L-ZiX Опубликовано 10 января, 2011 · Жалоба Камрады, подскажите по нескольким глупым вопросам касательно Cisco WS-C3550-48: 1. Можно ли повешать на один влан несколько рейт лимитов с разницей в ip назначения? Например чтоб в локал пускать на 5мбит + инет 1мбит? 2. Можно ли на весь коммутатор закрыть роутинг определенных портов TCP/UDP ? Спрашиваю потому как хотелось бы знать о работе реально нужных фич до покупки. А то купили саммит 48си, в даташите всё красиво, а на деле голимый L2 с кривым роутингом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 11 января, 2011 · Жалоба 1. Уточните вопрос. Этот вилан роутиться на этом свитче, перетекает транзитом через него или приходит на свичку и расходиться по портам. Все дело в том, что рейт лимиты применяются там к ФИЗИЧЕСКИМ портам. Хотя и селективно по виланам. 2. Один ACL на ВСЕ SVI. Конечно можно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 11 января, 2011 · Жалоба 1. Вилан терминируется и роутится. С использованием SVI. Используется схема vlan-per-user. Клиенту выдается серая подсеть /29. Нужно дать клиенту 1мбит инета и 10мбит локала в сторону 10.0.0.0/8. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 12 января, 2011 (изменено) · Жалоба Ну тогда на ВХОДЯЩЕМ для ТРАФИКА интерфейсе полиси вида И помните, что таких политик можно делать до 128 на 1 гиговый интерфейс или 8 на 100. Ибо http://nag.ru/goodies/hak/addon/catalyst3x00.pdf ip access-list extended user permit ip any host <IP Юзера> ip access-list extended local permit ip 10.0.0.0 0.255.255.255 host <IP Юзера> class-map match-all User match access-group name user class-map match-all Local match access-group name local class-map match-all USER-IP match vlan <VLAN в котором инет> match class-map User class-map match-all LOCAL-IP match vlan <VLAN в котором локал> match class-map Local policy-map shapers class LOCAL-IP police 1024000 80000 exceed-action drop class USER-IP police 10240000 80000 exceed-action drop interface GigabitEthernet 0/1 service-policy input shapers Изменено 12 января, 2011 пользователем sol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 12 января, 2011 · Жалоба Прошу прощенья за чайника, но не совсем врубаюсь. Циска встанет в центр сети, куда сведено 500 клиентов, каждый в своем влане. Все эти клиенты будут идти с 3-4х 100мбит интерфейсов. В другие несколько интерфейсов будет подключен аплинк и фаловая помойка. Соответственно на каждом из портов будет по 50-150 вланов, терминирующихся на этой циске, и на каждый влан будет свой шейпер. Тарифов будет штук 25 с индивидуальным набором ограничений. Так вот взлетит ли это на 3550 или же нам нужно чтото другое? Может нам роутер цискин нужен а не каталист? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 12 января, 2011 · Жалоба и на каждый влан будет свой шейпер Еще раз МЕДЛЕННО: На 3550 НЕТУ, СОВСЕМ НЕТУ, НИКАК НЕТУ, ДАЖЕ ЕСЛИ ОЧЕНЬ ХОЧЕТСЯ НЕТУ шейперов на SVI интерфейсе. (SVI - это Switched Virtual Interfece, то самое, что создается, когда в конфиг моде пишут int vlan 100) Посему, шейперов на виланах не будет. Шейперы на 3550 привязаны к ФИЗИЧЕСКИМ интерфейсам. Что есть не большая беда, учитывая, что виланы идут как раз через физические интерфейсы. АППАРАТНЫЕ ограничения - 8 шейперов на КАЖДЫЙ 100 мбит порт и 128 шейперов на порт 1Г. Исходя из сказанного в док-те http://nag.ru/goodies/hak/addon/catalyst3x00.pdf (кстати, вы его читали?) ваша схема НЕ ВЗЛЕТИТ. Ибо, на каждого клиентоса надо 2 полицера. Один на инет, другой на локал. И это не считая ИСХОДЯЩЕГО трафика. И надо свичку с не менее чем 1000 полицерами. 4006 с SUPP-3 имеет 1024 полицера. Или возмите шеститонник маленький с 2-м супппом. Там их то ли 16к то ли 32 к. И можно вешать на SVI. В отличии от. Или софт роутер. Но тогда надо понимать, сколько там у вас трафика в мегабитах и в ППСах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 12 января, 2011 · Жалоба Ясно. Теперь усё ясно. Таблички пдф у нага перечитал вдоль и поперек. А если так: SVI выносим на софтроутер, вланы юзаем тока транзитом, и по ходу транзита красим трафик с помощью DSCP для роутера, а он уже будет лимитить согласно этой ремарки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 12 января, 2011 · Жалоба На софтроутере нет и не будет SVI... Для транзитных виланов можно взять свичку и подешевле раз в 5... Зачем красить трафик на свичке если его ВСЕ РАВНО придется шейпить на софтроутере? Экономия будет 0.1% и сразу на всех. Ибо как отличить 10 мбит одного юзера от 10 мегабит другого? Так что либо свичка в виде агрегатора виланов и софтроутер, либо 6тонник все-в-одном. Это не дорого, правда. При цене 3550 в 25 т.р. 6тонник выйдет http://shop.nag.ru/catalog/item/00099 22 т.р. шассик, http://shop.nag.ru/catalog/item/01476 5 .т.р питатель и http://shop.nag.ru/catalog/item/02100 15 т.р. супервайзер. Итого 42 т.р. Ну еще можно http://shop.nag.ru/catalog/item/02119 вот это докинуть за 6 т.р. Вот на этом вам удасться и прошейпить и пророутить то, что вы хотите. Причем вместе и ИСХОДЯЩИМ трафиком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
catalist Опубликовано 12 января, 2011 · Жалоба а для шеститонника примерчика не будет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 12 января, 2011 · Жалоба примерчика ЧЕГО? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
catalist Опубликовано 13 января, 2011 · Жалоба примерчика ЧЕГО? нарезки скорости для 2го супа Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 14 января, 2011 · Жалоба ээээ... interface vlan666 ip address 11.9.20.01 255.255.255.0 rate-limit output 1024000 25000 25000 conform-action transmit exceed-action drop Вот так... Или политиками. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
catalist Опубликовано 14 января, 2011 · Жалоба ээээ... interface vlan666 ip address 11.9.20.01 255.255.255.0 rate-limit output 1024000 25000 25000 conform-action transmit exceed-action drop Вот так... Или политиками. почемуто после введения двух таких комманд in/out эффекта нету.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 14 января, 2011 · Жалоба От ИОСа зависит. ТРУЪ путь - политики. http://www.cisco.com/en/US/prod/collateral...cd803e5017.html вот так как-то. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fenix-vt Опубликовано 16 января, 2011 · Жалоба ээээ... interface vlan666 ip address 11.9.20.01 255.255.255.0 rate-limit output 1024000 25000 25000 conform-action transmit exceed-action drop Вот так... Или политиками. почемуто после введения двух таких комманд in/out эффекта нету.... sup2 -- только ingress-трафик может полисить/рейтить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...