Перейти к содержимому
Калькуляторы

class-map и policy-map

Мож кто приведет пример как правильно через CLASS-MAP и POLICE-MAP зафильтровать ICMP.

 

Вроде через Acess-list смог создать правило, но не знаю на сколько оно верно составлено.

 

access-list 101 permit icmp any any
!
class-map match-all ICMP
match access-group 101
!
policy-map ICMP_POLICY
class ICMP
  police 64000 4000 4000 conform-action transmit exceed-action drop
!
control-plane
service-policy input ICMP_POLICY

Еще как то можно через match protocol, но этот вариант не смог осилить.

Изменено пользователем feeman

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ваш вариант на первый взгляд рабочий. Я бы написал чуть проще:

 

policy-map ICMP_POLICY
class ICMP
  police rate 64k
class class-default

 

Наличие "match protocol icmp" в class-map зависит от устройства, на свитчах типа 3750 его нету, на офисных маршрутизаторах есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

v_r, спасибо!

Еще остался один вопрос, как это правило назначить интерфейсу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще остался один вопрос, как это правило назначить интерфейсу?

service-policy input ICMP_POLICY

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще остался один вопрос, как это правило назначить интерфейсу?

 

В вашем примере оно назначалось на control plane (то есть настраиваете тот самый CoPP):

 

control-plane
 service-policy input ICMP_POLICY

 

Когда настраивается CoPP нет смысла вешать это же правило на интерфейс (за исключением специфических требований к трафику на интерфейсе).

И на всякий случай напомню, неверная политика назначенная на control-plane может заблокировать весь трафик на CPU, поэтому принимайте меры - либо заранее организовывайте доступ через консоль либо делайте отложенную перезагрузку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

v_r, привалено ли я Вас понял.

Создав правило в ассess-list 101, его не надо вешать на интерфейс, командой ip acceess-group 101 in ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.