ESR10K-PRE2

[UncleDen]

Собсно девайс под c10k2-p11-mz.123-7.XI10a

Собсно проблема - клиент цепляется по pppoe, но флоу с интерфейса не снимается.

 

Кусок конфига:

ip flow-cache timeout inactive 10

ip flow-cache timeout active 1

ip cef accounting non-recursive

ip cef traffic-statistics load-interval 60

!

bba-group pppoe global

virtual-template 1

ac name esr10k

sessions per-mac limit 1

sessions auto cleanup

!

interface Virtual-Template1

mtu 1492

ip unnumbered GigabitEthernet1/0/0

no ip redirects

no ip unreachables

no ip proxy-arp

ip route-cache policy

no logging event link-status

keepalive 20

ppp authentication chap pap ms-chap

!

ip flow-export source GigabitEthernet1/0/0

ip flow-export version 5

ip flow-export destination A.B.C.D 9996

!

 

ip route-cache flow и ip flow ingress в конфигурации Виртуал-Темплейта отца русской революции не спасают. Флова нет.

 

esr10k#sh ip flow exp

Flow export v5 is enabled for main cache

Exporting flows to A.B.C.D (9996)

Exporting using source interface GigabitEthernet1/0/0

Version 5 flow records

0 flows exported in 0 udp datagrams

0 flows failed due to lack of export packet

0 export packets were sent up to process level

0 export packets were dropped due to no fib

0 export packets were dropped due to adjacency issues

0 export packets were dropped due to fragmentation failures

0 export packets were dropped due to encapsulation fixup failures

 

Задача - снимать исходящий от абонента траффик.

Как вы это делаете?!

Edited July 26, 2010 by UncleDen

[VitMain]

interface Virtual-Template1

ip flow ingress

 

 

[applx]

ip flow ingress

ip flow egress

[VitMain]

UncleDen залейте другую прошивку, в c10k2-p11-mz.123-7.XI ветке много чего вырезано либо не работает, откатитесь хотя бы на c10k2-p11-mz.122-33.SB8a

 

[UncleDen]

Как я уже сказал - ни ip flow ingress ни, тем более, ip flow egress этой прошивке (или этом железе) не работает.

С веткой SB иная проблема - не можем навесить полиси на интерфейс клиента через радиус для нарезки скорости. Команда схавывается десятитонником, но юзеру льёт полную катушку. На ветке XI полиси через радиус отлично работают. Опять же на SB есть объединение физики в лирику (EtherChannel), что тоже важно, ибо подходим к полной загрузке гигабитов.

 

Вопрос открыт.

[ingress]

а зачем на интерфейсе

ip route-cache policy

?

[UncleDen]

А действительно, зачем эта команда на интерфейсе?

Но вопрос не в этом.

[ingress]

ну вопрос то в этом как раз :)

может иос настолько древний что флов не льётся из-за включеного

ip route-cache policy

[UncleDen]

Вообще-то, в виртуал-темплейте ещё есть

ip policy route-map RM-NETFLOW

заворачивающая весь исходящий траффик на 65SUP720BXL (next-hop), где он и фиксируется. При этом то, что предназначено абоненту-соседу возвращается обратно в esr10k. Вот такой ФСБшный изврат, собственно. Больше нафиг незачем нам исходящий от абонента траффик отлавливать.

[ingress]

может ещё явно задать

ip route-cache flow на интерфейсе, может старому иосу это всё таки надо :)

 

а можно ещё вывод show ip int <какой нить виртуал-аксес>

при включеных ip flow ingress / egress

[ingress]

судя по тому что находится в гугле по этой теме, у людей похожая проблема(т.е. sh ip flow export каунтеры нулевые) а на самом деле трафик приходит на колектор.

 

http://www.gossamer-threads.com/lists/cisco/bba/62336

[UncleDen]

ingress, спасибо. Прочитал, исправил - чот-то появилось на коллекторе, но...

В общем, залили c10k2-p11-mz.122-31.SB18.bin

Всё поднялось, и порт-чаннел, и флоу. Красота.

Пришлось исправлять радиус-навешивание полисей с интерфейса на айпишники.

Но, как мне кажется, резалка интерфейса всё же более правильно по отношению к прожорливым хомячкам...