Jump to content
Калькуляторы

Шейпинг на интерфейсе Cisco 7206 разные скорости в зависимости от хоста назначения

Приветствую, форумчане...

Есть такой вот интерфейс:

interface GigabitEthernet0/3.102
encapsulation dot1Q 102
ip address 10.20.0.1 255.255.255.252
ip nat inside
ip virtual-reassembly
!

На данной циске (7206) поднят NAT. На 3-интерфейсе клиенты, на 1 - инет, а на 2 - локалка (172,16,0,0 и 10,0,0,0).

10,20,0,2 - клиент

собственно задача ограничить скорость на подъинтерфейсах только для потоков, которые в инет и из инета, а для локального трафика ограничения не делать.

 

То, что напрашивается в первую очередь

 rate-limit output access-group 100 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 101 92160000 46080 46080 conform-action transmit exceed-action drop

где

 

access-list 100 permit ip 10.20.0.0 0.0.0.3 any
access-list 100 deny   ip any any
access-list 101 permit ip host 10.20.0.2 172.16.0.0 0.0.255.255
access-list 101 deny   ip any any

 

не работает, либо режется все, либо не режется совсем.

 

Подскажите плиз, каким образом ограничить только инет поток?

Share this post


Link to post
Share on other sites

access-list 100 deny ip 10.20.0.0 0.0.0.3 any

access-list 100 permit ip any any

 

access-list 101 deny ip any 10.20.0.0 0.0.0.3

access-list 101 permit ip any any

 

rate-limit input access-group 100 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 101 256000 8000 8000 conform-action transmit exceed-action drop

Share this post


Link to post
Share on other sites

не могу сообразить смысл аксесов.... может ктонить разъяснит?

 

ибо в rate-limite указана одинаковая скорость 256 кбит\сек, а нужно чтобы 256 (например) было только для инет-трафика

Share this post


Link to post
Share on other sites

не могу сообразить смысл аксесов.... может ктонить разъяснит?

ACL'ем ты "отделяешь вершки от корешков" и rate-limit работает только с тем, что попало в permit

Edited by DelSt

Share this post


Link to post
Share on other sites
не могу сообразить смысл аксесов.... может ктонить разъяснит?
ACL'ем ты "отделяешь вершки от корешков" и rate-limit работает только с тем, что попало в permit

так фишка в том, что инет трафик в ацл можно описать только как any, а вот локальный трафик напротив - имеются конкретные хосты 172,16,0,0\16 и 10,0,0,0\8

 

если б наоборот было бы, то было бы проще

 

не работает так. не ограничивает скорость инет-трафика :(

Share this post


Link to post
Share on other sites
ip access-list extended inet
  remark -- Inet traffic --
  deny ip 10.0.0.0 0.0.15.255 10.0.0.0 0.0.15.255
  permit ip any any 
!
ip access-list extended local
  remark -- Local traffic --
  permit ip 10.0.0.0 0.0.15.255 10.0.0.0 0.0.15.255
  deny   ip any any
!
!
class-map match-any INET
  match access-group name inet
class-map match-any LOCAL
  match access-group name local
!
!
policy-map tariff_1
  class LOCAL
   police cir 10240000
     conform-action transmit
     exceed-action set-dscp-transmit 4
     violate-action drop
  class INET
   police cir 2048000 bc 384000 be 768000
     conform-action transmit
     exceed-action set-dscp-transmit 4
     violate-action drop
!
!
interface GigabitEthernet0/1
  service-policy input tariff_1
  service-policy output tariff_1

Share this post


Link to post
Share on other sites
policy-map tariff_1

class LOCAL

police cir 10240000

conform-action transmit

exceed-action set-dscp-transmit 4

violate-action drop

class INET

police cir 2048000 bc 384000 be 768000

conform-action transmit

exceed-action set-dscp-transmit 4

violate-action drop

Я еще класс class-default добавляю, на всякий случай :)

Share this post


Link to post
Share on other sites

Сделал, однако чуть изменил ip access-list

Extended IP access list inet
    10 deny ip 10.0.0.0 0.255.255.255 172.16.0.0 0.0.255.255 (15939 matches)
    20 deny ip 172.16.0.0 0.0.255.255 10.0.0.0 0.255.255.255 (38257 matches)
    30 permit ip any any (2728 matches)
Extended IP access list local
    30 permit ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 (52 matches)
    40 permit ip 10.0.0.0 0.255.255.255 172.16.0.0 0.0.255.255
    50 permit ip 172.16.0.0 0.0.255.255 10.0.0.0 0.255.255.255
    60 deny ip any any

если я правильно понял методику описания в аксесах, то в моих аксесах высокая скорость на общение 172 и 10 подсетей между собой и низкая - на все остальное

 

вроде работает... подольше потестирую и если чтото будет не в порядке - сообщу

 

Спасибо! :)

Edited by Желающий

Share this post


Link to post
Share on other sites
Сделал, однако чуть изменил ip access-list

если я правильно понял методику описания в аксесах, то в моих аксесах высокая скорость на общение 172 и 10 подсетей между собой и низкая - на все остальное

вроде работает... подольше потестирую и если чтото будет не в порядке - сообщу

 

Спасибо! :)

Похоже на правду, правда на local слишком мало match. На всякий случай добавьте class-default и посмотрите - не оседает ли что на нем. Если оседает - изучайте ваши acl

Share this post


Link to post
Share on other sites

Сделайте полисити-мап. И с помощью него шейпте. Нагрузка меньше чем с rate-limit output/input access-group.

Edited by TiRider

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this