myst Опубликовано 9 апреля, 2015 · Жалоба Добрый день, коллеги. Имеется следующая схема: R1(Mikrotik) --- GRE over IpSec --- R2 (ASR1001) -ethernet- R3(Mikrotik) Тоесть между R1 - R2 поднять GRE туннель поверх IPSEC в транспортном режиме. Туннель имеет следующий вид: interface Tunnel1061701 bandwidth qos-reference 5000 ip address 172.26.170.1 255.255.255.252 ip mtu 1400 ip access-group DMZ_IN in ip access-group DMZ_OUT out ip tcp adjust-mss 1360 ip policy route-map Forward_GlobalIP ip ospf network point-to-point ip ospf mtu-ignore ip ospf cost 10 qos pre-classify tunnel source 1.1.1.1 tunnel destination 2.2.2.2 tunnel protection ipsec profile IPSec-AES service-policy input Tunnel_5M_IN service-policy output Tunnel_5M_OUT end На нем соответственно висят 2 куоса service-policy input Tunnel_5M_IN и service-policy output Tunnel_5M_OUT Они имеют следующий вид: class-map match-all SNMP match access-group name SNMP class-map match-all TELNET match access-group name TELNET class-map match-all WSUS match access-group name WSUS class-map match-all WINBOX match access-group name WINBOX class-map match-all EMULFR match access-group name EMULFR class-map match-all OSPF match protocol ospf class-map match-all OPEN match access-group name OPEN class-map match-all ICMP match protocol icmp class-map match-all HTTP match access-group name HTTP class-map match-all Web_Base match access-group name Web_Base class-map match-all ADM_SRV match access-group name ADM_SRV class-map match-all FTP match access-group name FTP class-map match-all MRU_SRV match access-group name MRU_SRV class-map match-all RDP match access-group name RDP-QOS class-map match-all NTP match access-group name NTP class-map match-all SIP match access-group name SIP class-map match-all HTTPS match access-group name HTTPS class-map match-all MCAFE match access-group name MCAFE class-map match-all RTP match protocol rtp class-map match-all DNS match access-group name DNS class-map match-all 1C match access-group name CITRIX class-map match-any TunnelCls match any ! policy-map Tunnel-child class OSPF bandwidth percent 2 class ICMP bandwidth percent 1 class NTP bandwidth percent 1 class TELNET bandwidth percent 1 class RDP bandwidth percent 5 class 1C bandwidth percent 10 class WINBOX bandwidth percent 2 class SNMP bandwidth percent 2 class SIP bandwidth percent 5 class DNS bandwidth percent 2 class HTTP bandwidth percent 10 class HTTPS bandwidth percent 10 class FTP bandwidth percent 2 class EMULFR bandwidth percent 2 class WSUS police cir percent 2 class MCAFE police cir percent 2 class MRU_SRV bandwidth percent 30 class RTP bandwidth percent 2 class OPEN police cir 512000 violate-action drop class class-default fair-queue random-detect policy-map Tunnel_5M_IN class TunnelCls police rate 5000000 violate-action drop ! policy-map Tunnel_5M_OUT class class-default shape average 5000000 police rate 5000000 violate-action drop service-policy Tunnel-child Физический интерфейс который является SRC для туннеля: interface GigabitEthernet0/0/3 ip address 1.1.1.1 255.255.255.240 ip nbar protocol-discovery ipv4 negotiation auto ! Физический интерфейс за которым находится R3: interface GigabitEthernet0/0/0 description # c3750e_00_s1 Uplink PO-10 # no ip address negotiation auto channel-group 10 mode active ! interface GigabitEthernet0/0/1 description # c3750e_00_s1 Uplink PO-10 # no ip address negotiation auto channel-group 10 mode active ! И вот тут начинаются непонятки. Делаю BW test c R3 на R1 Протокол UPD, размер 1500 Направление Both Результат: RX/TX - 12.0 kbps/4.2 Mbps (обратите внимание на направление) Первая мысль, что то в политике input (поскольку именно RX для R3 является input Tunnel_5M_IN на туннеле R2) Убираю эту политику с интерфейса и снова запускаю тест: RX/TX - 11.9 kbps/18.5 Mbps Почему то поменялся TX а не RX (!!) Возвращаю политику input Tunnel_5M_IN, удаляю output Tunnel_5M_OUT и запускаю тест: RX/TX - 7.5 Mbps/4.1 Mbps Как видно таким образом работает. НО 1) не работает куос на IN 2) Направления перепутаны местами. То что должно быть INPUT влияет на TX, а то что должно быть OUTPUT влияет на RX. С протоколом TCP ситуация в корне не меняется. Софт на ASR asr1001-universalk9.03.13.00.S.154-3.S-ext.bin Кто-нибудь может подсказать? А что что-то глаз замылился. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
