Нужно выставить приоритет на NetFlow export
Делаю так:
class-map match-any NetFlow
match access-group 7
policy-map markNetFlow
class NetFlow
set dscp cs7
interface Loopback0
description NetFlow
ip address yyy.yyy.yyy.yyy 255.255.255.240
no ip redirects
no ip unreachables
no ip proxy-arp
no snmp trap link-status
service-policy output markNetFlow
ip flow-export source Loopback0
ip flow-export version 5
ip flow-export destination xxx.xxx.xxx.xxx 9997
access-list 7 permit yyy.yyy.yyy.yyy
В итоге имею
10:01:37.963820 IP (tos 0x0, ttl 255, id 9551, offset 0, flags [none], proto 17, length: 1492) yyy.yyy.yyy.yyy.55984 > xxx.xxx.xxx.xxx.9997: UDP, length 1464
10:01:48.958815 IP (tos 0x0, ttl 255, id 9551, offset 0, flags [none], proto 17, length: 1252) yyy.yyy.yyy.yyy.55984 > xxx.xxx.xxx.xxx.9997: UDP, length 1224
10:02:07.950384 IP (tos 0x0, ttl 255, id 9551, offset 0, flags [none], proto 17, length: 292) yyy.yyy.yyy.yyy.55984 > xxx.xxx.xxx.xxx.9997: UDP, length 264
Но при этом
ping
Protocol [ip]:
Target IP address: xxx.xxx.xxx.xxx
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: Loopback0
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to xxx.xxx.xxx.xxx, timeout is 2 seconds:
Packet sent with a source address of yyy.yyy.yyy.yyy
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
10:01:36.508226 IP (tos 0xe0, ttl 255, id 295, offset 0, flags [none], proto 1, length: 100) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: icmp 80: echo request seq 0
10:01:36.508297 IP (tos 0xe0, ttl 64, id 52710, offset 0, flags [none], proto 1, length: 100) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: icmp 80: echo reply seq 0
10:01:36.509487 IP (tos 0xe0, ttl 255, id 296, offset 0, flags [none], proto 1, length: 100) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: icmp 80: echo request seq 1
10:01:36.509527 IP (tos 0xe0, ttl 64, id 52711, offset 0, flags [none], proto 1, length: 100) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: icmp 80: echo reply seq 1
10:01:36.510309 IP (tos 0xe0, ttl 255, id 297, offset 0, flags [none], proto 1, length: 100) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: icmp 80: echo request seq 2
10:01:36.510347 IP (tos 0xe0, ttl 64, id 52712, offset 0, flags [none], proto 1, length: 100) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: icmp 80: echo reply seq 2
10:01:36.511290 IP (tos 0xe0, ttl 255, id 298, offset 0, flags [none], proto 1, length: 100) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: icmp 80: echo request seq 3
10:01:36.511325 IP (tos 0xe0, ttl 64, id 52713, offset 0, flags [none], proto 1, length: 100) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: icmp 80: echo reply seq 3
10:01:36.512140 IP (tos 0xe0, ttl 255, id 299, offset 0, flags [none], proto 1, length: 100) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: icmp 80: echo request seq 4
10:01:36.512175 IP (tos 0xe0, ttl 64, id 52714, offset 0, flags [none], proto 1, length: 100) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: icmp 80: echo reply seq 4
То есть приоритет ставится, но почему то NetFlow пакеты не попадают в class-map NetFlow. Аксес листы пробовал разные, пробовал делать маркировку с помощью ip local policy route-map, пробовал service-policy output markNetFlow вешать на исходящий интерфейс.
Может NetFlow обрабатывается не по той схеме, что написана на cisco.com?
CEF or Fast Switching
Output common classification
Output ACLs
Output marking
Output policing (through a class-based policer or CAR)
Queueing (Class-Based Weighted Fair Queueing (CBWFQ) and Low Latency Queueing (LLQ)), and Weighted Random Early Detection (WRED)
Т.е. идет мимо Output marking ???
Попробовал так:
interface Loopback0
ip access-group 117 out
access-list 117 deny udp any host xxx.xxx.xxx.xxx eq 9997
access-list 117 permit ip any any
Как шел NetFlow поток на xxx.xxx.xxx.xxx так и идет ....
Соответственно он не попадает в Output ACLs.
До этого было выяснено, что маркироваться пакеты не хотят.
Осталось выянить вопрос подпадает ли NetFlow export в
Queueing (Class-Based Weighted Fair Queueing (CBWFQ) and Low Latency Queueing (LLQ)), and Weighted Random Early Detection (WRED)
Если попадает, то все очень плохо.
Если нет, т.е. пофиг на все "я тут самый главный", то это то чего и хотелось в итоге достич...
Только как проверить? Перемаркировать весь остальной трафик не представляется возможным.
Коллеги, присоветуйте плиз что делать, сроки очень поджимают ...
Может вообще не туда рою???
Помогите пожалуйста, или ткните че курить
Делаю так:
class-map match-any NetFlow
match access-group 7
policy-map markNetFlow
class NetFlow
set dscp cs7
interface Loopback0
description NetFlow
ip address yyy.yyy.yyy.yyy 255.255.255.240
no ip redirects
no ip unreachables
no ip proxy-arp
no snmp trap link-status
service-policy output markNetFlow
ip flow-export source Loopback0
ip flow-export version 5
ip flow-export destination xxx.xxx.xxx.xxx 9997
access-list 7 permit yyy.yyy.yyy.yyy
В итоге имею
10:01:37.963820 IP (tos 0x0, ttl 255, id 9551, offset 0, flags [none], proto 17, length: 1492) yyy.yyy.yyy.yyy.55984 > xxx.xxx.xxx.xxx.9997: UDP, length 1464
10:01:48.958815 IP (tos 0x0, ttl 255, id 9551, offset 0, flags [none], proto 17, length: 1252) yyy.yyy.yyy.yyy.55984 > xxx.xxx.xxx.xxx.9997: UDP, length 1224
10:02:07.950384 IP (tos 0x0, ttl 255, id 9551, offset 0, flags [none], proto 17, length: 292) yyy.yyy.yyy.yyy.55984 > xxx.xxx.xxx.xxx.9997: UDP, length 264
Но при этом
ping
Protocol [ip]:
Target IP address: xxx.xxx.xxx.xxx
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: Loopback0
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to xxx.xxx.xxx.xxx, timeout is 2 seconds:
Packet sent with a source address of yyy.yyy.yyy.yyy
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
10:01:36.508226 IP (tos 0xe0, ttl 255, id 295, offset 0, flags [none], proto 1, length: 100) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: icmp 80: echo request seq 0
10:01:36.508297 IP (tos 0xe0, ttl 64, id 52710, offset 0, flags [none], proto 1, length: 100) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: icmp 80: echo reply seq 0
10:01:36.509487 IP (tos 0xe0, ttl 255, id 296, offset 0, flags [none], proto 1, length: 100) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: icmp 80: echo request seq 1
10:01:36.509527 IP (tos 0xe0, ttl 64, id 52711, offset 0, flags [none], proto 1, length: 100) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: icmp 80: echo reply seq 1
10:01:36.510309 IP (tos 0xe0, ttl 255, id 297, offset 0, flags [none], proto 1, length: 100) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: icmp 80: echo request seq 2
10:01:36.510347 IP (tos 0xe0, ttl 64, id 52712, offset 0, flags [none], proto 1, length: 100) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: icmp 80: echo reply seq 2
10:01:36.511290 IP (tos 0xe0, ttl 255, id 298, offset 0, flags [none], proto 1, length: 100) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: icmp 80: echo request seq 3
10:01:36.511325 IP (tos 0xe0, ttl 64, id 52713, offset 0, flags [none], proto 1, length: 100) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: icmp 80: echo reply seq 3
10:01:36.512140 IP (tos 0xe0, ttl 255, id 299, offset 0, flags [none], proto 1, length: 100) yyy.yyy.yyy.yyy > xxx.xxx.xxx.xxx: icmp 80: echo request seq 4
10:01:36.512175 IP (tos 0xe0, ttl 64, id 52714, offset 0, flags [none], proto 1, length: 100) xxx.xxx.xxx.xxx > yyy.yyy.yyy.yyy: icmp 80: echo reply seq 4
То есть приоритет ставится, но почему то NetFlow пакеты не попадают в class-map NetFlow. Аксес листы пробовал разные, пробовал делать маркировку с помощью ip local policy route-map, пробовал service-policy output markNetFlow вешать на исходящий интерфейс.
Может NetFlow обрабатывается не по той схеме, что написана на cisco.com?
CEF or Fast Switching
Output common classification
Output ACLs
Output marking
Output policing (through a class-based policer or CAR)
Queueing (Class-Based Weighted Fair Queueing (CBWFQ) and Low Latency Queueing (LLQ)), and Weighted Random Early Detection (WRED)
Т.е. идет мимо Output marking ???
Попробовал так:
interface Loopback0
ip access-group 117 out
access-list 117 deny udp any host xxx.xxx.xxx.xxx eq 9997
access-list 117 permit ip any any
Как шел NetFlow поток на xxx.xxx.xxx.xxx так и идет ....
Соответственно он не попадает в Output ACLs.
До этого было выяснено, что маркироваться пакеты не хотят.
Осталось выянить вопрос подпадает ли NetFlow export в
Queueing (Class-Based Weighted Fair Queueing (CBWFQ) and Low Latency Queueing (LLQ)), and Weighted Random Early Detection (WRED)
Если попадает, то все очень плохо.
Если нет, т.е. пофиг на все "я тут самый главный", то это то чего и хотелось в итоге достич...
Только как проверить? Перемаркировать весь остальной трафик не представляется возможным.
Коллеги, присоветуйте плиз что делать, сроки очень поджимают ...
Может вообще не туда рою???
Помогите пожалуйста, или ткните че курить