Cisco 3560 и per each ip rate limit for outgoing traffic

[andryas]

Пришла в голову идея заменить тазоподобный роутер-шейпер на лежащую без дела железку C3560-48

Тазик используется для простейшей нарезки трафика в подсети по 20 мегабит на каждую ip (по маске dst-ip 0xffffffff).

 

Пробую реализовать эту, на первый взгляд, простейшую задачу на железке, но не зацветает йошкина кошка.

 

Набросал такой конфиг. Gi0/1 (vlan3) - от роутера с IP 10.0.0.1, vlan114 - к юзерам 10.0.64.0/24 (свитч доступа воткнут в Gi0/4).

 

mls qos
ip routing

interface Vlan3
ip address 10.0.0.2 255.255.255.0

interface Vlan114
ip address 10.0.64.1 255.255.255.0

ip route 0.0.0.0 0.0.0.0 10.0.0.1


class-map match-all shape_vlan_114
match access-group name subnet_114

policy-map police_vlan_114
class shape_vlan_114
police 20m 80000 exceed-action drop

ip access-list extended subnet_114
permit ip any 10.0.64.0 0.0.0.255
permit ip 10.0.64.0 0.0.0.255 any

interface GigabitEthernet0/1
description TO_UP
switchport access vlan 3
switchport mode access
service-policy input police_vlan_114

interface GigabitEthernet0/4
description TO_USERS
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 114
switchport mode trunk
service-policy input police_vlan_114

 

В результате у пользователей красиво режется исходящий трафик, но входящий никак не ограничивается. Хотелось бы, как миниум, наоборот :)

Вопрос к гуру, ЧЯНД? Как правильно осуществить такую нарезку?

[bike]

service-policy input police_vlan_114

 

Не хватает - service-policy output.

[infery]

Только вот нарезать такой конфиг будет 20мбит всей подсетке /24, а не каждому хосту по 20мбит

[andryas]

Не хватает - service-policy output.

 

Пробовал - не хочет

 

На физическом

(config-if)#service-policy output police_vlan_114
police command is not supported for this interface
The interface does not support the specified policy configuration and/or parameter values.
Warning: Assigning a policy map to the output side of an interface not supported

 

На SVI

(config-if)#service-policy output police_vlan_114
police command is not supported for this interface
The interface does not support the specified policy configuration and/or parameter values.

 

Только вот нарезать такой конфиг будет 20мбит всей подсетке /24, а не каждому хосту по 20мбит

 

Пока что тестировал на одном хосте... А как правильно нарезать каждому?

[alibek]

The interface does not support the specified policy configuration and/or parameter values.

Ну дык.

Если это транзитный коммутатор, то можно попробовать навесить input с двух сторон.

[andryas]

Ну дык.

Если это транзитный коммутатор, то можно попробовать навесить input с двух сторон.

 

Он навешан...

[infery]

Пока что тестировал на одном хосте... А как правильно нарезать каждому?

Никак, для сравнения на 6500 есть такая фича - UBRL (http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500-series-switches/prod_white_paper0900aecd803e5017.html)

А вот на 3560 ничего подобного нет.

[andryas]

А вот на 3560 ничего подобного нет.

 

Это печально...

 

Только вот нарезать такой конфиг будет 20мбит всей подсетке /24, а не каждому хосту по 20мбит

 

Да, так и нарезает, я ошибся цифрой в реальном конфиге, пример в шапке полисит в обе стороны, но Вы правы, это общий bw.

[sio]

Фича называется microflow policy, работает на 65/76 платформе (в зависимости от супервизора), упоминается дле некоторых серий из 36xx/38xx/45xx каталистов. Имеет кучу ограничений и несовместимостей.

[andryas]

microflow policy

 

Спасибо, почитаю

[Umux]

 

В результате у пользователей красиво режется исходящий трафик, но входящий никак не ограничивается. Хотелось бы, как миниум, наоборот :)

Вопрос к гуру, ЧЯНД? Как правильно осуществить такую нарезку?

 

interface GigabitEthernet0/1

service-policy input police_vlan_114

 

speed 100

srr-queue bandwidth limit 20