Jump to content
Калькуляторы

6500 sup720-3b qos vlan-based

Приветствую. Столкнулся с проблемой. Пытаюсь нарезать скорость для юзверей на uplink влане.

Но при конфиге(ниже) получается, что всем кто попадает в аксесс лист, а юзверей там может быть до 2к, скорость нарезается совместно. Тоесть допустим есть скорость 80мбит, на ней 100 человек. Значит не у всех в отдельности будет по 80, а на всех сразу 80мбит.

Собственно вопрос, как это исправить? Вот конфиг.

 

mls qos
!
class-map match-any shape10out
 match access-group name shape10out
class-map match-any shape55out
 match access-group name shape55out
class-map match-any shape30out
 match access-group name shape30out
class-map match-any shape20out
 match access-group name shape20out
class-map match-any shape05out
 match access-group name shape05out
class-map match-any shape80out
 match access-group name shape80out
class-map match-any shape1out
 match access-group name shape1out
class-map match-any shape2out
 match access-group name shape2out
class-map match-any shape4out
 match access-group name shape4out
class-map match-any shape1in
 match access-group name shape1in
class-map match-any shape2in
 match access-group name shape2in
class-map match-any shape4in
 match access-group name shape4in
class-map match-any shape80in
 match access-group name shape80in
class-map match-any shape55in
 match access-group name shape55in
class-map match-any shape10in
 match access-group name shape10in
class-map match-any shape20in
 match access-group name shape20in
class-map match-any shape30in
 match access-group name shape30in
class-map match-any shape05in
 match access-group name shape05in
!

!
policy-map shapeout
 class shape05out
  police 512000    conform-action transmit     exceed-action drop 
 class shape1out
  police 1000000    conform-action transmit     exceed-action drop 
 class shape2out
  police 2000000    conform-action transmit     exceed-action drop 
 class shape10out
  police 10000000    conform-action transmit     exceed-action drop 
 class shape20out
  police 20000000    conform-action transmit     exceed-action drop 
 class shape30out
  police 30000000    conform-action transmit     exceed-action drop 
 class shape55out
  police 55000000    conform-action transmit     exceed-action drop 
 class shape80out
  police 80000000    conform-action transmit     exceed-action drop 
 class shape4out
  police 4000000    conform-action transmit     exceed-action drop 
policy-map shapein
 class shape05in
  police 512000    conform-action transmit     exceed-action drop 
 class shape1in
  police 1000000    conform-action transmit     exceed-action drop 
 class shape2in
  police 2000000    conform-action transmit     exceed-action drop 
 class shape10in
  police 10000000    conform-action transmit     exceed-action drop 
 class shape20in
  police 20000000    conform-action transmit     exceed-action drop 
 class shape30in
  police 30000000    conform-action transmit     exceed-action drop 
 class shape55in
  police 55000000    conform-action transmit     exceed-action drop 
 class shape80in
  police 80000000    conform-action transmit     exceed-action drop 
 class shape4in
  police 4000000    conform-action transmit     exceed-action drop 
!
!
interface TenGigabitEthernet1/1
switchport
switchport trunk allowed vlan 1234,5678,9123
switchport mode trunk
switchport nonegotiate
mls qos vlan-based
!
interface Vlan1234
ip address zzz.zzz.zzz.zzz 255.255.255.252
ip access-group in in
ip access-group out out
service-policy input shapein
service-policy output shapeout
ip flow ingress
!
Extended IP access list shape05in
Extended IP access list shape05out
Extended IP access list shape10in
   10 permit ip any host xxx.xxx.xxx.xxx
   20 permit ip any host yyy.yyy.yyy.yyy
   ...

Extended IP access list shape10out
   10 permit ip host xxx.xxx.xxx.xxx any
   20 permit ip host yyy.yyy.yyy.yyy any
   ...
И так далее все аксесс листы

 

Как и писал выше, скорость для адресов xxx.xxx.xxx.xxx и yyy.yyy.yyy.yyy получается общая в 10мбит. А должно быть у каждого по 10мбит.

 

Может подскажите как можно исправить данную ситуацию? :)

Edited by serg_sk

Share this post


Link to post
Share on other sites

Приветствую. Столкнулся с проблемой. Пытаюсь нарезать скорость для юзверей на uplink влане.

Но при конфиге(ниже) получается, что всем кто попадает в аксесс лист, а юзверей там может быть до 2к, скорость нарезается совместно. Тоесть допустим есть скорость 80мбит, на ней 100 человек. Значит не у всех в отдельности будет по 80, а на всех сразу 80мбит.

Собственно вопрос, как это исправить? Вот конфиг.

 

Как и писал выше, скорость для адресов xxx.xxx.xxx.xxx и yyy.yyy.yyy.yyy получается общая в 10мбит. А должно быть у каждого по 10мбит.

 

Может подскажите как можно исправить данную ситуацию? :)

ubrl ?

Edited by flow

Share this post


Link to post
Share on other sites

ммм. Тоесть вместо:

police 1000000 conform-action transmit     exceed-action drop 

нужно вот так:

police flow mask src-only 1000000 1000 conform-action transmit exceed action drop

Share this post


Link to post
Share on other sites

переделал вот так:

!
class-map match-all shape1in
 match access-group name shape1in
class-map match-all shape2in
 match access-group name shape2in
class-map match-all shape4in
 match access-group name shape4in
class-map match-all shape80in
 match access-group name shape80in
class-map match-all shape55in
 match access-group name shape55in
class-map match-all shape10in
 match access-group name shape10in
class-map match-all shape20in
 match access-group name shape20in
class-map match-all shape30in
 match access-group name shape30in
class-map match-all shape05in
 match access-group name shape05in
!
policy-map shapein
 class shape05in
    police flow mask dest-only 512000 1000 conform-action transmit exceed-action drop
 class shape1in
    police flow mask dest-only 1000000 1000 conform-action transmit exceed-action drop
 class shape2in
    police flow mask dest-only 2000000 1000 conform-action transmit exceed-action drop
 class shape4in
    police flow mask dest-only 4000000 2000 conform-action transmit exceed-action drop
 class shape10in
    police flow mask dest-only 10000000 5000 conform-action transmit exceed-action drop
 class shape20in
    police flow mask dest-only 20000000 10000 conform-action transmit exceed-action drop
 class shape30in
    police flow mask dest-only 30000000 15000 conform-action transmit exceed-action drop
 class shape55in
    police flow mask dest-only 55000000 27500 conform-action transmit exceed-action drop
 class shape80in
    police flow mask dest-only 80000000 40000 conform-action transmit exceed-action drop
!

!
interface TenGigabitEthernet1/1
switchport
switchport trunk allowed vlan 1234,5678,9123
switchport mode trunk
switchport nonegotiate
mls qos vlan-based
!
interface Vlan1234
ip address zzz.zzz.zzz.zzz 255.255.255.252
ip access-group in in
ip access-group out out
service-policy input shapein
ip flow ingress
!

 

Ничего не поменялось. Где я ошибаюсь?

Share this post


Link to post
Share on other sites

Оно с NetFlow может конфликтовать - попробуйте отключить сбор flows на этом интерфейсе и проверить еще раз.

Share this post


Link to post
Share on other sites

Уже что-то. Однако вместо 10мбит, я получил 1мбит.

 class shape10in
    police flow mask dest-only 10000000 5000 conform-action transmit exceed-action drop

class-map match-all shape10in
 match access-group name shape10in

cisco6509#show access-lists shape10in | incl xyz.xyz.xyz.xyz
   11130 permit ip any host xyz.xyz.xyz.xyz (832 matches)

 

Где может быть просчет?

 

Да и NetFlow мне тоже нужен, но его я по идее смогу собрать с другого влана, если сделаю вот так:

#monitor session 1 source interface vlan 1234
#monitor session 1 destination interface vlan 4321

и влепить ip flow ingress на влан 4321

Так же получится?

Edited by serg_sk

Share this post


Link to post
Share on other sites

Мне кажется burst маловат. Вот тут было обсуждение http://forum.nag.ru/forum/index.php?showtopic=82529

 

Я сомневаюсь, что при помощи трюков с monitor session удастся обойти проблему с NetFlow. Если Вы убедитесь, что проблема именно в NetFlow, то нужно читать мануал про то, как они совместно с UBRL работают. Есть воспоминания, что в PFC3 две flowmask так что шанс на NetFlow+UBLR таки есть.

Share this post


Link to post
Share on other sites

и как тогда разным пользователям выделить отдельные скорости?

Share this post


Link to post
Share on other sites

Т.к. class-map с match-all(логическое И) для вланов не работает, и класс-мапы создаются с match-any(логическое ИЛИ), о чем говорит документация:

"The router does not support the match-all keyword for VLAN-based classification."

Была придумана затычка через жопу.

Для каждого абонента создаем 1 аксес лист.

 

Extended IP access list shape_xxx.xxx.xxx.xxx
   10 permit ip any host xxx.xxx.xxx.xxx
   20 permit ip host xxx.xxx.xxx.xxx any

 

Создаем class-map:

Class Map match-any xxx.xxx.xxx.xxx (id 2)
  Match access-group name shape_xxx.xxx.xxx.xxx

 

Добавляем в policy-map:

cisco6509#show policy-map 

 Policy Map shapeout
   Class xxx.xxx.xxx.xxx
    police cir 10000000 bc 312500
      conform-action transmit 
      exceed-action drop 

 Policy Map shapein
   Class xxx.xxx.xxx.xxx
    police cir 10000000 bc 312500
      conform-action transmit 
      exceed-action drop 

 

Тоесть для каждого пользователя создаем свой аксес-лист, клас-мап и добавляем класс-мап в полиси-мап.

Проверил, работает для нескольких пользователей и все красиво режет. Сейчас напишу скрипт автоматического добавления всех и буду тестить под нагрузкой в 5к юзеров.

Позже отпишусь, что вышло.

Edited by serg_sk

Share this post


Link to post
Share on other sites

Не получилось таким образом.

1. Уперся в полку по class-map в 4096

2. При таком количестве class-map циска нагружается на 100%.

 

Как уменьшить количество class-map's?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this