воскресенье, 29 ноября 2015 г.

Работа Traffic Control на разных ревизиях

Проверили на стенде работу Traffic Control в коммутаторах DES-3028 и DES-3200-28 всех ревизий. Исходили мы из этого:

Режим Shutdown:
При обнаружении шторма на порту, когда превышено значение Threshold, свич блокирует на этом порту весь входящий трафик на период Count Down (кроме STP-трафика). Через каждый интервал Time Interval производится проверка на наличие шторма, превышающего Threshold. Если по истечении времени Count Down трафик еще присутствует, тогда порт переводится в режим Shutdown Rest. Через 5 минут порт автоматически вернется в нормальное состояние. Если же при следующей проверке до истечения Count Down шторм не обнаруживается, тогда свич переводит порт в нормальный режим, разрешая входящий трафик на нем.

В режиме Shutdown значение Threshold представлено в пакетах в секунду.


Такой режим мы использовали долгое время, пока не перешли к использованию режима drop. В этом режиме трафик, превышающий threshold, должен просто отбрасываться без лишних премудростей. Но еще ранее было замечено, что в режиме shutdown коммутатор сообщает об обнаружении шторма, а в режиме drop сообщения иногда есть, а иногда нет. Вот с этим и захотелось разобраться.

При тестах было замечено, что DES-3200-28/C1 при работе в режиме drop сообщает в лог о шторме, а остальные коммутаторы из списка выше - нет. Причем фильтрация в этом режиме у /C1 работает намного качественнее, в то время как при использовании /B1 второй хост получает часть пакетов от "флудящего" хоста. В режиме shutdown коммутаторы работают, вроде бы, одинаково.

Пришлось снова открывать инструкции. Судя по ним, для модели DES-3028 значение параметра threshold представлено в килобитах в секунду (не указано для обоих режимов или для одного); на DES-3200-28/A1/B1 — в килобитах в секунду в режиме drop и пакетах в секунду в режиме shutdown; на DES-3200-28/C1 — в пакетах в секунду в обоих режимах.

Вот здесь то, судя по всему, и порылась наша собака!

Ограничение по PPS намного точнее, чем по Kbit/sec. При этом режим drop удобнее тем, что трафик обрабатывается аппаратно, а порт клиента не блокируется.

Итоговые результаты такие:
  1. DES-3200-28/C1 - лучше всего справляется со штормом в сети. В режиме drop он будет ограничивать шторм аппаратными средствами, сообщая в лог о начале и окончании шторма. Порт при этом отключаться не будет, а клиент будет получать услугу.
  2. DES-3200-28/A1/B1 - для этой модели предстоит выбирать между: а) ограничивать лишний трафик по максимуму, блокируя порт и сообщая об этом в логе; б) не блокировать порт, пропускать больше лишнего трафика и ничего не сообщать в лог.
  3. DES-3028 - аналогично как в предыдущем случае. Про режим shutdown пояснений в инструкции не нашлось, но, скорее всего, дело обстоит точно так же, как у DES-3200-* первых ревизий.
p.s. Помню как несколько лет в все плевались от ревизии C1, выгребая со складов остатки B1. И это было оправдано, т.к. софт был очень сырым. Между тем, все больше убеждаюсь, что ревизия C1 на порядок лучше старых моделей. Это совершенно другой коммутатор.


пятница, 27 ноября 2015 г.

Взаимоисключающие ACL и PCF ACL правила

Не так давно в нашем полку админов прибыло и новоиспеченному коллеге было поручено провести ряд опытов на тестовом стенде. Для более глубокого погружения в процесс, так сказать. Таким образом появился материал для новых заметок. Сегодня пару слов о принципах обработки взаимоисключающих ACL и PCF ACL правил.

Суть проблемы: Когда один и тот же кадр/пакет попадает одновременно и под ACL правило и под PCF ACL правило, содержащее offset, то приоритетным будет запрещающее правило, независимо от порядка их следования.

Вот и вот посты на эту тему от сотрудника D-Link.

Кроме того, есть интересная серия DES-3200-xx/C1, логика ACL для которой несколько раз переделывалась. Потому стало интересно, как обрабатывается подобная ситуация на этой серии. Заодно перепроверили и DES-3028.

Результаты тестов:
  1. Для коммутаторов DES-3028 и DES-3200-28/C1 приоритетным является вышестоящее правило, то есть правила обрабатываются по принципу первого соответствия.
  2. Для коммутаторов DES-3200-28/A1/B1 приоритетным является запрещающее правило независимо от порядка следования правил.