[chert]

Шейпится там половина примерно...

О да, расскажите нам, бородатый татуин, какая платформа показывает такой результат?

[В Густелёв]

У нас сделано ограничение скорости на Cisco SCE между центральным коммутатором и НАТами. Хотя правильным видится использование на агрегации умных девайсов по типу PacketFront, чтобы интернет-полосу вычленять сразу на агрегации и шейпить в соответствие с клиентскими ограничениями. Тогда и сеть чище, и проблемы локализуются в сегменте. Но к таким железкам, есс-но, нужна система центрального управления.

Ну, я согласен, если режем прямо на абонентском порте - сеть грязнее.

Но у меня скорости доступа - по 128к, поэтому мне это некритично сейчас.

 

Что значит "проблемы локализуются в сегменте"?

[cmhungry]

У нас сделано ограничение скорости на Cisco SCE между центральным коммутатором и НАТами. Хотя правильным видится использование на агрегации умных девайсов по типу PacketFront, чтобы интернет-полосу вычленять сразу на агрегации и шейпить в соответствие с клиентскими ограничениями. Тогда и сеть чище, и проблемы локализуются в сегменте. Но к таким железкам, есс-но, нужна система центрального управления.

Ну, я согласен, если режем прямо на абонентском порте - сеть грязнее.

Но у меня скорости доступа - по 128к, поэтому мне это некритично сейчас.

 

Что значит "проблемы локализуются в сегменте"?

10 хомячков в сегменте подхватили триппер - так вот магистралью они не закусят в таком случае, на исходящий.

[Nafanya]

У нас сделано ограничение скорости на Cisco SCE между центральным коммутатором и НАТами. Хотя правильным видится использование на агрегации умных девайсов по типу PacketFront, чтобы интернет-полосу вычленять сразу на агрегации и шейпить в соответствие с клиентскими ограничениями. Тогда и сеть чище, и проблемы локализуются в сегменте. Но к таким железкам, есс-но, нужна система центрального управления.

Ну, я согласен, если режем прямо на абонентском порте - сеть грязнее.

Но у меня скорости доступа - по 128к, поэтому мне это некритично сейчас.

 

Что значит "проблемы локализуются в сегменте"?

10 хомячков в сегменте подхватили триппер - так вот магистралью они не закусят в таком случае, на исходящий.

чет как-то плохо с магистралью получается, если 10 хомячков её ложат :)

да и мониторинг никто не отменял, соотвествующие меры принимать нужно. А шейпить нормально получится имхо, когда в агрегации будет стоять тупая молотилка L2, а на доступе L3 :)

Изменено 2 июня, 2008 пользователем Nafanya

[RussianE39]

В качестве офф-топика - фото шейпера на FreeBSD:

1,6 гигабит\с? я не ошибся? а что за железо, мать, проц, сетевушки? сколько сетевушек?

 

а ещё чем именно шейпите? altq? dummy?

 

заранее спасибо за ответ на вопросы

Ну то, что привел jab однозначно указывает на использование ALTQ, кроме того, эти цифры ни о чем не говорят... Я вот тоже могу показать:

# netstat 1

input (Total) output

packets errs bytes packets errs bytes colls

120143 0 52407627 119917 0 63994232 0

122961 0 54785499 121533 0 65863010 0

123741 0 54480967 126876 0 67350097 0

124904 0 57127622 126194 0 69776723 0

124733 0 54483844 130412 0 67325305 0

127989 0 55407220 130475 0 66750720 0

 

CPU0 states: 0.0% user, 0.0% nice, 17.1% system, 19.5% interrupt, 63.4% idle

CPU1 states: 0.0% user, 0.0% nice, 5.3% system, 0.0% interrupt, 94.7% idle

CPU2 states: 0.0% user, 0.0% nice, 3.3% system, 0.0% interrupt, 96.7% idle

CPU3 states: 0.0% user, 0.0% nice, 8.5% system, 0.0% interrupt, 91.5% idle

Mem: 72M Active, 670M Inact, 205M Wired, 45M Cache, 112M Buf, 9028K Free

 

 

[В Густелёв]

чет как-то плохо с магистралью получается, если 10 хомячков её ложат :)

да и мониторинг никто не отменял, соотвествующие меры принимать нужно. А шейпить нормально получится имхо, когда в агрегации будет стоять тупая молотилка L2, а на доступе L3 :)

Вообще, зачем в агрегации Л2?

Изменено 3 июня, 2008 пользователем В Густелёв

[UglyAdmin]

Если на доступе L3, то на агрегации должна быть тупая молотилка L3, иначе нет смысла - трафик вместо разворачивания по назначению попрётся в ядро...

[jab]

Ну то, что привел jab однозначно указывает на использование ALTQ, кроме того, эти цифры ни о чем не говорят... Я вот тоже могу показать:

dummynet, pf altq у меня в другом месте.

[В Густелёв]

Если на доступе L3, то на агрегации должна быть тупая молотилка L3, иначе нет смысла - трафик вместо разворачивания по назначению попрётся в ядро...

вообще странно ставить на агрегацию железо уровня меньше, чем на доступе

[UglyAdmin]

Почему, нормально.

Если на доступе L3-7, и все услуги предоставляются доступом, то на агрегации и в ядре хватит тупейшего L3, вся задача которого - разрулить "отмытые" данные, ни считать, ни нарезать, ни фильтровать там уже не надо, надо только передать данные в соответствии с QoS...

Другое дело, что L3 на доступ никак не может быть использовано при работе с физиками и с мелкими юриками - никаких IP-адресов не напасёшся. Можно сказать, что L3 на доступе используют магистралы, у которых в клиентах только крупные юрики (не обязательно операторы).

[В Густелёв]

Друзья, итак, я пробую ограничивать скорость клиента на L3 свичах (не на порту клиента, увы, наше железо этого не может).

 

L3 свичи агрегируют трафик района и скидывают их в УТМС.

 

Настроил ограничение скорости в 128кбит\с, maxburstsize = 10KB. Интернет канал свободен, 3 мегабита. На тестовой машине скорость метается от 7КБс до 16 КБс. Нормально ли это? Если я соберу шейпер на freebsd, смогу ли я выдавать народу более стабильные 16КБс при свободном канале?

[Allied]

Советов много как и сетей. В Густелёв какие все-таки будут применяться политики? Будут ограничения на внутрение ресурсы или нет?

[В Густелёв]

Советов много как и сетей. В Густелёв какие все-таки будут применяться политики? Будут ограничения на внутрение ресурсы или нет?

пока мы только познаём все прелести функционала QoS. Сейчас я собрал стенд и хочу на нём рассмотреть следующую услугу: внутренние ресурсы - на максимальной скорости, входящий интернет - 128к, исходящий - 32к. У меня это получилось и работает, те цели которые я ставил - я достиг: возможно ограничение скорости не на Циске в ядре сети, а на магистральных L3. Теперь я размышляю о том, можно ли сделать услугу доступа в интернет качественней, выбираю для себя "параметры качества".

 

Первое что мне бросилось в глаза - это нестабильность скорости. Очевидно, причин тут может быть тысяча, необязательно виновата AT-8948. Я попробую сегодня более детально разобраться в этом.

[Negator1983]

даже длинки 3526 теперь позволяют резать скорость по направлениям, но думаю пока н икто не тестил.

[shaytan]

даже длинки 3526 теперь позволяют резать скорость по направлениям, но думаю пока н икто не тестил.

Покажи плиз ссылку на описание данной фичи.

[Allied]

пока мы только познаём все прелести функционала QoS. Сейчас я собрал стенд и хочу на нём рассмотреть следующую услугу: внутренние ресурсы - на максимальной скорости, входящий интернет - 128к, исходящий - 32к. У меня это получилось и работает, те цели которые я ставил - я достиг: возможно ограничение скорости не на Циске в ядре сети, а на магистральных L3. Теперь я размышляю о том, можно ли сделать услугу доступа в интернет качественней, выбираю для себя "параметры качества".

 

Первое что мне бросилось в глаза - это нестабильность скорости. Очевидно, причин тут может быть тысяча, необязательно виновата AT-8948. Я попробую сегодня более детально разобраться в этом.

У меня тоже коммутаторы AT-8948 стоят на магистралях. Режу отдельно сетевые ресурсы, отдельно инет. Со скоростями есть приколы, но об этом можем в личке. В ядре могу отфильтровать мусор и т.п. На доступе при таких условия ( ограничивать по потоку) конечно ни чего не ограничиваю, но применяю виланы.

[Negator1983]

даже длинки 3526 теперь позволяют резать скорость по направлениям, но думаю пока н икто не тестил.

Покажи плиз ссылку на описание данной фичи.

Обратись к длинку. Описания пока сам не получал, релиз прошивки не вышел, с ним будет и описание, но саму бету прошивки видел. К сожалению не тестил. Обратись в длинк к Демину Ивану, там помогут и наверняка вышлют описание.

[snark]

приведите, пожалуйста пример того, как Вы рехали скорость на циске 7204?

Интересует именно: локалка - без ограничений (или какие-то другие ограничения), а инет урезаем до 512 например....

для 128k например так:

class-map match-all 101
match access-group 101
!
policy-map OUTPUT_128k
class 101
class class-default
  police cir 128000 bc 24000 be 48000
    conform-action transmit
    exceed-action drop
    violate-action drop
!
access-list 101 remark traffic from LAN
access-list 101 permit ip xxx.yyy.zzz.0 0.0.0.255 any
access-list 101 deny   ip any any

 

даже длинки 3526 теперь позволяют резать скорость по направлениям, но думаю пока н икто не тестил.

могут, но т.к. ACL-ей там впритык и реализуется фича софтово, а не аппаратно как на DGS-3100/36xx, то особо задумываться над этим не стоит, хотя фича конечно и приятная ...

[В Густелёв]

приведите, пожалуйста пример того, как Вы рехали скорость на циске 7204?

Интересует именно: локалка - без ограничений (или какие-то другие ограничения), а инет урезаем до 512 например....

для 128k например так:

class-map match-all 101
match access-group 101
!
policy-map OUTPUT_128k
class 101
class class-default
  police cir 128000 bc 24000 be 48000
    conform-action transmit
    exceed-action drop
    violate-action drop
!
access-list 101 remark traffic from LAN
access-list 101 permit ip xxx.yyy.zzz.0 0.0.0.255 any
access-list 101 deny   ip any any

увы, решение это очень плохое.

Придётся делать один клас-мап на одного абонента, при этом мной замечено странное поведение циски в том случае, если полис-мапы редактируются без выключения шейпинга на интерфейсах (т.е полисмапы редактируются во время использования). Всё это, к сожалению, верно для ветки 12.4-15Т и начинает проявляться на 150-200 абонентах. Проявляются цискины капризы в виде крэшей. А перезагружается эта дурочка минуты 4-5. Поэтому нам пришлось отказаться от шейпинга на ядре.

[UglyAdmin]

Решение хорошее, когда вилан на пользователя, или PPPoE.

При этом интерфейсы индивидуальные, а класс-мапы групповые (сиреч тарифы), и ACL тоже групповые.

Вот когда интерфейсы групповые, а класс-мапы индивидуальные, то жопа. Но это просто неверный дизайн, фичами не лечится...

[В Густелёв]

Решение хорошее, когда вилан на пользователя, или PPPoE.

При этом интерфейсы индивидуальные, а класс-мапы групповые (сиреч тарифы), и ACL тоже групповые.

Вот когда интерфейсы групповые, а класс-мапы индивидуальные, то жопа. Но это просто неверный дизайн, фичами не лечится...

о, любопытное замечание про виланы, я подумаю.

[kuru]

Catalyst 3750 ;-)

Nailer, что ты имеешь ввиду ? Policing/SRR ?

 

 

[snark]

Придётся делать один клас-мап на одного абонента

а зачем?

изначально вопрос был поставлен так:

локалка - без ограничений (или какие-то другие ограничения), а инет урезаем до 512 например....

человек просил показать - я показал ... работает именно так как и было запрошено - трафик локалки попадает в class-map match-all 101 и не обрезается, а весь трафик от юзера попадает в class class-default где и происходит кастрация ...

 

Решение хорошее, когда вилан на пользователя, или PPPoE.

у меня именно РРРоЕ :)

[В Густелёв]

Придётся делать один клас-мап на одного абонента

а зачем?

изначально вопрос был поставлен так:

локалка - без ограничений (или какие-то другие ограничения), а инет урезаем до 512 например....

человек просил показать - я показал ... работает именно так как и было запрошено - трафик локалки попадает в class-map match-all 101 и не обрезается, а весь трафик от юзера попадает в class class-default где и происходит кастрация ...

 

Решение хорошее, когда вилан на пользователя, или PPPoE.

у меня именно РРРоЕ :)

а у меня именно не PPPoE и не влан

[cmhungry]

приведите, пожалуйста пример того, как Вы рехали скорость на циске 7204?

Интересует именно: локалка - без ограничений (или какие-то другие ограничения), а инет урезаем до 512 например....

для 128k например так:

class-map match-all 101
match access-group 101
!
policy-map OUTPUT_128k
class 101
class class-default
  police cir 128000 bc 24000 be 48000
    conform-action transmit
    exceed-action drop
    violate-action drop
!
access-list 101 remark traffic from LAN
access-list 101 permit ip xxx.yyy.zzz.0 0.0.0.255 any
access-list 101 deny   ip any any

увы, решение это очень плохое.

Придётся делать один клас-мап на одного абонента, при этом мной замечено странное поведение циски в том случае, если полис-мапы редактируются без выключения шейпинга на интерфейсах (т.е полисмапы редактируются во время использования). Всё это, к сожалению, верно для ветки 12.4-15Т и начинает проявляться на 150-200 абонентах. Проявляются цискины капризы в виде крэшей. А перезагружается эта дурочка минуты 4-5. Поэтому нам пришлось отказаться от шейпинга на ядре.

На 7600/6500 с суп32 и выше можно использовать UBRL