Jump to content

Cisco 6500 и User-Based Rate Limit

KRoM
 Share

Recommended Posts

KRoM

KRoM

Posted
Posted

Добрый день!

 

Кто-нибудь делал сабж?

От чтения док, мануалов, форумов и т.д. уже глаза вылазят :(

 

Дано:

Cisco 6500 в нейтив режиме. Супервизор Sup 32 PFC3. MSFC2.

Пытался настроить как описано в http://www.cisco.com/en/US/products/hw/swi...d803e5017.shtml

IOS: s3223_rp-ADVENTERPRISEK9_WAN-VM, Version 12.2(18)SXF5

 

Router#sh access-lists noc

Extended IP access list noc

10 permit ip 91.103.120.128 0.0.0.15 any (83021 matches)

20 permit ip any 91.103.120.128 0.0.0.15 (1280 matches)

 

Router#sh class-map noc-shaper

Class Map match-all noc-shaper (id 1)

Match access-group name noc

 

Router#sh policy-map noc-shaper

Policy Map noc-shaper

Class noc-shaper

police flow mask dest-only 64000 2000 conform-action transmit exceed-action drop

 

При попытке применить политику к порту получаю следующее:

 

Router(config-if)#service-policy in noc-shaper

Router(config-if)#

QoS-ERROR: QoS policy on interface Gi5/1 cannot be successfully installed due to the interaction with other feature configuration

 

Failure reason is Unresolvable flowmask conflict with other features

 

QoS-ERROR: installation of policy on Gi5/1 failed

 

1d11h: %FM-2-FLOWMASK_CONFLICT: Features configured on interface GigabitEthernet5/1 have conflicting flowmask requirements, traffic may be switched in software

 

Понятно что в PFC какая-то функция конфликтует с маской dest-only.

Вопрос в том какая?

NAT выключен, NDE тоже.

tav

tav

Posted
Posted
Router#sh access-lists noc

Extended IP access list noc

10 permit ip 91.103.120.128 0.0.0.15 any (83021 matches)

20 permit ip any 91.103.120.128 0.0.0.15 (1280 matches)

 

Router#sh class-map noc-shaper

Class Map match-all noc-shaper (id 1)

Match access-group name noc

 

Router#sh policy-map noc-shaper

Policy Map noc-shaper

Class noc-shaper

police flow mask dest-only 64000 2000 conform-action transmit exceed-action drop

а зачем per flow police? "качай хоть в сотню сессий, но не более 64K каждая"? прикладного применения не вижу.

 

заменить на обычный полисер типа:

   police cir 2048000 bc 128000 pir 2048000 be 128000 conform-action transmit exceed-action drop violate-action drop

 

 

QoS-ERROR: QoS policy on interface Gi5/1 cannot be successfully installed due to the interaction with other feature configuration

 

Failure reason is Unresolvable flowmask conflict with other features

 

QoS-ERROR: installation of policy on Gi5/1 failed

 

1d11h: %FM-2-FLOWMASK_CONFLICT: Features configured on interface GigabitEthernet5/1 have conflicting flowmask requirements, traffic may be switched in software

 

Понятно что в PFC какая-то функция конфликтует с маской dest-only.

Вопрос в том какая?

NAT выключен, NDE тоже.

Если уж нужно именно так, то netflow нужно переключить в соответсвующий flowmask:

(config)#mls flow ip destination

 

ЗЫ. место для вопросов явно не подходящее. смотреть нужно в сторону fido7.ru.cisco а лучше - cisco-nsp.

KRoM

KRoM

Posted
  • Author
Posted

>а зачем per flow police? "качай хоть в сотню сессий, но не более 64K каждая"? прикладного применения не вижу

насколько я понял "flow mask dest-only" как раз устанавливает маску по IP а не по сессиям, и нарезка трафика должна происходить по IP

вот если вообще убать mask dest-only - то тогда отлично шейпится по сессиям, и, конечно, это не устраивает. А при применении политики с "flow mask dest-only" вываливается ошибка

 

>Если уж нужно именно так, то netflow нужно переключить в соответсвующий flowmask:

именно так и стоит

в т.ч. пробовал ставить full - с тем же результатом

 

на fido7.ru.cisco уже написал

cisco-nsp сейчас напишу, спасибо

tav

tav

Posted
Posted
>а зачем per flow police? "качай хоть в сотню сессий, но не более 64K каждая"? прикладного применения не вижу

насколько я понял "flow mask dest-only" как раз устанавливает маску по IP а не по сессиям, и нарезка трафика должна происходить по IP

вот если вообще убать mask dest-only - то тогда отлично шейпится по сессиям, и, конечно, это не устраивает. А при применении политики с "flow mask dest-only" вываливается ошибка

в любом случае такая конфигурация будет работать в одну сторону. попытка создать аналогичный полисер для отдачи приведет к необходимости переключения netflow в source. вобщем - неправильным путем идете. создайте каждому юзеру пару полисеров: один на in, второй на out и заворачивайте в них трафик соответствующими ACL: permit ip host A any и permit ip any host A.

минус - неоправданно большое количество полисеров. смотреть сколько осталось: "show platform hardware capacity qos"

 

кстати, если эти юзеры превысят размер таблицы netflow все это добро влетит в RP для process switching. небольшой DDoS и хана вашему тазику.

KRoM

KRoM

Posted
  • Author
Posted

>в любом случае такая конфигурация будет работать в одну сторону

никто не мешает привязать полисер на порт смотрящий на клиента

 

>минус - неоправданно большое количество полисеров.

вот из-за этого все и началось, искал решение как их уменьшить...

 

>небольшой DDoS и хана вашему тазику

да уж... если все это вылетает в RP, само собой ничего шейпится не будет :((

 

>вобщем - неправильным путем идете

согласен. будем искать другое решение

 

спасибо за ответы, очень помог :)

Nailer

Nailer

Posted
Posted
Добрый день!

 

Кто-нибудь делал сабж?

От чтения док, мануалов, форумов и т.д. уже глаза вылазят :(

 

Дано:

Cisco 6500 в нейтив режиме. Супервизор Sup 32 PFC3. MSFC2.

Пытался настроить как описано в http://www.cisco.com/en/US/products/hw/swi...d803e5017.shtml

IOS: s3223_rp-ADVENTERPRISEK9_WAN-VM, Version 12.2(18)SXF5

 

Router#sh access-lists noc

Extended IP access list noc

10 permit ip 91.103.120.128 0.0.0.15 any (83021 matches)

20 permit ip any 91.103.120.128 0.0.0.15 (1280 matches)

 

Router#sh class-map noc-shaper

Class Map match-all noc-shaper (id 1)

Match access-group name noc

 

Router#sh policy-map noc-shaper

Policy Map noc-shaper

Class noc-shaper

police flow mask dest-only 64000 2000 conform-action transmit exceed-action drop

 

При попытке применить политику к порту получаю следующее:

 

Router(config-if)#service-policy in noc-shaper

Router(config-if)#

QoS-ERROR: QoS policy on interface Gi5/1 cannot be successfully installed due to the interaction with other feature configuration

 

Failure reason is Unresolvable flowmask conflict with other features

 

QoS-ERROR: installation of policy on Gi5/1 failed

 

1d11h: %FM-2-FLOWMASK_CONFLICT: Features configured on interface GigabitEthernet5/1 have conflicting flowmask requirements, traffic may be switched in software

 

Понятно что в PFC какая-то функция конфликтует с маской dest-only.

Вопрос в том какая?

NAT выключен, NDE тоже.

Боюсь, что я вас рассторю, но судя по дата-шитам, эта фича есть только на Sup720.

tav

tav

Posted
Posted
>минус - неоправданно большое количество полисеров.

вот из-за этого все и началось, искал решение как их уменьшить...

если это все хозяйство строится для полисинга клиентов, то это совсем не сюда. для таких целей у cisco есть SCE и обвязка. достойная, кстати, штука - тестировал. но дорогущая...

Nailer

Nailer

Posted
Posted

Вы имеете в виду вот это?

 

User-based rate limiting enforces any of 64 policy rates, maintaining service-level agreements on a per-user basis independent of traffic type or IP address

Теоретически - по идее, эта фича должна исполняться на карте PFC, которая у 720-го и 32-го супов одинаковые (PFC3B в обоих случаях). Практически - видел дата-шит, в котором строго говорилось, что sup720 only :-(

 

Добрый день!

 

Кто-нибудь делал сабж?

От чтения док, мануалов, форумов и т.д. уже глаза вылазят :(

 

Дано:

Cisco 6500 в нейтив режиме. Супервизор Sup 32 PFC3. MSFC2.

Пытался настроить как описано в http://www.cisco.com/en/US/products/hw/swi...d803e5017.shtml

IOS: s3223_rp-ADVENTERPRISEK9_WAN-VM, Version 12.2(18)SXF5

 

Router#sh access-lists noc

Extended IP access list noc

10 permit ip 91.103.120.128 0.0.0.15 any (83021 matches)

20 permit ip any 91.103.120.128 0.0.0.15 (1280 matches)

 

Router#sh class-map noc-shaper

Class Map match-all noc-shaper (id 1)

Match access-group name noc

 

Router#sh policy-map noc-shaper

Policy Map noc-shaper

Class noc-shaper

police flow mask dest-only 64000 2000 conform-action transmit exceed-action drop

 

При попытке применить политику к порту получаю следующее:

 

Router(config-if)#service-policy in noc-shaper

Router(config-if)#

QoS-ERROR: QoS policy on interface Gi5/1 cannot be successfully installed due to the interaction with other feature configuration

 

Failure reason is Unresolvable flowmask conflict with other features

 

QoS-ERROR: installation of policy on Gi5/1 failed

 

1d11h: %FM-2-FLOWMASK_CONFLICT: Features configured on interface GigabitEthernet5/1 have conflicting flowmask requirements, traffic may be switched in software

 

Понятно что в PFC какая-то функция конфликтует с маской dest-only.

Вопрос в том какая?

NAT выключен, NDE тоже.

 

Конфиг покажите целиком.

А также sh module

KRoM

KRoM

Posted
  • Author
Posted (edited)

>Конфиг покажите целиком.

 

там смотреть особо не на что :)

железка только-что перепрошита

 

 

!

upgrade fpd auto

version 12.2

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

service counters max age 5

!

hostname Router

!

boot system flash sup-bootdisk:s3223-adventerprisek9_wan-vz.122-18.SXF5.bin

enable password XXXXXXXXXXXXXXX

!

no aaa new-model

ip subnet-zero

!

!

!

ipv6 mfib hardware-switching replication-mode ingress

mls qos marking ignore port-trust

mls qos

mls flow ip source

no mls flow ipv6

mls acl tcam share-global

mls ip multicast flow-stat-timer 9

mls cef error action freeze

!

!

!

!

no crypto ipsec nat-transparency udp-encaps

!

!

!

!

!

diagnostic cns publish cisco.cns.device.diag_results

diagnostic cns subscribe cisco.cns.device.diag_commands

environment temperature-controlled

!

redundancy

mode sso

main-cpu

auto-sync running-config

system flowcontrol bus auto

spanning-tree mode pvst

!

vlan internal allocation policy ascending

vlan access-log ratelimit 2000

!

class-map match-all noc-shaper

match access-group name noc

!

!

policy-map noc-shaper

class noc-shaper

police flow mask dest-only 64000 2000 conform-action transmit exceed-action drop

!

!

!

interface Loopback1

no ip address

!

interface GigabitEthernet1/1

no ip address

!

interface GigabitEthernet1/2

no ip address

shutdown

!

interface GigabitEthernet1/3

no ip address

shutdown

!

interface GigabitEthernet1/4

no ip address

shutdown

!

interface GigabitEthernet1/5

no ip address

shutdown

!

interface GigabitEthernet1/6

no ip address

shutdown

!

interface GigabitEthernet1/7

no ip address

shutdown

!

interface GigabitEthernet1/8

no ip address

shutdown

!

interface GigabitEthernet1/9

no ip address

shutdown

!

interface GigabitEthernet1/10

no ip address

shutdown

!

interface GigabitEthernet1/11

no ip address

shutdown

!

interface GigabitEthernet1/12

no ip address

shutdown

!

interface GigabitEthernet1/13

no ip address

shutdown

!

interface GigabitEthernet1/14

no ip address

shutdown

!

interface GigabitEthernet1/15

no ip address

shutdown

!

interface GigabitEthernet1/16

no ip address

shutdown

!

interface GigabitEthernet2/1

no ip address

!

interface FastEthernet2/2

no ip address

!

interface FastEthernet2/3

no ip address

!

interface FastEthernet2/4

no ip address

!

interface FastEthernet2/5

no ip address

!

interface GigabitEthernet5/1

ip address XXXXXXXXXXXXXXX 255.255.255.252

service-policy input noc-shaper

!

interface GigabitEthernet5/2

switchport

switchport access vlan 3

switchport mode access

no ip address

mls qos vlan-based

!

interface GigabitEthernet5/3

switchport

switchport access vlan 3

switchport mode access

no ip address

!

interface GigabitEthernet5/4

switchport

switchport access vlan 3

switchport mode access

no ip address

!

interface GigabitEthernet5/5

no ip address

shutdown

!

interface GigabitEthernet5/6

no ip address

shutdown

!

interface GigabitEthernet5/7

no ip address

shutdown

!

interface GigabitEthernet5/8

switchport

switchport trunk encapsulation dot1q

switchport mode trunk

no ip address

!

interface GigabitEthernet5/9

no ip address

!

interface Vlan1

description CORE-DEVICES

ip address XXXXXXXXXXXXXXXX 255.255.255.128

no ip route-cache cef

ip route-cache flow

!

interface Vlan2

description NOC

ip address XXXXXXXXXXXXXXXXX 255.255.255.240

no ip redirects

ip route-cache flow

!

interface Vlan3

ip address XXXXXXXXXXXXXX 255.255.255.192 secondary

ip address XXXXXXXXXXXXXX 255.255.255.240

no ip redirects

ip route-cache flow

!

interface Vlan4

ip address XXXXXXXXXX 255.255.192.0

!

interface Vlan12

ip address XXXXXXXXXXXXXXX 255.255.255.0

no ip redirects

!

interface Vlan101

ip address XXXXXXXXXXXXX 255.255.224.0

!

ip classless

ip route 0.0.0.0 0.0.0.0 XXXXXXXXXXXXXXXXXXXX

!

no ip http server

!

!

ip access-list extended noc

permit ip XXXXXXXX 0.0.0.15 any

permit ip any XXXXXXXXXX 0.0.0.15

ip access-list extended nov

!

!

!

control-plane

!

!

!

dial-peer cor custom

!

!

!

!

line con 0

line vty 0 4

login

!

exception core-file

no cns aaa enable

end

 

>А также sh module

 

Router#sh module

Mod Ports Card Type Model Serial No.

--- ----- -------------------------------------- ------------------ -----------

1 16 SFM-capable 16 port 1000mb GBIC WS-X6516A-GBIC SAL1021NTVT

2 5 Communication Media Module WS-SVC-CMM SAD1005057L

5 9 Supervisor Engine 32 8GE (Active) WS-SUP32-GE-3B SAD102700NH

 

Mod MAC addresses Hw Fw Sw Status

--- ---------------------------------- ------ ------------ ------------ -------

1 0017.e025.c630 to 0017.e025.c63f 4.2 7.2(1) 8.5(0.46)RFW Ok

2 0016.c738.2d22 to 0016.c738.2d2b 2.8 12.4(9)T1, 12.4(9)T1, Ok

5 0017.948c.e478 to 0017.948c.e483 4.4 12.2(18r)SX2 12.2(18)SXF7 Ok

 

Mod Sub-Module Model Serial Hw Status

---- --------------------------- ------------------ ----------- ------- -------

5 Policy Feature Card 3 WS-F6K-PFC3B SAD102705CG 2.3 Ok

5 Cat6k MSFC 2A daughterboard WS-F6K-MSFC2A SAD102606DP 3.1 Ok

 

Mod Online Diag Status

---- -------------------

1 Pass

2 Pass

5 Pass

Edited by KRoM
  • 1 month later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.