问题现象

m9000设备在三层物理子接口上下发qos流量镜像策略,设备提示显示不支持,有如下报错

[M9000_IRF-GigabitEthernet1/1/0/21.1]qos apply policy jing inbound
The operation is not supported.
后确定qos需要在物理口上下发,但是下发后发现镜像的目的端口出方向并未统计到相关流量,查看接口下qos策略状态显示为failed失败,表示策略并未生效。

Interface: GigabitEthernet1/1/0/21
  Direction: Inbound
  Type     : Enhancement
  Policy: jing
   Classifier: default-class
     Operator: AND
     Rule(s) :
      If-match any
     Behavior: be
      -none-

Classifier: jing (Failed)
     Operator: AND
     Rule(s) :
      If-match acl 3838
     Behavior: jing
      Mirroring:
        Mirror to interface GigabitEthernet1/1/0/18

原因分析

m9000下发qos策略需要下发在物理接口上,且如流量统计accounting、镜像mirror-to等动作需要交换芯片处理的动作,需要在qos apply policy inbound后面加上enhancement关键字,表示将匹配流量交由交换芯片处理,而不是软cpu处理。

因此在物理接口上下发未带enhancement参数时,会报错

[M9000_IRF-GigabitEthernet1/1/0/21]qos apply policy jing inbound
The operation is not supported.
这里现场实际上前后反馈两个问题

1 现场最初的想法是在子接口上下发,从而匹配该子接口的vlan tag里的特定流量,后证实不支持在子接口上下发,但物理口下发后能否匹配vlan tag?

2 改为在物理接口上下发,且加上enhancement参数,仍然显示为failed,原因是什么?

解决办法

对于问题1,可以在流量匹配条件里面加上vlan,从而在物理口上下发的qos也能匹配到业务vlan,不需要在子接口上下发。

traffic classifier jing operator and
 if-match acl 3838
 if-match customer-vlan-id 10

对于问题2,查看现场配置,发现接口存在vpn实例的绑定关系。

[M9000_IRF-GigabitEthernet1/1/0/21]dis thi
#
interface GigabitEthernet1/1/0/21
 port link-mode route
 combo enable copper
 ip binding vpn-instance management
 ip address 10.37.0.2 255.255.255.0
按照以往使用acl匹配vpn实例流量的经验,因此在acl 3838里面,rule也有绑定vpn实例。

[M9000_IRF-classifier-jing]dis acl 3838
Advanced ACL  3838, named -none-, 1 rule,
ACL's step is 5
 rule 0 permit ip vpn-instance management
这就是问题所在。如上文所述,该qos是由交换芯片处理,而vpn实例特性仅仅用来隔离软件资源、表项,如路由等,属于软件cpu处理范畴,交换芯片无法“识别”或者“处理”该vpn实例特性的acl,在流量进入交换芯片处此时无vpn实例的特性,因此导致下发失败,从而流量镜像功能不生效。

解决办法就是将acl规则里面的vpn实例去掉即可。

[M9000_IRF-GigabitEthernet1/1/0/21]dis qos policy interface GigabitEthernet 1/1/
0/21
Interface: GigabitEthernet1/1/0/21
  Direction: Inbound
  Type     : Enhancement
  Policy: jing
   Classifier: default-class
     Operator: AND
     Rule(s) :
      If-match any
     Behavior: be
      -none-
   Classifier: jing (Failed)
     Operator: AND
     Rule(s) :
      If-match acl 3838
      If-match customer-vlan-id 10
     Behavior: jing
      Mirroring:
        Mirror to interface GigabitEthernet1/1/0/18

[M9000_IRF-GigabitEthernet1/1/0/21]qui
[M9000_IRF]acl num 3838
[M9000_IRF-acl-adv-3838]dis thi
#
acl number 3838
 rule 0 permit ip vpn-instance management
#
return
[M9000_IRF-acl-adv-3838]undo r
[M9000_IRF-acl-adv-3838]undo rule 0
[M9000_IRF-acl-adv-3838]ru
[M9000_IRF-acl-adv-3838]rule p
[M9000_IRF-acl-adv-3838]rule permit ip
[M9000_IRF-acl-adv-3838]dis qos policy interface GigabitEthernet 1/1/0/21
Interface: GigabitEthernet1/1/0/21
  Direction: Inbound
  Type     : Enhancement
  Policy: jing
   Classifier: default-class
     Operator: AND
     Rule(s) :
      If-match any
     Behavior: be
      -none-
   Classifier: jing
     Operator: AND
     Rule(s) :
      If-match acl 3838
      If-match customer-vlan-id 10
     Behavior: jing
      Mirroring:
        Mirror to interface GigabitEthernet1/1/0/18

建议与总结

1 qos策略下发在物理接口的入方向,且对于流量统计和镜像等动作,需要加enhancement参数。对于接口板是否支持物理接口出方向进行下发,请参考产品手册qos部分。

2 m9000的vpn实例为blade板上的特性,当流量上送到blade板之后,才会存在vpn实例特性。

案例信息

案例类型:经验案例
案例号:201608030002
创建时间:2016年8月3日
更新时间:2017年1月4日
发布时间:2016/8/11 2:16:18
文章密级:游客可见
有效期:长期有效
发布者:张文田 [z12652]
点击次数:1946
评论平均得分:0
关键词:m9000 子接口 流镜像 qos support fault
产品线:安全产品
产品系列:M9000系列
产品版本:
故障类型:QOS

常用操作
收藏