[Captain Jack]

нкжна конструкция

policy-map police-client-traffic-inbound

class identify-inbound-client

police flow mask dest-only 10000000 10000 conform-action transmit exceed-action drop

 

 

RSP720-3C-GE

Version 12.2(33)SRD2

[chainick]

Подниму чужую тему, столкнулся с подобным.

Вопрос - то есть про QoS и сбор статистики по netflow на одной железке можно забыть?

Ага.

[Captain Jack]

Собственно, делаю всё по

http://www.cisco.com/en/US/prod/collateral...cd803e5017.html

В дополнение в конфиге есть ещё

 

mls ip multicast flow-stat-timer 9

mls flow ip interface-full

no mls flow ipv6

mls nde sender version 5

mls qos

no mls acl tcam share-global

mls cef error action reset

ip flow-export version 5 peer-as

ip flow-export destination 2.1.0.4 9996

 

в ответ получаю протест вида

%FM-4-FLOWMASK_REDUCED: Features configured on interface Vlan711 have conflicting flowmask requirements, some features may work in software

 

PS поравка

у меня не физический интерфейс как в примере

interface Vlan711

ip address 2.1.6.1 255.255.255.252

ip access-group outside_pptp_close in

ip access-group 110 out

ip flow ingress

service-policy input police-client-traffic-inbound

 

Изменено 25 сентября, 2009 пользователем Captain Jack

[chainick]

в ответ получаю протест вида

%FM-4-FLOWMASK_REDUCED: Features configured on interface Vlan711 have conflicting flowmask requirements, some features may work in software

Что совершенно логично - QoS со всякими полисерами и NDE используют один и тот же ТКАМ (а другого нету))) соответственно, flowmask может быть или одинм, или другим.

 

В общем - или шашечки или ехать. Чтобы ехать на шашечках мне пришлось спаниться на сервер и разбирать нетфлоу им. Всяко лучше, чем хардварный нетфолу.

[Captain Jack]

В общем - или шашечки или ехать. Чтобы ехать на шашечках мне пришлось спаниться на сервер и разбирать нетфлоу им. Всяко лучше, чем хардварный нетфолу.

Спанится на сервер может и прикольно, но чем он лучше, чем хардварный?

[chainick]

Спанится на сервер может и прикольно, но чем он лучше, чем хардварный?

Всем. Почитайте на досуге про производительность хардварного, особенно на трафике c большим количеством пакетов и зачем тут люди с сэмплингом заморачиваются.

 

Короче, аппаратное ограничение по количеству записей в ТСАМ никак не обойдешь.

[Captain Jack]

Спанить на сервак тоже имеет аппаратное ограничение.

Есть два пограничных устройства с N количеством гигабитных портов.

Такое щастье спанить только по 10Гб на сервак, причём, на два сервака. Так же необходимы порты 10Гб на кошках, что делает эти игрушки уж очень дорогими.

[chainick]

Я про 10Г в перспективе говорил. У меня ядро гигабитное, когда трафик уходил за 300 килопакетов, утилизация ТСАМа - 100% и потоки начинали теряться. А позволить себе терять данные нетфолу я не могу, специфика бизнеса.

[Captain Jack]

В очередной раз для себя сделал вывод - 6500/7600 это не пограничные железки, максимум уровень ядра.

[UglyAdmin]

SIP/SPA в руки - вот и доступ.

Обычные LAN-модули умом не блещут...

[nnm]

В очередной раз для себя сделал вывод - 6500/7600 это не пограничные железки, максимум уровень ядра.

Правильнее так: 'Там, где 7600 это пограничные железки NetFlow никто не считает.'