Jump to content

NAT shape cisco c3660 Allied Telesyn AT-AR450S

IvanI
 Share

Recommended Posts

IvanI

IvanI

Posted
Posted

возникла проблемма нехватает шейперов и несправляется в моменты пиковой нагрузки c3660

шейпер на унлимщика(ин оут) выглядит так:

 

access-list 2220 permit ip any host ааа.ааа.136.25
access-list 1520 permit ааа.ааа.136.25

class-map out_2220
match access-group 2220
exit
policy-map out_police
class out_2220
shape average 204800
exit
exit
class-map in_1520
match access-group 1520
exit
policy-map in_police
class in_1520
police 204800 25600 25600 conform-action transmit exceed-action drop
exit
exit
exit

 

250 таких пар

 

нат ограничен так:

 

ip nat translation timeout 300
ip nat translation tcp-timeout 1200
ip nat translation finrst-timeout 30
ip nat translation icmp-timeout 300
ip nat translation max-entries 10000

 

загруз в разные моменты:

проц - 60-70

внешний порт

5 minute input rate 11459000 bits/sec, 1605 packets/sec

5 minute output rate 1625000 bits/sec, 1228packets/sec

нат

[id: 1] access-list 1 pool one refcount 2809

[id: 2] access-list 2 pool two refcount 1670

 

проц - 45%

5 minute input rate 6926000 bits/sec, 1042 packets/sec

5 minute output rate 1040000 bits/sec, 900 packets/sec

нат 3165

 

1 из вариантов решения - поставить железку для ната и шейпинга

присмотрел Allied Telesyn AT-AR450S но пока немогу найти достоверных сведений по ее поведению под такой нагрузкой

 

2 вариант изменить конфиг кошака но ничего в этом плане придумать немогу

Nailer

Nailer

Posted
Posted
возникла проблемма нехватает шейперов и несправляется в моменты пиковой нагрузки c3660

шейпер на унлимщика(ин оут) выглядит так:

 

access-list 2220 permit ip any host ааа.ааа.136.25
access-list 1520 permit ааа.ааа.136.25

class-map out_2220
match access-group 2220
exit
policy-map out_police
class out_2220
shape average 204800
exit
exit
class-map in_1520
match access-group 1520
exit
policy-map in_police
class in_1520
police 204800 25600 25600 conform-action transmit exceed-action drop
exit
exit
exit

 

250 таких пар

 

нат ограничен так:

 

ip nat translation timeout 300
ip nat translation tcp-timeout 1200
ip nat translation finrst-timeout 30
ip nat translation icmp-timeout 300
ip nat translation max-entries 10000

 

загруз в разные моменты:

проц - 60-70

внешний порт

5 minute input rate 11459000 bits/sec, 1605 packets/sec

5 minute output rate 1625000 bits/sec, 1228packets/sec

нат

[id: 1] access-list 1 pool one refcount 2809

[id: 2] access-list 2 pool two refcount 1670

 

проц - 45%

5 minute input rate 6926000 bits/sec, 1042 packets/sec

5 minute output rate 1040000 bits/sec, 900 packets/sec

нат 3165

 

1 из вариантов решения - поставить железку для ната и шейпинга

присмотрел Allied Telesyn AT-AR450S но пока немогу найти достоверных сведений по ее поведению под такой нагрузкой

 

2 вариант изменить конфиг кошака но ничего в этом плане придумать немогу

Покажите

sh run

sh ver

sh int

sh int switching (выложите файлом)

Nailer

Nailer

Posted
Posted

Есть такая штука интересная - microflow policers, как раз подходит для унлимщиков. Только работает вроде бы только на старших железках, к сожалению.

 

http://www.cisco.com/en/US/products/hw/swi...d803e5017.shtml

 

А с конфигами действительно вроде все в порядке..

UglyAdmin

UglyAdmin

Posted
Posted

Мдя...

Не буду блистать оригинальностью, посоветую вилан на юзера.

Получится у каждого юзера свой интерфейс на циске, на который можно навесить хоть шейпер, хоть полисер...

Вы себе представляете, как данная service-policy обрабатывается процессором (а чем ещё её можно обработать на 3660)? Это же сплошной

if (xx1) then ...
else if (xx2) then ...
else if (xx3) then ...
...

Виланы будут отрабатываться сильно быстрее.

IvanI

IvanI

Posted
  • Author
Posted

я на курсах циски неучился, но наскока я понимаю у меня процессором обрабатываются тололько заголовки такетов возвращающихся через нат - загрузка растет с количеством нат трансляций и потоком возвращающихся через нат пакетов а*б

 

акл, шейпер - аппаратные

 

и вопрос был другой

с натом несправляентся процессор

нехватает шейперов

UglyAdmin

UglyAdmin

Posted
Posted (edited)

Я тоже не учился. :)

В 3660 нет аппаратной обработки пакетов, всё процессором.

Просто некоторые функции идут через CEF (обрабатываются в прерывании), для других нужен отдельный процесс - process switching.

CEF сильно быстрее.

ИМХО, в данном конфиге существенная часть производительности тратится на выбор класса в service-policy. Ну и шейпинг тоже даёт о себе знать.

Edited by UglyAdmin
Nailer

Nailer

Posted
Posted
у меня осталось незанято 6 шейперов и нужно какоето решение желательно железка за 500$

 

А пользователи где у вас терминируются? Или они вообще без туннелей по сети ходят?

ayamb

ayamb

Posted
Posted (edited)

На AR450S нет шейперов, как таковых. Там все гораздо другее. :)

 

Именно по этому, ни в коем случае не рекомендую ставить ее ВМЕСТО уже сконфигурированой и работающей Cisco, предварительно не разобравшись в Software QoS для AR450S... В противном случае никакие заверения о ее возможностях не помугут. А настраивать ее кроме Тебя самого будет некому. (Вот поставить РЯДОМ с Cisco и плавно попытаться переехать на AR450S, это еще более-менее оправдано.) :)

 

1. Выбирается основная политика управления трафиком:

1.1 DAR-Based (Dynamic Application Recognition).

1.2 DSCP-Based (DSCP map).

1.3 TRAFFICCLASS-Based (Traffic class).

1.4 Или их некий конгломерат.

 

2. TRAFFICCLASS-Based (Traffic class) (самый простой вариант)

2.1 Намечается боевая раскраска (RED Random Early Detection).

>sh sqos red summary
                 BW Class 1        BW Class 2        BW Class 3
                 ---------------   ---------------   ---------------
                 Start Stop Drop   Start Stop Drop   Start Stop Drop
Id     Average              Prob              Prob              Prob
--------------------------------------------------------------------
   0        98      35   50   20      20   35   30      10   20   40
   1        98      50   70   20      30   50   30      15   30   40
   2        98      80   95   20      60   80   30      40   60   40

2.2 Создаются шаблоны для трафика разного диаметра (Bandwidth metering)

>sh sqos meter
               Bandwidth       Burst Size
Id     Type    Min    Max      Min    Max      Traffic Classes
-----------------------------------------------------------------------------
   1   SRTCM           64kbps  2kB    8kB      101-199
   2   TRTCM   16kbps  64kbps  2kB    8kB      201-299
   3   SRTCM          128kbps  2kB    8kB      3
   4   TRTCM   64kbps 1.5Mbps  1.5kB  4kB      4

2.3 Создаются политики с некоторой общей виртуальной пропускной способностью и обозначается их дерево (Policy)

>sh sqos policy=0 tree
                Actual                          Virt
Tree            Scheduler   Priority   Weight   BW      Classifiers
-----------------------------------------------------------------------------
0               PQ                             96Mbps
  0             PQ                 0           16Mbps
    4           FIFO               7                    401
    3           FIFO               5                    301,302,303
    2           FIFO               3                    201
    1           WRR                1
      5         FIFO                       80           501
        101     FIFO               2                    1101
        102     FIFO               2                    1102
        103     FIFO               2                    1103
...
        199     FIFO               2                    1199
      6         FIFO                       20           601
        201     FIFO               2                    1201
        202     FIFO               2                    1202
        203     FIFO               2                    1203
...
        299     FIFO               2                    1299

2.4 Классифицируется трафик с указаниями предмаркировки и перемаркировки DSCP (Traffic class)

>sh sqos trafficclass summary
                             Max
              Red     Virt   QLen     Wt
Id    Meter    Curv   BW     (pkts)   Schd   Policy   Sub-classes
-----------------------------------------------------------------------------
  0                 16Mbps      64   WRR         0   4,3,2,1
  1                             64   WRR         0   5,6
  2                             32   WRR         0
  3      3                      16   WRR         0
  4      4                       4   WRR         0
  5              1              64   WRR         0   101-199
  6              1              64   WRR         0   201-299
101      1       2              32   WRR         0
102      1       2              32   WRR         0
103      1       2              32   WRR         0
...
199      1       2              32   WRR         0
201      2       2              24   WRR         0
202      2       2              24   WRR         0
203      2       2              24   WRR         0
...
299      2       2              24   WRR         0

2.5 Создаются классификаторы трафика (Classifier) (Вот они-то самые шустрые в этой схеме.)

>sh class=1101,1201
Classifier Rules
--------------------------------------------------------------------------------
Rule ................. 1101
Protocol ............. IPv4
IP Protocol .......... TCP
S-IP Address ......... 83.42.31.253/32
--------------------------------------------------------------------------------
Rule ................. 1201
Protocol ............. IPv4
D-IP Address ......... 82.89.224.0/19
IP Protocol .......... TCP
D-TCP Port ........... 80
--------------------------------------------------------------------------------

2.6 Указывается причастность интерфейсов ко всей этой лабуде.

>sh sqos int
Interface   In Policy   Out Policy   Tunnel Policy   DAR Objects
-----------------------------------------------------------------------------
eth0               10            0
swi0                            20

Edited by ayamb
IvanI

IvanI

Posted
  • Author
Posted

спасибо, но вопрос что я смогу на ar450s скинуть?

я хочу вынести на нее нат пулы и шейперы обычных унлимщиков

так вот повторяю вопрос "немогу найти достоверных сведений по ее поведению под такой нагрузкой(1 пост)"

 

еще нашел длинки dsa3100 и dsa-3110, тотже вопрос

 

пользователи терминируются на компе фрибсд

Nailer

Nailer

Posted
Posted
спасибо, но вопрос что я смогу на ar450s скинуть?

я хочу вынести на нее нат пулы и шейперы обычных унлимщиков

так вот повторяю вопрос "немогу найти достоверных сведений по ее поведению под такой нагрузкой(1 пост)"

 

еще нашел длинки dsa3100 и dsa-3110, тотже вопрос

 

пользователи терминируются на компе фрибсд

Так что вам мешает на компе их и зашейпить?

 

Или перенести терминацию на циску и вешать шейперы на виртуальные интерфейсы?

ayamb

ayamb

Posted
Posted

Странно... На фразу

1 из вариантов решения - поставить железку для ната и шейпинга

присмотрел Allied Telesyn AT-AR450S но пока немогу найти достоверных сведений по ее поведению под такой нагрузкой

есть рекомендация
На AR450S нет шейперов, как таковых. Там все гораздо другее.
и ее комментарии
спасибо, но вопрос что я смогу на ar450s скинуть? я хочу вынести на нее нат пулы и шейперы обычных унлимщиков так вот повторяю вопрос "немогу найти достоверных сведений по ее поведению под такой нагрузкой(1 пост)"
Наверное что-то у меня не так...

1. Наверное ничего. :/

2. Наверное невозможно найти достоверных сведений по ее поведению под такой нагрузкой. :/

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.