Captain Jack Опубликовано 25 сентября, 2009 · Жалоба нкжна конструкция policy-map police-client-traffic-inbound class identify-inbound-client police flow mask dest-only 10000000 10000 conform-action transmit exceed-action drop RSP720-3C-GE Version 12.2(33)SRD2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chainick Опубликовано 25 сентября, 2009 · Жалоба Подниму чужую тему, столкнулся с подобным.Вопрос - то есть про QoS и сбор статистики по netflow на одной железке можно забыть? Ага. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Captain Jack Опубликовано 25 сентября, 2009 (изменено) · Жалоба Собственно, делаю всё по http://www.cisco.com/en/US/prod/collateral...cd803e5017.html В дополнение в конфиге есть ещё mls ip multicast flow-stat-timer 9 mls flow ip interface-full no mls flow ipv6 mls nde sender version 5 mls qos no mls acl tcam share-global mls cef error action reset ip flow-export version 5 peer-as ip flow-export destination 2.1.0.4 9996 в ответ получаю протест вида %FM-4-FLOWMASK_REDUCED: Features configured on interface Vlan711 have conflicting flowmask requirements, some features may work in software PS поравка у меня не физический интерфейс как в примере interface Vlan711 ip address 2.1.6.1 255.255.255.252 ip access-group outside_pptp_close in ip access-group 110 out ip flow ingress service-policy input police-client-traffic-inbound Изменено 25 сентября, 2009 пользователем Captain Jack Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chainick Опубликовано 25 сентября, 2009 · Жалоба в ответ получаю протест вида %FM-4-FLOWMASK_REDUCED: Features configured on interface Vlan711 have conflicting flowmask requirements, some features may work in software Что совершенно логично - QoS со всякими полисерами и NDE используют один и тот же ТКАМ (а другого нету))) соответственно, flowmask может быть или одинм, или другим. В общем - или шашечки или ехать. Чтобы ехать на шашечках мне пришлось спаниться на сервер и разбирать нетфлоу им. Всяко лучше, чем хардварный нетфолу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Captain Jack Опубликовано 25 сентября, 2009 · Жалоба В общем - или шашечки или ехать. Чтобы ехать на шашечках мне пришлось спаниться на сервер и разбирать нетфлоу им. Всяко лучше, чем хардварный нетфолу. Спанится на сервер может и прикольно, но чем он лучше, чем хардварный? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chainick Опубликовано 25 сентября, 2009 · Жалоба Спанится на сервер может и прикольно, но чем он лучше, чем хардварный? Всем. Почитайте на досуге про производительность хардварного, особенно на трафике c большим количеством пакетов и зачем тут люди с сэмплингом заморачиваются. Короче, аппаратное ограничение по количеству записей в ТСАМ никак не обойдешь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Captain Jack Опубликовано 25 сентября, 2009 · Жалоба Спанить на сервак тоже имеет аппаратное ограничение. Есть два пограничных устройства с N количеством гигабитных портов. Такое щастье спанить только по 10Гб на сервак, причём, на два сервака. Так же необходимы порты 10Гб на кошках, что делает эти игрушки уж очень дорогими. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chainick Опубликовано 25 сентября, 2009 · Жалоба Я про 10Г в перспективе говорил. У меня ядро гигабитное, когда трафик уходил за 300 килопакетов, утилизация ТСАМа - 100% и потоки начинали теряться. А позволить себе терять данные нетфолу я не могу, специфика бизнеса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Captain Jack Опубликовано 25 сентября, 2009 · Жалоба В очередной раз для себя сделал вывод - 6500/7600 это не пограничные железки, максимум уровень ядра. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 25 сентября, 2009 · Жалоба SIP/SPA в руки - вот и доступ. Обычные LAN-модули умом не блещут... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nnm Опубликовано 25 сентября, 2009 · Жалоба В очередной раз для себя сделал вывод - 6500/7600 это не пограничные железки, максимум уровень ядра. Правильнее так: 'Там, где 7600 это пограничные железки NetFlow никто не считает.' Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...