Cisco 6509 настройка полисера

[Bear_UA]

Подскажите пожалуйста не могу разобраться.

Есть задача построить полисер трафика на клиента например на скорости 100мегабит НО при этом пустить ему трафик мимо шейпера на определенные ИП

Почитав что access-list в циско работает по принципу first-match-wins сделал следующее

 

access-list 111 deny   ip any host a.b.c.d
access-list 111 deny   ip any host e.f.g.h
access-list 111 deny   ip host a.b.c.d any
access-list 111 deny   ip host e.f.g.h any
access-list 111 permit ip any any

class-map match-all TEST
 match access-group 111

policy-map TEST
class TEST
 police 100000000 conform-action transmit     exceed-action drop     violate-action drop

int vlan 123
service-policy input TEST
service-policy output TEST

 

 

Но почему-то оно не работает и рубает весь трафик на 100мегабит :(

 

Подскажите пожалуйста как правильно прописать.

[ShyLion]

Для безлимитных IP отдельный класс и добавить его в полиси вперед всех без экшена

После него класс class-default и ему полисер

[Bear_UA]

Лыжи не поехали :(

 

access-list 111 permit   ip any host a.b.c.d
access-list 111 permit   ip any host e.f.g.h
access-list 111 permit   ip host a.b.c.d any
access-list 111 permit   ip host e.f.g.h any

class-map match-all TEST
 match access-group 111

policy-map TEST
class TEST
class class-default
 police 100000000 conform-action transmit     exceed-action drop     violate-action drop

int vlan 123
service-policy input TEST
service-policy output TEST

 

Все попадает в шейпер 100мегабит :(((

[vurd]

class-map match-all TEST

 

точно match-all то надо? может match-any всё таки?

[v_r]

Сделайте show policy-map int vl 123, по классу TEST трафик матчится?

 

Я бы делал по два ACL, class-map и policy-map - отдельно на входящий и исходящий трафик.

 

точно match-all то надо? может match-any всё таки?

В class-map одно условие, match access-group, нет разницы match-any или match-all.

[NikAlexAn]

Сделайте show policy-map int vl 123, по классу TEST трафик матчится?

 

Я бы делал по два ACL, class-map и policy-map - отдельно на входящий и исходящий трафик.

 

точно match-all то надо? может match-any всё таки?

В class-map одно условие, match access-group, нет разницы match-any или match-all.

policy-map достаточно одного, а вот в class-map как раз тогда использовать match-any и match входящий + match исходящий.

[ShyLion]

class-map match-all TEST

 

точно match-all то надо? может match-any всё таки?

 

По идее пофиг.

 

Странно, должно работать, на ISG серии все работает. Попробуй полиси повесить заведомо большую, посмотреть что получится.

 

Кстати, возможно вешать надо на физический интерфейс!

[vurd]

Вот пример с боевой циски sup720:

c65k.core#show policy-map 1Mbit
 Policy Map 1Mbit
   Class jur.localnet.class
   Class class-default
    police cir 1024000 bc 192000 be 384000
      conform-action transmit
      exceed-action drop
      violate-action drop

c65k.core#show class-map jur.localnet.class
Class Map match-any jur.localnet.class (id 4)
  Match access-group name jur.local.net

c65k.core#show ip access-lists jur.local.net
Extended IP access list jur.local.net
   10 permit ip 31.129.220.0 0.0.3.255 31.129.192.0 0.0.1.255 (195999 matches)
   20 permit ip 31.129.192.0 0.0.1.255 31.129.220.0 0.0.3.255 (998 matches)

 

На интерфейсе:

interface Vlan100
service-policy input 1Mbit
service-policy output 1Mbit

 

Всё что в jur.local.net без ограничения скорости, всё остальное 1 мбит.

[sol]

vurd, а sh run | i mls покажите, а?

[vurd]

А ну да, точно. На физических портах надо mls qos vlan-based включить.