[L-ZiX]

Камрады, подскажите по нескольким глупым вопросам касательно Cisco WS-C3550-48:

1. Можно ли повешать на один влан несколько рейт лимитов с разницей в ip назначения? Например чтоб в локал пускать на 5мбит + инет 1мбит?

2. Можно ли на весь коммутатор закрыть роутинг определенных портов TCP/UDP ?

 

Спрашиваю потому как хотелось бы знать о работе реально нужных фич до покупки. А то купили саммит 48си, в даташите всё красиво, а на деле голимый L2 с кривым роутингом.

[sol]

1. Уточните вопрос. Этот вилан роутиться на этом свитче, перетекает транзитом через него или приходит на свичку и расходиться по портам. Все дело в том, что рейт лимиты применяются там к ФИЗИЧЕСКИМ портам. Хотя и селективно по виланам.

2. Один ACL на ВСЕ SVI. Конечно можно.

 

[L-ZiX]

1. Вилан терминируется и роутится. С использованием SVI. Используется схема vlan-per-user. Клиенту выдается серая подсеть /29. Нужно дать клиенту 1мбит инета и 10мбит локала в сторону 10.0.0.0/8.

[sol]

Ну тогда на ВХОДЯЩЕМ для ТРАФИКА интерфейсе полиси вида

И помните, что таких политик можно делать до 128 на 1 гиговый интерфейс или 8 на 100. Ибо http://nag.ru/goodies/hak/addon/catalyst3x00.pdf

 

 

ip access-list extended user

permit ip any host <IP Юзера>

 

ip access-list extended local

permit ip 10.0.0.0 0.255.255.255 host <IP Юзера>

 

class-map match-all User

match access-group name user

 

class-map match-all Local

match access-group name local

 

class-map match-all USER-IP

match vlan <VLAN в котором инет>

match class-map User

 

class-map match-all LOCAL-IP

match vlan <VLAN в котором локал>

match class-map Local

 

 

policy-map shapers

class LOCAL-IP

police 1024000 80000 exceed-action drop

class USER-IP

police 10240000 80000 exceed-action drop

 

 

interface GigabitEthernet 0/1

service-policy input shapers

Изменено 12 января, 2011 пользователем sol

[L-ZiX]

Прошу прощенья за чайника, но не совсем врубаюсь.

Циска встанет в центр сети, куда сведено 500 клиентов, каждый в своем влане. Все эти клиенты будут идти с 3-4х 100мбит интерфейсов. В другие несколько интерфейсов будет подключен аплинк и фаловая помойка. Соответственно на каждом из портов будет по 50-150 вланов, терминирующихся на этой циске, и на каждый влан будет свой шейпер. Тарифов будет штук 25 с индивидуальным набором ограничений.

Так вот взлетит ли это на 3550 или же нам нужно чтото другое?

 

Может нам роутер цискин нужен а не каталист?

[sol]

и на каждый влан будет свой шейпер

Еще раз МЕДЛЕННО: На 3550 НЕТУ, СОВСЕМ НЕТУ, НИКАК НЕТУ, ДАЖЕ ЕСЛИ ОЧЕНЬ ХОЧЕТСЯ НЕТУ шейперов на SVI интерфейсе. (SVI - это Switched Virtual Interfece, то самое, что создается, когда в конфиг моде пишут int vlan 100) Посему, шейперов на виланах не будет.

 

Шейперы на 3550 привязаны к ФИЗИЧЕСКИМ интерфейсам. Что есть не большая беда, учитывая, что виланы идут как раз через физические интерфейсы. АППАРАТНЫЕ ограничения - 8 шейперов на КАЖДЫЙ 100 мбит порт и 128 шейперов на порт 1Г.

 

Исходя из сказанного в док-те http://nag.ru/goodies/hak/addon/catalyst3x00.pdf (кстати, вы его читали?) ваша схема НЕ ВЗЛЕТИТ. Ибо, на каждого клиентоса надо 2 полицера. Один на инет, другой на локал. И это не считая ИСХОДЯЩЕГО трафика. И надо свичку с не менее чем 1000 полицерами. 4006 с SUPP-3 имеет 1024 полицера. Или возмите шеститонник маленький с 2-м супппом. Там их то ли 16к то ли 32 к. И можно вешать на SVI. В отличии от.

 

Или софт роутер. Но тогда надо понимать, сколько там у вас трафика в мегабитах и в ППСах.

[L-ZiX]

Ясно. Теперь усё ясно. Таблички пдф у нага перечитал вдоль и поперек.

А если так: SVI выносим на софтроутер, вланы юзаем тока транзитом, и по ходу транзита красим трафик с помощью DSCP для роутера, а он уже будет лимитить согласно этой ремарки?

[sol]

На софтроутере нет и не будет SVI... Для транзитных виланов можно взять свичку и подешевле раз в 5... Зачем красить трафик на свичке если его ВСЕ РАВНО придется шейпить на софтроутере? Экономия будет 0.1% и сразу на всех. Ибо как отличить 10 мбит одного юзера от 10 мегабит другого? Так что либо свичка в виде агрегатора виланов и софтроутер, либо 6тонник все-в-одном. Это не дорого, правда. При цене 3550 в 25 т.р. 6тонник выйдет http://shop.nag.ru/catalog/item/00099 22 т.р. шассик, http://shop.nag.ru/catalog/item/01476 5 .т.р питатель и http://shop.nag.ru/catalog/item/02100 15 т.р. супервайзер. Итого 42 т.р. Ну еще можно http://shop.nag.ru/catalog/item/02119 вот это докинуть за 6 т.р. Вот на этом вам удасться и прошейпить и пророутить то, что вы хотите. Причем вместе и ИСХОДЯЩИМ трафиком.

[catalist]

а для шеститонника примерчика не будет?

[sol]

примерчика ЧЕГО?

 

[catalist]

примерчика ЧЕГО?

нарезки скорости для 2го супа

[sol]

ээээ...

 

interface vlan666

ip address 11.9.20.01 255.255.255.0

rate-limit output 1024000 25000 25000 conform-action transmit exceed-action drop

 

 

Вот так...

 

Или политиками.

 

[catalist]

ээээ...

 

interface vlan666

ip address 11.9.20.01 255.255.255.0

rate-limit output 1024000 25000 25000 conform-action transmit exceed-action drop

 

 

Вот так...

 

Или политиками.

почемуто после введения двух таких комманд in/out эффекта нету....

[sol]

От ИОСа зависит. ТРУЪ путь - политики.

http://www.cisco.com/en/US/prod/collateral...cd803e5017.html

вот так как-то.

 

[fenix-vt]

ээээ...

 

interface vlan666

ip address 11.9.20.01 255.255.255.0

rate-limit output 1024000 25000 25000 conform-action transmit exceed-action drop

 

 

Вот так...

 

Или политиками.

почемуто после введения двух таких комманд in/out эффекта нету....

sup2 -- только ingress-трафик может полисить/рейтить