[YuryD]

Есть 7206,npe-g1, c7200-a3jk91s-mz.122-31.sb2.bin. Есть желание терминировать pptp, и nat-ить юзеров, выдавая IP и скорости из UTM.

Такая конфигурация вполне работает, траффик вполне классифицируется. Но - заявленные скорости по speedtest.net больше, по iperf меньше...

Вот конфиг

no ip cef

vpdn-group 1

! Default PPTP VPDN group

accept-dialin

protocol pptp

virtual-template 1

 

interface Virtual-Template1

ip unnumbered GigabitEthernet0/2

ip nat inside

no peer default ip address

ppp authentication ms-chap-v2 chap

!

 

class-map match-all inet.in

match access-group 102

class-map match-all inet.out

match access-group 101

class-map match-all local

match access-group 103

 

policy-map c2048.out

class local

police rate 4096000 burst 64000

conform-action transmit

exceed-action drop

violate-action drop

class inet.out

police rate 2048000

conform-action transmit

exceed-action drop

violate-action drop

class class-default

police rate 4096000 burst 64000

conform-action transmit

exceed-action drop

violate-action drop

policy-map c2048.in

class local

police rate 4096000 burst 64000

conform-action transmit

exceed-action drop

violate-action drop

class inet.in

police rate 2048000

conform-action transmit

exceed-action drop

violate-action drop

class class-default

police rate 4096000 burst 64000

conform-action transmit

exceed-action drop

violate-action drop

access-list 101 permit ip any 10.19.0.0 0.0.255.255

access-list 102 permit ip 10.19.0.0 0.0.255.255 any

access-list 103 permit ip 10.19.0.0 0.0.255.255 10.19.0.0 0.0.255.255

 

Собственно вопрос, почему оно так неровно держит заявленную скорость, да и впридачу рвет соединения ftp,icq. Это я чего-то забыл, или ios не тот ? Варианты с SSG/Coa не пройдут - netup-ский радиус максимум что может выдать ip:sub-qos-policy-in=c2048.in; ip:sub-qos-policy-out=c2048.out

[YuryD]

Как всегда, грабли лежали в другом месте. policy-map с police rate вполне работает в c7200-is-mz.122-31.SB11.bin