allan_sundry Posted April 28, 2014 Доброе время суток! В сети есть внутренние и внешние ресурсы. Трафик от внешних ресурсов промаркирован и поступает на Cisco 7600 в отдельном VLAN te3/4.200, от внутренних ресурсов трафик никак не маркируется и тоже поступает на Cisco 7600 в отдельном VLAN te3/4.100. Ряд клиентов живут в этой же Cisco 7600 одном VLAN te3/4.300 в сетке /26 (у них общий шлюз и работают они пока в одном широковещательном домене). Как правильно ограничить доступ каждому из них на скорости 5M к внешним ресурсам и 100M к внутренним? Как минимум на загрузку. Если надо изменить схему включения - выслушаю варианты. Заранее всем спасибо! P.S. как пошейпить одельного клиента в своей /30 в направлении внешних ресурсов понятно, а вот как это сделать per IP понять не могу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
secandr Posted April 28, 2014 Правильно не шейпить трафик на 7600 вообще. А задача решается обычным полисером. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
allan_sundry Posted April 28, 2014 Правильно не шейпить трафик на 7600 вообще. А задача решается обычным полисером. Можно пример обычного полисера? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pfexec Posted April 28, 2014 Можно пример обычного полисера? видимо речь про mls policer'ы или про те что в policy-map'ах писать можно. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Lynx10 Posted April 28, 2014 можно как-то так interface VlanZZ ip address x.x.x.x 255.255.255.252 service-policy input p-in service-policy output p-out policy-map p-in class c-in police rate 20480000 burst 20480000 conform-action transmit exceed-action drop policy-map p-out class c-out police 20480000 20480000 20480000 conform-action transmit exceed-action drop class-map match-all c-out match access-group 101 class-map match-all c-in match access-group 100 access-list 100 permit ip any any access-list 101 permit ip any any Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
allan_sundry Posted April 29, 2014 можно как-то так interface VlanZZ ip address x.x.x.x 255.255.255.252 service-policy input p-in service-policy output p-out policy-map p-in class c-in police rate 20480000 burst 20480000 conform-action transmit exceed-action drop policy-map p-out class c-out police 20480000 20480000 20480000 conform-action transmit exceed-action drop class-map match-all c-out match access-group 101 class-map match-all c-in match access-group 100 access-list 100 permit ip any any access-list 101 permit ip any any Что-то я не могу понять как в этом примере реализовано разделение скорости доступа к внутренним и внешним ресурсам? В разной скорости к разным ресурсам вся суть проблемы. На FreeBSD сейчас это выглядит так: pipe 10950 config bw 5Mbit/s queue 512Kbytes pipe 10951 config bw 5Mbit/s queue 512Kbytes add 10950 pipe 10950 ip from any to XXX.XXX.XXX.XXX out recv external200 xmit clients300 add 10951 pipe 10951 ip from XXX.XXX.XXX.XXX to any out recv clients300 xmit external200 именно эту схему я и хочу реализовать на Cisco. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uk2558 Posted April 29, 2014 В policy map создаете несколько классов, к классам привязываете access-list, в которых описываете нужные сети. Пример дать не могу, в отпуске, удаленки нет. И еще, если резать хотите их между собой и они в одном широковещательном домене - включайте proxy harp или local proxy arp на svi, забыл что именно точно из них делает подмену arp запросов (для того, чтобы трафик ходил в любом случае через Cisco). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
secandr Posted April 30, 2014 Вот как-то так: pipe = class add pipe = access-list Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
allan_sundry Posted April 30, 2014 Вот как-то так: pipe = class add pipe = access-list Хорошо, а как же разные скорости к внешним у внутренним ресурсам? В IPFW можно указать с какого IP и через какой интерфейс пришел/ушел пакет, а в этой схеме я этого просто не вижу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
uk2558 Posted April 30, 2014 (edited) policy-map p-in class in_resours police rate 20480000 burst 20480000 conform-action transmit exceed-action drop class out_resours police rate 12000000 burst 20480000 conform-action transmit exceed-action drop ----- class-map match-all in_resours match access-group 100 class-map match-all out_resours match access-group 101 ------ access-list 100 permit ip any (сетка внутренних ресурсов) access-list 101 permit ip any (сетка внешних ресурсов) ------ Как то так. Точный синтаксис поищите в интернете, писал по памяти. Edited April 30, 2014 by uk2558 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
allan_sundry Posted May 5, 2014 policy-map p-in class in_resours police rate 20480000 burst 20480000 conform-action transmit exceed-action drop class out_resours police rate 12000000 burst 20480000 conform-action transmit exceed-action drop ----- class-map match-all in_resours match access-group 100 class-map match-all out_resours match access-group 101 ------ access-list 100 permit ip any (сетка внутренних ресурсов) access-list 101 permit ip any (сетка внешних ресурсов) ------ Как то так. Точный синтаксис поищите в интернете, писал по памяти. Я понял, но к сожалению использовать статические листы внешних и внутренних сетей нет возможности, трафик от внешних ресурсов маркирован - можно ли как-то использовать это для ограничения хотя-бы на вход? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Lynx10 Posted May 5, 2014 7600(config-cmap)#match ? access-group Access group any Any packets atm Match on ATM info atm-vci Match on atm vci bgp-index BGP traffic index value class-map Class map cos IEEE 802.1Q/ISL class of service/user priority values destination-address Destination address dscp Match DSCP in IPv4 and IPv6 packets fr-de Match on Frame-relay DE bit fr-dlci Match on fr-dlci input input attachment circuits ip IP specific values mpls Multi Protocol Label Switching specific values not Negate this match result packet Layer 3 Packet length precedence Match Precedence in IPv4 and IPv6 packets protocol Protocol qos-group Qos-group source-address Source address subscriber Match subscribers vlan VLANs to match Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted May 6, 2014 я так понимаю человек хочет ubrl.. а не общий лимит полосы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Cold Posted May 12, 2014 да актуально, как зарулить трафик не через статическую группу адресов с ацл для привязки к ISG ? на память приходить экзампель, но имхо криво это: policy-map class Peer police cir 20480000 bc 20480000 be 20480000 conform-action transmit exceed-action drop violate-action dro class-map match-all Peer match qos-group 1 кнешна qos-group 1 заранее испечь Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Tosha Posted May 14, 2014 7600 без DFC тянет примерно 1000 команд police Если хотите для каждого клиента 2 категории трафика вход выход = 4 полисера на каждого = 250 абонентов... Если абонентов много то единственно остается "UBRL", иногда известный как "microflow policing on 6500" (7600) UBRL вещь интересная, но не совместима c рядом других опций, например, NDE. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted May 14, 2014 (edited) Ваш вариант - UBRL. Дочитал все комменты. Оказывается это уже предлагали. :) Edited May 14, 2014 by g3fox Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...