Estou vendo um problema com o BFD em um link que está sendo policiado egresso, onde aparece durante os períodos em que o vigilante é atingido no máximo. Os pacotes BFD não estão chegando ao outro lado. Eu estou querendo saber se os hellos do BFD estão sujeitos ao vigilante ou se caem fora dele. Se eles estão sujeitos a um policial, é tão simples quanto adicionar uma correspondência ao DSCP CS6 e dar prioridade a ele? Abaixo está a configuração:
interface GigabitEthernet1/1
service-policy output 500meg
end
Router-1#sh policy-map 500meg
Policy Map 500meg
Class class-default
police cir 500000000 bc 31250000 be 31250000
conform-action transmit
exceed-action drop
violate-action drop
Respostas:
@Mud, você tem a resposta da sua pergunta espalhada por vários comentários, então estou apenas consolidando-a aqui em uma única resposta.
Nos 7600s / 6500s, você pode filtrar o BFD (tráfego do plano de controle) no nível da interface, como qualquer outro tráfego (tráfego de trânsito que passa pelo dispositivo).
Quando você aplica uma ACL a uma porta na placa de linha, ela é aplicada a todo o tráfego nessa interface. O tráfego que precisa ser processado pelo RSP ou DFCs, se você estiver usando, precisa ser direcionado para lá, que é após o processamento da ACL.
Como regra geral, incluí recentemente o tráfego do plano de controle nas políticas de QoS, como as seguintes em que "classe NC" corresponde apenas ao CS6 e CS7:
Se você escrever uma política CoPP para os seus 7600s / 6500s, precisará escrever ACLs que correspondam a todos os tipos relevantes de tráfego do plano de controle. Portanto, você também pode corresponder o tráfego BFD, correspondendo o tráfego de / para a porta UDP 3784 (e bloqueie-o ainda mais para o IP da interface, se possível).
Como o @ytti disse, você precisa ter cuidado com os cronômetros BFD em sua configuração, se você não tiver DFCs, seu BFD em execução na energia RSP / CPU. Nesse caso, você também pode querer ajustar o comando global "process-max-time" e o agendamento do processo "planejador alocar xxx xxx".
O mínimo recomendado pela Cisco é que,
bfd interval 100 min_rx 100 multiplier 3
em algumas caixas de produção sem DFCs, estou executando obfd interval 500 min_rx 500 multiplier 3
que está bom, acho que nas caixas com DFCs às quais não tenho acesso no momento, estou executando o mesmo.Você pode ver essas referências para obter mais informações, que abrangem o ajuste BFD e as ACLs para o tráfego do plano de controle (CoPP e ACLs de interface) e também alguns ajustes do plano de controle que geralmente são boas práticas, além do comportamento de QoS com o tráfego do plano de controle:
http://www.cisco.com/c/en/us/td/docs/routers/7600/troubleshoot/guide/7600_Trouble_Shooting.pdf
http://www.cisco.com/c/en/us/td/docs/routers/7600/ios/12-2SR/configuration/guide/swcg/dos.html
http://www.cisco.com/web/about/security/intelligence/coppwp_gs.html
http://www.cisco.com/c/en/us/support/docs/quality-of-service-qos/qos-congestion-management-queueing/18664-rtgupdates.html
fonte
Devido à natureza crítica do pacote de controle BFD, ele não passa pelo mapa de políticas de QoS de saída na saída e é colocado diretamente na fila de saída. Confirmado com TAC.
fonte
De acordo com este documento da Cisco "Os usuários não podem, por exemplo, filtrar ou aplicar a Qualidade de Serviço (QoS) ao pacote BFD transmitido". Então, suponho que esses pacotes recebam o sinalizador PAK_PRIORITY .
fonte