[nicolnx]

Наткнулся на интересную штуку с ограничением трафика клиенту.

Делаем типовую конфигурацию

 

 

policy-map Client_Policy_out

class class-default

police cir 50000000 conform-action transmit exceed-action drop violate-action drop

 

interface Vlan123

service-policy output Client_Policy_out

 

ну и соответственно mls qos vlan-based на транке смотрящем в клиента.

 

Проверяем и удивляемся

 

sh int vlan123 | i output rate

30 second output rate 100074000 bits/sec, 13563 packets/sec

 

Долго думаем, натыкаемся на http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/white_paper_c11_538840.html где сказано "An egress service policy is always implemented on the PFC or the DFC that receives the frames and not the one that forwards the frame"

Вспоминаем что аплинк-то у нас как-раз таки etherchannel в 2 разных модуля. Проверяем догадку:

 

sh policy-map interface vlan 123 output

 

 

Vlan123

 

Service-policy output: Сlient_Policy_out

 

class-map: class-default (match-any)

Match: any

police :

50000000 bps 1562000 limit 1562000 extended limit

Earl in slot 1 :

4021346922 bytes

30 second offered rate 63363960 bps

aggregate-forwarded 3397375476 bytes action: transmit

exceeded 623971446 bytes action: drop

aggregate-forward 60230200 bps exceed 11812856 bps

Earl in slot 2 :

3394355513 bytes

30 second offered rate 54191216 bps

aggregate-forwarded 3347275524 bytes action: transmit

exceeded 47079989 bytes action: drop

aggregate-forward 60273256 bps exceed 1400120 bps

 

Таким образом, получается что фактически работают два полисера, по одному на каждый модуль аплинка. Соответственно, в class-map нужно указывать половинный CIR,что несколько напрягает. Может быть кто-то сталкивался с подобным и знает как лечить? Или это аппаратная особенность платформы и ничего с этим не поделаешь?

Edited September 21, 2012 by nicolnx

[C@T]

Aggregate policer не подойдет в данном случае? Не вспомню сейчас, работает ли это на egress, на ingress работало.

"You define per-interface aggregate policers in a policy map class with the police command.

If you attach a per-interface aggregate policer to multiple ingress ports, it polices the matched traffic on each ingress port separately."

[nicolnx]

С aggregate та же ситуация - на каждой DFC-карте они работают независимо друг от друга. Конечно, можно все порты etherchannel аплинка включить в одну линейную карту, но в целом-то это проблему не решает.

[snark]

Гляньте тут. Мало ли, вдруг на какие мысли натолкнет.

[nicolnx]

Глядел, не натолкнуло. Уже обгляделся везде.. В sh mls qos наткнулся на строчку Vlan or Portchannel(Multi-Earl) policies supported: Yes но никак не могу найти что она означает.

[nicolnx]

Собственно, вот и подтверждение - http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/qos.pdf с.43-18

 

Each PFC or DFC polices independently, which might affect QoS features being applied to traffic that is distributed across the PFC and any DFCs. Examples of these QoS feature are:

– Policers applied to a port channel interface.

– Policers applied to a switched virtual interface.

– Egress policers applied to either a Layer 3 interface or an SVI.

Note that PFC QoS performs egress policing decisions at the ingress interface, on the PFC or ingress DFC. Policers affected by this restriction deliver an aggregate rate that is the sum of all the independent policing rates.

 

Похоже, не лечится это никак ибо так устроен каталист.

[EDA_SPB]

Есть такое, год назад после апгрейда клиенты пару недель наслаждались эффектом.