Jump to content
Калькуляторы

Несколько вопросов Cisco 3550

Камрады, подскажите по нескольким глупым вопросам касательно Cisco WS-C3550-48:

1. Можно ли повешать на один влан несколько рейт лимитов с разницей в ip назначения? Например чтоб в локал пускать на 5мбит + инет 1мбит?

2. Можно ли на весь коммутатор закрыть роутинг определенных портов TCP/UDP ?

 

Спрашиваю потому как хотелось бы знать о работе реально нужных фич до покупки. А то купили саммит 48си, в даташите всё красиво, а на деле голимый L2 с кривым роутингом.

Share this post


Link to post
Share on other sites

1. Уточните вопрос. Этот вилан роутиться на этом свитче, перетекает транзитом через него или приходит на свичку и расходиться по портам. Все дело в том, что рейт лимиты применяются там к ФИЗИЧЕСКИМ портам. Хотя и селективно по виланам.

2. Один ACL на ВСЕ SVI. Конечно можно.

 

Share this post


Link to post
Share on other sites

1. Вилан терминируется и роутится. С использованием SVI. Используется схема vlan-per-user. Клиенту выдается серая подсеть /29. Нужно дать клиенту 1мбит инета и 10мбит локала в сторону 10.0.0.0/8.

Share this post


Link to post
Share on other sites

Ну тогда на ВХОДЯЩЕМ для ТРАФИКА интерфейсе полиси вида

И помните, что таких политик можно делать до 128 на 1 гиговый интерфейс или 8 на 100. Ибо http://nag.ru/goodies/hak/addon/catalyst3x00.pdf

 

 

ip access-list extended user

permit ip any host <IP Юзера>

 

ip access-list extended local

permit ip 10.0.0.0 0.255.255.255 host <IP Юзера>

 

class-map match-all User

match access-group name user

 

class-map match-all Local

match access-group name local

 

class-map match-all USER-IP

match vlan <VLAN в котором инет>

match class-map User

 

class-map match-all LOCAL-IP

match vlan <VLAN в котором локал>

match class-map Local

 

 

policy-map shapers

class LOCAL-IP

police 1024000 80000 exceed-action drop

class USER-IP

police 10240000 80000 exceed-action drop

 

 

interface GigabitEthernet 0/1

service-policy input shapers

Edited by sol

Share this post


Link to post
Share on other sites

Прошу прощенья за чайника, но не совсем врубаюсь.

Циска встанет в центр сети, куда сведено 500 клиентов, каждый в своем влане. Все эти клиенты будут идти с 3-4х 100мбит интерфейсов. В другие несколько интерфейсов будет подключен аплинк и фаловая помойка. Соответственно на каждом из портов будет по 50-150 вланов, терминирующихся на этой циске, и на каждый влан будет свой шейпер. Тарифов будет штук 25 с индивидуальным набором ограничений.

Так вот взлетит ли это на 3550 или же нам нужно чтото другое?

 

Может нам роутер цискин нужен а не каталист?

Share this post


Link to post
Share on other sites
и на каждый влан будет свой шейпер
Еще раз МЕДЛЕННО: На 3550 НЕТУ, СОВСЕМ НЕТУ, НИКАК НЕТУ, ДАЖЕ ЕСЛИ ОЧЕНЬ ХОЧЕТСЯ НЕТУ шейперов на SVI интерфейсе. (SVI - это Switched Virtual Interfece, то самое, что создается, когда в конфиг моде пишут int vlan 100) Посему, шейперов на виланах не будет.

 

Шейперы на 3550 привязаны к ФИЗИЧЕСКИМ интерфейсам. Что есть не большая беда, учитывая, что виланы идут как раз через физические интерфейсы. АППАРАТНЫЕ ограничения - 8 шейперов на КАЖДЫЙ 100 мбит порт и 128 шейперов на порт 1Г.

 

Исходя из сказанного в док-те http://nag.ru/goodies/hak/addon/catalyst3x00.pdf (кстати, вы его читали?) ваша схема НЕ ВЗЛЕТИТ. Ибо, на каждого клиентоса надо 2 полицера. Один на инет, другой на локал. И это не считая ИСХОДЯЩЕГО трафика. И надо свичку с не менее чем 1000 полицерами. 4006 с SUPP-3 имеет 1024 полицера. Или возмите шеститонник маленький с 2-м супппом. Там их то ли 16к то ли 32 к. И можно вешать на SVI. В отличии от.

 

Или софт роутер. Но тогда надо понимать, сколько там у вас трафика в мегабитах и в ППСах.

Share this post


Link to post
Share on other sites

Ясно. Теперь усё ясно. Таблички пдф у нага перечитал вдоль и поперек.

А если так: SVI выносим на софтроутер, вланы юзаем тока транзитом, и по ходу транзита красим трафик с помощью DSCP для роутера, а он уже будет лимитить согласно этой ремарки?

Share this post


Link to post
Share on other sites

На софтроутере нет и не будет SVI... Для транзитных виланов можно взять свичку и подешевле раз в 5... Зачем красить трафик на свичке если его ВСЕ РАВНО придется шейпить на софтроутере? Экономия будет 0.1% и сразу на всех. Ибо как отличить 10 мбит одного юзера от 10 мегабит другого? Так что либо свичка в виде агрегатора виланов и софтроутер, либо 6тонник все-в-одном. Это не дорого, правда. При цене 3550 в 25 т.р. 6тонник выйдет http://shop.nag.ru/catalog/item/00099 22 т.р. шассик, http://shop.nag.ru/catalog/item/01476 5 .т.р питатель и http://shop.nag.ru/catalog/item/02100 15 т.р. супервайзер. Итого 42 т.р. Ну еще можно http://shop.nag.ru/catalog/item/02119 вот это докинуть за 6 т.р. Вот на этом вам удасться и прошейпить и пророутить то, что вы хотите. Причем вместе и ИСХОДЯЩИМ трафиком.

Share this post


Link to post
Share on other sites

примерчика ЧЕГО?

 

Share this post


Link to post
Share on other sites

ээээ...

 

interface vlan666

ip address 11.9.20.01 255.255.255.0

rate-limit output 1024000 25000 25000 conform-action transmit exceed-action drop

 

 

Вот так...

 

Или политиками.

 

Share this post


Link to post
Share on other sites
ээээ...

 

interface vlan666

ip address 11.9.20.01 255.255.255.0

rate-limit output 1024000 25000 25000 conform-action transmit exceed-action drop

 

 

Вот так...

 

Или политиками.

почемуто после введения двух таких комманд in/out эффекта нету....

Share this post


Link to post
Share on other sites
ээээ...

 

interface vlan666

ip address 11.9.20.01 255.255.255.0

rate-limit output 1024000 25000 25000 conform-action transmit exceed-action drop

 

 

Вот так...

 

Или политиками.

почемуто после введения двух таких комманд in/out эффекта нету....

sup2 -- только ingress-трафик может полисить/рейтить

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this