UncleDen Опубликовано 26 июля, 2010 (изменено) · Жалоба Собсно девайс под c10k2-p11-mz.123-7.XI10a Собсно проблема - клиент цепляется по pppoe, но флоу с интерфейса не снимается. Кусок конфига: ip flow-cache timeout inactive 10 ip flow-cache timeout active 1 ip cef accounting non-recursive ip cef traffic-statistics load-interval 60 ! bba-group pppoe global virtual-template 1 ac name esr10k sessions per-mac limit 1 sessions auto cleanup ! interface Virtual-Template1 mtu 1492 ip unnumbered GigabitEthernet1/0/0 no ip redirects no ip unreachables no ip proxy-arp ip route-cache policy no logging event link-status keepalive 20 ppp authentication chap pap ms-chap ! ip flow-export source GigabitEthernet1/0/0 ip flow-export version 5 ip flow-export destination A.B.C.D 9996 ! ip route-cache flow и ip flow ingress в конфигурации Виртуал-Темплейта отца русской революции не спасают. Флова нет. esr10k#sh ip flow exp Flow export v5 is enabled for main cache Exporting flows to A.B.C.D (9996) Exporting using source interface GigabitEthernet1/0/0 Version 5 flow records 0 flows exported in 0 udp datagrams 0 flows failed due to lack of export packet 0 export packets were sent up to process level 0 export packets were dropped due to no fib 0 export packets were dropped due to adjacency issues 0 export packets were dropped due to fragmentation failures 0 export packets were dropped due to encapsulation fixup failures Задача - снимать исходящий от абонента траффик. Как вы это делаете?! Изменено 26 июля, 2010 пользователем UncleDen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VitMain Опубликовано 26 июля, 2010 · Жалоба interface Virtual-Template1 ip flow ingress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 26 июля, 2010 · Жалоба ip flow ingress ip flow egress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VitMain Опубликовано 26 июля, 2010 · Жалоба UncleDen залейте другую прошивку, в c10k2-p11-mz.123-7.XI ветке много чего вырезано либо не работает, откатитесь хотя бы на c10k2-p11-mz.122-33.SB8a Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UncleDen Опубликовано 26 июля, 2010 · Жалоба Как я уже сказал - ни ip flow ingress ни, тем более, ip flow egress этой прошивке (или этом железе) не работает. С веткой SB иная проблема - не можем навесить полиси на интерфейс клиента через радиус для нарезки скорости. Команда схавывается десятитонником, но юзеру льёт полную катушку. На ветке XI полиси через радиус отлично работают. Опять же на SB есть объединение физики в лирику (EtherChannel), что тоже важно, ибо подходим к полной загрузке гигабитов. Вопрос открыт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 26 июля, 2010 · Жалоба а зачем на интерфейсе ip route-cache policy ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UncleDen Опубликовано 26 июля, 2010 · Жалоба А действительно, зачем эта команда на интерфейсе? Но вопрос не в этом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 26 июля, 2010 · Жалоба ну вопрос то в этом как раз :) может иос настолько древний что флов не льётся из-за включеного ip route-cache policy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UncleDen Опубликовано 26 июля, 2010 · Жалоба Вообще-то, в виртуал-темплейте ещё есть ip policy route-map RM-NETFLOW заворачивающая весь исходящий траффик на 65SUP720BXL (next-hop), где он и фиксируется. При этом то, что предназначено абоненту-соседу возвращается обратно в esr10k. Вот такой ФСБшный изврат, собственно. Больше нафиг незачем нам исходящий от абонента траффик отлавливать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 26 июля, 2010 · Жалоба может ещё явно задать ip route-cache flow на интерфейсе, может старому иосу это всё таки надо :) а можно ещё вывод show ip int <какой нить виртуал-аксес> при включеных ip flow ingress / egress Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 27 июля, 2010 · Жалоба судя по тому что находится в гугле по этой теме, у людей похожая проблема(т.е. sh ip flow export каунтеры нулевые) а на самом деле трафик приходит на колектор. http://www.gossamer-threads.com/lists/cisco/bba/62336 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UncleDen Опубликовано 30 июля, 2010 · Жалоба ingress, спасибо. Прочитал, исправил - чот-то появилось на коллекторе, но... В общем, залили c10k2-p11-mz.122-31.SB18.bin Всё поднялось, и порт-чаннел, и флоу. Красота. Пришлось исправлять радиус-навешивание полисей с интерфейса на айпишники. Но, как мне кажется, резалка интерфейса всё же более правильно по отношению к прожорливым хомячкам... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...