Chính sách giao thông

Tôi biết chính sách giao thông không phải là thứ mà bạn thường tìm thấy trong môi trường mạng LAN và tôi ước tôi sẽ không tìm thấy nó trong tôi. Điều đó đang được nói ... Tôi không có lựa chọn.

Thiết bị này có kích thước 3750X. Yêu cầu là POLICE (không định hình) tất cả lưu lượng truy cập đến / từ các mạng 10.0.0.0 và 10.0.1.0 đến MAXIMUM ~ 48Mbps. Dưới đây là cấu hình tôi đã đưa ra. Whatd'ya nghĩ? Ngoài ra, tôi biết có lẽ tôi nên cấu hình cái này trên giao diện gửi đến, nhưng đó là một câu chuyện hoàn toàn ...

ip access-list extended acl-police
 permit ip 10.0.0.0 0.0.0.255 10.0.1.0 0.0.0.255
 permit ip 10.0.1.0 0.0.0.255 10.0.0.0 0.0.0.255
!
class-map police-san
 match access-group name acl-police
!
policy-map police-san-replication
 class police-san
  police 47000000 10000 20000 conform-action transmit exceed-action drop

interface <outbound>
service-policy output police-san-replication

Một điều khác ... Có ai có thể giải thích cho tôi "nổ bình thường" và "nổ tối đa" không? Điều này có cho phép nó nổ vượt quá giới hạn cảnh sát (bps) mà tôi đã xác định không? Ngưỡng hẹn giờ cho điều đó là gì? Tôi có nên cấu hình các số nổ nhỏ hơn? Lớn hơn?

Tôi sẽ sử dụng chính sách dựa trên vlan hoạt động tốt hơn trên các thiết bị chuyển mạch này. Đây là một ví dụ phù hợp với giá trị tốc độ 48Mb

mls qos
!
interface GigabitEthernet1/0/2
 switchport access vlan 500
 switchport mode access
 mls qos vlan-based
!
class-map match-all CUSTOMER_1
 match input-interface  GigabitEthernet1/0/2
!
policy-map VLAN500_POLICE
 class CUSTOMER_1
  police 48000000 18000000 exceed-action drop
!
policy-map VLAN500_PARENT
 class class-default
  set dscp default
  service-policy VLAN500_POLICE
!
interface Vlan500
 service-policy input VLAN500_PARENT

Theo chính sách cha mẹ, bạn phải 'thiết lập' một cái gì đó để nó hoạt động. Đây có thể là bất cứ điều gì vì vậy trong ví dụ này tôi chỉ đơn giản là đặt dscp thành 0

Giá trị bùng nổ của bạn trông hơi nhỏ. Chọn giá trị cụm là không dễ dàng và có thể cần phải thử nghiệm để làm cho đúng. Ngoài ra nếu tôi nhớ chính xác thì 3750 không hỗ trợ kiểm soát khi đi ra.

Bc hoạt động một chút khác biệt trong việc kiểm soát chính sách so với việc tạo hình. Với việc định hình các gói bộ đệm của bạn và bạn có một thùng mã thông báo trong đó Tc (khoảng thời gian) bạn có các byte Bc (Commited Burst) được thêm vào nhóm. Công thức là Tc = Bc / CIR. Trên một số nền tảng Tc cũng được sửa, vì vậy bạn không có tùy chọn cấu hình nó.

Khi bạn sử dụng chính sách, bạn không sử dụng khoảng thời gian cố định. Thay vào đó, khi gói đến, máy tính sẽ tính toán số lượng byte đã tích lũy. Vì vậy, nói rằng bạn đang kiểm soát ở tốc độ 10 Mbit / s. Bạn đã cấu hình Bc 10000 byte. Một gói tin nổ đến t0 tạo nên 5000 byte lưu lượng. Vì vậy, 5000 byte được khấu trừ. Sau đó, tại t1 5 ms, một lô 5000 byte khác sẽ đến. Bộ chính trị được đặt 10 Mbit / s, là 1250000 byte mỗi giây. Điều đó có nghĩa là 1250000 * 0,005 = 6250 byte đã được thêm vào 5000 còn lại từ lần chạy đầu tiên tại t0. Vì vậy, các gói được cho phép thông qua.

Từ ví dụ này, bạn có thể thấy rằng tại t1, nó có thể được phép gửi 5000 + 6250 = 11250 byte nhưng vì Bc đã được đặt thành 10000 byte nên máy đánh bóng sẽ giảm bất cứ thứ gì lên trên đó. Điều gì sẽ xảy ra nếu 6000 byte gói tin đã đến? Sau đó, một số gói sẽ phải được bỏ. Đây là nơi Be đi vào chơi. Be sẽ cho phép tích lũy một số tín dụng bổ sung từ các khoảng thời gian nhàn rỗi. Vì vậy, nếu Be đã được cấu hình là 20000 byte thì 6000 byte có thể đã được chuyển qua bộ điều khiển.

Được thêm một chút công bằng cho các chính sách nhưng nó cũng cho phép các luồng giao thông lớn hơn đi qua. Hãy nhớ rằng cuối cùng, CIR vẫn được thi hành vì vậy trung bình không thể gửi nhiều hơn CIR.

Bài viết này của Juniper khuyên bạn nên thiết lập lưu lượng truy cập tới 5ms, trong trường hợp của bạn sẽ là 6250000 byte.

Tôi không nghĩ rằng chính sách đầu ra hoạt động trên nền tảng này, nhưng bạn cần sử dụng SRR, và việc tạo hình thẳng thắn luôn luôn thích hợp hơn khi có thể.

Việc kích hoạt 'mls qos' willy-nilly trên 3750 có thể là công thức cho thảm họa, mặc định là khủng khiếp, ví dụ như EF bị phạt ở mức 4%. Vì vậy, ít nhất bạn nên đọc:

1. Làm thế nào để tối đa hóa bộ đệm có sẵn
2. Ví dụ cấu hình QoS của Cisco Catalyst 3750
3. Hướng dẫn cấu hình

Để xâm nhập cấu hình đề xuất của bạn nên làm việc.

Tôi muốn đưa ra một số suy nghĩ bổ sung về việc định kích thước bộ đệm CIR của bạn, tôi biết rằng truyền thuyết CCO truyền thống của Cisco nói về RTT, nhưng RTT thực sự không liên quan gì đến policer, vì bộ định tuyến / chuyển đổi của bạn không quan tâm đến việc gói tin đã ở trong bao lâu -flight khi nó đến. Điều quan trọng chính là tốc độ của giao diện xâm nhập, vì tốc độ vật lý của giao diện xâm nhập xác định tốc độ 'xô' của bạn được lấp đầy và tốc độ chính xác xác định tốc độ của nó nhanh như thế nào.

Công thức JNPR (boom_time * interface_rate) là quy tắc ngón tay cái khá hữu ích, vì vậy nếu bạn có giao diện xâm nhập 10G và bạn có chính sách phát ra 1Mbps trên giao diện A và chính sách đi ra 100Mbps trên giao diện B, cả hai cảnh sát [AB] đều có cùng bộ đệm CIR , giả sử 10G * 5ms để xử lý 5ms nổ, chỉ cần điều chỉnh thời gian để phù hợp với sự bùng nổ của hồ sơ lưu lượng truy cập của bạn.

Tôi đang sử dụng 'Bộ đệm CIR' một cách tự do, vì chính sách kỹ thuật không thêm bộ đệm bên ngoài từ bộ đệm giao diện thông thường của bạn. Nó chỉ có nghĩa là có bao nhiêu byte sẽ được gửi đi, mà không áp dụng chính sách. Điều này là cần thiết, vì nếu không, mỗi gói đơn lẻ sẽ vượt quá tốc độ chính xác và tỷ lệ quan sát được sẽ là 0.