Verkehrspolizei

8

Ich weiß, dass Verkehrspolizei normalerweise in einer LAN-Umgebung nicht zu finden ist, und ich wünschte, ich würde sie in meiner nicht finden. Davon abgesehen ... Ich habe keine Wahl.

Das Gerät ist ein 3750X. Die Anforderung besteht darin, den gesamten Datenverkehr, der zu / von den Netzwerken 10.0.0.0 und 10.0.1.0 kommt, auf ein Maximum von ~ 48 Mbit / s zu überwachen (nicht zu formen). Unten ist die Konfiguration, die ich mir ausgedacht habe. Was meinst du? Ich weiß auch, dass ich dies wahrscheinlich auf der Eingangsschnittstelle konfigurieren sollte, aber das ist eine ganz andere Geschichte ...

ip access-list extended acl-police
 permit ip 10.0.0.0 0.0.0.255 10.0.1.0 0.0.0.255
 permit ip 10.0.1.0 0.0.0.255 10.0.0.0 0.0.0.255
!
class-map police-san
 match access-group name acl-police
!
policy-map police-san-replication
 class police-san
  police 47000000 10000 20000 conform-action transmit exceed-action drop

interface <outbound>
service-policy output police-san-replication

Eine andere Sache ... Kann mir jemand das "Burst-Normal" & "Burst-Max" erklären ? Erlaubt dies, dass es über die von mir definierte Polizeigrenze (bps) hinaus platzt? Was sind die Timer-Schwellenwerte dafür? Sollte ich diese Burst-Nummern kleiner konfigurieren? Größer?

BrianK
quelle
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

10

Ich würde eine vlan-basierte Überwachung verwenden, die auf diesen Switches besser funktioniert. Dies ist ein Beispiel, das einem Geschwindigkeitswert von 48 MB entspricht

mls qos
!
interface GigabitEthernet1/0/2
 switchport access vlan 500
 switchport mode access
 mls qos vlan-based
!
class-map match-all CUSTOMER_1
 match input-interface  GigabitEthernet1/0/2
!
policy-map VLAN500_POLICE
 class CUSTOMER_1
  police 48000000 18000000 exceed-action drop
!
policy-map VLAN500_PARENT
 class class-default
  set dscp default
  service-policy VLAN500_POLICE
!
interface Vlan500
 service-policy input VLAN500_PARENT

Unter der übergeordneten Richtlinie müssen Sie etwas festlegen, damit es funktioniert. Dies kann alles sein, also setze ich in diesem Beispiel einfach den dscp auf 0

mellowd
quelle
Vielen Dank dafür, aber es fällt mir schwer, der Logik hier zu folgen. Warum sind zwei Richtlinienzuordnungen verschachtelt? Gibt es einen Grund, warum Sie die VLAN500_POLICE-Map nicht einfach direkt auf die Vlan SVI anwenden können?
BrianK
Mit dem 3750 können Sie erst dann polizeilich vorgehen, wenn Sie eine Software-Warteschlange haben. Um eine Software-Warteschlange zu erhalten, benötigen Sie eine Richtlinie. Daher die Notwendigkeit für die verschachtelte Richtlinie
mellowd
7

Ihre Burst-Werte sehen etwas klein aus. Die Auswahl von Burst-Werten ist nicht einfach und es sind möglicherweise Tests erforderlich, um sie richtig zu machen. Auch wenn ich mich richtig erinnere, unterstützt 3750 die Überwachung beim Austritt nicht.

Bc arbeitet bei der Polizeiarbeit etwas anders als bei der Gestaltung. Mit Shaping puffern Sie Pakete und haben einen Token-Bucket, wo immer Tc (Zeitintervall) Sie Bc (Commited Burst) Bytes zum Bucket hinzugefügt haben. Die Formel lautet Tc = Bc / CIR. Auf einigen Plattformen ist Tc ebenfalls behoben, sodass Sie nicht die Möglichkeit haben, es zu konfigurieren.

Wenn Sie die Polizeiarbeit verwenden, verwenden Sie keine festen Zeitintervalle. Stattdessen berechnet der Policer beim Eintreffen des Pakets, wie viele Bytes sich angesammelt haben. Angenommen, Sie überwachen mit 10 Mbit / s. Sie haben einen Bc von 10000 Bytes konfiguriert. Ein Burst-Paket kommt bei t0 an, das 5000 Byte Verkehr ausmacht. So werden 5000 Bytes abgezogen. Dann, um t1 5 ms später, kommt ein weiterer Stapel von 5000 Bytes von Paketen an. Der Policer ist auf 10 Mbit / s eingestellt, was 1250000 Bytes pro Sekunde entspricht. Das bedeutet, dass 1250000 * 0,005 = 6250 Bytes zu den 5000 hinzugefügt wurden, die vom ersten Lauf bei t0 übrig waren. So werden die Pakete durchgelassen.

In diesem Beispiel können Sie sehen, dass es bei t1 erlaubt gewesen sein könnte, 5000 + 6250 = 11250 Bytes zu senden, aber da Bc auf 10000 Bytes eingestellt war, würde der Polizist alles darüber fallen lassen. Was wäre, wenn 6000 Bytes Pakete eingetroffen wären? Dann müssten einige Pakete verworfen werden. Hier kommt Be ins Spiel. Be ermöglicht es, aus Leerlaufintervallen zusätzliches Guthaben zu sammeln. Wenn Be also auf 20000 Bytes konfiguriert worden wäre, könnten die 6000 Bytes durch den Policer geleitet worden sein.

Be verleiht dem Polizisten ein wenig Fairness, lässt aber auch größere Verkehrsstöße zu. Denken Sie daran, dass die CIR am Ende immer noch erzwungen wird, sodass im Durchschnitt nicht mehr als CIR gesendet werden kann.

In diesem Artikel von Juniper wird empfohlen, den Burst auf 5 ms Datenverkehr einzustellen, was in Ihrem Fall 6250000 Byte entspricht.

Daniel Dib
quelle
Beachten Sie, dass Tc in den meisten Catalyst-Boxen ein fester Wert ist, auch wenn die Formel Bc = Tc \ CIR auf jeder aktuellen Cisco-Plattform gültig ist. Dh. ist 0,25 ms auf C6500, während es 0,125 ms auf C3750 ist, ecc ...
Marco Marzetti
7

Ich denke nicht, dass die Ausgangspolizei auf dieser Plattform funktioniert, aber Sie müssten SRR verwenden, und offen gesagt ist eine Formgebung immer vorzuziehen, wenn dies möglich ist.

Das willkürliche Aktivieren von 'mls qos' auf 3750 kann ein Rezept für eine Katastrophe sein. Die Standardeinstellungen sind schrecklich, z. B. wird EF mit 4% überwacht. Sie sollten also zumindest lesen:

  1. So maximieren Sie die verfügbaren Puffer
  2. Beispiele für die QoS-Konfiguration von Cisco Catalyst 3750
  3. Konfigurationshandbuch

Für den Einstieg sollte Ihre vorgeschlagene Konfiguration funktionieren.

Ich möchte einige zusätzliche Gedanken zur Dimensionierung Ihres CIR-Puffers machen. Ich weiß, dass die traditionelle Cisco CCO-Überlieferung über RTT spricht, aber RTT hat eigentlich nichts mit dem Policer zu tun, da es Ihrem Router / Switch egal ist, wie lange das Paket eingeht -Flug, wenn es ankommt. Was von zentraler Bedeutung ist, ist die Rate der Eingangsschnittstelle, da die physische Rate der Eingangsschnittstelle bestimmt, wie schnell Ihr "Eimer" gefüllt wird, und die Überwachungsrate bestimmt, wie schnell er geleert wird.

Die JNPR-Formel (Burst_time * Interface_rate) ist eine sehr nützliche Faustregel. Wenn Sie also eine 10G-Eingangsschnittstelle und einen 1-Mbit / s-Egress-Policer auf Schnittstelle A und einen 100-Mbit / s-Egress-Policer auf Schnittstelle B haben, sollten beide [AB] -Polizisten denselben CIR-Puffer haben Sagen wir 10G * 5ms, um 5ms Burst zu verarbeiten. Passen Sie einfach die Zeit an die Burstigkeit Ihres Verkehrsprofils an.

Ich verwende 'CIR Buffer' großzügig, da die technische Überwachung keine Pufferung außerhalb Ihrer normalen Schnittstellenpuffer hinzufügt. Es bedeutet nur, wie viele Bytes gesendet werden, ohne dass ein Policer angewendet wird. Dies ist erforderlich, da andernfalls jedes einzelne Paket die Überwachungsrate überschreiten würde und die beobachtbare Rate 0 wäre.

ytti
quelle
Warum sollten beide Polizisten dieselbe CIR sein, wenn Sie bei A & B unterschiedliche Austrittsraten überwachen?
Generalnetworkerror
3
Nicht die gleiche CIR-Rate, aber der gleiche CIR-Puffer. Wenn Sie den Puffer zum Abfangen von Bursts verwenden, beträgt die eingehende Rate immer 10 Gbit / s, da die eingehende Rate nicht 100 Mbit / s oder 1 Mbit / s beträgt. Ähnlich wie wenn Ihr Router physische Schnittstellen von nur 10 G hat, benötigt er kleine Puffer. Wenn Ihr Router eine physische Schnittstelle von 10 G und 10 MB hat, benötigt er viel mehr Puffer.
Ytti