serg_sk Опубликовано 14 февраля, 2013 (изменено) · Жалоба Приветствую. Столкнулся с проблемой. Пытаюсь нарезать скорость для юзверей на uplink влане. Но при конфиге(ниже) получается, что всем кто попадает в аксесс лист, а юзверей там может быть до 2к, скорость нарезается совместно. Тоесть допустим есть скорость 80мбит, на ней 100 человек. Значит не у всех в отдельности будет по 80, а на всех сразу 80мбит. Собственно вопрос, как это исправить? Вот конфиг. mls qos ! class-map match-any shape10out match access-group name shape10out class-map match-any shape55out match access-group name shape55out class-map match-any shape30out match access-group name shape30out class-map match-any shape20out match access-group name shape20out class-map match-any shape05out match access-group name shape05out class-map match-any shape80out match access-group name shape80out class-map match-any shape1out match access-group name shape1out class-map match-any shape2out match access-group name shape2out class-map match-any shape4out match access-group name shape4out class-map match-any shape1in match access-group name shape1in class-map match-any shape2in match access-group name shape2in class-map match-any shape4in match access-group name shape4in class-map match-any shape80in match access-group name shape80in class-map match-any shape55in match access-group name shape55in class-map match-any shape10in match access-group name shape10in class-map match-any shape20in match access-group name shape20in class-map match-any shape30in match access-group name shape30in class-map match-any shape05in match access-group name shape05in ! ! policy-map shapeout class shape05out police 512000 conform-action transmit exceed-action drop class shape1out police 1000000 conform-action transmit exceed-action drop class shape2out police 2000000 conform-action transmit exceed-action drop class shape10out police 10000000 conform-action transmit exceed-action drop class shape20out police 20000000 conform-action transmit exceed-action drop class shape30out police 30000000 conform-action transmit exceed-action drop class shape55out police 55000000 conform-action transmit exceed-action drop class shape80out police 80000000 conform-action transmit exceed-action drop class shape4out police 4000000 conform-action transmit exceed-action drop policy-map shapein class shape05in police 512000 conform-action transmit exceed-action drop class shape1in police 1000000 conform-action transmit exceed-action drop class shape2in police 2000000 conform-action transmit exceed-action drop class shape10in police 10000000 conform-action transmit exceed-action drop class shape20in police 20000000 conform-action transmit exceed-action drop class shape30in police 30000000 conform-action transmit exceed-action drop class shape55in police 55000000 conform-action transmit exceed-action drop class shape80in police 80000000 conform-action transmit exceed-action drop class shape4in police 4000000 conform-action transmit exceed-action drop ! ! interface TenGigabitEthernet1/1 switchport switchport trunk allowed vlan 1234,5678,9123 switchport mode trunk switchport nonegotiate mls qos vlan-based ! interface Vlan1234 ip address zzz.zzz.zzz.zzz 255.255.255.252 ip access-group in in ip access-group out out service-policy input shapein service-policy output shapeout ip flow ingress ! Extended IP access list shape05in Extended IP access list shape05out Extended IP access list shape10in 10 permit ip any host xxx.xxx.xxx.xxx 20 permit ip any host yyy.yyy.yyy.yyy ... Extended IP access list shape10out 10 permit ip host xxx.xxx.xxx.xxx any 20 permit ip host yyy.yyy.yyy.yyy any ... И так далее все аксесс листы Как и писал выше, скорость для адресов xxx.xxx.xxx.xxx и yyy.yyy.yyy.yyy получается общая в 10мбит. А должно быть у каждого по 10мбит. Может подскажите как можно исправить данную ситуацию? :) Изменено 15 февраля, 2013 пользователем serg_sk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 14 февраля, 2013 · Жалоба UBRL Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flow Опубликовано 14 февраля, 2013 (изменено) · Жалоба Приветствую. Столкнулся с проблемой. Пытаюсь нарезать скорость для юзверей на uplink влане. Но при конфиге(ниже) получается, что всем кто попадает в аксесс лист, а юзверей там может быть до 2к, скорость нарезается совместно. Тоесть допустим есть скорость 80мбит, на ней 100 человек. Значит не у всех в отдельности будет по 80, а на всех сразу 80мбит. Собственно вопрос, как это исправить? Вот конфиг. Как и писал выше, скорость для адресов xxx.xxx.xxx.xxx и yyy.yyy.yyy.yyy получается общая в 10мбит. А должно быть у каждого по 10мбит. Может подскажите как можно исправить данную ситуацию? :) ubrl ? Изменено 14 февраля, 2013 пользователем flow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
serg_sk Опубликовано 14 февраля, 2013 · Жалоба ммм. Тоесть вместо: police 1000000 conform-action transmit exceed-action drop нужно вот так: police flow mask src-only 1000000 1000 conform-action transmit exceed action drop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
serg_sk Опубликовано 15 февраля, 2013 · Жалоба переделал вот так: ! class-map match-all shape1in match access-group name shape1in class-map match-all shape2in match access-group name shape2in class-map match-all shape4in match access-group name shape4in class-map match-all shape80in match access-group name shape80in class-map match-all shape55in match access-group name shape55in class-map match-all shape10in match access-group name shape10in class-map match-all shape20in match access-group name shape20in class-map match-all shape30in match access-group name shape30in class-map match-all shape05in match access-group name shape05in ! policy-map shapein class shape05in police flow mask dest-only 512000 1000 conform-action transmit exceed-action drop class shape1in police flow mask dest-only 1000000 1000 conform-action transmit exceed-action drop class shape2in police flow mask dest-only 2000000 1000 conform-action transmit exceed-action drop class shape4in police flow mask dest-only 4000000 2000 conform-action transmit exceed-action drop class shape10in police flow mask dest-only 10000000 5000 conform-action transmit exceed-action drop class shape20in police flow mask dest-only 20000000 10000 conform-action transmit exceed-action drop class shape30in police flow mask dest-only 30000000 15000 conform-action transmit exceed-action drop class shape55in police flow mask dest-only 55000000 27500 conform-action transmit exceed-action drop class shape80in police flow mask dest-only 80000000 40000 conform-action transmit exceed-action drop ! ! interface TenGigabitEthernet1/1 switchport switchport trunk allowed vlan 1234,5678,9123 switchport mode trunk switchport nonegotiate mls qos vlan-based ! interface Vlan1234 ip address zzz.zzz.zzz.zzz 255.255.255.252 ip access-group in in ip access-group out out service-policy input shapein ip flow ingress ! Ничего не поменялось. Где я ошибаюсь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nnm Опубликовано 15 февраля, 2013 · Жалоба Оно с NetFlow может конфликтовать - попробуйте отключить сбор flows на этом интерфейсе и проверить еще раз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
serg_sk Опубликовано 15 февраля, 2013 (изменено) · Жалоба Уже что-то. Однако вместо 10мбит, я получил 1мбит. class shape10in police flow mask dest-only 10000000 5000 conform-action transmit exceed-action drop class-map match-all shape10in match access-group name shape10in cisco6509#show access-lists shape10in | incl xyz.xyz.xyz.xyz 11130 permit ip any host xyz.xyz.xyz.xyz (832 matches) Где может быть просчет? Да и NetFlow мне тоже нужен, но его я по идее смогу собрать с другого влана, если сделаю вот так: #monitor session 1 source interface vlan 1234 #monitor session 1 destination interface vlan 4321 и влепить ip flow ingress на влан 4321 Так же получится? Изменено 15 февраля, 2013 пользователем serg_sk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nnm Опубликовано 15 февраля, 2013 · Жалоба Мне кажется burst маловат. Вот тут было обсуждение http://forum.nag.ru/forum/index.php?showtopic=82529 Я сомневаюсь, что при помощи трюков с monitor session удастся обойти проблему с NetFlow. Если Вы убедитесь, что проблема именно в NetFlow, то нужно читать мануал про то, как они совместно с UBRL работают. Есть воспоминания, что в PFC3 две flowmask так что шанс на NetFlow+UBLR таки есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 18 февраля, 2013 · Жалоба http://gul-tech.livejournal.com/5169.html ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 18 февраля, 2013 · Жалоба А если использовать match vlan и полисить на физическом интерфейсе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
serg_sk Опубликовано 18 февраля, 2013 · Жалоба и как тогда разным пользователям выделить отдельные скорости? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
serg_sk Опубликовано 18 февраля, 2013 (изменено) · Жалоба Т.к. class-map с match-all(логическое И) для вланов не работает, и класс-мапы создаются с match-any(логическое ИЛИ), о чем говорит документация: "The router does not support the match-all keyword for VLAN-based classification." Была придумана затычка через жопу. Для каждого абонента создаем 1 аксес лист. Extended IP access list shape_xxx.xxx.xxx.xxx 10 permit ip any host xxx.xxx.xxx.xxx 20 permit ip host xxx.xxx.xxx.xxx any Создаем class-map: Class Map match-any xxx.xxx.xxx.xxx (id 2) Match access-group name shape_xxx.xxx.xxx.xxx Добавляем в policy-map: cisco6509#show policy-map Policy Map shapeout Class xxx.xxx.xxx.xxx police cir 10000000 bc 312500 conform-action transmit exceed-action drop Policy Map shapein Class xxx.xxx.xxx.xxx police cir 10000000 bc 312500 conform-action transmit exceed-action drop Тоесть для каждого пользователя создаем свой аксес-лист, клас-мап и добавляем класс-мап в полиси-мап. Проверил, работает для нескольких пользователей и все красиво режет. Сейчас напишу скрипт автоматического добавления всех и буду тестить под нагрузкой в 5к юзеров. Позже отпишусь, что вышло. Изменено 18 февраля, 2013 пользователем serg_sk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
serg_sk Опубликовано 18 февраля, 2013 · Жалоба Не получилось таким образом. 1. Уперся в полку по class-map в 4096 2. При таком количестве class-map циска нагружается на 100%. Как уменьшить количество class-map's? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
