Controllo del traffico

So che la sorveglianza del traffico non è qualcosa che normalmente trovi in ​​un ambiente LAN, e vorrei non trovarlo nel mio. Detto questo ... Non ho scelta.

Il dispositivo è un 3750X. Il requisito è POLIZIA (non modellare) tutto il traffico proveniente da / dalle reti 10.0.0.0 e 10.0.1.0 fino a un MASSIMO di ~ 48 Mbps. Di seguito è la configurazione che ho escogitato. Cosa pensi? Inoltre, so che probabilmente dovrei averlo configurato sull'interfaccia in entrata, ma questa è tutta un'altra storia ...

ip access-list extended acl-police
 permit ip 10.0.0.0 0.0.0.255 10.0.1.0 0.0.0.255
 permit ip 10.0.1.0 0.0.0.255 10.0.0.0 0.0.0.255
!
class-map police-san
 match access-group name acl-police
!
policy-map police-san-replication
 class police-san
  police 47000000 10000 20000 conform-action transmit exceed-action drop

interface <outbound>
service-policy output police-san-replication

Un'altra cosa ... Qualcuno può spiegarmi "burst-normal" e "burst-max" ? Ciò gli consente di superare il limite di polizia (bps) che ho definito? Quali sono le soglie del timer per questo? Devo configurare questi numeri di burst più piccoli? Più grandi?

Vorrei utilizzare la polizia basata su Vlan che funziona meglio su questi switch. Questo è un esempio corrispondente a un valore di velocità di 48 Mb

mls qos
!
interface GigabitEthernet1/0/2
 switchport access vlan 500
 switchport mode access
 mls qos vlan-based
!
class-map match-all CUSTOMER_1
 match input-interface  GigabitEthernet1/0/2
!
policy-map VLAN500_POLICE
 class CUSTOMER_1
  police 48000000 18000000 exceed-action drop
!
policy-map VLAN500_PARENT
 class class-default
  set dscp default
  service-policy VLAN500_POLICE
!
interface Vlan500
 service-policy input VLAN500_PARENT

In base alla politica principale devi 'impostare' qualcosa affinché funzioni. Questo potrebbe essere qualsiasi cosa, quindi in questo esempio sto semplicemente impostando dscp su 0

I tuoi valori di scoppio sembrano un po 'piccoli. Scegliere i valori di burst non è facile e potrebbero essere necessari dei test per farlo correttamente. Anche se ricordo bene 3750 non supporta la polizia in uscita.

Bc funziona un po 'diversamente nella sorveglianza rispetto alla modellatura. Con la modellazione dei pacchetti di buffer e si ha un bucket token ovunque Tc (intervallo di tempo) si abbiano byte Bc (Commited Burst) aggiunti al bucket. La formula è Tc = Bc / CIR. Su alcune piattaforme anche Tc è fisso, quindi non hai la possibilità di configurarlo.

Quando usi la polizia non usi intervalli di tempo fissi. Invece quando arriva il pacchetto policer calcola quanti byte hanno accumulato. Quindi supponiamo che tu stia controllando a 10 Mbit / s. Hai configurato un Bc di 10000 byte. Un pacchetto burst arriva a t0 che costituisce 5000 byte di traffico. Quindi vengono detratti 5000 byte. Quindi a t1 5 ms dopo arriva un altro batch di 5000 byte di pacchetti. Il policer è impostato su 10 Mbit / s, ovvero 1250000 byte al secondo. Ciò significa che 1250000 * 0,005 = 6250 byte sono stati aggiunti ai 5000 rimasti dalla prima corsa a t0. Quindi i pacchetti sono ammessi attraverso.

Da questo esempio si può vedere che in t1 avrebbe potuto essere consentito inviare 5000 + 6250 = 11250 byte ma poiché Bc era impostato su 10000 byte, il policer avrebbe lasciato cadere qualsiasi cosa al di sopra. E se fossero arrivati ​​6000 byte di pacchetti? Quindi alcuni pacchetti dovrebbero essere eliminati. Qui entra in gioco Be. Be consentirà di accumulare ulteriore credito dagli intervalli di inattività. Quindi, se Be fosse stato configurato per essere 20000 byte, i 6000 byte avrebbero potuto essere passati attraverso il policer.

Be aggiunge un po 'di equità al poliziotto, ma consente anche a grandi esplosioni di traffico. Ricorda che alla fine il CIR è ancora applicato, quindi in media non è possibile inviare più di CIR.

Questo articolo di Juniper consiglia di impostare un flusso di traffico a 5ms che nel tuo caso sarebbe 6250000 byte.

Non credo che la sorveglianza degli egressi funzioni su questa piattaforma, ma avresti bisogno di usare SRR e francamente la modellatura è sempre preferibile quando possibile.

Abilitare 'mls qos' volenti o nolenti su 3750 può essere la ricetta per un disastro, i valori di default sono orribili, ad esempio EF viene sorvegliato al 4%. Quindi dovresti almeno leggere:

1. Come massimizzare i buffer disponibili
2. Esempi di configurazione di Cisco Catalyst 3750 QoS
3. Guida alla configurazione

Per l'ingresso, la configurazione suggerita dovrebbe funzionare.

Vorrei offrire alcune considerazioni aggiuntive sul dimensionamento del buffer CIR, so che la tradizione Cisco CCO parla di RTT, ma RTT in realtà non ha nulla a che fare con il policer, poiché al router / switch non importa da quanto tempo è stato inserito il pacchetto -Volo quando arriva. Ciò che è di fondamentale importanza è la velocità dell'interfaccia di ingresso, poiché la velocità fisica dell'interfaccia di ingresso determina la velocità con cui il tuo 'secchio' viene riempito e il tasso di polizia determina la velocità con cui viene svuotato.

La formula JNPR (burst_time * interface_rate) è una regola empirica molto utile, quindi se hai un'interfaccia di ingresso 10G e hai un poliziotto di uscita a 1 Mb nell'interfaccia A e un poliziotto di uscita a 100 Mbps sull'interfaccia B, entrambi i poliziotti [AB] dovrebbero avere lo stesso buffer CIR , ad esempio 10G * 5ms per gestire lo scoppio di 5ms, basta regolare il tempo per adattarsi allo sfarfallio del profilo del traffico.

Sto usando 'CIR Buffer' liberamente, poiché tecnicamente la polizia non aggiunge buffering al di fuori dei normali buffer di interfaccia. Significa solo quanti byte verranno inviati, senza applicare il policer. Ciò è necessario, poiché altrimenti ogni singolo pacchetto supererebbe il tasso di policer e il tasso osservabile sarebbe 0.