Перейти к содержимому
Калькуляторы

Как правильно шейпить внешние ресурсы на Cisco 7600? шейпинг по IP промаркированного ранее трафика

Доброе время суток!

 

В сети есть внутренние и внешние ресурсы. Трафик от внешних ресурсов промаркирован и поступает на Cisco 7600 в отдельном VLAN te3/4.200, от внутренних ресурсов трафик никак не маркируется и тоже поступает на Cisco 7600 в отдельном VLAN te3/4.100.

Ряд клиентов живут в этой же Cisco 7600 одном VLAN te3/4.300 в сетке /26 (у них общий шлюз и работают они пока в одном широковещательном домене).

 

Как правильно ограничить доступ каждому из них на скорости 5M к внешним ресурсам и 100M к внутренним? Как минимум на загрузку. Если надо изменить схему включения - выслушаю варианты.

 

Заранее всем спасибо!

 

P.S. как пошейпить одельного клиента в своей /30 в направлении внешних ресурсов понятно, а вот как это сделать per IP понять не могу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Правильно не шейпить трафик на 7600 вообще. А задача решается обычным полисером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Правильно не шейпить трафик на 7600 вообще. А задача решается обычным полисером.

 

Можно пример обычного полисера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно пример обычного полисера?

видимо речь про mls policer'ы или про те что в policy-map'ах писать можно. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

можно как-то так

 

interface VlanZZ

ip address x.x.x.x 255.255.255.252

service-policy input p-in

service-policy output p-out

 

policy-map p-in

class c-in

police rate 20480000 burst 20480000 conform-action transmit exceed-action drop

 

policy-map p-out

class c-out

police 20480000 20480000 20480000 conform-action transmit exceed-action drop

 

class-map match-all c-out

match access-group 101

 

class-map match-all c-in

match access-group 100

 

access-list 100 permit ip any any

access-list 101 permit ip any any

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

можно как-то так

 

interface VlanZZ

ip address x.x.x.x 255.255.255.252

service-policy input p-in

service-policy output p-out

 

policy-map p-in

class c-in

police rate 20480000 burst 20480000 conform-action transmit exceed-action drop

 

policy-map p-out

class c-out

police 20480000 20480000 20480000 conform-action transmit exceed-action drop

 

class-map match-all c-out

match access-group 101

 

class-map match-all c-in

match access-group 100

 

access-list 100 permit ip any any

access-list 101 permit ip any any

 

 

Что-то я не могу понять как в этом примере реализовано разделение скорости доступа к внутренним и внешним ресурсам?

В разной скорости к разным ресурсам вся суть проблемы.

 

На FreeBSD сейчас это выглядит так:

pipe 10950 config bw 5Mbit/s queue 512Kbytes
pipe 10951 config bw 5Mbit/s queue 512Kbytes
add 10950 pipe 10950 ip from any to XXX.XXX.XXX.XXX out recv external200 xmit clients300
add 10951 pipe 10951 ip from XXX.XXX.XXX.XXX to any out recv clients300 xmit external200

именно эту схему я и хочу реализовать на Cisco.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В policy map создаете несколько классов, к классам привязываете access-list, в которых описываете нужные сети. Пример дать не могу, в отпуске, удаленки нет. И еще, если резать хотите их между собой и они в одном широковещательном домене - включайте proxy harp или local proxy arp на svi, забыл что именно точно из них делает подмену arp запросов (для того, чтобы трафик ходил в любом случае через Cisco).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот как-то так:

pipe = class

add pipe = access-list

 

Хорошо, а как же разные скорости к внешним у внутренним ресурсам?

В IPFW можно указать с какого IP и через какой интерфейс пришел/ушел пакет, а в этой схеме я этого просто не вижу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

policy-map p-in

class in_resours

police rate 20480000 burst 20480000 conform-action transmit exceed-action drop

class out_resours

police rate 12000000 burst 20480000 conform-action transmit exceed-action drop

-----

class-map match-all in_resours

match access-group 100

class-map match-all out_resours

match access-group 101

------

access-list 100 permit ip any (сетка внутренних ресурсов)

access-list 101 permit ip any (сетка внешних ресурсов)

------

Как то так. Точный синтаксис поищите в интернете, писал по памяти.

Изменено пользователем uk2558

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

policy-map p-in

class in_resours

police rate 20480000 burst 20480000 conform-action transmit exceed-action drop

class out_resours

police rate 12000000 burst 20480000 conform-action transmit exceed-action drop

-----

class-map match-all in_resours

match access-group 100

class-map match-all out_resours

match access-group 101

------

access-list 100 permit ip any (сетка внутренних ресурсов)

access-list 101 permit ip any (сетка внешних ресурсов)

------

Как то так. Точный синтаксис поищите в интернете, писал по памяти.

 

Я понял, но к сожалению использовать статические листы внешних и внутренних сетей нет возможности,

трафик от внешних ресурсов маркирован - можно ли как-то использовать это для ограничения хотя-бы на вход?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7600(config-cmap)#match ?

access-group Access group

any Any packets

atm Match on ATM info

atm-vci Match on atm vci

bgp-index BGP traffic index value

class-map Class map

cos IEEE 802.1Q/ISL class of service/user priority values

destination-address Destination address

dscp Match DSCP in IPv4 and IPv6 packets

fr-de Match on Frame-relay DE bit

fr-dlci Match on fr-dlci

input input attachment circuits

ip IP specific values

mpls Multi Protocol Label Switching specific values

not Negate this match result

packet Layer 3 Packet length

precedence Match Precedence in IPv4 and IPv6 packets

protocol Protocol

qos-group Qos-group

source-address Source address

subscriber Match subscribers

vlan VLANs to match

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да актуально, как зарулить трафик не через статическую группу адресов с ацл для привязки к ISG ?

 

на память приходить экзампель, но имхо криво это:

 

policy-map

class Peer

police cir 20480000 bc 20480000 be 20480000

conform-action transmit

exceed-action drop

violate-action dro

 

class-map match-all Peer

match qos-group 1

 

кнешна qos-group 1 заранее испечь

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7600 без DFC тянет примерно 1000 команд police

Если хотите для каждого клиента 2 категории трафика вход выход = 4 полисера на каждого = 250 абонентов...

 

Если абонентов много то единственно остается "UBRL", иногда известный как "microflow policing on 6500" (7600)

UBRL вещь интересная, но не совместима c рядом других опций, например, NDE.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ваш вариант - UBRL.

 

Дочитал все комменты. Оказывается это уже предлагали. :)

Изменено пользователем g3fox

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.