The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Приоритет на NetFlow export"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Приоритет на NetFlow export"  
Сообщение от Алексей email(??) on 10-Фев-06, 07:39 
Нужно выставить приоритет на NetFlow export
Делаю так:


class-map match-any NetFlow
match access-group 7

policy-map markNetFlow
  class NetFlow
  set dscp cs7

interface Loopback0
description NetFlow
ip address yyy.yyy.yyy.yyy 255.255.255.240
no ip redirects
no ip unreachables
no ip proxy-arp
no snmp trap link-status
service-policy output markNetFlow

ip flow-export source Loopback0
ip flow-export version 5
ip flow-export destination xxx.xxx.xxx.xxx 9997

access-list 7 permit yyy.yyy.yyy.yyy

В итоге имею

10:01:37.963820 IP (tos 0x0, ttl 255, id 9551, offset 0, flags [none], proto 17, length: 1492) yyy.yyy.yyy.yyy.55984 > xxx.xxx.xxx.xxx.9997: UDP, length 1464
10:01:48.958815 IP (tos 0x0, ttl 255, id 9551, offset 0, flags [none], proto 17, length: 1252) yyy.yyy.yyy.yyy.55984 > xxx.xxx.xxx.xxx.9997: UDP, length 1224
10:02:07.950384 IP (tos 0x0, ttl 255, id 9551, offset 0, flags [none], proto 17, length: 292) yyy.yyy.yyy.yyy.55984 > xxx.xxx.xxx.xxx.9997: UDP, length 264


Но при этом

ping
Protocol [ip]:
Target IP address: xxx.xxx.xxx.xxx
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: Loopback0
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to xxx.xxx.xxx.xxx, timeout is 2 seconds:
Packet sent with a source address of yyy.yyy.yyy.yyy
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms


10:01:36.508226 IP (tos 0xe0, ttl 255, id 295, offset 0, flags [none], proto 1, length: 100) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: icmp 80: echo request seq 0
10:01:36.508297 IP (tos 0xe0, ttl  64, id 52710, offset 0, flags [none], proto 1, length: 100) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: icmp 80: echo reply seq 0
10:01:36.509487 IP (tos 0xe0, ttl 255, id 296, offset 0, flags [none], proto 1, length: 100) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: icmp 80: echo request seq 1
10:01:36.509527 IP (tos 0xe0, ttl  64, id 52711, offset 0, flags [none], proto 1, length: 100) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: icmp 80: echo reply seq 1
10:01:36.510309 IP (tos 0xe0, ttl 255, id 297, offset 0, flags [none], proto 1, length: 100) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: icmp 80: echo request seq 2
10:01:36.510347 IP (tos 0xe0, ttl  64, id 52712, offset 0, flags [none], proto 1, length: 100) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: icmp 80: echo reply seq 2
10:01:36.511290 IP (tos 0xe0, ttl 255, id 298, offset 0, flags [none], proto 1, length: 100) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: icmp 80: echo request seq 3
10:01:36.511325 IP (tos 0xe0, ttl  64, id 52713, offset 0, flags [none], proto 1, length: 100) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: icmp 80: echo reply seq 3
10:01:36.512140 IP (tos 0xe0, ttl 255, id 299, offset 0, flags [none], proto 1, length: 100) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: icmp 80: echo request seq 4
10:01:36.512175 IP (tos 0xe0, ttl  64, id 52714, offset 0, flags [none], proto 1, length: 100) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: icmp 80: echo reply seq 4


То есть приоритет ставится, но почему то NetFlow пакеты не попадают в class-map NetFlow. Аксес листы пробовал разные, пробовал делать маркировку с помощью ip local policy route-map, пробовал service-policy output markNetFlow вешать на исходящий интерфейс. Ситуация монописуальная ...

Помогите пожалуйста, или ткните че курить

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Приоритет на NetFlow export"  
Сообщение от Алексей email(??) on 10-Фев-06, 07:41 
Да забыл ...

Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(4)T1

Cisco 2821 (revision 53.51) with 249856K/12288K bytes of memory.
2 Gigabit Ethernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity enabled.
239K bytes of non-volatile configuration memory.
62720K bytes of ATA CompactFlash (Read/Write)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Приоритет на NetFlow export"  
Сообщение от Алексей email(??) on 10-Фев-06, 12:45 
Может NetFlow обрабатывается не по той схеме, что написана на cisco.com?

CEF or Fast Switching
Output common classification
Output ACLs
Output marking
Output policing (through a class-based policer or CAR)
Queueing (Class-Based Weighted Fair Queueing (CBWFQ) and Low Latency Queueing (LLQ)), and Weighted Random Early Detection (WRED)

Т.е. идет мимо Output marking ???

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Приоритет на NetFlow export"  
Сообщение от Алексей email(??) on 10-Фев-06, 14:07 
Сделал так

interface Loopback0
ip access-group 117 out

access-list 117 deny udp any host xxx.xxx.xxx.xxx eq 9997
access-list 117 permit ip any any

Как шел NetFlow поток на xxx.xxx.xxx.xxx так и идет ....

Соответственно он не попадает в Output ACLs.
До этого было выяснено, что маркироваться пакеты не хотят.

Осталось выянить вопрос подпадает ли NetFlow export в
Queueing (Class-Based Weighted Fair Queueing (CBWFQ) and Low Latency Queueing (LLQ)), and Weighted Random Early Detection (WRED)

Если попадает, то все очень плохо.
Если нет, т.е. пофиг на все "я тут самый главный", то это то чего и хотелось в итоге достич...

Только как проверить? Перемаркировать весь остальной трафик не представляется возможным.

Коллеги, присоветуйте плиз что делать, сроки очень поджимают ...
Может вообще не туда рою???

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Приоритет на NetFlow export"  
Сообщение от Сайко on 10-Фев-06, 14:18 
Я думаю проблема в том, что это локально рожденный роутером трафик, а не транзитный. Зачем тебе надо приоритезировать именно этот трафик? Какие у тебя проблемы?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Приоритет на NetFlow export"  
Сообщение от Алексей email(??) on 10-Фев-06, 15:22 
>Я думаю проблема в том, что это локально рожденный роутером трафик, а
>не транзитный. Зачем тебе надо приоритезировать именно этот трафик? Какие у
>тебя проблемы?

Интерфейсов всего два.
На обоих требуется CBWFQ, соответсвенно и возникает вопрос куда (в какую очередь) попадет трафик нетфлоу. Весь трафик маркирован. Если нетфлоу идет с dscp=0, то это кандидат на дроп при перегрузке ...
А мне этого надо избежать ...
Как? Единственное, видимое мной решение, промакировать нетфлоу экспорт.

Есть другие варианты?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Приоритет на NetFlow export"  
Сообщение от Алексей email(??) on 10-Фев-06, 15:24 
>Я думаю проблема в том, что это локально рожденный роутером трафик, а
>не транзитный.

А как же пинг?
Он вроде как тоже "локально рожденный роутером"... Но при этом я нормально могу его промаркировать.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Приоритет на NetFlow export"  
Сообщение от Сайко on 10-Фев-06, 16:19 
>>Я думаю проблема в том, что это локально рожденный роутером трафик, а
>>не транзитный.
>
>А как же пинг?
>Он вроде как тоже "локально рожденный роутером"... Но при этом я нормально
>могу его промаркировать.

Ну и что? Это же расширенный пинг!!! Ты еще можешь менять длину пакета и количество и даже df bit выставлять! И еще много чего! А дальше то что?

Может стоит подумать о local policy? А?
ip local policy route-map NetFlow
!
ip access-list extended NetFlow
permit udp host loopback.ip.address.here host Netflowcollector.ip.address.here eq 9997
!
!
route-map NetFlow permit 10
match ip address NetFlow
set ip precedence critical <--- 5 IPPrec
Или чтото подобное...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "Приоритет на NetFlow export"  
Сообщение от Алексей email(??) on 11-Фев-06, 10:03 
>Может стоит подумать о local policy? А?

Да в том то и дело, что это тоже не помогает. Я писал об этом в первом сообщении. Что-то у меня вообще ум за разум заходит.

Буду ставить тестовую железяку и софт разный пробовать.
Других идей пока нет. Может ВОЛКА свое веское слово скажет?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

13. "Приоритет на NetFlow export"  
Сообщение от Алексей email(??) on 13-Фев-06, 13:20 
>Буду ставить тестовую железяку и софт разный пробовать.

(C2800NM-ADVIPSERVICESK9-M), Version 12.4(3)
c2800nm-advipservicesk9-mz.124-3.bin

Ситуация таже ...

Идеи? Комментарии?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

14. "Приоритет на NetFlow export"  
Сообщение от ВОЛКА email on 13-Фев-06, 13:39 
ну а в эту сторону копали?
http://www.cisco.com/en/US/products/sw/iosswrel/ps1838/products_feature_guide09186a008052446b.html
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

15. "Приоритет на NetFlow export"  
Сообщение от Алексей email(??) on 22-Фев-06, 07:38 
>ну а в эту сторону копали?
>http://www.cisco.com/en/US/products/sw/iosswrel/ps1838/products_feature_guide09186a008052446b.html

Копнул - болт

Router(config)#control-plane
Router(config-cp)#service-policy output toInet
'QoS Set' not supported on control-plane
'match mpls' not supported on control-plane
error: failed to install policy map toInet

Короче не поддерживает, установку приоритетов ...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

16. "Приоритет на NetFlow export"  
Сообщение от ВОЛКА email on 22-Фев-06, 12:46 
а что за полиси вы привязывали?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

17. "Приоритет на NetFlow export"  
Сообщение от Алексей email(??) on 22-Фев-06, 15:59 
>а что за полиси вы привязывали?

policy-map toInet
  class NetControl
  set cos 7
  set precedence 7
  priority percent 2
  class Voice
  set cos 6
  priority percent 3
  class Interactive
  set cos 5
  priority percent 3
  class Media
  set cos 4
  bandwidth percent 5
  random-detect dscp-based
  random-detect dscp 32   450   500   50
  class Critical
  set cos 3
  bandwidth percent 5
  random-detect dscp-based
  random-detect dscp 26   450   500   100
  class Bisness
  set cos 2
  bandwidth percent 30
  random-detect dscp-based
  random-detect dscp 18   400   500   40
  class ftp
  set cos 0
  bandwidth percent 2
  random-detect dscp-based
  random-detect dscp 0   250   500   10
  class class-default
  set cos 1
  bandwidth percent 25
  random-detect dscp-based
  random-detect dscp 8   350   500   20

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

18. "Приоритет на NetFlow export"  
Сообщение от ВОЛКА email on 23-Фев-06, 00:24 
>>а что за полиси вы привязывали?
>
>policy-map toInet
>  class NetControl
>  set cos 7
>  set precedence 7
>  priority percent 2
>  class Voice
>  set cos 6
>  priority percent 3
>  class Interactive
>  set cos 5
>  priority percent 3
>  class Media
>  set cos 4
>  bandwidth percent 5
>  random-detect dscp-based
>  random-detect dscp 32   450   500  
> 50
>  class Critical
>  set cos 3
>  bandwidth percent 5
>  random-detect dscp-based
>  random-detect dscp 26   450   500  
> 100
>  class Bisness
>  set cos 2
>  bandwidth percent 30
>  random-detect dscp-based
>  random-detect dscp 18   400   500  
> 40
>  class ftp
>  set cos 0
>  bandwidth percent 2
>  random-detect dscp-based
>  random-detect dscp 0   250   500  
> 10
>  class class-default
>  set cos 1
>  bandwidth percent 25
>  random-detect dscp-based
>  random-detect dscp 8   350   500  
> 20
и зачем?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "offtopic"  
Сообщение от ВОЛКА email on 10-Фев-06, 21:27 
Сайко, у тебя e-mail есть?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "offtopic"  
Сообщение от Сайко on 10-Фев-06, 21:48 
>Сайко, у тебя e-mail есть?
Да есть, а что? не в домене nvisiongroup.ru конечно, но есть...

P.S. А что привет через Костика передали? ;) Хотя я не просил...И он обратно в AMT вернулся...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "offtopic"  
Сообщение от ВОЛКА email on 11-Фев-06, 02:53 
>>Сайко, у тебя e-mail есть?
>Да есть, а что? не в домене nvisiongroup.ru конечно, но есть...
дай, или кинь мне в почту...


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "offtopic"  
Сообщение от Сайко on 11-Фев-06, 09:11 
>дай, или кинь мне в почту...
Отправил, с mail.ru, в subject'е стоит ссылка на этот топик.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру