Jump to content

Catalyst3750 VLAN policing

LuckySB
 Share

Recommended Posts

LuckySB

LuckySB

Posted
Posted

Требуеться оптимизировать конфиг для каталиста 3750 в плане ограничения скорости в транзитных VLANах

Сейчас сделано согласно http://www.cisco.com/en/US/docs/switches/l....html#wp1552824

 

В итоге получаеться ужасающее количество класс-мап, полиси-мап....

Хотелось бы все это дело поджать и объеденить.

Вот мои мысли. Посоветуйте, покритикуйте плиз )

то что было

class-map match-all MAC_ANY
   match access-group name MAC_ANY

class-map match-all I_V64
  match input-interface GigabitEthernet1/0/1 GigabitEthernet1/0/2

policy-map S_V64
   class I_V64
     police 2048000 128000 exceed-action drop
policy-map V64
   class MAC_ANY
    set dscp default
    service-policy S_V64

interface Vlan64
  no ip address
  service-policy input V64

 

И так на каждый VLAN

Что видиться:

class-map match-all INT_ALL
   match input-interface GigabitEthernet1/0/1-GigabitEthernet1/0/28

# На каждую скорость свой полиси-мап. Скоростей разных всего десяток.
policy-map S_2048
   class INT_ALL
     police 2048000 128000 exceed-action drop

policy-map SPEED_2048
   class MAC_ANY
    set dscp default
    service-policy S_2048

interface Vlan64
  no ip address
  service-policy input SPEED_2048

interface Vlan104
  no ip address
  service-policy input SPEED_2048

Lucky SB

Lucky SB

Posted
Posted

Оказываеться не работает она с mac accesss-list

только с ip

Интересно всякие arp-штормы будут попадать под этот акл ....

 

ip access-list standard IP_ANY
permit any

class-map match-all IP_ANY
  match access-group name IP_ANY

policy-map V64
  class IP_ANY
   set dscp 1
   service-policy S_V64

Lucky SB

Lucky SB

Posted
Posted

хмм. пофлудил arp броадкастом. трафик в влане порезался.

Гуд.

 

 

ну как бы кроме IP есть еще и IPX и прочая некрофилия ;)

 

А надо как раз на уровне L2 резать. Хотя может быть я и не прав.

 

 

А расскажите как вы штормы гасите ?

какие лимиты ставите ?

 

Lucky SB

Lucky SB

Posted
Posted

о как. Буржуи советуют матчить и по IP и по MAC

это жжж неспроста. )

Кто нибудь сможет прояснить ?

mac access-list extended mac
permit any any
!
access-list 129 permit ip any any
!
class-map match-any cm-1
  match access-group name mac
class-map match-any cm-1-ip
  match access-group 129
class-map match-all cm-interface-1
  match input-interface  FastEthernet1/0/1 - FastEthernet1/0/2
!
!
policy-map port-plcmap-667
  class cm-interface-1
    police 1000000 8000 exceed-action drop
policy-map vlan-plcmap2
  class cm-1
    trust dscp
   service-policy port-plcmap-667
  class cm-1-ip
    trust dscp
   service-policy port-plcmap-667

ingress

ingress

Posted
Posted (edited)

мак аксес лист нужен для того чтобы резать не-IP трафик внутри влана, для ip достаточно и ip аксес листа

 

p.s. arp трафик - non-ip

Edited by ingress
Lucky SB

Lucky SB

Posted
Posted (edited)

судя по тестам - все таки arp считается ip трафиком.

 

Я ж говорю, arp-broadcast резался с ip-access листами

Edited by Lucky SB
ingress

ingress

Posted
Posted (edited)

возможно я и ошибаюсь на счёт арпа, в том плане как его cisco воспринимает :)

но у вас там стандартный аксес лист, а попробуйте ext сделать.

Edited by ingress
Lucky SB

Lucky SB

Posted
Posted

Эксперименты закончены.

Как оказалось все эти полиси-мапы мало пригодны для боевой эксплуатации.

1. police 128000 8000 exceed-action drop

128000 - это ограничение на один порт в битах

8000 - это ограничение на сумму трафика через все порты в байтах. т.е. в данной команде ограничалка стоит 8кбайт/с в одну сторону или 4 и 4 в обе стороны или вариации.

 

2. так как burst может быть всего 1 млн байт, то для случая транзитного влана через 2 интерфейса имеем максимальную скорость ограничения 4 мбит/с ;( что при наличии гигабитных портов как-то грустно.

 

3. Все service-policy input SPEED256 на различных SVI используют одну и ту же корзину и вдобавок еще и первую циферку в полиси делят между собой если два vlan через один и тот же интерфейс входят

 

4. Учитывая ограничение в 64 полисера ....

 

Можно бы ужиматься, ограничивать только избранных... но размер burst сводит все к размеру песочницы (

ios 12.2(25)SEE

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.