Bear_UA Опубликовано 23 марта, 2017 · Жалоба Подскажите пожалуйста не могу разобраться. Есть задача построить полисер трафика на клиента например на скорости 100мегабит НО при этом пустить ему трафик мимо шейпера на определенные ИП Почитав что access-list в циско работает по принципу first-match-wins сделал следующее access-list 111 deny ip any host a.b.c.d access-list 111 deny ip any host e.f.g.h access-list 111 deny ip host a.b.c.d any access-list 111 deny ip host e.f.g.h any access-list 111 permit ip any any class-map match-all TEST match access-group 111 policy-map TEST class TEST police 100000000 conform-action transmit exceed-action drop violate-action drop int vlan 123 service-policy input TEST service-policy output TEST Но почему-то оно не работает и рубает весь трафик на 100мегабит :( Подскажите пожалуйста как правильно прописать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 23 марта, 2017 · Жалоба Для безлимитных IP отдельный класс и добавить его в полиси вперед всех без экшена После него класс class-default и ему полисер Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bear_UA Опубликовано 24 марта, 2017 · Жалоба Лыжи не поехали :( access-list 111 permit ip any host a.b.c.d access-list 111 permit ip any host e.f.g.h access-list 111 permit ip host a.b.c.d any access-list 111 permit ip host e.f.g.h any class-map match-all TEST match access-group 111 policy-map TEST class TEST class class-default police 100000000 conform-action transmit exceed-action drop violate-action drop int vlan 123 service-policy input TEST service-policy output TEST Все попадает в шейпер 100мегабит :((( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 24 марта, 2017 · Жалоба class-map match-all TEST точно match-all то надо? может match-any всё таки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
v_r Опубликовано 24 марта, 2017 · Жалоба Сделайте show policy-map int vl 123, по классу TEST трафик матчится? Я бы делал по два ACL, class-map и policy-map - отдельно на входящий и исходящий трафик. точно match-all то надо? может match-any всё таки? В class-map одно условие, match access-group, нет разницы match-any или match-all. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 24 марта, 2017 · Жалоба Сделайте show policy-map int vl 123, по классу TEST трафик матчится? Я бы делал по два ACL, class-map и policy-map - отдельно на входящий и исходящий трафик. точно match-all то надо? может match-any всё таки? В class-map одно условие, match access-group, нет разницы match-any или match-all. policy-map достаточно одного, а вот в class-map как раз тогда использовать match-any и match входящий + match исходящий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 24 марта, 2017 · Жалоба class-map match-all TEST точно match-all то надо? может match-any всё таки? По идее пофиг. Странно, должно работать, на ISG серии все работает. Попробуй полиси повесить заведомо большую, посмотреть что получится. Кстати, возможно вешать надо на физический интерфейс! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 24 марта, 2017 · Жалоба Вот пример с боевой циски sup720: c65k.core#show policy-map 1Mbit Policy Map 1Mbit Class jur.localnet.class Class class-default police cir 1024000 bc 192000 be 384000 conform-action transmit exceed-action drop violate-action drop c65k.core#show class-map jur.localnet.class Class Map match-any jur.localnet.class (id 4) Match access-group name jur.local.net c65k.core#show ip access-lists jur.local.net Extended IP access list jur.local.net 10 permit ip 31.129.220.0 0.0.3.255 31.129.192.0 0.0.1.255 (195999 matches) 20 permit ip 31.129.192.0 0.0.1.255 31.129.220.0 0.0.3.255 (998 matches) На интерфейсе: interface Vlan100 service-policy input 1Mbit service-policy output 1Mbit Всё что в jur.local.net без ограничения скорости, всё остальное 1 мбит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 27 марта, 2017 · Жалоба vurd, а sh run | i mls покажите, а? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 28 марта, 2017 · Жалоба А ну да, точно. На физических портах надо mls qos vlan-based включить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...