Перейти к содержимому
Калькуляторы

Cisco 6509 настройка полисера

Подскажите пожалуйста не могу разобраться.

Есть задача построить полисер трафика на клиента например на скорости 100мегабит НО при этом пустить ему трафик мимо шейпера на определенные ИП

Почитав что access-list в циско работает по принципу first-match-wins сделал следующее

 

access-list 111 deny   ip any host a.b.c.d
access-list 111 deny   ip any host e.f.g.h
access-list 111 deny   ip host a.b.c.d any
access-list 111 deny   ip host e.f.g.h any
access-list 111 permit ip any any

class-map match-all TEST
 match access-group 111

policy-map TEST
class TEST
 police 100000000 conform-action transmit     exceed-action drop     violate-action drop

int vlan 123
service-policy input TEST
service-policy output TEST

 

 

Но почему-то оно не работает и рубает весь трафик на 100мегабит :(

 

Подскажите пожалуйста как правильно прописать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для безлимитных IP отдельный класс и добавить его в полиси вперед всех без экшена

После него класс class-default и ему полисер

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лыжи не поехали :(

 

access-list 111 permit   ip any host a.b.c.d
access-list 111 permit   ip any host e.f.g.h
access-list 111 permit   ip host a.b.c.d any
access-list 111 permit   ip host e.f.g.h any

class-map match-all TEST
 match access-group 111

policy-map TEST
class TEST
class class-default
 police 100000000 conform-action transmit     exceed-action drop     violate-action drop

int vlan 123
service-policy input TEST
service-policy output TEST

 

Все попадает в шейпер 100мегабит :(((

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

class-map match-all TEST

 

точно match-all то надо? может match-any всё таки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделайте show policy-map int vl 123, по классу TEST трафик матчится?

 

Я бы делал по два ACL, class-map и policy-map - отдельно на входящий и исходящий трафик.

 

точно match-all то надо? может match-any всё таки?

В class-map одно условие, match access-group, нет разницы match-any или match-all.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделайте show policy-map int vl 123, по классу TEST трафик матчится?

 

Я бы делал по два ACL, class-map и policy-map - отдельно на входящий и исходящий трафик.

 

точно match-all то надо? может match-any всё таки?

В class-map одно условие, match access-group, нет разницы match-any или match-all.

policy-map достаточно одного, а вот в class-map как раз тогда использовать match-any и match входящий + match исходящий.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

class-map match-all TEST

 

точно match-all то надо? может match-any всё таки?

 

По идее пофиг.

 

Странно, должно работать, на ISG серии все работает. Попробуй полиси повесить заведомо большую, посмотреть что получится.

 

Кстати, возможно вешать надо на физический интерфейс!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот пример с боевой циски sup720:

c65k.core#show policy-map 1Mbit
 Policy Map 1Mbit
   Class jur.localnet.class
   Class class-default
    police cir 1024000 bc 192000 be 384000
      conform-action transmit
      exceed-action drop
      violate-action drop

c65k.core#show class-map jur.localnet.class
Class Map match-any jur.localnet.class (id 4)
  Match access-group name jur.local.net

c65k.core#show ip access-lists jur.local.net
Extended IP access list jur.local.net
   10 permit ip 31.129.220.0 0.0.3.255 31.129.192.0 0.0.1.255 (195999 matches)
   20 permit ip 31.129.192.0 0.0.1.255 31.129.220.0 0.0.3.255 (998 matches)

 

На интерфейсе:

interface Vlan100
service-policy input 1Mbit
service-policy output 1Mbit

 

Всё что в jur.local.net без ограничения скорости, всё остальное 1 мбит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

vurd, а sh run | i mls покажите, а?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А ну да, точно. На физических портах надо mls qos vlan-based включить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.