我看到BFD出现在被监管出口的链路上,在监管器达到最大值时 BFD 数据包没有到达另一端时出现问题。我想知道 BFD hellos 是否受制于监管器,或者它们是否属于监管器之外。如果它们受到监管器的约束,是否就像为 DSCP CS6 添加匹配项并为其提供优先级一样简单?下面是配置:
interface GigabitEthernet1/1
service-policy output 500meg
end
Router-1#sh policy-map 500meg
Policy Map 500meg
Class class-default
police cir 500000000 bc 31250000 be 31250000
conform-action transmit
exceed-action drop
violate-action drop
@Mud,您的问题的答案几乎已经散布在几条评论中,所以我只是将其合并为一个答案。
在 7600s/6500s 上,您可以在接口级别过滤 BFD(控制平面流量),就像任何其他流量(通过设备的传输流量)一样。
当您将 ACL 应用于线卡上的端口时,它会应用于该接口上的所有流量。需要由 RSP 或 DFC 处理的流量(如果您正在使用它们)需要在处理 ACL 之后被转移到那里。
根据经验,我最近一直在 QoS 策略中包含控制平面流量,例如以下“类 NC”仅匹配 CS6 和 CS7:
policy-map QoS-Example
class NC
bandwidth percent 2
!
class REALTIME
police rate percent 10
conform-action transmit
exceed-action drop
!
priority level 1
!
class 1
bandwidth percent 22
!
class 2
bandwidth percent 24
!
class 3
bandwidth percent 12
....... and so on
如果您为 7600s/6500s 编写 CoPP 策略,则需要编写匹配所有相关类型控制平面流量的 ACL。因此,您还可以通过匹配进出 UDP 端口 3784 的流量来匹配 BFD 流量(如果可能,将其进一步锁定到您的接口 IP)。
正如@ytti 所说,您需要警惕设置中的 BFD 计时器,如果您没有 DFC,则您在 RSP/CPU 电源上运行 BFD。在这种情况下,您可能还想查看调整“process-max-time”全局命令和进程计划“scheduler allocation xxx xxx”。
Cisco 推荐的最低限度是bfd interval 100 min_rx 100 multiplier 3但在一些没有 DFC 的生产机器上我实际上运行的bfd interval 500 min_rx 500 multiplier 3很好,我认为在我现在无法访问的带有 DFC 的机器上我正在运行相同的。
您可以查看这些参考资料以获取更多信息,其中包括用于控制平面流量(CoPP 和接口 ACL)的 BFD 调整和 ACL,以及一些通常是良好实践的控制平面调整,以及控制平面流量的 QoS 行为:
http://www.cisco.com/c/en/us/td/docs/routers/7600/troubleshoot/guide/7600_Trouble_Shooting.pdf
http://www.cisco.com/c/en/us/td/docs/routers/7600/ios/12-2SR/configuration/guide/swcg/dos.html
http://www.cisco.com/web/about/security/intelligence/coppwp_gs.html
由于BFD控制报文的临界性质,出路不经过出口QoS策略映射,直接放入出口队列。与TAC确认。
根据此 cisco 文档“例如,用户不能过滤或应用服务质量 (QoS) 到传输的 BFD 数据包”。所以我想这些数据包获得PAK_PRIORITY 标志。