feeman Posted October 7, 2016 (edited) · Report post Мож кто приведет пример как правильно через CLASS-MAP и POLICE-MAP зафильтровать ICMP. Вроде через Acess-list смог создать правило, но не знаю на сколько оно верно составлено. access-list 101 permit icmp any any ! class-map match-all ICMP match access-group 101 ! policy-map ICMP_POLICY class ICMP police 64000 4000 4000 conform-action transmit exceed-action drop ! control-plane service-policy input ICMP_POLICY Еще как то можно через match protocol, но этот вариант не смог осилить. Edited October 7, 2016 by feeman Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
v_r Posted October 7, 2016 · Report post Ваш вариант на первый взгляд рабочий. Я бы написал чуть проще: policy-map ICMP_POLICY class ICMP police rate 64k class class-default Наличие "match protocol icmp" в class-map зависит от устройства, на свитчах типа 3750 его нету, на офисных маршрутизаторах есть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
feeman Posted October 8, 2016 · Report post v_r, спасибо! Еще остался один вопрос, как это правило назначить интерфейсу? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
infery Posted October 8, 2016 · Report post Еще остался один вопрос, как это правило назначить интерфейсу? service-policy input ICMP_POLICY Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
v_r Posted October 8, 2016 · Report post Еще остался один вопрос, как это правило назначить интерфейсу? В вашем примере оно назначалось на control plane (то есть настраиваете тот самый CoPP): control-plane service-policy input ICMP_POLICY Когда настраивается CoPP нет смысла вешать это же правило на интерфейс (за исключением специфических требований к трафику на интерфейсе). И на всякий случай напомню, неверная политика назначенная на control-plane может заблокировать весь трафик на CPU, поэтому принимайте меры - либо заранее организовывайте доступ через консоль либо делайте отложенную перезагрузку. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
feeman Posted October 8, 2016 · Report post v_r, привалено ли я Вас понял. Создав правило в ассess-list 101, его не надо вешать на интерфейс, командой ip acceess-group 101 in ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted October 8, 2016 · Report post Не надо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
feeman Posted October 8, 2016 · Report post Благодарствую! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...