alex-scorp Опубликовано 7 июля, 2016 · Жалоба Доброго времени суток! Появилась такая задача, имеется сеть из 3 коммутаторов. Возьмём например такую схему cisco 3750 -> Extreeme Summit X460-24X -> cisco 3750. Через X460-24X транзитом ходят vlans 10,20,30. Нужно ограничить полосу пропускания для транзитного vlan 20 до 20 Mbit\s. Условие задачи - все манипуляции производятся на транзите. Конечные устройства не доступны для конфигурирования. Скорость на порту X460-24X ограничивать нельзя по условию задачи, ввиду того что на других vlan ограничения не накладываем. Почитав GTAC нашёл способ создания ACL для шейпинга трафика (могу выложить в комментариях) - настраиваем meter с нужной скоростью, создаём на его основе ACL который вешается как "vlan 20 ingress". Тем самым весь трафик по vlan 20 ограничивается. Но в ходе проверки выяснено что канал получается не полнодуплексным - скорость 20 делится пополам если начать нагружать не в одну сторону а одновременно в оба направления (uplink\downlink). Вопрос - знает ли кто нибудь как ограничить полосу пропускания по vlan на коммутаторе X460-24X (либо X670-48X) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 7 июля, 2016 · Жалоба делать 2 meter и 2 acl. в каждом указать vlan-id 20 и повесить 2 разных правила на 2 порта, через которые идет транзит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex-scorp Опубликовано 7 июля, 2016 (изменено) · Жалоба делать 2 meter и 2 acl. в каждом указать vlan-id 20 и повесить 2 разных правила на 2 порта, через которые идет транзит смотрите, делаем 1 acl который как я выше описал ограничивает скорость по влан (configure access-list 20Mb vlan20 ingress). и имеем общую трубу в 20Mbit/s. Чем нам тут второй ACL поможет? Объясните логику своего совета. если требуется могу дать листинг, укажите пожалуйста свой пример. Изменено 7 июля, 2016 пользователем alex-scorp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
necrozz Опубликовано 8 июля, 2016 · Жалоба Доброго времени суток! Появилась такая задача, имеется сеть из 3 коммутаторов. Возьмём например такую схему cisco 3750 -> Extreeme Summit X460-24X -> cisco 3750. Через X460-24X транзитом ходят vlans 10,20,30. Нужно ограничить полосу пропускания для транзитного vlan 20 до 20 Mbit\s. Условие задачи - все манипуляции производятся на транзите. Конечные устройства не доступны для конфигурирования. Скорость на порту X460-24X ограничивать нельзя по условию задачи, ввиду того что на других vlan ограничения не накладываем. Почитав GTAC нашёл способ создания ACL для шейпинга трафика (могу выложить в комментариях) - настраиваем meter с нужной скоростью, создаём на его основе ACL который вешается как "vlan 20 ingress". Тем самым весь трафик по vlan 20 ограничивается. Но в ходе проверки выяснено что канал получается не полнодуплексным - скорость 20 делится пополам если начать нагружать не в одну сторону а одновременно в оба направления (uplink\downlink). Вопрос - знает ли кто нибудь как ограничить полосу пропускания по vlan на коммутаторе X460-24X (либо X670-48X) create meter v100 configure meter v100 committed-rate 20000 Kbps out-actions drop edit policy vlans entry v100 { if { vlan-id 100; } then { meter v100; } } configure access-list vlans ports 24 ingress configure access-list vlans ports 24 egress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 8 июля, 2016 · Жалоба Доброго времени суток! Появилась такая задача, имеется сеть из 3 коммутаторов. Возьмём например такую схему cisco 3750 -> Extreeme Summit X460-24X -> cisco 3750. Через X460-24X транзитом ходят vlans 10,20,30. Нужно ограничить полосу пропускания для транзитного vlan 20 до 20 Mbit\s. Условие задачи - все манипуляции производятся на транзите. Конечные устройства не доступны для конфигурирования. Скорость на порту X460-24X ограничивать нельзя по условию задачи, ввиду того что на других vlan ограничения не накладываем. Почитав GTAC нашёл способ создания ACL для шейпинга трафика (могу выложить в комментариях) - настраиваем meter с нужной скоростью, создаём на его основе ACL который вешается как "vlan 20 ingress". Тем самым весь трафик по vlan 20 ограничивается. Но в ходе проверки выяснено что канал получается не полнодуплексным - скорость 20 делится пополам если начать нагружать не в одну сторону а одновременно в оба направления (uplink\downlink). Вопрос - знает ли кто нибудь как ограничить полосу пропускания по vlan на коммутаторе X460-24X (либо X670-48X) create meter v100 configure meter v100 committed-rate 20000 Kbps out-actions drop edit policy vlans entry v100 { if { vlan-id 100; } then { meter v100; } } configure access-list vlans ports 24 ingress configure access-list vlans ports 24 egress сомнительно, что egress отработает. я предлагал: configure access-list vlans ports 24 ingress configure access-list vlans ports 10 ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
necrozz Опубликовано 8 июля, 2016 · Жалоба create meter v100 configure meter v100 committed-rate 20000 Kbps out-actions drop edit policy vlans entry v100 { if { vlan-id 100; } then { meter v100; } } configure access-list vlans ports 24 ingress configure access-list vlans ports 24 egress сомнительно, что egress отработает. я предлагал: configure access-list vlans ports 24 ingress configure access-list vlans ports 10 ingress Можно и так, на x670 egress вполне себе работал если не изменяет память. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex-scorp Опубликовано 10 июля, 2016 · Жалоба Спасибо за ответы, в ближайшее время проведём тесты на стэнде. Отпишусь позднее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 10 июля, 2016 · Жалоба здесь картинка как работает acl http://shop.nag.ru/article/ispolzovanie-rate-limiters-meters-i-scheduling-v-kommutatorah-extreme Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex-scorp Опубликовано 11 июля, 2016 · Жалоба Ребята, спасибо за помощь. Выяснил в итоге что всё же ошибка в моих конфигах заключалась в параметре burst-size. В целом тестовая железяка X440-24x неплохо себя ведёт. Сдерживает 989 ddos обрезая его до 14Mbit\s (что соответствует vlan-id policy ). И да - железяка 460 не умеет configure access-list vlans ports 24 EGRESS (x670 умеет EGRESS но пока не тестировал). Только ingress. Но этого достаточно. Можно ведь резать на 2 разных портах по input (ingress) тем самым симметрично (или асимметрично) регулировать поток трафика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex-scorp Опубликовано 11 июля, 2016 (изменено) · Жалоба Кто какие burst выставлял ? Как работают? Изменено 11 июля, 2016 пользователем alex-scorp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
necrozz Опубликовано 12 июля, 2016 · Жалоба Ребята, спасибо за помощь. Выяснил в итоге что всё же ошибка в моих конфигах заключалась в параметре burst-size. В целом тестовая железяка X440-24x неплохо себя ведёт. Сдерживает 989 ddos обрезая его до 14Mbit\s (что соответствует vlan-id policy ). И да - железяка 460 не умеет configure access-list vlans ports 24 EGRESS (x670 умеет EGRESS но пока не тестировал). Только ingress. Но этого достаточно. Можно ведь резать на 2 разных портах по input (ingress) тем самым симметрично (или асимметрично) регулировать поток трафика. Не умеет в том плане, что такой команды с CLI нет ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alex-scorp Опубликовано 13 июля, 2016 (изменено) · Жалоба Ребята, спасибо за помощь. Выяснил в итоге что всё же ошибка в моих конфигах заключалась в параметре burst-size. В целом тестовая железяка X440-24x неплохо себя ведёт. Сдерживает 989 ddos обрезая его до 14Mbit\s (что соответствует vlan-id policy ). И да - железяка 460 не умеет configure access-list vlans ports 24 EGRESS (x670 умеет EGRESS но пока не тестировал). Только ingress. Но этого достаточно. Можно ведь резать на 2 разных портах по input (ingress) тем самым симметрично (или асимметрично) регулировать поток трафика. Не умеет в том плане, что такой команды с CLI нет ? Упс, ошибся немного. В CLI нет команды "EGRESS" при настройке "configure access-list vlans ports 24 egress\ingress". Но это в x440-24x модели. В x460 и x670 присутствует как Ingress так и Egress. Насчёт бурстов что-нибудь посоветуете? Изменено 13 июля, 2016 пользователем alex-scorp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...