类默认匹配控制流量？

我看到正在被监管出口的链接上的BFD存在问题，该问题出现在监管者被最大化的时候，BFD数据包没有到达另一端。我想知道BFD问候是否受到警察的约束，或者是否属于警察之外。如果他们受制于警察，是否像添加DSCP CS6的匹配项并为其赋予优先级一样简单？下面是配置：

interface GigabitEthernet1/1
 service-policy output 500meg
end

Router-1#sh policy-map 500meg
  Policy Map 500meg
    Class class-default
     police cir 500000000 bc 31250000 be 31250000
       conform-action transmit
       exceed-action drop
       violate-action drop

@Mud，您的问题答案几乎已经散布在多个评论中，因此我仅在此处将其合并为一个答案。

在7600s / 6500s上，您可以像其他任何流量（通过设备的转接流量）一样在接口级别过滤BFD（控制平面流量）。

当您将ACL应用于线卡上的端口时，它将应用于该接口上的所有流量。如果要使用RSP或DFC，则需要处理RCL或DFC的流量需要在该处进行打孔。

根据经验，最近我一直将控制平面流量包含在QoS策略中，例如以下内容，其中“ NC类”仅与CS6和CS7匹配：

policy-map QoS-Example
 class NC
  bandwidth percent 2
 !
 class REALTIME
  police rate percent 10
   conform-action transmit
   exceed-action drop
  !
  priority level 1
 !
 class 1
  bandwidth percent 22
 !
 class 2
  bandwidth percent 24
 !
 class 3
  bandwidth percent 12
 ....... and so on

如果您为7600s / 6500s编写CoPP策略，则需要编写与所有相关类型的控制平面流量匹配的ACL。因此，您还可以通过与UDP端口3784之间的流量进行匹配来匹配BFD流量（并尽可能将其锁定在接口IP上）。

正如@ytti所说，您需要对设置中的BFD计时器保持警惕，如果您没有DFC，则需要在RSP / CPU电源上运行BFD。在这种情况下，您可能还需要查看调整“ process-max-time”全局命令和流程计划“ schedulerallocate xxx xxx”的过程。

思科建议的最低要求是，bfd interval 100 min_rx 100 multiplier 3但在一些我实际上正在运行但没有DFC的生产设备上bfd interval 500 min_rx 500 multiplier 3，这很好，我认为在现在无法访问的装有DFC的设备上，我正在运行相同的设备。

您可以查看以下参考资料以获取更多信息，其中包括用于控制平面流量的BFD调整和ACL（CoPP和接口ACL），以及一些通常是好的做法的控制平面调整，以及控制平面流量的QoS行为：

http://www.cisco.com/c/en/us/td/docs/routers/7600/troubleshoot/guide/7600_Trouble_Shooting.pdf

http://www.cisco.com/c/en/us/td/docs/routers/7600/ios/12-2SR/configuration/guide/swcg/dos.html

http://www.cisco.com/web/about/security/intelligence/coppwp_gs.html

http://www.cisco.com/c/en/us/support/docs/quality-of-service-qos/qos-congestion-management-queueing/18664-rtgupdates.html

由于BFD控制数据包的关键性质，它在出局时不会经过出口QoS策略映射，而是直接放置在出口队列中。与TAC确认。

根据此cisco文档， “用户无法，例如，对发送的BFD数据包进行过滤或应用服务质量（QoS）”。所以我想那些数据包会得到PAK_PRIORITY标志。