m9000设备在三层物理子接口上下发qos流量镜像策略,设备提示显示不支持,有如下报错
[M9000_IRF-GigabitEthernet1/1/0/21.1]qos apply policy jing inbound
The operation is not supported.
后确定qos需要在物理口上下发,但是下发后发现镜像的目的端口出方向并未统计到相关流量,查看接口下qos策略状态显示为failed失败,表示策略并未生效。
Interface: GigabitEthernet1/1/0/21
Direction: Inbound
Type : Enhancement
Policy: jing
Classifier: default-class
Operator: AND
Rule(s) :
If-match any
Behavior: be
-none-
Classifier: jing (Failed)
Operator: AND
Rule(s) :
If-match acl 3838
Behavior: jing
Mirroring:
Mirror to interface GigabitEthernet1/1/0/18
m9000下发qos策略需要下发在物理接口上,且如流量统计accounting、镜像mirror-to等动作需要交换芯片处理的动作,需要在qos apply policy inbound后面加上enhancement关键字,表示将匹配流量交由交换芯片处理,而不是软cpu处理。
因此在物理接口上下发未带enhancement参数时,会报错
[M9000_IRF-GigabitEthernet1/1/0/21]qos apply policy jing inbound
The operation is not supported.
这里现场实际上前后反馈两个问题
1 现场最初的想法是在子接口上下发,从而匹配该子接口的vlan tag里的特定流量,后证实不支持在子接口上下发,但物理口下发后能否匹配vlan tag?
2 改为在物理接口上下发,且加上enhancement参数,仍然显示为failed,原因是什么?
对于问题1,可以在流量匹配条件里面加上vlan,从而在物理口上下发的qos也能匹配到业务vlan,不需要在子接口上下发。
traffic classifier jing operator and
if-match acl 3838
if-match customer-vlan-id 10
对于问题2,查看现场配置,发现接口存在vpn实例的绑定关系。
[M9000_IRF-GigabitEthernet1/1/0/21]dis thi
#
interface GigabitEthernet1/1/0/21
port link-mode route
combo enable copper
ip binding vpn-instance management
ip address 10.37.0.2 255.255.255.0
按照以往使用acl匹配vpn实例流量的经验,因此在acl 3838里面,rule也有绑定vpn实例。
[M9000_IRF-classifier-jing]dis acl 3838
Advanced ACL 3838, named -none-, 1 rule,
ACL's step is 5
rule 0 permit ip vpn-instance management
这就是问题所在。如上文所述,该qos是由交换芯片处理,而vpn实例特性仅仅用来隔离软件资源、表项,如路由等,属于软件cpu处理范畴,交换芯片无法“识别”或者“处理”该vpn实例特性的acl,在流量进入交换芯片处此时无vpn实例的特性,因此导致下发失败,从而流量镜像功能不生效。
解决办法就是将acl规则里面的vpn实例去掉即可。
[M9000_IRF-GigabitEthernet1/1/0/21]dis qos policy interface GigabitEthernet 1/1/
0/21
Interface: GigabitEthernet1/1/0/21
Direction: Inbound
Type : Enhancement
Policy: jing
Classifier: default-class
Operator: AND
Rule(s) :
If-match any
Behavior: be
-none-
Classifier: jing (Failed)
Operator: AND
Rule(s) :
If-match acl 3838
If-match customer-vlan-id 10
Behavior: jing
Mirroring:
Mirror to interface GigabitEthernet1/1/0/18
[M9000_IRF-GigabitEthernet1/1/0/21]qui
[M9000_IRF]acl num 3838
[M9000_IRF-acl-adv-3838]dis thi
#
acl number 3838
rule 0 permit ip vpn-instance management
#
return
[M9000_IRF-acl-adv-3838]undo r
[M9000_IRF-acl-adv-3838]undo rule 0
[M9000_IRF-acl-adv-3838]ru
[M9000_IRF-acl-adv-3838]rule p
[M9000_IRF-acl-adv-3838]rule permit ip
[M9000_IRF-acl-adv-3838]dis qos policy interface GigabitEthernet 1/1/0/21
Interface: GigabitEthernet1/1/0/21
Direction: Inbound
Type : Enhancement
Policy: jing
Classifier: default-class
Operator: AND
Rule(s) :
If-match any
Behavior: be
-none-
Classifier: jing
Operator: AND
Rule(s) :
If-match acl 3838
If-match customer-vlan-id 10
Behavior: jing
Mirroring:
Mirror to interface GigabitEthernet1/1/0/18
1 qos策略下发在物理接口的入方向,且对于流量统计和镜像等动作,需要加enhancement参数。对于接口板是否支持物理接口出方向进行下发,请参考产品手册qos部分。
2 m9000的vpn实例为blade板上的特性,当流量上送到blade板之后,才会存在vpn实例特性。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作