feeman Опубликовано 7 октября, 2016 (изменено) · Жалоба Мож кто приведет пример как правильно через CLASS-MAP и POLICE-MAP зафильтровать ICMP. Вроде через Acess-list смог создать правило, но не знаю на сколько оно верно составлено. access-list 101 permit icmp any any ! class-map match-all ICMP match access-group 101 ! policy-map ICMP_POLICY class ICMP police 64000 4000 4000 conform-action transmit exceed-action drop ! control-plane service-policy input ICMP_POLICY Еще как то можно через match protocol, но этот вариант не смог осилить. Изменено 7 октября, 2016 пользователем feeman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 7 октября, 2016 · Жалоба Ваш вариант на первый взгляд рабочий. Я бы написал чуть проще: policy-map ICMP_POLICY class ICMP police rate 64k class class-default Наличие "match protocol icmp" в class-map зависит от устройства, на свитчах типа 3750 его нету, на офисных маршрутизаторах есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 8 октября, 2016 · Жалоба v_r, спасибо! Еще остался один вопрос, как это правило назначить интерфейсу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
infery Опубликовано 8 октября, 2016 · Жалоба Еще остался один вопрос, как это правило назначить интерфейсу? service-policy input ICMP_POLICY Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 8 октября, 2016 · Жалоба Еще остался один вопрос, как это правило назначить интерфейсу? В вашем примере оно назначалось на control plane (то есть настраиваете тот самый CoPP): control-plane service-policy input ICMP_POLICY Когда настраивается CoPP нет смысла вешать это же правило на интерфейс (за исключением специфических требований к трафику на интерфейсе). И на всякий случай напомню, неверная политика назначенная на control-plane может заблокировать весь трафик на CPU, поэтому принимайте меры - либо заранее организовывайте доступ через консоль либо делайте отложенную перезагрузку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 8 октября, 2016 · Жалоба v_r, привалено ли я Вас понял. Создав правило в ассess-list 101, его не надо вешать на интерфейс, командой ip acceess-group 101 in ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 8 октября, 2016 · Жалоба Не надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 8 октября, 2016 · Жалоба Благодарствую! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...