen opnieuw te proberen, op te lossen en te verversen en wordt dus verwacht om ARP-verkeer te allen tijde te zien. Als slechts sporadische druppels worden gezien, kunnen ze voorbijgaand zijn als gevolg van de netwerkbelasting en geen impact wordt waargenomen. Maar het is belangrijk om het netwerk te controleren en te kennen om een verwachte van een abnormale situatie behoorlijk te identificeren en te onderscheiden.

Class NDP - copp-system-p-acl-ndp

Deze klasse verwijst naar verkeer dat is gekoppeld aan IPv6-buurdetectie/advertentie en routerverzoeking en advertentiepakketten die ICMP-berichten gebruiken om lokale link-laagadressen van buren te bepalen, en het wordt gebruikt voor bereikbaarheid en tracering van buurapparaten.

class-map copp-system-p-class-ndp (match-any)
match access-group name copp-system-p-acl-ndp
set cos 6
police cir 1400 kbps , bc 32000 bytes

Impact

De schendingen op deze klasse kunnen IPv6 communicatie tussen buurapparaten belemmeren, aangezien deze pakketten worden gebruikt om de dynamische ontdekking of de verbinding-laag/lokale informatie tussen gastheren en routers op de lokale verbinding te vergemakkelijken. Een onderbreking van deze communicatie kan ook problemen veroorzaken met bereikbaarheid buiten of via de bijbehorende lokale link. Als er communicatieproblemen zijn tussen IPv6-buren, zorg er dan voor dat er geen druppels op deze klasse vallen.

Aanbevelingen

• Onderzoek om het even welk abnormaal gedrag ICMP van buurapparaten, in het bijzonder die die op de buurontdekking en/of routerontdekking betrekking hebben.
• Zorg ervoor dat alle verwachte timer- en interfacewaarden voor de periodieke berichten consistent zijn in de omgeving en worden gehonoreerd. Bijvoorbeeld voor routerreclameberichten (RA-berichten).

Class Normal DHCP - copp-system-p-class-normal-dhcp


Deze klasse verwijst naar verkeer dat is gekoppeld aan de Bootstrap Protocol (BOOTP-client/server), beter bekend als Dynamic Host Control Protocol (DHCP)-pakketten op hetzelfde lokale Ethernet-segment voor zowel IPv4 als IPv6. Dit heeft specifiek alleen betrekking op de verkeerscommunicatie die afkomstig is van een bootp-client of bestemd is voor een BOOTP-server, via de gehele detectie, aanbieding, aanvraag en acceptatie (DORA) pakketuitwisseling, en omvat ook DHCPv6 client/server-transactie via UDP-poorten 546/547. 

class-map copp-system-p-class-normal-dhcp (match-any)
match access-group name copp-system-p-acl-dhcp
match access-group name copp-system-p-acl-dhcp6
set cos 1
police cir 1300 kbps , bc 32000 bytes

Impact

Overtredingen op deze klasse kunnen ertoe leiden dat eindhosts geen IP van de DHCP-server kunnen verkrijgen, en dus terugvallen op hun automatisch privaat IP-adres (APIPA) bereik, 169.254.0.0/16. Zulke overtredingen kunnen voorkomen in omgevingen waar apparaten tegelijkertijd proberen op te starten en dus verder gaan dan de CIR die aan de klasse is gekoppeld.

Aanbevelingen

• Controleer met opnamen, op hosts en DHCP server kant de gehele DORA transactie wordt gezien. Als de switch deel uitmaakt van deze communicatie, dan is het ook belangrijk om te controleren welke pakketten verwerkt of gekopieerd zijn naar de CPU, en te verifiëren of er statistische gegevens over switch: show ip dhcp global statistics en redirections: show system internal access-list sup-redirect-stats module 1 | grep -i dhcp.

Class Normal DHCP Relay Response - copp-system-p-class-normal-dhcp-relay-response

Deze klasse verwijst naar verkeer dat is gekoppeld aan de DHCP-relay-functionaliteit voor zowel IPv4 als IPv6, gericht op de geconfigureerde DHCP-servers die onder het relay zijn geconfigureerd. Dit heeft specifiek alleen betrekking op de verkeerscommunicatie die afkomstig is van een BOOTP-server of bestemd is voor een BOOTP-client via de gehele DORA-pakketuitwisseling, en omvat ook DHCPv6-client/server-transactie via UDP-poorten 546/547.

class-map copp-system-p-class-normal-dhcp-relay-response (match-any)
match access-group name copp-system-p-acl-dhcp-relay-response
match access-group name copp-system-p-acl-dhcp6-relay-response
set cos 1
police cir 1500 kbps , bc 64000 bytes

Impact

Overtredingen voor deze klasse hebben dezelfde impact als de overtredingen voor de klasse copp-systeem-p-klasse-normaal-dhcp, omdat ze beide delen van dezelfde transactie zijn. Deze klasse richt zich voornamelijk op responscommunicatie van de relay agent servers. De Nexus fungeert niet als de DHCP-server, maar is alleen ontworpen om als relay agent te fungeren.

Aanbevelingen

• Hier gelden dezelfde aanbevelingen als bij normale DHCP. Aangezien de functie van de Nexus alleen is om als relay-agent te fungeren, verwacht je op de SUP dat de gehele transactie tussen de host en de switch als relay zal fungeren, en dat de switch en de servers zullen configureren.
• Zorg ervoor dat er geen frauduleuze apparaten, zoals onverwachte DHCP-servers op het netwerk die reageren op het bereik, of apparaten die vastzitten in een lus die het netwerk overspoelen met DHCP Discover-pakketten. Aanvullende controles kunnen worden uitgevoerd door de opdrachten: show ip dhcp relay en show ip dhcp relay statistics.

Klasse NAT Flow - copp-system-p-class-nat-flow


Deze klasse verwijst naar software switch NAT-stroomverkeer. Wanneer een nieuwe dynamische vertaling wordt gemaakt, wordt de stroom software doorgestuurd tot de vertaling is geprogrammeerd in hardware, en wordt vervolgens gecontroleerd door CoPP om het verkeer te beperken dat wordt geprikt door de supervisor terwijl de ingang is geïnstalleerd in hardware.

class-map copp-system-p-class-nat-flow (match-any)
match exception nat-flow
set cos 7
police cir 800 kbps , bc 64000 bytes 

Impact

Druppels op deze klasse komen typisch voor wanneer een hoog tarief van nieuwe dynamische vertalingen en stromen in hardware worden geïnstalleerd. Het effect heeft betrekking op software switched pakketten die worden afgedankt en niet geleverd aan de eindhost, wat kan leiden tot verlies en heruitzendingen. Zodra de ingang in hardware wordt geïnstalleerd, wordt geen verder verkeer gestraft aan de supervisor.

Aanbevelingen

• Controleer de richtlijnen en beperkingen van dynamische NAT op het desbetreffende platform. Er zijn bekende beperkingen die op platformen gedocumenteerd zijn, zoals de 3548 waarin de vertaling een paar seconden kan duren. Raadpleeg: beperkingen voor Dynamische NAT

Uitzondering klasse - copp-system-p-class-exception

Deze klasse verwijst naar uitzonderingspakketten die aan IP-optie en IP ICMP onbereikbare pakketten zijn gekoppeld. Als een bestemmingsadres niet aanwezig op de het door:sturen informatiebasis (FIB) is en in een misser resulteert, verzendt SUP een onbereikbaar pakket ICMP terug naar de afzender. Pakketten met ingeschakelde IP-opties vallen ook binnen deze klasse. Raadpleeg het IANA-document voor informatie over IP-opties: IP-optienummers

 class-map copp-system-p-class-exception (match-any)
match exception ip option
match exception ip icmp unreachable
match exception ipv6 option
match exception ipv6 icmp unreachable
set cos 1
police cir 150 kbps , bc 32000 bytes

Impact

Deze klasse wordt zwaar gecontroleerd, en de dalingen op deze klasse zijn geen aanwijzing van een mislukking maar eerder van een beschermingsmechanisme om het werkingsgebied van onbereikbaar ICMP en IP optiespakketten te beperken.

Aanbevelingen

• Controleer of er verkeersstromen zijn die niet op de FIB worden weergegeven of gekopieerd naar de CPU voor bestemmingen.

Klasse omleiding - copp-system-p-class-redirect

Deze klasse verwijst naar verkeer dat is gekoppeld aan Precision Time Protocol (PTP), gebruikt voor tijdsynchronisatie. Dit omvat multicastverkeer voor de gereserveerde reeks 224.0.1.129/32, unicastverkeer op UDP-poort 319/320 en Ethetype 0X88F7.

class-map copp-system-p-class-redirect (match-any)
match access-group name copp-system-p-acl-ptp
match access-group name copp-system-p-acl-ptp-l2
match access-group name copp-system-p-acl-ptp-uc
set cos 1
police cir 280 kbps , bc 32000 bytes 

Impact

De druppels op deze klasse kunnen tot kwesties op apparaten leiden die niet behoorlijk hebben gesynchroniseerd of niet de juiste hiërarchie gevestigd.

Aanbevelingen

• Zorg voor de stabiliteit van klokken en dat ze correct zijn geconfigureerd. Zorg ervoor dat het PTP-apparaat is geconfigureerd voor multicast of unicast PTP-modus, maar niet voor beide tegelijk. Dit wordt ook gedocumenteerd onder de richtlijnen en de beperking, en kan het verkeer boven de toegezegde inputsnelheid duwen.
• Herzie het ontwerp en de configuratie van de grenskloktijd en alle PTP-apparaten in de omgeving. Zorg ervoor dat alle richtlijnen en beperkingen per platform worden gevolgd omdat ze variëren.

Class OpenFlow - copp-system-p-class-openflow

Deze klasse verwijst naar verkeer dat is gekoppeld aan OpenFlow-agentbewerkingen en de corresponderende TCP-verbinding tussen de controller en de agent.

class-map copp-system-p-class-openflow (match-any)
match access-group name copp-system-p-acl-openflow
set cos 5
police cir 1000 kbps , bc 32000 bytes 

Impact

De druppels op deze klasse kunnen tot kwesties op agenten leiden die niet behoorlijk de instructies van het controlemechanisme ontvangen en verwerken om het door:sturen vliegtuig van het netwerk te beheren

Aanbevelingen

• Zorg ervoor dat er geen dubbel verkeer op het netwerk wordt weergegeven of dat er een apparaat is dat de communicatie tussen de controller en de agents belemmert.
• Controleer of het L2-netwerk geen instabiliteit (STP of loops) heeft.

Probleemoplossing voor CoP-drop

De eerste stappen voor het oplossen van CoPP-schendingen zijn:

• Effect en reikwijdte van de kwestie.
• Begrijp de verkeersstroom door de omgeving en de rol van de switch in de betreffende communicatie.
• Bepaal of er schendingen op de bijbehorende class zijn vermoed en herhaal deze indien nodig.

Het genoemde gedrag is bijvoorbeeld gedetecteerd:

• Apparaten kunnen niet communiceren met andere apparaten buiten hun netwerk, maar kunnen wel lokaal communiceren.
• Impact is geïsoleerd voor routeringscommunicatie buiten het VLAN en de switch fungeert als de standaardgateway.
• Een controle van de hosts geeft aan dat ze de gateway niet kunnen pingen. Na een controle van hun ARP tabel, blijft de ingang voor de gateway onvolledig.
• Alle andere hosts die de gateway hebben opgelost hebben geen communicatie problemen. Een controle van CoPP op de switch die als gateway fungeert, geeft aan dat er overtredingen zijn op copp-system-p-class-normal.

class-map copp-system-p-class-normal (match-any)
match access-group name copp-system-p-acl-mac-dot1x
match protocol arp
set cos 1
police cir 1400 kbps , bc 32000 bytes 
module 1 :
transmitted 3292445628 bytes;
dropped 522023852 bytes;

• Daarnaast tonen meerdere opdrachtcontroles aan dat de druppels actief toenemen.
• Deze schendingen kunnen leiden tot het laten vallen van legitiem ARP verkeer, wat leidt tot een ontkenning van de dienstgedrag.

Het is belangrijk om te benadrukken dat CoPP de impact isoleert op het verkeer geassocieerd met de specifieke klasse, die in dit voorbeeld ARP en copp-systeem-p-klasse-normaal zijn. Verkeer met betrekking tot andere klassen, zoals OSPF, BGP wordt niet door CoPP laten vallen, aangezien zij volledig binnen een verschillende klasse vallen. Als deze optie niet is ingeschakeld, kunnen ARP-problemen in andere problemen worden ondergebracht, die van invloed kunnen zijn op protocollen die er eerst op vertrouwen. Bijvoorbeeld, als een ARP cache tijden uit en niet wordt ververst vanwege buitensporige schendingen, kan een TCP sessie zoals BGP, beëindigen.

• Controle-vlakke controles worden geadviseerd, zoals Ethanalyzer, CPU-mac in-band stats en CPU proces om de zaak verder te isoleren.

Ethanalyzer

Aangezien verkeer dat wordt gecontroleerd door CoPP alleen wordt geassocieerd met CPU-gebonden verkeer, is een van de belangrijkste tools de Ethanalyzer. Deze tool is een Nexus-implementatie van TShark en maakt het mogelijk dat verkeer dat verzonden en ontvangen wordt door de supervisor wordt opgenomen en gedecodeerd. Het kan ook filters gebruiken die zijn gebaseerd op verschillende criteria, zoals protocollen of headerinformatie, en wordt zo een onschatbaar gereedschap om verkeer te bepalen dat wordt verzonden en ontvangen door de CPU.

De aanbeveling is om eerst het ARP verkeer te onderzoeken dat door de supervisor wordt gezien wanneer het hulpmiddel Ethanalyzer direct op de eindzitting wordt in werking gesteld of verzonden naar een dossier voor analyse. De filters en de grenzen kunnen worden gedefinieerd om de opname in een specifiek patroon of gedrag te concentreren. Om dit te doen, voeg flexibele weergavefilters toe.

Een veel voorkomend misverstand is dat de Ethanalyzer al het verkeer dat door de switch gaat, opneemt. Het dataplatformverkeer, tussen hosts, wordt geschakeld of gerouteerd door de hardware ASIC's tussen datapoorten vereist geen CPU-betrokkenheid en wordt dus normaal gesproken niet gezien door de Ethanalyzer-opname. Voor het vastleggen van dataplatformverkeer wordt aangeraden andere instrumenten te gebruiken, zoals ELAM of SPAN. Als u bijvoorbeeld ARP wilt filteren, gebruikt u de opdracht:

ethanalyzer local interface inband display-filter arp limit-captured-frames 0 autostop duration 60 > arpcpu

Belangrijke configureerbare velden:

• interface inband - verwijst naar verkeer dat is gericht op het SUP
• display-filter arp - verwijst naar het toegepaste haaienfilter, de meeste Wireshark-filters worden geaccepteerd
• limit-captured-frames 0 - verwijst naar de limiet; 0 staat gelijk aan onbeperkt, totdat een andere parameter de parameter tegenhoudt of de parameter handmatig
• autostop duration 60 - verwijst naar de Ethanalyzer stop na 60 seconden, dus het creëert een momentopname van 60 seconden ARP verkeer gezien op de CPU

De Ethanalyzer-uitvoer wordt omgeleid naar een bestand op de bootflash met > arpcpu, handmatig te verwerken. Na 60 seconden, voltooit de opname, en de Ethanalyzer eindigt dynamisch, en het bestand arpcpu is op de bootflash van de switch, die dan kan worden verwerkt om de toplaadsprekers te halen. Voorbeeld:

show file bootflash:arpcpu | sort -k 3,5 | uniq -f 2 -c | sort -r -n | head lines 50

669 2022-05-10 10:29:50.901295 28:ac:9e:ad:5e:47 -> ff:ff:ff:ff:ff:ff ARP Who has 10.1.1.1? Tell 10.1.1.2
668 2022-05-10 10:29:50.901295 28:ac:9e:ad:5e:43 -> ff:ff:ff:ff:ff:ff ARP Who has 10.2.1.1? Tell 10.2.1.2
668 2022-05-10 10:29:50.901295 28:ac:9e:ad:5e:41 -> ff:ff:ff:ff:ff:ff ARP Who has 10.3.1.1? Tell 10.3.1.2

Dit filter is gesorteerd op basis van: de bron- en doelkolommen, dan de unieke overeenkomsten gevonden (maar negeert de datumkolom), telt de instanties en voegt het nummer toe, en uiteindelijk sorteert top-to-bottom, gebaseerd op telling, en toont de eerste 50 resultaten.

In dit laboratoriumvoorbeeld, in 60 seconden, werden meer dan 600 ARP pakketten ontvangen van drie apparaten, die als de verdachte apparaten zijn geïdentificeerd. De eerste kolom op het filter beschrijft het aantal instanties voor deze gebeurtenis die in de opgegeven duur in het opnamebestand zijn weergegeven.

Het is belangrijk om te begrijpen dat de Ethanalyzer-tool werkt op de in-band driver, wat in wezen de communicatie naar de ASIC is. In theorie moet het pakket door de kernel en de pakketbeheerder gaan om aan het gekoppelde proces zelf te worden doorgegeven. CoPP en HWRL handelen voordat het verkeer op de Ethanalyzer wordt gezien. Zelfs als het aantal schendingen toeneemt, wordt er nog steeds verkeer door de politie verwerkt en aan de regels aangepast. Dit helpt inzicht te geven in de verkeersstromen die naar de centrale verwerkingseenheid worden gestraft. Het is een belangrijk onderscheid, omdat het verkeer dat op de Ethanalyzer wordt gezien NIET het verkeer is dat CIR schond en werd gelaten.

De Ethanalyzer kan ook op een open manier worden gebruikt, zonder enige weergavefilter of opnamefilter die is gespecificeerd om al het relevante SUP-verkeer te vangen. Dit kan als isolatiemaatregel worden gebruikt als onderdeel van de benadering voor probleemoplossing.

Raadpleeg de TechNote voor meer informatie over het gebruik van de Ethanalyzer:

Ethanalyzer op Nexus 7000 handleiding voor probleemoplossing

Gebruik van Ethanalyzer op Nexus-platform voor verkeersanalyse van besturingsplane en dataplane

Opmerking: Nexus 7000 kan alleen Ethanalyzer-opnamen uitvoeren via de admin VDC, die SUP-gebonden verkeer van alle VDC's omvat. VDC-specifieke Ethanalyzer is aanwezig in 8.X-codes.

CPU-MAC in-band statussen

De in-band stats die aan CPU-gebonden verkeer zijn gekoppeld, houden relevante statistieken bij van in-band TX/RX CPU-verkeer. Deze statistieken kunnen worden gecontroleerd met de opdracht: show hardware internal cpu-mac inband stats, die inzicht geeft in de statistieken van de huidige snelheid en pieksnelheid.

show hardware internal cpu-mac inband stats`
================ Packet Statistics ======================
Packets received: 363598837
Bytes received: 74156192058
Packets sent: 389466025
Bytes sent: 42501379591
Rx packet rate (current/peak): 35095 / 47577 pps
Peak rx rate time: 2022-05-10 12:56:18
Tx packet rate (current/peak): 949 / 2106 pps
Peak tx rate time: 2022-05-10 12:57:00

Als beste praktijk wordt geadviseerd een basislijn te creëren en bij te houden, omdat vanwege de rol van de switch en de infrastructuur de output van de show hardware internal cpu-mac inband stats infrastructuur aanzienlijk varieert. In deze laboratoriumomgeving zijn de gebruikelijke waarden en historische pieken gewoonlijk niet groter dan een paar honderd pps, en dit is dus abnormaal. De opdracht show hardware internal cpu-mac inband events is ook nuttig als historische referentie, omdat het gegevens bevat met betrekking tot het piekgebruik en de tijd dat het werd gedetecteerd.

Procesprocessor

De Nexus switches zijn Linux-gebaseerde systemen, en het Nexus Operating System (NXOS) maakt gebruik van CPU-pre-emptive planner, multitasking en multithreading van de cores architectuur om eerlijke toegang te bieden tot alle processen, en dus zijn pieken niet altijd indicatief voor een probleem. Als er echter aanhoudende verkeersovertredingen worden gezien, is het waarschijnlijk dat het gekoppelde proces ook intensief wordt gebruikt en als een topbron onder de CPU-uitgangen wordt weergegeven. Meerdere momentopnamen maken van de CPU-processen om hoog gebruik van een bepaald proces te controleren door het gebruik van: show processes cpu sort | exclude 0.0 or show processes cpu sort | grep <process>.

De proces CPU, in-band stats en ethanalyzer verificaties bieden inzicht in de processen en het verkeer dat momenteel door de supervisor wordt verwerkt en helpen bij het isoleren van aanhoudende instabiliteit op besturingsplane verkeer dat kan worden gecascade in data-plane problemen. Het is belangrijk te begrijpen dat CoPP een beschermingsmechanisme is. Het is reactionair omdat het alleen werkt op verkeer dat wordt gestraft voor de SUP. Het is ontworpen om de integriteit van de toezichthouder te waarborgen door het weggooien van verkeerstarieven die de verwachte marges overschrijden. Niet alle druppels wijzen op een probleem of vereisen interventie, aangezien hun belang betrekking heeft op de specifieke CoPP klasse en de geverifieerde impact, gebaseerd op de infrastructuur en het netwerkontwerp. Druppels als gevolg van sporadische uitbarstingen vertalen zich niet in impact, omdat protocollen ingebouwde mechanismen hebben, zoals keepalive en herhalingen die kunnen omgaan met voorbijgaande gebeurtenissen. Houd de aandacht gericht op aanhoudende gebeurtenissen of abnormale gebeurtenissen boven de vastgestelde basislijnen. Vergeet niet dat CoPP zich moet houden aan de protocollen en functies die specifiek zijn voor de omgeving en moet worden bewaakt en voortdurend worden herhaald om het te verfijnen, gebaseerd op schaalbaarheidsbehoeften zoals ze zich ontwikkelen. Als er druppels optreden, stel vast of CoPP verkeer per ongeluk of in reactie op een storing of aanval heeft laten vallen. In beide gevallen moet de situatie worden geanalyseerd en moet de noodzaak tot ingrijpen worden beoordeeld door analyse van de gevolgen en corrigerende maatregelen voor het milieu, die buiten het toepassingsgebied van de switch zelf kunnen vallen.

Aanvullende informatie

Recente platforms/codes, kunnen de mogelijkheid hebben om een SPAN-to-CPU uit te voeren, door de spiegel van een poort en punt van het dataplaat verkeer naar de CPU. Dit wordt normaal sterk beperkt door de hardwaretarief-limiet en CoPP. Het is raadzaam de SPAN zorgvuldig voor de CPU te gebruiken en valt buiten het bereik van dit document.

Verwijs naar de Technische opmerking die wordt vermeld voor meer informatie over deze functie:

Nexus 9000 Cloud-schaalbare ASIC NX-OS SPAN-to-CPU procedure