Jump to content
Калькуляторы

Как правильно шейпить внешние ресурсы на Cisco 7600? шейпинг по IP промаркированного ранее трафика

Доброе время суток!

 

В сети есть внутренние и внешние ресурсы. Трафик от внешних ресурсов промаркирован и поступает на Cisco 7600 в отдельном VLAN te3/4.200, от внутренних ресурсов трафик никак не маркируется и тоже поступает на Cisco 7600 в отдельном VLAN te3/4.100.

Ряд клиентов живут в этой же Cisco 7600 одном VLAN te3/4.300 в сетке /26 (у них общий шлюз и работают они пока в одном широковещательном домене).

 

Как правильно ограничить доступ каждому из них на скорости 5M к внешним ресурсам и 100M к внутренним? Как минимум на загрузку. Если надо изменить схему включения - выслушаю варианты.

 

Заранее всем спасибо!

 

P.S. как пошейпить одельного клиента в своей /30 в направлении внешних ресурсов понятно, а вот как это сделать per IP понять не могу.

Share this post


Link to post
Share on other sites

Правильно не шейпить трафик на 7600 вообще. А задача решается обычным полисером.

Share this post


Link to post
Share on other sites

Правильно не шейпить трафик на 7600 вообще. А задача решается обычным полисером.

 

Можно пример обычного полисера?

Share this post


Link to post
Share on other sites

Можно пример обычного полисера?

видимо речь про mls policer'ы или про те что в policy-map'ах писать можно. :)

Share this post


Link to post
Share on other sites

можно как-то так

 

interface VlanZZ

ip address x.x.x.x 255.255.255.252

service-policy input p-in

service-policy output p-out

 

policy-map p-in

class c-in

police rate 20480000 burst 20480000 conform-action transmit exceed-action drop

 

policy-map p-out

class c-out

police 20480000 20480000 20480000 conform-action transmit exceed-action drop

 

class-map match-all c-out

match access-group 101

 

class-map match-all c-in

match access-group 100

 

access-list 100 permit ip any any

access-list 101 permit ip any any

Share this post


Link to post
Share on other sites

можно как-то так

 

interface VlanZZ

ip address x.x.x.x 255.255.255.252

service-policy input p-in

service-policy output p-out

 

policy-map p-in

class c-in

police rate 20480000 burst 20480000 conform-action transmit exceed-action drop

 

policy-map p-out

class c-out

police 20480000 20480000 20480000 conform-action transmit exceed-action drop

 

class-map match-all c-out

match access-group 101

 

class-map match-all c-in

match access-group 100

 

access-list 100 permit ip any any

access-list 101 permit ip any any

 

 

Что-то я не могу понять как в этом примере реализовано разделение скорости доступа к внутренним и внешним ресурсам?

В разной скорости к разным ресурсам вся суть проблемы.

 

На FreeBSD сейчас это выглядит так:

pipe 10950 config bw 5Mbit/s queue 512Kbytes
pipe 10951 config bw 5Mbit/s queue 512Kbytes
add 10950 pipe 10950 ip from any to XXX.XXX.XXX.XXX out recv external200 xmit clients300
add 10951 pipe 10951 ip from XXX.XXX.XXX.XXX to any out recv clients300 xmit external200

именно эту схему я и хочу реализовать на Cisco.

Share this post


Link to post
Share on other sites

В policy map создаете несколько классов, к классам привязываете access-list, в которых описываете нужные сети. Пример дать не могу, в отпуске, удаленки нет. И еще, если резать хотите их между собой и они в одном широковещательном домене - включайте proxy harp или local proxy arp на svi, забыл что именно точно из них делает подмену arp запросов (для того, чтобы трафик ходил в любом случае через Cisco).

Share this post


Link to post
Share on other sites

Вот как-то так:

pipe = class

add pipe = access-list

 

Хорошо, а как же разные скорости к внешним у внутренним ресурсам?

В IPFW можно указать с какого IP и через какой интерфейс пришел/ушел пакет, а в этой схеме я этого просто не вижу.

Share this post


Link to post
Share on other sites

policy-map p-in

class in_resours

police rate 20480000 burst 20480000 conform-action transmit exceed-action drop

class out_resours

police rate 12000000 burst 20480000 conform-action transmit exceed-action drop

-----

class-map match-all in_resours

match access-group 100

class-map match-all out_resours

match access-group 101

------

access-list 100 permit ip any (сетка внутренних ресурсов)

access-list 101 permit ip any (сетка внешних ресурсов)

------

Как то так. Точный синтаксис поищите в интернете, писал по памяти.

Edited by uk2558

Share this post


Link to post
Share on other sites

policy-map p-in

class in_resours

police rate 20480000 burst 20480000 conform-action transmit exceed-action drop

class out_resours

police rate 12000000 burst 20480000 conform-action transmit exceed-action drop

-----

class-map match-all in_resours

match access-group 100

class-map match-all out_resours

match access-group 101

------

access-list 100 permit ip any (сетка внутренних ресурсов)

access-list 101 permit ip any (сетка внешних ресурсов)

------

Как то так. Точный синтаксис поищите в интернете, писал по памяти.

 

Я понял, но к сожалению использовать статические листы внешних и внутренних сетей нет возможности,

трафик от внешних ресурсов маркирован - можно ли как-то использовать это для ограничения хотя-бы на вход?

Share this post


Link to post
Share on other sites

7600(config-cmap)#match ?

access-group Access group

any Any packets

atm Match on ATM info

atm-vci Match on atm vci

bgp-index BGP traffic index value

class-map Class map

cos IEEE 802.1Q/ISL class of service/user priority values

destination-address Destination address

dscp Match DSCP in IPv4 and IPv6 packets

fr-de Match on Frame-relay DE bit

fr-dlci Match on fr-dlci

input input attachment circuits

ip IP specific values

mpls Multi Protocol Label Switching specific values

not Negate this match result

packet Layer 3 Packet length

precedence Match Precedence in IPv4 and IPv6 packets

protocol Protocol

qos-group Qos-group

source-address Source address

subscriber Match subscribers

vlan VLANs to match

Share this post


Link to post
Share on other sites

я так понимаю человек хочет ubrl.. а не общий лимит полосы.

Share this post


Link to post
Share on other sites

да актуально, как зарулить трафик не через статическую группу адресов с ацл для привязки к ISG ?

 

на память приходить экзампель, но имхо криво это:

 

policy-map

class Peer

police cir 20480000 bc 20480000 be 20480000

conform-action transmit

exceed-action drop

violate-action dro

 

class-map match-all Peer

match qos-group 1

 

кнешна qos-group 1 заранее испечь

Share this post


Link to post
Share on other sites

7600 без DFC тянет примерно 1000 команд police

Если хотите для каждого клиента 2 категории трафика вход выход = 4 полисера на каждого = 250 абонентов...

 

Если абонентов много то единственно остается "UBRL", иногда известный как "microflow policing on 6500" (7600)

UBRL вещь интересная, но не совместима c рядом других опций, например, NDE.

Share this post


Link to post
Share on other sites

Ваш вариант - UBRL.

 

Дочитал все комменты. Оказывается это уже предлагали. :)

Edited by g3fox

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this