The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"настройка UBSL на 6500 для многих пользователей "
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"настройка UBSL на 6500 для многих пользователей "  
Сообщение от Skotovoz on 06-Апр-09, 12:23 
Здравствуйте

   Кто используется UBRL (rate-limit на основе flow mask) на 6500 (или 4500)?
Может подкинете пример рабочей конфигурации на большое кол-во пользователей -
в примерах на циске и др есть только на одного/двух пользователей.
   Вопрос вот в чем - как настроить UBRL на много пользователей - надо порядка 2000.
Пользователям выделены подсетки /30 и /29. По примеру получается что на каждого надо по
acl + class + строка в policy-map. Строк в policy-map вроде как максимум 255.
У меня все приходит через один интерфейс. Получается что такое кол-во юзеров полисить нельзя?
   или пользователи обязательно должны быть размазаны по интерфейсам в количестве не более 255 на интерфейс чтобы их можно было разными policy-map описать?
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "настройка UBSL на 6500 для многих пользователей "  
Сообщение от nixd on 06-Апр-09, 17:04 
>[оверквотинг удален]
>много пользователей - надо порядка 2000.
>Пользователям выделены подсетки /30 и /29. По примеру получается что на каждого
>надо по
>acl + class + строка в policy-map. Строк в policy-map вроде как
>максимум 255.
>У меня все приходит через один интерфейс. Получается что такое кол-во юзеров
>полисить нельзя?
>   или пользователи обязательно должны быть размазаны по интерфейсам в
>количестве не более 255 на интерфейс чтобы их можно было разными
>policy-map описать?

чегой-то слабо верится что у всех n абонентов скорости разные...

может имеет смысл определить классы условно
128k
256k
512k
и группировать по классам ?
для каждого класса по acl'ю. адреса юзеров в acl'и
в полиси поклассовую резню :)
вроде должно работать...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "настройка UBSL на 6500 для многих пользователей "  
Сообщение от skotovoz on 06-Апр-09, 21:36 
Пока не совсем понял идею - а за счет объединения нескольким юзерам не достанется
одна и та же полоса?  Со скоростями именно так как вы и указали
   Насколько я понял предложенное (например user1 и user2 тариф 256k, user3 512k):

  access-list 101 permit ip host 201.10.1.1 any      # 256k user
  access-list 102 permit ip host 201.10.1.2 any      # 256k user
  access-list 103 permit ip host 201.10.1.3 any      # 512k user
class-map match-any identify-user-256k
  match access-group 101
  match access-group 102
class-map match-any identify-user-512k
  match access-group 103
policy-map police-customer-traffic
  class identify-user-256k
   police flow mask src-only 256000 5000 conform-action transmit exceed action drop
  class identify-user-512k
   police flow mask src-only 512000 5000 conform-action transmit exceed action drop

interface gig3/1
   service-policy input police-customer-traffic

А точно в таком случае user1 и user2 получат _каждый_ по 256k а не 256к на всех?

Или речь о таком?
  access-list 101 permit ip host 201.10.1.1 any      # 256k user
  access-list 101 permit ip host 201.10.1.2 any      # 256k user
  access-list 103 permit ip host 201.10.1.3 any      # 512k user
class-map match-any identify-user-256k
  match access-group 101
class-map match-any identify-user-512k
  match access-group 103
policy-map police-customer-traffic
  class identify-user-256k
   police flow mask src-only 256000 5000 conform-action transmit exceed action drop
  class identify-user-512k
   police flow mask src-only 512000 5000 conform-action transmit exceed action drop

interface gig3/1
   service-policy input police-customer-traffic

Есть кто - у кого работает схема?


>[оверквотинг удален]
>чегой-то слабо верится что у всех n абонентов скорости разные...
>
>может имеет смысл определить классы условно
>128k
>256k
>512k
>и группировать по классам ?
>для каждого класса по acl'ю. адреса юзеров в acl'и
>в полиси поклассовую резню :)
>вроде должно работать...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "настройка UBSL на 6500 для многих пользователей "  
Сообщение от nixd on 07-Апр-09, 12:22 
>[оверквотинг удален]
>>чегой-то слабо верится что у всех n абонентов скорости разные...
>>
>>может имеет смысл определить классы условно
>>128k
>>256k
>>512k
>>и группировать по классам ?
>>для каждого класса по acl'ю. адреса юзеров в acl'и
>>в полиси поклассовую резню :)
>>вроде должно работать...

http://www.cisco.com/en/US/prod/collateral/switches/ps5718/p...

User-Based Rate Limiting (UBRL) on the Cisco Catalyst 6500 Supervisor Engine 32 and Cisco Catalyst 6500 Series Supervisor Engine 720 with Cisco IOS Software Only
User-Based Rate Limiting functionality is supported only on the Cisco Catalyst 6500 Supervisor Engine 32 and Cisco Catalyst 6500 Series Supervisor Engine 720 and is a microflow policing function which provides a means to rate limit many source or destination IP addresses to an individual rate. This configuration requires only two ACLs and can support a large number of users. Only supported in Cisco IOS Software, the example below demonstrates UBRL by rate limiting traffic from each user in a user-group to 1 Mbps each, going to the subnet 192.168.0.0/16:

Cisco IOS Software

Access-list 101 permit ip any 192.168.0.0 0.0.255.255

Class-map 1Mbps-rate

Match access-group 101

Policy-map Outbound

Class 1Mbps-rate

Police flow mask src-only 1000000 ...

Int gig 3/1

Service-policy input Outbound

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "настройка UBSL на 6500 для многих пользователей "  
Сообщение от Skotovoz on 07-Апр-09, 15:47 
Понятно, эту доку видел, но к сожалению в абзац не вчитался до полного понимания.
Значит второй вариант.
Спасибо.


>[оверквотинг удален]
>Policy-map Outbound
>
>Class 1Mbps-rate
>
>Police flow mask src-only 1000000 ...
>
>Int gig 3/1
>
>Service-policy input Outbound
>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "настройка UBSL на 6500 для многих пользователей "  
Сообщение от skotovoz on 10-Апр-09, 00:03 
Вот только еще об одном моменте подумал - в примере выше сеть описана одним acl
с широкой маской. UBRL как частный случай microflow policing полисит по маске per flow.
Соответсвенно если поток будет с каждого ip, то у меня получится на каждый ip по например 1мб. Если я раздаю клиентам сети /30 все хорошо, используемый ip там один.
  Однако в случае если я дам сетку /29 или (не дай бог :) /28 то у меня получится
что полисить будет по 1мб на каждый ip. Это действительно так или я где-то заблудился?
И если так то как бороться?

>[оверквотинг удален]
>>Policy-map Outbound
>>
>>Class 1Mbps-rate
>>
>>Police flow mask src-only 1000000 ...
>>
>>Int gig 3/1
>>
>>Service-policy input Outbound
>>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "настройка UBSL на 6500 для многих пользователей "  
Сообщение от haha email(??) on 20-Апр-09, 11:15 
>[оверквотинг удален]
>с широкой маской. UBRL как частный случай microflow policing полисит по маске
>per flow.
>Соответсвенно если поток будет с каждого ip, то у меня получится на
>каждый ip по например 1мб. Если я раздаю клиентам сети /30
>все хорошо, используемый ip там один.
>  Однако в случае если я дам сетку /29 или (не
>дай бог :) /28 то у меня получится
>что полисить будет по 1мб на каждый ip. Это действительно так или
>я где-то заблудился?
>И если так то как бороться?

User Based Rate Limiting is a form of Microflow Policing. As mentioned above, Microflow policing supports the policing of *individual* flows. The switch uses a flow mask to determine what constitutes a flow. There are a number of different flow masks available in the PFC1 and PFC2, and they include:
- Destination Only IP (this is the default)
- Source and Destination IP
- Full Flow (Source and Destination IP, Protocol and Source and Destination Port)

И думаю более интересное для PFC3x(интересно что здесь по умолчанию? - наверно Source IP Address):
The PFC3x introduced support for multiple flow masks to be used at the same time. It also added support
for a range of new flows masks including the following:
- Destination: Destination IP Address
- Source: Source IP Address
- Source & Destination: Source and Destination IP Address
- Interface, Source & Destination: Input interface, source and destination IP address
- Full: Source, Destination IP address, IP protocol, TCP/UDP source and destination ports if present
- Interface, Full: Input interface, Source, Destination IP address, IP protocol, TCP/UDP source and destination ports if present

Думаю да, да и к тому же не факт что на один уникальный ip будет резать по 1мб, здесь скорее привязка к приложениям которые создают потоки и к количеству потоков.
И этих потоков согласно документации - 128К, а что будет при их превышении хз.
А бороться - наверно выбирать правильную "flow mask".

For the PFC1, PFC2, PFC3 and PFC3B you can rate limit up to 128K+ unique flows using up to 63 different rate + traffic class combinations. The PFC3BXL allows up to 256K flows to be policed. For Aggregate policers, there is a system limit of 1023 policers and this applies across all PFC versions.


>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "настройка UBSL на 6500 для многих пользователей "  
Сообщение от skotovoz on 21-Апр-09, 09:53 
Гм, получается усовершенствования идут в сторону удлинения маски,
а мне надо указать ее короче для случая с например /29, т.е. что-то вроде
неполной маски source IP address.
  В моем случае multiple flow masks не спасут, тут речь только о том
что можно кого-то без учета TCP/UDP информации шейпить, а кого-то по приложениям.
  А к приложениям не должно быть привязано, это вроде четко написано - для
этого маски отличные от full flow и нужны.
Насчет 128K (ну или 256K) это интересный вопрос. Хотелось бы знать еще речь идет о потоках с учетом flow-mask или нет. Судя по даташитам на sup720 это максимальное
число netflow потоков, т.е. ubrl тут не при чем. Можно предположить что при превышении
пакеты не будут попадать в netflow и соответственно шейпиться будет только то что попало.
Как будет возможность проверю поэкспериментирую.

>[оверквотинг удален]
>которые создают потоки и к количеству потоков.
>И этих потоков согласно документации - 128К, а что будет при их
>превышении хз.
>А бороться - наверно выбирать правильную "flow mask".
>
>For the PFC1, PFC2, PFC3 and PFC3B you can rate limit up
>to 128K+ unique flows using up to 63 different rate +
>traffic class combinations. The PFC3BXL allows up to 256K flows to
>be policed. For Aggregate policers, there is a system limit of
>1023 policers and this applies across all PFC versions.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "настройка UBSL на 6500 для многих пользователей "  
Сообщение от haha email(??) on 21-Апр-09, 11:12 
>Гм, получается усовершенствования идут в сторону удлинения маски,
>а мне надо указать ее короче для случая с например /29, т.е.
>что-то вроде
>неполной маски source IP address.
>  В моем случае multiple flow masks не спасут, тут речь
>только о том
>что можно кого-то без учета TCP/UDP информации шейпить, а кого-то по приложениям.

Протестировал на src-only flow mask.

policy-map Limit-1M
  class DATA
     police flow mask src-only 1024000 64000 conform-action transmit exceed-action drop

Два vlan`а. Повесил алиасами по два ip адреса из подсети 172.16.133.0/24 на одну FreeBSD и 172.16.143.0/24 на вторую FreeBSD. Закрепил пары на cкачивания(172.16.133.3-172.16.143.3 и 172.16.133.30-172.16.143.30)

Действительно резало для каждого потока по 1Мб/с.


6500sup720#show ip cache flow
Displaying hardware-switched flow entries in the PFC (Standby) Module 1:
SrcIf            SrcIPaddress     DstIf            DstIPaddress    Pr SrcP DstP  Pkts

--               172.16.143.3     ---              0.0.0.0         00 0000 0000    33K
--               0.0.0.0          ---              0.0.0.0         00 0000 0000   478K
--               172.16.133.30    ---              0.0.0.0         00 0000 0000    21K
--               172.16.133.3     ---              0.0.0.0         00 0000 0000    28K
--               172.16.143.30    ---              0.0.0.0         00 0000 0000    21K


Действительно странно, меньше то получается flow mask`и и нет. Даже если укажешь source-only маску(а как я это понимаю это минимальная), то для каждого ip`а из подсети /29 получишь по записи в netflow таблице, а соответствено и полисинг будет по 1Мб на каждый ip. Ну и нафиг такая нарезка через flow masks если выдал пользователю /29 и он сидит довольный что у него на каждый ip по 1Мб :)

>  А к приложениям не должно быть привязано, это вроде четко
>написано - для
>этого маски отличные от full flow и нужны.

Это если src-only использовать то будет на один ip завязано, а если взять flow mask побольше, скажем с учётом портов, то тут уже и на каждый отдельный поток будет резать скорость. Запустил wget в 5 потоков и у тебя 5Мбит/c, хочешь больше скорость - делай больше потоков! :)

> Насчет 128K (ну или 256K) это интересный вопрос. Хотелось бы знать
>еще речь идет о потоках с учетом flow-mask или нет. Судя
>по даташитам на sup720 это максимальное
>число netflow потоков, т.е. ubrl тут не при чем. Можно предположить что
>при превышении
>пакеты не будут попадать в netflow и соответственно шейпиться будет только то
>что попало.
> Как будет возможность проверю поэкспериментирую.

Если будут результаты, скинь сюда, интересно посмотреть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру