[edgars]

Zdraste!

Jestj li varianty kak postavitj rate-limit na VLAN a ne na vesj port?

[troyand]

Zdraste!

Jestj li varianty kak postavitj rate-limit na VLAN a ne na vesj port?

Пробуйте

class-map VLAN_N
  match vlan 123
policy-map LIMIT
  class VLAN_N
    shape average ... (rate-limit ...)

Правда не факт, что заведется.

[edgars]

Vot po moemu eto kak raz i ne rabotalo, no poprobuju zavtro shtoto protestirovatj

[edgars]

class-map VLAN_N
  match vlan 123  - Vot tut ja i ostanovilsja netu opcii VLAN :(

[troyand]

Vot po moemu eto kak raz i ne rabotalo, no poprobuju zavtro shtoto protestirovatj

Если такой опции вообще нет, но позарез нужно и есть время/деньги/желание поупражнятся с костылями найдите IOS посвежее с приставкой Т [а-ля 12.4(11)T].

Покажите show version на машинке.

Изменено 29 сентября, 2008 пользователем troyand

[edgars]

Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICESK9-M), Version 12.2(44)SE2, RELEASE SOFTWARE (fc2)

[troyand]

Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICESK9-M), Version 12.2(44)SE2, RELEASE SOFTWARE (fc2)

То, что тут этого нет, вполне природно. Но так или иначе версия 12.2 - явно не самая свежая. Тут хотя бы 12.4(3). А match vlan - относительно новая фишка, которая раньше была исключительной привилегией девайсов класса 12000, а сейчас начала заползать в Technology Train IOSы на маршрутизаторах, а на L3 свичи по слухам даже в mainline, хотя лично в этом удостоверится у меня возможности не было.

Ставить ли Technology Train в жесткий продакшн - это, наверно, вопрос из разряда философских, и у каждого по этому счету будет свое мнение, ае проблемы в основном могут вылазить так: прикрутили что-то одно - отвалилось другое с противоположной стороны.

Изменено 29 сентября, 2008 пользователем troyand

[edgars]

c3560-advipservicesk9-mz.122-46.SE.bin

Release Date: 27/Aug/2008

samoje posledneje shto imejetsa na cisco :) a 12.4 na routere stoit :)

 

[edgars]

Paproboval variant takoi...

 

class-map match-all vlan_4004

match input-interface vlan 4004

 

policy-map vlan_4004

class vlan_4004

police 1000000 10000 exceed-action drop

 

interface gi0/10

service-policy input vlan-policy

%QoS: policy-map vlan_4004 with MATCH INPUT-INTERFACE not allowed on non-SVI interface

Service Policy attachment failed

 

ne hochet cepljatsa k interfeisu :(

[troyand]

c3560-advipservicesk9-mz.122-46.SE.bin

Release Date: 27/Aug/2008

samoje posledneje shto imejetsa na cisco :) a 12.4 na routere stoit :)

Сорри, я привык работать именно с роутерами, у меня была загвоздка в том, чтобы заставить такое работать на 2821/3825.

match input-interface vlan 4004

Это явно немного не то. По идее оно будет ограничивать тот трафик, который маршрутизируется через интерфейс vlan 4004, и не будет относится ни к чему, если работаем только на 2 уровне на этом девайсе.

Изменено 29 сентября, 2008 пользователем troyand

[edgars]

service-policy input vlan-policy

А на output прицепится?

Poka ne proboval. Poidu ka ludshe spatj a to ponedeljnik denj trudnij :)

[ugluck]

match vlan на каталистах не работает. как ни крути, приходится как-то еще закрашивать, толи по акцесс-листу, то ли дот1п, то ли по дсцп. а полися ваша и не прицепится на физику, тока на интерфейс влан, оно же пишет:

...MATCH INPUT-INTERFACE not allowed on non-SVI...

 

[troyand]

а полися ваша и не прицепится на физику, тока на интерфейс влан

Да, на обычный L2-порт не приклеится точно. А про match vlan на каталистах, то на 3750 оно вроде должно быть даже официально (судя по доке), но этот дивайс немного иной.

[edgars]

match vlan на каталистах не работает. как ни крути, приходится как-то еще закрашивать, толи по акцесс-листу, то ли дот1п, то ли по дсцп. а полися ваша и не прицепится на физику, тока на интерфейс влан, оно же пишет:

...MATCH INPUT-INTERFACE not allowed on non-SVI...

A mozhno po podrobnei?

[troyand]

match vlan на каталистах не работает. как ни крути, приходится как-то еще закрашивать, толи по акцесс-листу, то ли дот1п, то ли по дсцп. а полися ваша и не прицепится на физику, тока на интерфейс влан, оно же пишет:

...MATCH INPUT-INTERFACE not allowed on non-SVI...

A mozhno po podrobnei?

Всмысле надо не

interface fastethernet 0/1
  service-policy output MY_POLICY

а

interface vlan 4004
  service-policy output MY_POLICY

тоесть это можно цеплять на L3-интерфейс (vlan или routed (или как правильно в этой терминологии) порт), а просто на L2 свитчпорт скорее всего не получися.

[edgars]

nu nu na vlan interfeise u menja nikto i nishto ne terminirujetsa

sutj takaja, shto daju L2 kanal dlja drugih provaiderov nu i i hochetsa im ogranichetj skorosti kak po dogovoru polagajetsa

[troyand]

nu nu na vlan interfeise u menja nikto i nishto ne terminirujetsa

sutj takaja, shto daju L2 kanal dlja drugih provaiderov nu i i hochetsa im ogranichetj skorosti kak po dogovoru polagajetsa

Это ясно, есть желание рубить лишний трафик как только он приходит на вашу територию еще на L2. Но похоже, что это слишком непростая задача, возможно, даже 3560 не был расчитан на такую модель использования.

[Valaskor]

C3560-ADVIPSERVICESK9-M, Version 12.2(40)SE - на нем пробовал заводить рейт-лимит на входящем порту для определенных ип-адресов. Работало.

[edgars]

nu nu na vlan interfeise u menja nikto i nishto ne terminirujetsa

sutj takaja, shto daju L2 kanal dlja drugih provaiderov nu i i hochetsa im ogranichetj skorosti kak po dogovoru polagajetsa

Это ясно, есть желание рубить лишний трафик как только он приходит на вашу територию еще на L2. Но похоже, что это слишком непростая задача, возможно, даже 3560 не был расчитан на такую модель использования.

A shto podhodit? 6xxx seriju ne predlagatj :)

 

C3560-ADVIPSERVICESK9-M, Version 12.2(40)SE - на нем пробовал заводить рейт-лимит на входящем порту для определенных ип-адресов. Работало.

nu IP eto L3 uzhe

[troyand]

A shto podhodit? 6xxx seriju ne predlagatj :)

Я боюсь, даже 6500 тоже не поможет (на 2 уровне). Это все-таки просто свитч, и возможности у него отнюдь не безграничны. Вопрос тут задан весьма принципиальный, и, возможно, у него нет вообще ответа, если только кто-то не представит живой пример того, где это работало именно так, как требаовалось, а таких пока нету.

Изменено 30 сентября, 2008 пользователем troyand

[edgars]

jestj povod grustitj :(

[ugluck]

в отличие от каталистов, Edge-core es3528m вполне адекватно отрабатывает match vlan. да и полисит нормально. мы делали exceed-action policed-dscp-transmit, чтоб не резать начисто, а просто посылать с низшим приоритетом все, что сверх нормы. отрабатывает четко. резать тоже может.

[lf]

A shto podhodit? 6xxx seriju ne predlagatj :)

не пробовал, как оно шейпит, но "match vlan" есть еще в МЕ3400.

[ingress]

собственно делается так:

 

Свич Cat3560G

Софт c3560-ipservicesk9-mz.122-25.SEE4

 

g0/1, g0/2 - транк порты

 

!

interface GigabitEthernet0/1

description Trunk1

switchport trunk encapsulation dot1q

switchport trunk allowed vlan ....,100,.....

switchport mode trunk

load-interval 30

mls qos vlan-based

!

!

interface GigabitEthernet0/2

description Trunk2

switchport trunk encapsulation dot1q

switchport trunk allowed vlan ....,100,.....

switchport mode trunk

load-interval 30

mls qos vlan-based

!

 

Аксеслист для ип трафа:

 

access-list 102 permit ip any any

 

для не-ип трафа нужно добавить классмап по mac аксеслисту

 

Класс-мапы:

 

class-map match-all PORT12

match input-interface GigabitEthernet0/1 GigabitEthernet0/2

 

class-map match-all VPNTraffic

match access-group 102

 

Полиси-мапы:

 

policy-map PORT_R12

class PORT12

police 2048000 120000 exceed-action drop

 

policy-map TPolicy

class VPNTraffic

set precedence 0

service-policy PORT_R12

 

А дальше:

 

даже если влан транзитный, создаём SVI и пишем там жирную полисю

 

int vlan100

service-policy in TPolicy

 

Результат:

 

транзитный влан между двумя портами заполисен 2М синхронно.

Проверяем иперфом в обе стороны:

 

iperf -s

------------------------------------------------------------

Server listening on TCP port 5001

TCP window size: 85.3 KByte (default)

------------------------------------------------------------

[ 4] local 192.168.2.2 port 5001 connected with 192.168.2.1 port 62299

[ 4] 0.0-10.3 sec 2.48 MBytes 2.02 Mbits/sec

 

Изменено 1 ноября, 2008 пользователем ingress

[Konstantin Klimchev]

собственно делается так:

 

Свич Cat3560G

Софт c3560-ipservicesk9-mz.122-25.SEE4

а на c3560-ipbase это будет работать?