Summit. Igmp snooping vlan ports filter

Юз зе форс, Люк!
І буде тобі фільтрація мультикасту на портах.


The policy file used by this command is a text file that contains the class-D addresses of the multicast groups that you wish to block.
To remove IGMP snooping filtering from a port, use the none keyword version of the command.
Use the following template to create a snooping filter policy file:

# Add your group addresses between "Start" and "end"
# Do not touch the rest of the file!!!!
entry igmpFilter
{ if match any
{
#------------------ Start of group addresses ------------------
nlri 239.11.0.0/16; nlri 239.10.10.4/32;
#------------------- end of group addresses -------------------
} then { deny;
}
}
entry catch_all
{ if
{
} then
{ permit;
}
}


Example:
The following example configures the policy file ap_multicast to filter multicast packets forwarded to VLAN marketing on ports 2:1-2:4:
configure igmp snooping marketing ports 2:1-2:4 filter ap_multicast


Summit. Настройка sflow з використанням sflowtool

Налаштування комутатора.
1. Описуємо колектор. Це сервер, на якому встановлено sflowtool. Його налаштування буде розглянуто в кінці статті.
configure sflow collector A.B.C.D port 6343 vr "VR-Management"

2. В якості адреси, через яку sFlow буде відправляти датаграми, вказуємо менеджмент-інтерфейс комутатора:
configure sflow agent ipaddress A.B.C.D

3. Вмикаємо sFlow на портах, які нас цікавлять:

enable sflow ports 1,5
Передається інформація тільки про вхідні пакети. Отже для того, щоб отримати повну інформацію про трафік, нам потрібно вказувати і downlink і uplink порти.

4. Тепер увімкнемо sFlow:

enable sflow


Налаштування sflowtool на сервері.
Сам по собі sflowtool не є колектором. В нашому випадку – це конвертер в NetFlow. А вже дані NetFlow можна збирати з допомогою flow-tools.

1. Встановимо його з портів FreeBSD:
cd /usr/ports/net/sflowtool/
make install clean

2. Дописуємо в /etc/rc.conf :
sflowtool_enable="YES"
sflowtool_flags="-c A.B.C.D -d 3436"
Так ми направляємо NetFlow на порт 3436 колектора. Якщо використовується той самий сервер, вказуємо IP 127.0.0.1

3. Запускаємо sflowtool:
/usr/local/etc/rc.d/sflowtool start


Пишуть люди


Summit. Обмеження ingress/egress

Обрізання невірним!


Для того, щоб обмежити швидкість на порту:
1. Обмежуємо egress (download користувача):
conf port 1:5 rate-limit egress 150 Mbps
2.Обмежуємо ingress (upload користувача):
2.1 Створюємо Meter:
create meter "meter_name"
2.2 Обмежуємо швидкість в створеному Meter:
configure meter "meter_name" committed-rate "speed" Mbps max-burst-size "speed" Mb out-actions drop
2.3 Створюємо Policy:
edit policy "policy_name"
entry cl {
if match all {
}
then {
meter "meter_name" ;
}
}

2.3 Зв’язуємо policy і порт:
configure access-list "policy_name" ports 1:5 ingress


Для того, щоб обмежити швидкість у влані:
1. Створюємо Meter:
create meter "meter_name"
2. Обмежуємо швидкість в створеному Meter:
configure meter "meter_name" committed-rate "speed" Mbps max-burst-size "speed" Mb out-actions drop
3. Створюємо Policy:
edit policy "policy_name"
entry cl {
if match all {
}
then {
meter "meter_name" ;
}
}

4. Зв’язуємо policy і vlan:
configure access-list "policy_name" vlan "vlan_name" ingress