Beleid inzake standaardbesturingsplane voor Catalyst 6500/Sup2T en Catalyst 6880 configuratievoorbeeld
Inhoud
Inleiding
Dit document beschrijft in detail welke soorten verkeer tegen standaardinstellingen van class-maps worden afgesloten, die deel uitmaken van de standaard Catalyst 6500 Sup2T/Catalyst 6880 CoPP-configuratie (controle van besturingsplane) die automatisch op het apparaat wordt ingesteld. Dit wordt ingesteld om te voorkomen dat de CPU’s worden overbelast.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Configureren
CoPP is standaard ingeschakeld op Catalyst 6500/SUP2T- en Catalyst 6880-switches en is gebaseerd op een vooraf ingesteld sjabloon. Sommige class-map-configuraties hebben geen corresponderende matchverklaringen vanwege het feit dat ze verkeer niet opnemen in de MAC/IP Access Control List (ACL), maar eerder op interne uitzonderingen die worden gemarkeerd door de expediteur-motor wanneer het verkeer ontvangen is door de schakelaar en een beschikking voor verzenden wordt genomen.
Als een specifieke class-map moet worden toegevoegd / aangepast / verwijderd van het huidige CoPP-beleid, dan moet dit in de beleidskaartmodus gebeuren. Zie Catalyst 6500 release 15.0SY softwareconfiguratie Guide - Control Plane Monitoring (CoPP) voor de exacte syntaxis.
CoPP standaard uitzonderingsklassen hebben deze beschrijvingen:
| Case | klassenaam | Beschrijving |
|---|---|---|
| Max. storing van transmissieeenheid (MTU) | class-copp-mtu-fail |
Packet size is groter dan de uitgaande interface MTU-grootte. Als het Don Fragment niet is ingesteld is fragmentatie vereist. Als het bit Don Fragment niet is ingesteld, geeft het onbereikbare bericht van de bestemming ICMP (Internet Control Message Protocol) aan dat "fragmentatie nodig en DF set" moet worden gegenereerd en naar de bron moet worden teruggestuurd. Referentie: RFC-791, RFC-191 |
| Tijd om te leven (TTL)-storing | class-copp-tl-fail | Packet TTL = 1 (voor IPv4), Hop Limit = 0 of 1 (voor IPv6) TTL = 0 (voor IPv4) kan in de hardware onmiddellijk worden weggegooid aangezien de vorige hop het pakket moet vernietigen wanneer TTL tot 0 wordt verlaagd. Hop Limit = 0 (voor IPv6) is niet gelijk aan TTL = 0, omdat deze in RFC-2460, sectie 8.2 wordt vermeld dat "In tegenstelling tot IPv4, IPv6 knooppunten niet nodig zijn om maximale pakketlevensduur af te dwingen. Dat is de reden dat het veld IPv4 Time to Live werd omgedoopt tot Hop Limit in IPv6". Dit betekent inkomend IPv6-pakket met Hop Limit = 0 is nog steeds geldig en het ICMP-bericht moet worden teruggestuurd. Referentie: RFC-791, RFC-2460 |
| Opties | class-copp-opties | Packet met opties (voor IPv4), Hop-by-hop uitbreidingsheader (voor IPv6). Bijvoorbeeld, de RFC-2113 van de router, de strikte BronRoute, enz. De kopregels van de uitbreiding worden niet onderzocht of verwerkt door enige knoop langs het leveringspad van een pakket, tot het pakket het knooppunt (of elk van de reeks knooppunten in het geval van multicast) bereikt dat in het veld Bestemmingsadres van de IPv6-header wordt geïdentificeerd. De enige uitzondering is de kop van de opties van het Hop-bij-Hop, die informatie bevat die door elk knooppunt moet worden onderzocht en verwerkt langs het leveringspad van een pakket, dat de bron- en doelknooppunten bevat.Hardware verwerking op optievelden wordt niet ondersteund, dat wil zeggen dat softwareverwerking/switching nodig zijn. Referentie: RFC-791/RFC-2460 |
| FOUT BIJ DOORSTUREN (RPF) (Unicast) | class-copp-ucast-rpf-fail | Het pakket met de RPF-toets wordt gefilterd. Vanwege de beperkte middelen in de hardware kan de VPF-controle echter in bepaalde gevallen niet in hardware worden uitgevoerd (dat wil zeggen, meer dan 16 RPF-interfaces gekoppeld aan één IP). Wanneer dat gebeurt, wordt het pakket naar software verzonden voor een volledige controle van PDF. Het eerste RPF mislukte gegevenspakket (bedoeld voor een multicast groep) wordt naar software verzonden om het Protocol Onafhankelijke Multicast (PIM)-proces te starten. Zodra het proces wordt voltooid, wordt een aangewezen router/expediteur geselecteerd. Als het volgende pakket (dezelfde stroom) niet van de aangewezen router komt, veroorzaakt het een storing van RPF, en kan de hardware het meteen laten vallen (om een aanval van de Staat van de Dienst (van de Staat) te voorkomen). |
RPF-fout (multicast) |
class-copp-mcast-rpf-fail | Het eerste RPF-datapakket (bedoeld voor een multicast groep) wordt naar de software verzonden om het PIM-Assemblee proces te starten. Zodra het proces wordt voltooid, wordt een aangewezen router/expediteur geselecteerd. Als het volgende pakket (dezelfde stroom) niet van de aangewezen router komt, veroorzaakt het een storing van RPF, en kan de hardware het meteen laten vallen (om een DoS-aanval te voorkomen). Als de routingtabel echter wordt bijgewerkt, kan het nodig zijn om een nieuwe aangewezen router te kiezen (via PIM-waarschuwing), wat betekent dat het RPF-pakket niet heeft gefaald om de software te bereiken (om PIM-bericht opnieuw te starten). Om dat te doen, is er een periodiek lek naar het softwaremechanisme (per flow) voor een PPF-mislukt pakket beschikbaar in de hardware. Merk op dat als er een grote hoeveelheid stromen is, een periodiek lek te veel kan zijn voor de software om deze aan te kunnen. De hardware CoPP is nog steeds vereist voor het multicast RPF-pakket met fouten. Referentie: RFC-3704, RFC-2362 |
| Herschrijven van hardwarepakketten niet ondersteund | klasseoverschrijdend | Hoewel de hardware pakketten in verschillende gevallen kan herschrijven, kunnen sommige gevallen eenvoudigweg niet worden gedaan in het huidige hardwareontwerp. En daarvoor stuurt de hardware het pakket naar software. |
ICMP-on-route ICMP-toets ICMP-omleiding |
class-copp-icmp-redirect onbereikbaar | Packets die naar software worden verzonden voor de productie van ICMP-berichten. Zoals ICMP redirect, ICMP bestemming onbereikbaar (bijvoorbeeld,). gastheer onbereikbaar of administratief verboden). Referentie: RFC-792/RFC-2463 |
| Cisco Express Forwarding (CEF) ontvangt (bestemming IP is IP van router) | per klasse ontvangen |
Als de bestemming van het pakket IP een van de IP adressen van de router is (zal CEF nabijheid ontvangen), dan moet de software de inhoud verwerken. |
| CEF-slang (bestemming IP behoort tot een van de netwerken van de router) | van klasse overhellende |
Als de bestemming van het pakket tot één van het netwerk van de router behoort, maar het niet wordt opgelost (dat wil zeggen, niet in de tabel Forwarding Information Base (FIB) wordt geraakt, zal het de nabijheid van de vraag om CEF worden verzonden naar software waar de resolutieprocedure zal worden begonnen. Voor IPv4 blijft dezelfde stroom CEF glean raken totdat het adres is opgelost. Voor IPv6 wordt een tijdelijke FIB-ingang die bij de bestemming IP (en punten om nabijheid te laten vallen in plaats daarvan) tijdens resolutie geïnstalleerd. Als het niet kan worden opgelost in de gespecificeerde duur, wordt de FIB-ingang verwijderd (dat wil zeggen, dezelfde stroom begint weer CEF-legendarisch te raken). |
| Packet voor multicast IP 224.0.0.0/4 | class-copp-mcast-ip-control |
Het bedieningspaneel moet door de software worden verwerkt. |
| Packet voor multicast IP-FF: 8/8 | class-copp-mcast-ipv6-control | Het bedieningspaneel moet door de software worden verwerkt. |
| Multicastpakket dat naar de software moet worden gekopieerd | van klasse voorzien van een gepresteerde kopie | In sommige gevallen moet het multicast pakket naar software worden gekopieerd voor een update van de staat (het pakket is nog hardware-overbrugd op hetzelfde VLAN). Bijvoorbeeld (*,G/m) ingedrukt voor Dense Mode invoer, dual-rpf SPT-omschakeling. |
| Multicastpakket dat een fout in FIB-tabel krijgt | klas-copp-mcast-punt |
Het bestemming IP (multicast IP) is een fout in de FIB-tabel. Het pakje is in de software gezet. |
| Direct verbonden bron (IPv4) | met klasse-copp-ip verbonden |
Multicastverkeer van rechtstreeks aangesloten bronnen wordt naar de software verzonden waar een multicaststatus kan worden gecreëerd (en in de hardware kan worden geïnstalleerd). |
| Direct verbonden bron (IPv6) | met klasse copp-ipv6 verbonden |
Multicastverkeer van rechtstreeks aangesloten bronnen wordt naar de software verzonden waar een multicaststatus kan worden gecreëerd (en in de hardware kan worden geïnstalleerd). |
| Breedtepakje | klassenradio en televisie |
Broadcast-pakketten (bijvoorbeeld IP/niet-IP met broadcast DMAC- en IP-unicast met Multicast DMAC) worden naar de software gelekt. |
| Protocol onbekend aan (d.w.z. niet ondersteund door) in termen van hardware-switching | class-copp-onbekende-protocol | Het niet-IP protocol, zoals Internetwork Packet Exchange (IPX) enzovoort, zal niet via hardware worden geschakeld. Ze worden naar software gestuurd en naar daar doorgestuurd. |
| Multicast voor gegevensverkeer dat binnenkomt via een routepoort waar PIM is uitgeschakeld | class-copp-mcast-v4-data-on-routedPort | Multicast voor gegevensverkeer dat door een routepoort komt (waar PIM wordt uitgeschakeld) wordt naar de software gelekt. Het is echter niet nodig ze naar de software te sturen, zodat ze worden ingetrokken. |
| Multicast voor gegevensverkeer dat binnenkomt via een routepoort waar PIM is uitgeschakeld | class-copp-mcast-v6-data-on-routedPort |
Multicast voor gegevensverkeer dat binnenkomt door een routepoort (waar PIM wordt uitgeschakeld) wordt naar software gelekt. Het is echter niet nodig ze naar de software te sturen, zodat ze worden ingetrokken. |
Verplaats ACL-richting om het pakket te overbruggen |
met een loopbrug van klasse | De hardware heeft 8 ACL-gerelateerde uitzonderingen die door de software via een ACL-omleiding zijn ingesteld. Deze heeft betrekking op pakketten die door ACL aan de CPU zijn gekoppeld voor Ternary Content Adressable Memory (TCAM)-gerelateerde redenen. |
Druk ACL-omleiding om het pakket te overbruggen |
met een loopbrug van klasse | De hardware heeft 8 ACL-gerelateerde uitzonderingen die door de software via een ACL-omleiding zijn ingesteld. Deze heeft betrekking op pakketten die door ACL aan de CPU zijn gekoppeld voor Ternary Content Adressable Memory (TCAM)-gerelateerde redenen. |
Mcast ACL-omleiding naar bridge-pakketten naar CPU’s |
met een klasse-kops-gekkeld-acl-bruin | De hardware heeft 8 ACL-gerelateerde uitzonderingen die door de software via een ACL-omleiding zijn ingesteld. Deze heeft betrekking op multicast verwerking. |
| ACL-brug naar CPU voor taakverdeling voor servers | klasblok | De hardware heeft 8 ACL-gerelateerde uitzonderingen die door de software via een ACL-omleiding zijn ingesteld. Deze heeft betrekking op een hardware-redirect voor een SLB-beslissing (Server Taakverdeling). |
| ACL-logbestand omleiden | klassenbestand | De hardware heeft 8 ACL-gerelateerde uitzonderingen die door de software via een ACL-omleiding zijn ingesteld. Deze heeft betrekking op pakketomleiding door VLAN Access Control List (VACL) naar CPU voor Cisco IOS? houtkap. |
| DHCP-snooping | klas-copp-dhcp-snooping | DHCP-pakketten worden opnieuw naar de CPU voor DHCP-verwerking gericht |
Op MAC-beleid gebaseerde doorsturen |
class-copp-mac-pbf | Op beleid gebaseerde doorsturen moet in de CPU worden uitgevoerd omdat de hardware in dit geval niet in staat is pakketten door te sturen. |
| IP-toegangsnetwerktoegangscontrole |
klassebekentenis | Om netwerktoegang te bieden op basis van de antivirusreferenties van de host, is er posture validatie via een van deze opties: (1) De L2-interface zal LAN Port IP (LPIP) gebruiken, waar pakketten voor adresresolutie (ARP) worden omgeleid naar de CPU, (2) De L3-interface gebruikt Gateway IP (GWIP). Na de validatie is er de authenticatie (*). Voor een L2 interface is het WebAuth, dat HTTP pakje interceptie uitvoert en ook URL redirectie (*) kan uitvoeren. Voor de L3 interface is het AuthProxy. |
| Dynamische ARP-inspectie | klas-copp-arp-snooping | Om ARP-vergiftiging (man-in-the-middle) te voorkomen, bevestigt dynamische ARP-inspectie (ook wel bekend als Dynamic ARP Inspection (DAI)) de ARP-verzoeken/antwoorden op het moment dat deze wordt onderschept en verwerkt ze vervolgens in de CPU tegen een van de volgende manieren: (1) door gebruiker ingesteld ARP ACL’s (voor statelijk geconfigureerd hosts), (2) MAC-adres naar IP-adresbindingen die zijn opgeslagen in een vertrouwde database (d.w.z. DHCP-verbindingen). Alleen geldige ARP pakketten worden gebruikt om het lokale ARP cache bij te werken of om door te sturen. Het validatieproces vereist betrokkenheid van ARP-pakketten CPU, wat betekent dat hardware-CoPP nodig is om een DoS-aanval te voorkomen. |
| ACL-omleiding naar CPU voor WCCP | class-copp-wcp | Gebruikt voor het geval dat het pakket/de flow moet worden omgeleid naar de CPU voor de beschikking voor webcaches met betrekking tot het communicatieprotocol (WCCP). |
ACL-richting (opnieuw) naar CPU voor serviceaanpassingsarchitectuur (SIA) |
plaatsing van klasse-copp-service | Gebruikt voor het geval dat het pakket/de stroom moet worden omgeleid naar de CPU voor een SIA-beslissing. |
| IPv6-netwerkontdekking | klas-copp-nd | Om het IPv6-pakket voor netwerkdetectie opnieuw te richten op de CPU’s, zodat deze verder kunnen worden verwerkt. Referentie: RFC4861 |
Verifiëren
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Om te controleren of er verkeer was waargenomen in een van de geconfigureerde CoPP-class-maps, voert u de opdracht besturing-vlak met de show policy-map in.
Problemen oplossen
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
Gerelateerde informatie
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)