О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

MES3324F policy-map: set vlan + police

MES, ESR
perfect_citizen
Сообщения: 6
Зарегистрирован: 16 ноя 2020 11:51
Reputation: 0

MES3324F policy-map: set vlan + police

Сообщение perfect_citizen » 16 ноя 2020 18:15

Добрый день

Нужна помощь в решении задачи по замене Zyxel ES-4124 на MES3324F.

Проблема в следующем:
на Zyxel ES-4124 используется ограничение скорости на вланах и смена тегов для клиентов, но у меня не получается настроить MES3324F даже на смену тегов.

Структура сети:
Несколько клиентов на одном порту принимаем от суб-провайдера.
От клиента ловим тегированный трафик, например 808 влан, классифицируем по source порту, source мас, тегу. Далее этому трафику политикой меняется тэг на 14 и попутно режется скорость. Трафик улетает в мир.

Из мира к клиенту классифицируется трафик по dest mac, uplink port 28 и тэгу 14. Далее этому трафику политикой меняется тэг на 808 и попутно режется скорость. Трафик улетает на клиента.

Почему бы не использовать Accel-ppp, например, спросите вы? - Так исторически сложилось до меня, может получится внедрить, но не сейчас.

В веб Zyxel это выглядит так:

Классификатор трафика от клиента в мир и политика для него
Zyx1-2.png
Zyx1-2.png (102.44 КБ) 2818 просмотров

Классификатор трафика из мира к клиенту и политика для него
Zyx3-4.png
Zyx3-4.png (103.03 КБ) 2818 просмотров


Тест собран такой схемой:
"клиент" --> mes1124mb fa1/0/9 access vlan 1111 --> mes1124mb fa1/0/24 trunk vlan 1111,2222 --> mes3324F gi1/0/11 trunk vlan 1111,2222

"мир" --> mes1124 fa0/12 access vlan 3333 --> mes1124mb gi1/0/1trunk vlan 3333 --> mes3324F gi1/0/24 trunk vlan 3333

В policy-map пытаюсь сменить тег 1111 на 3333 и обратно.

Зеркалирую трафик от порта mes3324F gi1/0/11 и вижу там ARP от клиента, дальше трафик не идёт.
В mac addr table mes3324F мас клиента не светится вообще.

MAC ACL пробовал вида permit any any vlan 1111 ace-priority 20 -- не помогает
policy-map пробовал только set vlan без шейпера, чтоб повесить на out интерфейса -- не помогает
Добавлял 3333 тег в транк на MES3324F gi1/0/11 -- не помогает

Далее конфиги и инфа по коммутаторам:
MES3324F:

Код: Выделить всё

vlan database
 vlan 1111,2222,3333
exit
!
port monitor mode network
!
qos advanced
!
mac access-list extended CLIENT_1_IN
 permit 00:1d:60:61:3b:60 00:00:00:00:00:00 any vlan 1111 ace-priority 20
exit
!
mac access-list extended CLIENT_1_OUT
 permit any 00:1d:60:61:3b:60 00:00:00:00:00:00 vlan 3333 ace-priority 20
exit
!
!
class-map CLIENT_1_IN
 match access-group CLIENT_1_IN
exit
!
class-map CLIENT_1_OUT
 match access-group CLIENT_1_OUT
exit
!
policy-map CLIENT_1_IN
 class CLIENT_1_IN
  set vlan 1111
police 10000 3000000 exceed-action drop
 exit
exit
!
policy-map CLIENT_1_OUT
 class CLIENT_1_OUT
  set vlan 3333
police 10000 3000000 exceed-action drop
 exit
exit
!
!
interface gigabitethernet1/0/11
 service-policy input CLIENT_1_OUT default-action permit-any
 switchport mode trunk
 switchport trunk allowed vlan add 1111,2222
exit
!
interface gigabitethernet1/0/23
 port monitor gigabitethernet1/0/11
exit
!
interface gigabitethernet1/0/24
 service-policy input CLIENT_1_IN default-action permit-any
 switchport mode trunk
 switchport trunk allowed vlan add 3333
exit
!
!
end


MES1124MB:

Код: Выделить всё

vlan database
 vlan 1111,2222,3333
exit
!
loopback-detection mode multicast-mac-addr
!
hostname 1124_test
!
interface fastethernet 1/0/9
 switchport access vlan 1111
exit
!
interface fastethernet 1/0/12
 switchport access vlan 3333
exit
!
interface fastethernet 1/0/24
 switchport mode trunk
 switchport trunk allowed vlan add 1111,2222
exit
!
interface gigabitethernet 1/0/1
 switchport mode trunk
 switchport trunk allowed vlan add 3333
exit
!
end


Инфа по коммутаторам:

Код: Выделить всё

MES1124MB AC rev.B 28-port 100M/1G Managed Switch
SW version    1.1.48.7[fc3f05fc] ( date  27-Dec-2019 time  15:46:29 )
Boot version    0.0.1.7 ( date  18-May-2018 time  16:00:07 )
HW version    01.04

MES3324F 28-port 1G/10G Managed Switch
  Version: 4.0.14.3
  Commit: a754b998

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: MES3324F policy-map: set vlan + police

Сообщение Евгений Т » 13 янв 2021 15:50

Добрый день.

Извиняемся за задержку с ответом.
Влан, на который выполняется подмена, должен быть проброшен на порту, на который навешивается policy-map, т.к policy-map раньше срабатывает на интерфейсе, чем настройки режимов работы порта. Т.е на gi0/11 MES3324F нужно добавить влан 3333.
Ещё один вариант, причём более удобный: менять влан с помощью sqinq правил по примеру https://docs.eltex-co.ru/pages/viewpage ... d=45461985
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

perfect_citizen
Сообщения: 6
Зарегистрирован: 16 ноя 2020 11:51
Reputation: 0

Re: MES3324F policy-map: set vlan + police

Сообщение perfect_citizen » 06 июл 2021 18:13

Евгений Т писал(а):Добрый день.
...Ещё один вариант, причём более удобный: менять влан с помощью sqinq правил по примеру https://docs.eltex-co.ru/pages/viewpage ... d=45461985


Здравствуйте
Я уже успел забыть забыть про этот пост и создал новый viewtopic.php?f=10&t=10431&p=50964#p50964
Вопрос всё ещё актуален

Я забыл уточнить главный нюанс: на клиентском порту несколько вланов, необходимо разбирать трафик для нескольких вланов, менять им тег и применять policing. Классифицировать по МАС адресам.

Текущий конфиг MES1124MB
SW version 1.1.48.9[965c8a56] ( date 02-Nov-2020 time 12:04:52 )
Boot version 0.0.1.7 ( date 18-May-2018 time 16:00:07 )
HW version 01.04

Код: Выделить всё

vlan database
 vlan 10,800-802
exit
!
qos advanced
ip access-list extended vlan_shaper_800-10_in
 permit ip 7c:8b:ca:e7:09:63 00:00:00:00:00:00 any any any
exit
ip access-list extended vlan_shaper_10-800_in
 permit ip any 7c:8b:ca:e7:09:63 00:00:00:00:00:00 any any
exit
class-map c_vlan_shaper_10-800_in
 match access-group vlan_shaper_10-800_in
exit
class-map c_vlan_shaper_800-10_in
 match access-group vlan_shaper_800-10_in
exit
policy-map vlan_police&override_client-in
 class c_vlan_shaper_800-10_in
  set vlan 10
  police 5120 128000 exceed-action drop
 exit
exit
policy-map vlan_police&override_uplink-in
 class c_vlan_shaper_10-800_in
  set vlan 800
  police 2048000 56000 exceed-action drop
 exit
exit
!
hostname tsw
!
interface fastethernet 1/0/1
 switchport access vlan 10
 description UPLINK
 spanning-tree disable
exit
!
interface fastethernet 1/0/2
 port monitor FastEthernet 1/0/4
 spanning-tree disable
exit
!
interface fastethernet 1/0/4
 switchport mode trunk
 switchport trunk allowed vlan add 800-802
 description CLIENTS
 spanning-tree disable
 service-policy input vlan_police&override_client-in
exit
!
interface vlan 10
 name UPLINK
exit
!
interface vlan 800
 name CPE1
exit
!
interface vlan 801
 name CPE2
exit
!
interface vlan 802
 name CPE3
exit
!


Перед MES1124 стоит ещё один коммутатор, который только тегирует трафик и отдаёт его в транковый порт fastethernet 1/0/4 MES1124
MAC адрес 7c:8b:ca:e7:09:63 видно в таблице в влане 800

Wireshark показывает, что трафик не проходит в обе стороны. Смотрел поочередно для портов fa0/1 и fa0/4 - видно только уйму ARP Request пакетов от 7c:8b:ca:e7:09:63 в поисках шлюза для fa0/4. Для fa0/1 ситуация аналогичная: ARP Request в поисках тп-линка 7c:8b:ca:e7:09:63.

То ли я ошибочно трактую документацию, то ли описанный выше сценарий не осуществим.

Рыженкова Виктория Сергеевна
Сообщения: 65
Зарегистрирован: 23 янв 2020 09:40
Reputation: 0
Контактная информация:

Re: MES3324F policy-map: set vlan + police

Сообщение Рыженкова Виктория Сергеевна » 19 июл 2021 11:32

Добрый день.
Обсуждение по данной теме продолжается в рамках заведённого тикета в ServiceDesk.
Рыженкова Виктория / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

perfect_citizen
Сообщения: 6
Зарегистрирован: 16 ноя 2020 11:51
Reputation: 0

Re: MES3324F policy-map: set vlan + police

Сообщение perfect_citizen » 26 июл 2021 11:17

На MES2324 работает с таким конфигом (см. ниже)
Version: 4.0.14.3

На MES3324 - судя по всему тоже заработает, но не проверял.
На MES1124 не работает.

Суть:
1. Классифицировать трафик от клиента в мир по тегу влан. Сменить тег влана на тег аплинка. Ограничить скорость.
2. Классифицировать трафик к клиенту из мира по мас адресу клиента. Сменить тег влана на тег клиента. Ограничить скорость.

800-802 -- клиентские вланы
11 - аплинк влан

interface gigabitethernet1/0/4 - в сторону клиентов
interface gigabitethernet1/0/1 - в сторону аплинка

19173960 - максимальный burst для полисинга. Необходимо использовать такое значение со слов ТП.

qos advanced ports-trusted - обязательно.
qos advanced-mode trust dscp - обязательно.

spanning-tree - по вкусу.

Код: Выделить всё

console#show run
vlan database
 vlan 11,800-802
exit
!
qos advanced ports-trusted
qos advanced-mode trust dscp
!
mac access-list extended tp
 permit any any vlan 800 ace-priority 20
exit
!
mac access-list extended tp-link
 permit any 7c:8b:ca:e7:09:63 00:00:00:00:00:00 ace-priority 20
exit
!
mac access-list extended MyPC
 permit any any vlan 801 ace-priority 20
exit
!
mac access-list extended MyPCmac
 permit any 50:3e:aa:14:68:48 00:00:00:00:00:00 ace-priority 20
exit
!
!
class-map class_tp
 match access-group tp
exit
!
class-map tp-link
 match access-group tp-link
exit
!
class-map FromMyPC
 match access-group MyPC
exit
!
class-map ToMyPC
 match access-group MyPCmac
exit
!
policy-map PolicerClient-IN
 class class_tp
  set vlan 11
police 6543 19173960 exceed-action drop
 exit
 class FromMyPC
  set vlan 11
police 3486 19173960 exceed-action drop
 exit
exit
!
policy-map PolicerUplink-IN
 class tp-link
  set vlan 800
police 1024 19173960 exceed-action drop
 exit
 class ToMyPC
  set vlan 801
police 2048 19173960 exceed-action drop
 exit
exit
!
interface gigabitethernet1/0/1
 spanning-tree disable
 service-policy input PolicerUplink-IN
 switchport mode trunk
 switchport trunk allowed vlan add 11,800-802
exit
!
interface gigabitethernet1/0/4
 spanning-tree disable
 service-policy input PolicerClient-IN
 switchport mode trunk
 switchport trunk allowed vlan add 11,800-802
exit
!
!
end

Рыженкова Виктория Сергеевна
Сообщения: 65
Зарегистрирован: 23 янв 2020 09:40
Reputation: 0
Контактная информация:

Re: MES3324F policy-map: set vlan + police

Сообщение Рыженкова Виктория Сергеевна » 03 авг 2021 11:12

Добрый день.
На портале SD Вам были заданы вопросы. Прошу дальнейшее обсуждение по данной теме перенести в тикет.
Рыженкова Виктория / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/


Вернуться в «Коммутаторы и маршрутизаторы Ethernet»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 25 гостей