edgars Posted September 29, 2008 Posted September 29, 2008 Zdraste! Jestj li varianty kak postavitj rate-limit na VLAN a ne na vesj port? Вставить ник Quote
troyand Posted September 29, 2008 Posted September 29, 2008 Zdraste!Jestj li varianty kak postavitj rate-limit na VLAN a ne na vesj port? Пробуйте class-map VLAN_N match vlan 123 policy-map LIMIT class VLAN_N shape average ... (rate-limit ...) Правда не факт, что заведется. Вставить ник Quote
edgars Posted September 29, 2008 Author Posted September 29, 2008 Vot po moemu eto kak raz i ne rabotalo, no poprobuju zavtro shtoto protestirovatj Вставить ник Quote
edgars Posted September 29, 2008 Author Posted September 29, 2008 class-map VLAN_N match vlan 123 - Vot tut ja i ostanovilsja netu opcii VLAN :( Вставить ник Quote
troyand Posted September 29, 2008 Posted September 29, 2008 (edited) Vot po moemu eto kak raz i ne rabotalo, no poprobuju zavtro shtoto protestirovatjЕсли такой опции вообще нет, но позарез нужно и есть время/деньги/желание поупражнятся с костылями найдите IOS посвежее с приставкой Т [а-ля 12.4(11)T].Покажите show version на машинке. Edited September 29, 2008 by troyand Вставить ник Quote
edgars Posted September 29, 2008 Author Posted September 29, 2008 Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICESK9-M), Version 12.2(44)SE2, RELEASE SOFTWARE (fc2) Вставить ник Quote
troyand Posted September 29, 2008 Posted September 29, 2008 (edited) Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICESK9-M), Version 12.2(44)SE2, RELEASE SOFTWARE (fc2)То, что тут этого нет, вполне природно. Но так или иначе версия 12.2 - явно не самая свежая. Тут хотя бы 12.4(3). А match vlan - относительно новая фишка, которая раньше была исключительной привилегией девайсов класса 12000, а сейчас начала заползать в Technology Train IOSы на маршрутизаторах, а на L3 свичи по слухам даже в mainline, хотя лично в этом удостоверится у меня возможности не было.Ставить ли Technology Train в жесткий продакшн - это, наверно, вопрос из разряда философских, и у каждого по этому счету будет свое мнение, ае проблемы в основном могут вылазить так: прикрутили что-то одно - отвалилось другое с противоположной стороны. Edited September 29, 2008 by troyand Вставить ник Quote
edgars Posted September 29, 2008 Author Posted September 29, 2008 c3560-advipservicesk9-mz.122-46.SE.bin Release Date: 27/Aug/2008 samoje posledneje shto imejetsa na cisco :) a 12.4 na routere stoit :) Вставить ник Quote
edgars Posted September 29, 2008 Author Posted September 29, 2008 Paproboval variant takoi... class-map match-all vlan_4004 match input-interface vlan 4004 policy-map vlan_4004 class vlan_4004 police 1000000 10000 exceed-action drop interface gi0/10 service-policy input vlan-policy %QoS: policy-map vlan_4004 with MATCH INPUT-INTERFACE not allowed on non-SVI interface Service Policy attachment failed ne hochet cepljatsa k interfeisu :( Вставить ник Quote
troyand Posted September 29, 2008 Posted September 29, 2008 (edited) c3560-advipservicesk9-mz.122-46.SE.binRelease Date: 27/Aug/2008 samoje posledneje shto imejetsa na cisco :) a 12.4 na routere stoit :) Сорри, я привык работать именно с роутерами, у меня была загвоздка в том, чтобы заставить такое работать на 2821/3825.match input-interface vlan 4004Это явно немного не то. По идее оно будет ограничивать тот трафик, который маршрутизируется через интерфейс vlan 4004, и не будет относится ни к чему, если работаем только на 2 уровне на этом девайсе. Edited September 29, 2008 by troyand Вставить ник Quote
edgars Posted September 29, 2008 Author Posted September 29, 2008 service-policy input vlan-policyА на output прицепится?Poka ne proboval. Poidu ka ludshe spatj a to ponedeljnik denj trudnij :) Вставить ник Quote
ugluck Posted September 29, 2008 Posted September 29, 2008 match vlan на каталистах не работает. как ни крути, приходится как-то еще закрашивать, толи по акцесс-листу, то ли дот1п, то ли по дсцп. а полися ваша и не прицепится на физику, тока на интерфейс влан, оно же пишет: ...MATCH INPUT-INTERFACE not allowed on non-SVI... Вставить ник Quote
troyand Posted September 29, 2008 Posted September 29, 2008 а полися ваша и не прицепится на физику, тока на интерфейс влан Да, на обычный L2-порт не приклеится точно. А про match vlan на каталистах, то на 3750 оно вроде должно быть даже официально (судя по доке), но этот дивайс немного иной. Вставить ник Quote
edgars Posted September 30, 2008 Author Posted September 30, 2008 match vlan на каталистах не работает. как ни крути, приходится как-то еще закрашивать, толи по акцесс-листу, то ли дот1п, то ли по дсцп. а полися ваша и не прицепится на физику, тока на интерфейс влан, оно же пишет:...MATCH INPUT-INTERFACE not allowed on non-SVI... A mozhno po podrobnei? Вставить ник Quote
troyand Posted September 30, 2008 Posted September 30, 2008 match vlan на каталистах не работает. как ни крути, приходится как-то еще закрашивать, толи по акцесс-листу, то ли дот1п, то ли по дсцп. а полися ваша и не прицепится на физику, тока на интерфейс влан, оно же пишет:...MATCH INPUT-INTERFACE not allowed on non-SVI... A mozhno po podrobnei? Всмысле надо не interface fastethernet 0/1 service-policy output MY_POLICY а interface vlan 4004 service-policy output MY_POLICY тоесть это можно цеплять на L3-интерфейс (vlan или routed (или как правильно в этой терминологии) порт), а просто на L2 свитчпорт скорее всего не получися. Вставить ник Quote
edgars Posted September 30, 2008 Author Posted September 30, 2008 nu nu na vlan interfeise u menja nikto i nishto ne terminirujetsa sutj takaja, shto daju L2 kanal dlja drugih provaiderov nu i i hochetsa im ogranichetj skorosti kak po dogovoru polagajetsa Вставить ник Quote
troyand Posted September 30, 2008 Posted September 30, 2008 nu nu na vlan interfeise u menja nikto i nishto ne terminirujetsasutj takaja, shto daju L2 kanal dlja drugih provaiderov nu i i hochetsa im ogranichetj skorosti kak po dogovoru polagajetsa Это ясно, есть желание рубить лишний трафик как только он приходит на вашу територию еще на L2. Но похоже, что это слишком непростая задача, возможно, даже 3560 не был расчитан на такую модель использования. Вставить ник Quote
Valaskor Posted September 30, 2008 Posted September 30, 2008 C3560-ADVIPSERVICESK9-M, Version 12.2(40)SE - на нем пробовал заводить рейт-лимит на входящем порту для определенных ип-адресов. Работало. Вставить ник Quote
edgars Posted September 30, 2008 Author Posted September 30, 2008 nu nu na vlan interfeise u menja nikto i nishto ne terminirujetsasutj takaja, shto daju L2 kanal dlja drugih provaiderov nu i i hochetsa im ogranichetj skorosti kak po dogovoru polagajetsa Это ясно, есть желание рубить лишний трафик как только он приходит на вашу територию еще на L2. Но похоже, что это слишком непростая задача, возможно, даже 3560 не был расчитан на такую модель использования. A shto podhodit? 6xxx seriju ne predlagatj :) C3560-ADVIPSERVICESK9-M, Version 12.2(40)SE - на нем пробовал заводить рейт-лимит на входящем порту для определенных ип-адресов. Работало.nu IP eto L3 uzhe Вставить ник Quote
troyand Posted September 30, 2008 Posted September 30, 2008 (edited) A shto podhodit? 6xxx seriju ne predlagatj :) Я боюсь, даже 6500 тоже не поможет (на 2 уровне). Это все-таки просто свитч, и возможности у него отнюдь не безграничны. Вопрос тут задан весьма принципиальный, и, возможно, у него нет вообще ответа, если только кто-то не представит живой пример того, где это работало именно так, как требаовалось, а таких пока нету. Edited September 30, 2008 by troyand Вставить ник Quote
edgars Posted October 1, 2008 Author Posted October 1, 2008 jestj povod grustitj :( Вставить ник Quote
ugluck Posted October 1, 2008 Posted October 1, 2008 в отличие от каталистов, Edge-core es3528m вполне адекватно отрабатывает match vlan. да и полисит нормально. мы делали exceed-action policed-dscp-transmit, чтоб не резать начисто, а просто посылать с низшим приоритетом все, что сверх нормы. отрабатывает четко. резать тоже может. Вставить ник Quote
lf Posted October 1, 2008 Posted October 1, 2008 A shto podhodit? 6xxx seriju ne predlagatj :) не пробовал, как оно шейпит, но "match vlan" есть еще в МЕ3400. Вставить ник Quote
ingress Posted November 1, 2008 Posted November 1, 2008 (edited) собственно делается так: Свич Cat3560G Софт c3560-ipservicesk9-mz.122-25.SEE4 g0/1, g0/2 - транк порты ! interface GigabitEthernet0/1 description Trunk1 switchport trunk encapsulation dot1q switchport trunk allowed vlan ....,100,..... switchport mode trunk load-interval 30 mls qos vlan-based ! ! interface GigabitEthernet0/2 description Trunk2 switchport trunk encapsulation dot1q switchport trunk allowed vlan ....,100,..... switchport mode trunk load-interval 30 mls qos vlan-based ! Аксеслист для ип трафа: access-list 102 permit ip any any для не-ип трафа нужно добавить классмап по mac аксеслисту Класс-мапы: class-map match-all PORT12 match input-interface GigabitEthernet0/1 GigabitEthernet0/2 class-map match-all VPNTraffic match access-group 102 Полиси-мапы: policy-map PORT_R12 class PORT12 police 2048000 120000 exceed-action drop policy-map TPolicy class VPNTraffic set precedence 0 service-policy PORT_R12 А дальше: даже если влан транзитный, создаём SVI и пишем там жирную полисю int vlan100 service-policy in TPolicy Результат: транзитный влан между двумя портами заполисен 2М синхронно. Проверяем иперфом в обе стороны: iperf -s ------------------------------------------------------------ Server listening on TCP port 5001 TCP window size: 85.3 KByte (default) ------------------------------------------------------------ [ 4] local 192.168.2.2 port 5001 connected with 192.168.2.1 port 62299 [ 4] 0.0-10.3 sec 2.48 MBytes 2.02 Mbits/sec Edited November 1, 2008 by ingress Вставить ник Quote
Konstantin Klimchev Posted November 1, 2008 Posted November 1, 2008 собственно делается так: Свич Cat3560G Софт c3560-ipservicesk9-mz.122-25.SEE4 а на c3560-ipbase это будет работать? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.