Желающий Опубликовано 18 января, 2011 · Жалоба Приветствую, форумчане... Есть такой вот интерфейс: interface GigabitEthernet0/3.102 encapsulation dot1Q 102 ip address 10.20.0.1 255.255.255.252 ip nat inside ip virtual-reassembly ! На данной циске (7206) поднят NAT. На 3-интерфейсе клиенты, на 1 - инет, а на 2 - локалка (172,16,0,0 и 10,0,0,0). 10,20,0,2 - клиент собственно задача ограничить скорость на подъинтерфейсах только для потоков, которые в инет и из инета, а для локального трафика ограничения не делать. То, что напрашивается в первую очередь rate-limit output access-group 100 256000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 101 92160000 46080 46080 conform-action transmit exceed-action drop где access-list 100 permit ip 10.20.0.0 0.0.0.3 any access-list 100 deny ip any any access-list 101 permit ip host 10.20.0.2 172.16.0.0 0.0.255.255 access-list 101 deny ip any any не работает, либо режется все, либо не режется совсем. Подскажите плиз, каким образом ограничить только инет поток? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pliskinsad Опубликовано 18 января, 2011 · Жалоба access-list 100 deny ip 10.20.0.0 0.0.0.3 any access-list 100 permit ip any any access-list 101 deny ip any 10.20.0.0 0.0.0.3 access-list 101 permit ip any any rate-limit input access-group 100 256000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 101 256000 8000 8000 conform-action transmit exceed-action drop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Желающий Опубликовано 18 января, 2011 · Жалоба не могу сообразить смысл аксесов.... может ктонить разъяснит? ибо в rate-limite указана одинаковая скорость 256 кбит\сек, а нужно чтобы 256 (например) было только для инет-трафика Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DelSt Опубликовано 18 января, 2011 (изменено) · Жалоба не могу сообразить смысл аксесов.... может ктонить разъяснит? ACL'ем ты "отделяешь вершки от корешков" и rate-limit работает только с тем, что попало в permit Изменено 18 января, 2011 пользователем DelSt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Желающий Опубликовано 19 января, 2011 · Жалоба не могу сообразить смысл аксесов.... может ктонить разъяснит?ACL'ем ты "отделяешь вершки от корешков" и rate-limit работает только с тем, что попало в permit так фишка в том, что инет трафик в ацл можно описать только как any, а вот локальный трафик напротив - имеются конкретные хосты 172,16,0,0\16 и 10,0,0,0\8 если б наоборот было бы, то было бы проще не работает так. не ограничивает скорость инет-трафика :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jazzy$ Опубликовано 19 января, 2011 · Жалоба ip access-list extended inet remark -- Inet traffic -- deny ip 10.0.0.0 0.0.15.255 10.0.0.0 0.0.15.255 permit ip any any ! ip access-list extended local remark -- Local traffic -- permit ip 10.0.0.0 0.0.15.255 10.0.0.0 0.0.15.255 deny ip any any ! ! class-map match-any INET match access-group name inet class-map match-any LOCAL match access-group name local ! ! policy-map tariff_1 class LOCAL police cir 10240000 conform-action transmit exceed-action set-dscp-transmit 4 violate-action drop class INET police cir 2048000 bc 384000 be 768000 conform-action transmit exceed-action set-dscp-transmit 4 violate-action drop ! ! interface GigabitEthernet0/1 service-policy input tariff_1 service-policy output tariff_1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 19 января, 2011 · Жалоба policy-map tariff_1 class LOCAL police cir 10240000 conform-action transmit exceed-action set-dscp-transmit 4 violate-action drop class INET police cir 2048000 bc 384000 be 768000 conform-action transmit exceed-action set-dscp-transmit 4 violate-action drop Я еще класс class-default добавляю, на всякий случай :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Желающий Опубликовано 19 января, 2011 (изменено) · Жалоба Сделал, однако чуть изменил ip access-list Extended IP access list inet 10 deny ip 10.0.0.0 0.255.255.255 172.16.0.0 0.0.255.255 (15939 matches) 20 deny ip 172.16.0.0 0.0.255.255 10.0.0.0 0.255.255.255 (38257 matches) 30 permit ip any any (2728 matches) Extended IP access list local 30 permit ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 (52 matches) 40 permit ip 10.0.0.0 0.255.255.255 172.16.0.0 0.0.255.255 50 permit ip 172.16.0.0 0.0.255.255 10.0.0.0 0.255.255.255 60 deny ip any any если я правильно понял методику описания в аксесах, то в моих аксесах высокая скорость на общение 172 и 10 подсетей между собой и низкая - на все остальное вроде работает... подольше потестирую и если чтото будет не в порядке - сообщу Спасибо! :) Изменено 19 января, 2011 пользователем Желающий Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 21 января, 2011 · Жалоба Сделал, однако чуть изменил ip access-list если я правильно понял методику описания в аксесах, то в моих аксесах высокая скорость на общение 172 и 10 подсетей между собой и низкая - на все остальное вроде работает... подольше потестирую и если чтото будет не в порядке - сообщу Спасибо! :) Похоже на правду, правда на local слишком мало match. На всякий случай добавьте class-default и посмотрите - не оседает ли что на нем. Если оседает - изучайте ваши acl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Желающий Опубликовано 31 января, 2011 · Жалоба ок, спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TiRider Опубликовано 22 февраля, 2011 (изменено) · Жалоба Сделайте полисити-мап. И с помощью него шейпте. Нагрузка меньше чем с rate-limit output/input access-group. Изменено 22 февраля, 2011 пользователем TiRider Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...