https://www.opennet.ru/openforum/vsluhforumID6/18599.html Здравствуйте<br> <br> Кто используется UBRL (rate-limit на основе flow mask) на 6500 (или 4500)?<br>Может подкинете пример рабочей конфигурации на большое кол-во пользователей - <br>в примерах на циске и др есть только на одного/двух пользователей.<br> Вопрос вот в чем - как настроить UBRL на много пользователей - надо порядка 2000.<br>Пользователям выделены подсетки /30 и /29. По примеру получается что на каждого надо по<br>acl + class + строка в policy-map. Строк в policy-map вроде как максимум 255. <br>У меня все приходит через один интерфейс. Получается что такое кол-во юзеров полисить нельзя? <br> или пользователи обязательно должны быть размазаны по интерфейсам в количестве не более 255 на интерфейс чтобы их можно было разными policy-map описать?<br> https://www.opennet.ru/openforum/vsluhforumID6/18599.html#8 Tue, 21 Apr 2009 07:12:07 GMT &gt;Гм, получается усовершенствования идут в сторону удлинения маски, <br>&gt;а мне надо указать ее короче для случая с например /29, т.е. <br>&gt;что-то вроде <br>&gt;неполной маски source IP address. <br>&gt; В моем случае multiple flow masks не спасут, тут речь <br>&gt;только о том <br>&gt;что можно кого-то без учета TCP/UDP информации шейпить, а кого-то по приложениям. <br><br>Протестировал на src-only flow mask.<br><br>policy-map Limit-1M<br> class DATA<br> police flow mask src-only 1024000 64000 conform-action transmit exceed-action drop<br><br>Два vlan`а. Повесил алиасами по два ip адреса из подсети 172.16.133.0/24 на одну FreeBSD и 172.16.143.0/24 на вторую FreeBSD. Закрепил пары на cкачивания(172.16.133.3-172.16.143.3 и 172.16.133.30-172.16.143.30)<br><br>Действительно резало для каждого потока по 1Мб/с.<br><br><br>6500sup720#show ip cache flow<br>Displaying hardware-switched flow entries in the PFC (Standby) Module 1:<br> SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts<br><br> -- 172.16.143.3 --- https://www.opennet.ru/openforum/vsluhforumID6/18599.html#7 Tue, 21 Apr 2009 05:53:56 GMT Гм, получается усовершенствования идут в сторону удлинения маски,<br>а мне надо указать ее короче для случая с например /29, т.е. что-то вроде<br>неполной маски source IP address.<br> В моем случае multiple flow masks не спасут, тут речь только о том <br>что можно кого-то без учета TCP/UDP информации шейпить, а кого-то по приложениям.<br> А к приложениям не должно быть привязано, это вроде четко написано - для <br>этого маски отличные от full flow и нужны. <br> Насчет 128K (ну или 256K) это интересный вопрос. Хотелось бы знать еще речь идет о потоках с учетом flow-mask или нет. Судя по даташитам на sup720 это максимальное<br>число netflow потоков, т.е. ubrl тут не при чем. Можно предположить что при превышении<br>пакеты не будут попадать в netflow и соответственно шейпиться будет только то что попало.<br> Как будет возможность проверю поэкспериментирую.<br><br>&gt;[оверквотинг удален]<br>&gt;которые создают потоки и к количеству потоков. <br>&gt;И этих потоков согласно документации - 128К, а что будет при их <br>&gt;превышении хз. <br>&gt;А бороться - https://www.opennet.ru/openforum/vsluhforumID6/18599.html#6 Mon, 20 Apr 2009 07:15:09 GMT &gt;[оверквотинг удален]<br>&gt;с широкой маской. UBRL как частный случай microflow policing полисит по маске <br>&gt;per flow. <br>&gt;Соответсвенно если поток будет с каждого ip, то у меня получится на <br>&gt;каждый ip по например 1мб. Если я раздаю клиентам сети /30 <br>&gt;все хорошо, используемый ip там один. <br>&gt; Однако в случае если я дам сетку /29 или (не <br>&gt;дай бог :) /28 то у меня получится <br>&gt;что полисить будет по 1мб на каждый ip. Это действительно так или <br>&gt;я где-то заблудился? <br>&gt;И если так то как бороться? <br><br>User Based Rate Limiting is a form of Microflow Policing. As mentioned above, Microflow policing supports the policing of *individual* flows. The switch uses a flow mask to determine what constitutes a flow. There are a number of different flow masks available in the PFC1 and PFC2, and they include:<br>- Destination Only IP (this is the default)<br>- Source and Destination IP<br>- Full Flow (Source and Destination IP, Protocol and Source and Destination Port)<br><br>И думаю более интересное для PFC3x(интересно что здесь по https://www.opennet.ru/openforum/vsluhforumID6/18599.html#5 Thu, 09 Apr 2009 20:03:35 GMT Вот только еще об одном моменте подумал - в примере выше сеть описана одним acl<br>с широкой маской. UBRL как частный случай microflow policing полисит по маске per flow.<br>Соответсвенно если поток будет с каждого ip, то у меня получится на каждый ip по например 1мб. Если я раздаю клиентам сети /30 все хорошо, используемый ip там один.<br> Однако в случае если я дам сетку /29 или (не дай бог :) /28 то у меня получится<br>что полисить будет по 1мб на каждый ip. Это действительно так или я где-то заблудился?<br>И если так то как бороться?<br><br>&gt;[оверквотинг удален]<br>&gt;&gt;Policy-map Outbound <br>&gt;&gt;<br>&gt;&gt;Class 1Mbps-rate <br>&gt;&gt;<br>&gt;&gt;Police flow mask src-only 1000000 ... <br>&gt;&gt;<br>&gt;&gt;Int gig 3/1 <br>&gt;&gt;<br>&gt;&gt;Service-policy input Outbound <br>&gt;&gt;<br><br> https://www.opennet.ru/openforum/vsluhforumID6/18599.html#4 Tue, 07 Apr 2009 11:47:50 GMT Понятно, эту доку видел, но к сожалению в абзац не вчитался до полного понимания.<br>Значит второй вариант. <br> Спасибо.<br><br><br>&gt;[оверквотинг удален]<br>&gt;Policy-map Outbound <br>&gt;<br>&gt;Class 1Mbps-rate <br>&gt;<br>&gt;Police flow mask src-only 1000000 ... <br>&gt;<br>&gt;Int gig 3/1 <br>&gt;<br>&gt;Service-policy input Outbound <br>&gt;<br><br> https://www.opennet.ru/openforum/vsluhforumID6/18599.html#3 Tue, 07 Apr 2009 08:22:29 GMT &gt;[оверквотинг удален]<br>&gt;&gt;чегой-то слабо верится что у всех n абонентов скорости разные... <br>&gt;&gt;<br>&gt;&gt;может имеет смысл определить классы условно <br>&gt;&gt;128k <br>&gt;&gt;256k <br>&gt;&gt;512k <br>&gt;&gt;и группировать по классам ? <br>&gt;&gt;для каждого класса по acl'ю. адреса юзеров в acl'и <br>&gt;&gt;в полиси поклассовую резню :) <br>&gt;&gt;вроде должно работать... <br><br>http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps708/prod_white_paper09186a00800c8441.html<br><br>User-Based Rate Limiting (UBRL) on the Cisco Catalyst 6500 Supervisor Engine 32 and Cisco Catalyst 6500 Series Supervisor Engine 720 with Cisco IOS Software Only<br>User-Based Rate Limiting functionality is supported only on the Cisco Catalyst 6500 Supervisor Engine 32 and Cisco Catalyst 6500 Series Supervisor Engine 720 and is a microflow policing function which provides a means to rate limit many source or destination IP addresses to an individual rate. This configuration requires only two ACLs and can support a large number of users. Only supported in Cisco IOS Software, the example bel https://www.opennet.ru/openforum/vsluhforumID6/18599.html#2 Mon, 06 Apr 2009 17:36:23 GMT Пока не совсем понял идею - а за счет объединения нескольким юзерам не достанется<br>одна и та же полоса? Со скоростями именно так как вы и указали<br> Насколько я понял предложенное (например user1 и user2 тариф 256k, user3 512k):<br> <br> access-list 101 permit ip host 201.10.1.1 any # 256k user<br> access-list 102 permit ip host 201.10.1.2 any # 256k user<br> access-list 103 permit ip host 201.10.1.3 any # 512k user<br>class-map match-any identify-user-256k<br> match access-group 101<br> match access-group 102<br>class-map match-any identify-user-512k<br> match access-group 103<br>policy-map police-customer-traffic<br> class identify-user-256k<br> police flow mask src-only 256000 5000 conform-action transmit exceed action drop<br> class identify-user-512k<br> police flow mask src-only 512000 5000 conform-action transmit exceed action drop<br><br>interface gig3/1<br> service-policy input police-customer-traffic<br><br>А точно в таком случае user1 и user2 получат _каждый_ по 256k а не 256к на всех?<br><br>Или речь о таком https://www.opennet.ru/openforum/vsluhforumID6/18599.html#1 Mon, 06 Apr 2009 13:04:26 GMT &gt;[оверквотинг удален]<br>&gt;много пользователей - надо порядка 2000. <br>&gt;Пользователям выделены подсетки /30 и /29. По примеру получается что на каждого <br>&gt;надо по <br>&gt;acl + class + строка в policy-map. Строк в policy-map вроде как <br>&gt;максимум 255. <br>&gt;У меня все приходит через один интерфейс. Получается что такое кол-во юзеров <br>&gt;полисить нельзя? <br>&gt; или пользователи обязательно должны быть размазаны по интерфейсам в <br>&gt;количестве не более 255 на интерфейс чтобы их можно было разными <br>&gt;policy-map описать? <br><br>чегой-то слабо верится что у всех n абонентов скорости разные...<br><br>может имеет смысл определить классы условно<br>128k<br>256k<br>512k<br>и группировать по классам ?<br>для каждого класса по acl'ю. адреса юзеров в acl'и<br>в полиси поклассовую резню :)<br>вроде должно работать...<br>