1 ACL和QoS故障处理

1.1  QoS故障处理

1.1.1  流量不匹配分类的定位思路

1. 故障描述

执行display qos policy interface命令查看指定接口上QoS策略的配置信息和运行情况时，发现当前接口上的流量未匹配到QoS策略中的流分类规则。

如下显示信息指定的流分类1中Matched字段为0 (Packets) 0 (Bytes)，表示接口上符合流分类规则的数据包数目为0。需要注意的是，QoS策略中默认存在名称为default-class的流分类，未匹配到QoS策略中其他流分类规则的流量均匹配default-class的流分类。

<Sysname> display qos policy interface gigabitethernet 2/0/1 inbound

Interface: GigabitEthernet2/0/1

  Direction: Inbound

  Policy: 1

   Classifier: default-class

     Matched : 213126 (Packets) 40928738 (Bytes)

     5-minute statistics:

      Forwarded: 20/4208 (pps/bps)

      Dropped  : 0/0 (pps/bps)

     Operator: AND

     Rule(s) :

      If-match any

     Behavior: be

      -none-

   Classifier: 1

     Matched : 0 (Packets) 0 (Bytes)

     5-minute statistics:

      Forwarded: 0/0 (pps/bps)

      Dropped  : 0/0 (pps/bps)

     Operator: AND

     Rule(s) :

      If-match acl 3000

     Behavior: 1

      Marking:

        Remark dscp 3

2. 常见原因

本类故障的常见原因主要包括：

·     应用了QoS策略的接口状态为Down，没有转发流量。

·     流分类配置错误，不能匹配到转发流量。

·     流分类中ACL规则匹配的流量执行了更高优先的策略。

3. 故障诊断流程

本类故障的诊断流程如图1-1所示。

图1-1 流量不匹配分类的故障诊断流程图

 

4. 故障处理步骤

(1)     ‍检查接口物理链路状态是否正常。

在设备上执行display interface命令检查接口状态，例如：

<Sysname> display interface gigabitethernet 2/0/1

GigabitEthernet2/0/1

Interface index: 386

Current state: Administratively DOWN

Line protocol state: DOWN

…

a.     ‍如果Current state显示为Administratively DOWN，则在接口下执行undo shutdown命令打开关闭的接口。

b.     如果Current state显示为DOWN，则检查接口的物理连线。

c.     如果接口物理链路正常，问题仍未解决，则请继续执行以下操作。

(2)     检查设备接口下应用的QoS策略中的流分类配置。

在设备上执行display traffic classifier user-defined命令检查用户定义的流分类的配置信息，关于if-match命令的匹配规则详细信息，请参见“ACL和QoS命令参考”中的“QoS”。

如果流分类的配置错误，则执行traffic classifier命令进入该流分类视图，并执行if-match命令修改流分类的匹配规则。例如：

[Sysname-classifier-1] if-match dscp ef

[Sysname-classifier-1] display this

 

traffic classifier a operator or

 if-match protocol ipv6

 if-match dscp ef

 

请确认Operator字段显示的各规则之间的逻辑关系是否准确。AND表示该流分类下的规则之间是逻辑与的关系，即数据包必须匹配全部规则才属于该类。OR表示该流分类下的规则之间是逻辑或的关系，即数据包匹配任一规则均属于该类。本例中，如果Rule(s)中流分类规则不止一条，且Operator显示字段为AND，则表示该流分类下的规则之间是逻辑与的关系，即数据包必须匹配全部规则才属于该类。此时，请执行traffic classifier命令指定operator参数为or。

<Sysname> display traffic classifier user-defined

 

  User-defined classifier information:

 

   Classifier: 1 (ID 101)

     Operator: AND

     Rule(s) :

      If-match dscp ef

 

   Classifier: 2 (ID 102)

     Operator: AND

     Rule(s) :

      If-match dscp af21

 

   Classifier: 3 (ID 103)

     Operator: AND

     Rule(s) :

      If-match dscp af11

如果QoS策略中的流分类配置正确，问题仍未解决，则请继续执行以下操作。

(3)     当流分类中引用ACL规则进行流量报文匹配时，也可能由于该ACL规则匹配到的流量报文执行了其他更高优先的策略行为导致MQC方式配置的QoS策略未生效，不同策略行为的优先顺序为：

(4)     在报文出方向：报文过滤>全局应用MQC方式配置的QoS策略>接口应用MQC方式配置的QoS策略。

(5)     在报文入方向：报文过滤>接口应用MQC方式配置的QoS策略>全局应用MQC方式配置的QoS策略。

请执行display current-configuration命令检查当前生效的配置中是否存在上述更高优先级的策略行为相关配置。如果不存在相关配置，问题仍未解决，请继续执行以下操作。

(6)     如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息。

5. 告警与日志

相关告警

无

相关日志

·     QOS_POLICY_APPLYIF_CBFAIL

·     QOS_POLICY_APPLYIF_FAIL

1.1.2  QPPB策略未生效

1. 故障描述

如图1-2所示，在典型的QPPB（QoS Policy Propagation Through the Border Gateway Protocol，通过BGP传播QoS策略）组网环境下，Device A和Device B之间建立BGP邻居，Device B向Device A发送BGP路由10.10.10.1/24，Device A通过路由策略为BGP路由10.10.10.1/24设置IP优先级或QoS本地ID值，并将IP优先级或QoS本地ID值添加到Device A的路由表中。当Device A收到目的地址为10.10.10.1/24的报文，根据Device A路由表中的IP优先级或QoS本地ID值对报文进行流分类并执行流分类对应的流行为动作。

上述QPPB策略在Device A转发报文时未生效，即根据Device A路由表中的IP优先级或QoS本地ID值对报文进行流分类并执行流分类对应的流行为动作不生效。

下面均以BGP IPv4单播地址视图为例介绍故障处理流程，其他地址族视图类似。

图1-2 典型QPPB组网

‌‌‌‌

2. 常见原因

本类故障的常见原因主要包括：

·     路由器之间物理链路不通。

·     BGP路由发布失败。

·     下发路由表IP优先级或QoS本地ID值失败。

·     转发接口上没有应用QPPB策略。

·     QPPB策略配置错误。

3. 故障诊断流程

故障的定位思路如下：

·     检查路由器之间物理链路是否正常。

·     检查BGP邻居是否正常建立。

·     检查是否从对等体学习到BGP路由。

·     检查路由表中IP优先级或QoS本地ID值是否正常下发。

·     检查QPPB策略的配置是否正确。

·     检查转发接口上是否应用QPPB策略。

本类故障的诊断流程如图1-3所示：

图1-3 QPPB策略未生效的故障诊断流程图

‌‌‌‌

4. 故障处理步骤

(1)     ‍检查Device A和Device B之间的网络链路连通性。

在Device A和Device B及两者间的网络设备上执行display interface命令检查物理链路状态。以Device A设备上的互联互通接口为例，显示信息如下

<Sysname> display interface gigabitethernet 2/0/1

GigabitEthernet2/0/1

Interface index: 386

Current state: Administratively DOWN

Line protocol state: DOWN

…

a.     ‍如果Current state显示为Administratively DOWN，则在接口下执行undo shutdown命令打开关闭的接口。

b.     如果Current state显示为DOWN，则检查接口的物理连线。

c.     如果接口物理链路正常，问题仍未解决，则请继续执行以下操作。

(2)     检查Device A和Device B上BGP邻接关系是否正常，Device A正常从BGP对等体学习到路由。

a.     ‍在Device A上执行display ip routing-table protocol命令，检查Device A上是否正常从BGP对等体Device B学习到BGP路由10.10.10.1/24。如果显示信息中存在该BGP路由，则表示BGP路由学习正常，请继续执行第(3)步操作。如果显示信息中不存在该BGP路由，则表示BGP路由学习不正常，请执行第b步操作。

<Sysname> display ip routing-table protocol bgp

…

Destination/Mask    Proto  Pre  Cost         NextHop         Interface

192.168.80.0/24     bgp    255  10           192.168.80.10   GE2/0/1

10.10.10.1/24       bgp    255  10           2.2.2.2         GE2/0/1

…

b.     Device A和Device B通过各自的Loopback 1环回口建立BGP邻居，在Device A上执行display bgp peer命令，检查Device A和Device B上BGP邻接关系是否正常。如果对等体Device B的State字段显示为Established，则表示Device A和Device B上BGP邻接关系正常。否则，请参考BGP故障处理手册，排查BGP相关的故障。

<Sysname> display bgp peer ipv4

 

 BGP local router ID: 1.1.1.1

 Local AS number: 100

 Total number of peers: 1                  Peers in established state: 1

 

 * - Dynamically created peer

 Peer                  AS  MsgRcvd  MsgSent OutQ  PrefRcv Up/Down  State

 

 2.2.2.2               200       13       16    0        0 00:10:34 Established

如果BGP邻接关系正常，且Device A可以正常从BGP对等体学习到路由，请继续执行以下操作。

(3)     检查Device A的路由表中IP优先级或QoS本地ID值是否正确。

在Device A上执行display ip routing-table ip-address verbose命令，查看从Device B学习到的BGP路由是否配置了正确的IP优先级或QoS本地ID值，显示信息如下。

<Sysname> display ip routing-table 10.10.10.1 verbose

…

 Destination: 10.10.10.1/24

    Protocol: BGP

  Process ID: 0

   SubProtID: 0x1                       Age: 00h00m37s

  FlushedAge: 15h28m49s

        Cost: 0                  Preference: 255

       IpPre: N/A                QosLocalID: 100

         Tag: 0                       State: Active Adv

显示字段中IpPre表示IP优先级，QosLocalID表示QoS本地ID值，如果上述两个字段取值均为N/A，则表示从Device B学习到的BGP路由未配置IP优先级和QoS本地ID值，请在Device A上执行如下命令补充相关配置。

a.     ‍执行ip prefix-list命令配置一个IPv4地址前缀列表或表项，允许10.10.10.0/24网段的、掩码长度为24的路由通过。

#

 ip prefix-list 10 index 10 permit 10.10.10.0 24

#

b.     执行route-policy命令创建一个路由策略，在路由策略中使用if-match ip命令配置匹配上述创建的IPv4地址前缀列表的匹配条件，并执行apply qos-local-id命令或者apply ip-precedence命令配置QoS本地ID值或IP优先级。

#

route-policy a permit node 10

 if-match ip address prefix-list 10

 apply ip-precedence 1

 apply qos-local-id 100

#

c.     在BGP IPv4单播地址族视图下执行peer route-policy命令，对来自对等体Device B的路由应用上一步配置的路由策略。

如果从Device B学习到的BGP路由配置了正确的IP优先级或QoS本地ID值，继续执行以下操作。

(4)     检查QPPB策略的配置是否正确。

在Device A上执行display qos policy user-defined命令可查看QPPB策略配置。

<Sysname> display qos policy user-defined

 

  User-defined QoS policy information:

 

  Policy: aaa (ID 106)

   Classifier: aaa (ID 0)

     Behavior: aaa

      Redirecting:

        Redirect to next-hop 192.168.10.1

a.     ‍

b.     执行display traffic classifier命令，查看QPPB策略中的流分类配置，本例中Classifier为aaa。

<Sysname> display traffic classifier user-defined aaa

 

  User-defined classifier information:

 

   Classifier: aaa (ID 100)

     Operator: AND

     Rule(s) :

      If-match ip-precedence 1

上述Rule(s)字段下如果包含了If-match ip-precedence匹配规则，请确保流分类的匹配规则与上一步路由策略中配置的IP优先级一致。如果匹配规则中不存在If-match ip-precedence配置，或者流分类配置与路由策略配置的IP优先级不一致，请在流分类视图下执行undo if-match命令删除原配置，并重新执行if-match命令配置匹配IP优先级的流分类规则。

如果QPPB策略的配置正确，请继续执行以下操作。

(5)     检查报文转发接口上是否配置了QPPB功能且应用了QPPB策略。

在Device A需要在报文的出接口或入接口上配置QPPB功能，并且将QPPB策略应用到该接口下，在该接口下，使用display this命令检查配置是否完整。以入接口上相关配置为例具体配置显示如下：

#

 bgp-policy destination ip-prec-map ip-qos-map

 qos apply policy aaa inbound

#

如果缺失上述任一类配置，请在接口视图下执行bgp-policy命令或qos apply policy命令补充配置。如果报文转发接口上已应用QPPB策略并且配置了QPPB功能，请继续执行以下操作。

(6)     如果故障仍然未能排除，请收集如下信息，并联系技术支持人员

¡     上述步骤的执行结果。

¡     设备的配置文件、日志信息、告警信息。

5. 告警与日志

相关告警

无

相关日志

无