Pemolisian Lalu Lintas

Saya tahu pemolisian lalu lintas bukanlah sesuatu yang biasanya Anda temukan di lingkungan LAN, dan saya berharap saya tidak akan menemukannya di tambang. Dikatakan ... Saya tidak punya pilihan.

Perangkat ini berukuran 3750X. Syaratnya adalah POLICE (bukan bentuk) semua lalu lintas yang datang ke / dari jaringan 10.0.0.0 dan 10.0.1.0 ke MAKSIMUM ~ 48Mbps. Di bawah ini adalah konfigurasi yang saya buat. Bagaimana menurutmu? Juga, saya tahu saya mungkin harus mengkonfigurasi ini pada antarmuka inbound, tapi itu cerita keseluruhan '...

ip access-list extended acl-police
 permit ip 10.0.0.0 0.0.0.255 10.0.1.0 0.0.0.255
 permit ip 10.0.1.0 0.0.0.255 10.0.0.0 0.0.0.255
!
class-map police-san
 match access-group name acl-police
!
policy-map police-san-replication
 class police-san
  police 47000000 10000 20000 conform-action transmit exceed-action drop

interface <outbound>
service-policy output police-san-replication

Satu hal lagi ... Adakah yang bisa menjelaskan kepada saya "burst-normal" & "burst-max" ? Apakah ini membiarkannya meledak di atas batas polisi (bps) yang saya definisikan? Berapa ambang batas waktu untuk itu? Haruskah saya mengkonfigurasi angka burst ini lebih kecil? Lebih besar?

Saya akan menggunakan kepolisian berbasis vlan yang bekerja lebih baik pada switch ini. Ini adalah contoh yang cocok dengan nilai kecepatan 48Mb

mls qos
!
interface GigabitEthernet1/0/2
 switchport access vlan 500
 switchport mode access
 mls qos vlan-based
!
class-map match-all CUSTOMER_1
 match input-interface  GigabitEthernet1/0/2
!
policy-map VLAN500_POLICE
 class CUSTOMER_1
  police 48000000 18000000 exceed-action drop
!
policy-map VLAN500_PARENT
 class class-default
  set dscp default
  service-policy VLAN500_POLICE
!
interface Vlan500
 service-policy input VLAN500_PARENT

Di bawah kebijakan induk Anda harus 'mengatur' sesuatu agar dapat berfungsi. Ini bisa apa saja jadi dalam contoh ini saya hanya mengatur dscp ke 0

Nilai burst Anda terlihat agak kecil. Memilih nilai burst tidak mudah dan pengujian mungkin diperlukan untuk memperbaikinya. Juga jika saya ingat dengan benar 3750 tidak mendukung kebijakan pada jalan keluar.

Bc bekerja sedikit berbeda dalam pemolisian daripada dalam membentuk. Dengan membentuk paket penyangga Anda dan Anda memiliki token bucket di mana Tc (interval waktu) pernah Anda tambahkan byte Bc (Commited Burst) yang ditambahkan ke ember. Rumusnya adalah Tc = Bc / CIR. Pada beberapa platform, Tc diperbaiki juga sehingga Anda tidak memiliki opsi untuk mengonfigurasinya.

Saat Anda menggunakan kebijakan, Anda tidak menggunakan interval waktu yang tetap. Sebaliknya ketika paket tiba, polisi menghitung berapa banyak byte yang telah terakumulasi. Jadi katakan bahwa Anda menjaga pada 10 Mbit / s. Anda telah mengonfigurasi Bc 10.000 byte. Paket burst tiba di t0 yang menghasilkan 5000 byte traffic. Jadi 5000 byte dikurangi. Kemudian pada t1 5 ms kemudian batch lain 5000 byte paket tiba. Policer diatur 10 Mbit / s, yaitu 1250000 byte per detik. Itu berarti bahwa 1250000 * 0,005 = 6250 byte telah ditambahkan ke 5000 yang tersisa dari proses pertama pada t0. Jadi paket-paket diizinkan melalui.

Dari contoh ini Anda dapat melihat bahwa pada t1 dapat diizinkan untuk mengirim 5000 + 6250 = 11250 byte tetapi karena Bc diatur ke 10.000 byte, polisi akan menjatuhkan apa pun di atas itu. Bagaimana jika 6000 byte paket telah tiba? Maka beberapa paket harus dijatuhkan. Di sinilah Be berperan. Be akan memungkinkan untuk mengakumulasikan sejumlah kredit tambahan dari interval idle. Jadi, jika Be telah dikonfigurasikan menjadi 20000 byte, maka 6000 byte tersebut dapat dilewatkan melalui policer.

Jadilah menambahkan sedikit keadilan kepada polisi tetapi juga memungkinkan ledakan lalu lintas yang lebih besar untuk dilalui. Ingat bahwa pada akhirnya CIR masih diberlakukan sehingga rata-rata tidak mungkin mengirim lebih dari CIR.

Artikel ini dari Juniper merekomendasikan pengaturan burst ke lalu lintas senilai 5ms yang dalam kasus Anda adalah 6250000 byte.

Saya tidak berpikir egress policing berfungsi pada platform ini, tetapi Anda harus menggunakan SRR, dan terus terang selalu lebih baik jika memungkinkan.

Mengaktifkan 'mls qos' mau tak mau pada 3750 bisa menjadi resep bencana, standarnya mengerikan, misalnya EF mendapat pengawasan pada 4%. Jadi Anda setidaknya harus membaca:

1. Cara memaksimalkan buffer yang tersedia
2. Contoh Konfigurasi Cisco Catalyst 3750 QoS
3. Panduan Konfigurasi

Untuk masuknya konfigurasi yang disarankan Anda harus bekerja.

Saya ingin menawarkan beberapa pemikiran tambahan tentang dimensi buffer CIR Anda, saya tahu bahwa pengetahuan tradisional Cisco CCO berbicara tentang RTT, tetapi RTT sebenarnya tidak ada hubungannya dengan policer, karena router / switch Anda tidak peduli berapa lama paket telah berada dalam -mencari ketika tiba. Apa yang paling penting adalah tingkat antarmuka masuknya, karena laju fisik antarmuka masuknya menentukan seberapa cepat 'ember' Anda diisi dan tingkat polisi menentukan seberapa cepat itu dikosongkan.

Rumus JNPR (burst_time * interface_rate) cukup berguna, jadi jika Anda memiliki antarmuka masuk 10G dan Anda memiliki 1Mbps policer jalan keluar pada antarmuka A dan 100Mbps poliser jalan keluar pada antarmuka B, kedua [AB] polisi harus memiliki buffer CIR yang sama , katakanlah 10G * 5ms untuk menangani burst 5ms, sesuaikan waktunya agar sesuai dengan ledakan profil lalu lintas Anda.

Saya menggunakan 'CIR Buffer' secara bebas, karena pemolisian teknis tidak menambahkan buffering di luar dari buffer antarmuka normal Anda. Ini berarti berapa banyak byte yang akan dikirim, tanpa menerapkan kebijakan. Ini diperlukan, karena jika tidak setiap paket tunggal akan melebihi tingkat polisi dan laju yang dapat diamati adalah 0.