allan_sundry Опубликовано 28 апреля, 2014 · Жалоба Доброе время суток! В сети есть внутренние и внешние ресурсы. Трафик от внешних ресурсов промаркирован и поступает на Cisco 7600 в отдельном VLAN te3/4.200, от внутренних ресурсов трафик никак не маркируется и тоже поступает на Cisco 7600 в отдельном VLAN te3/4.100. Ряд клиентов живут в этой же Cisco 7600 одном VLAN te3/4.300 в сетке /26 (у них общий шлюз и работают они пока в одном широковещательном домене). Как правильно ограничить доступ каждому из них на скорости 5M к внешним ресурсам и 100M к внутренним? Как минимум на загрузку. Если надо изменить схему включения - выслушаю варианты. Заранее всем спасибо! P.S. как пошейпить одельного клиента в своей /30 в направлении внешних ресурсов понятно, а вот как это сделать per IP понять не могу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 28 апреля, 2014 · Жалоба Правильно не шейпить трафик на 7600 вообще. А задача решается обычным полисером. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
allan_sundry Опубликовано 28 апреля, 2014 · Жалоба Правильно не шейпить трафик на 7600 вообще. А задача решается обычным полисером. Можно пример обычного полисера? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 28 апреля, 2014 · Жалоба Можно пример обычного полисера? видимо речь про mls policer'ы или про те что в policy-map'ах писать можно. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 28 апреля, 2014 · Жалоба можно как-то так interface VlanZZ ip address x.x.x.x 255.255.255.252 service-policy input p-in service-policy output p-out policy-map p-in class c-in police rate 20480000 burst 20480000 conform-action transmit exceed-action drop policy-map p-out class c-out police 20480000 20480000 20480000 conform-action transmit exceed-action drop class-map match-all c-out match access-group 101 class-map match-all c-in match access-group 100 access-list 100 permit ip any any access-list 101 permit ip any any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
allan_sundry Опубликовано 29 апреля, 2014 · Жалоба можно как-то так interface VlanZZ ip address x.x.x.x 255.255.255.252 service-policy input p-in service-policy output p-out policy-map p-in class c-in police rate 20480000 burst 20480000 conform-action transmit exceed-action drop policy-map p-out class c-out police 20480000 20480000 20480000 conform-action transmit exceed-action drop class-map match-all c-out match access-group 101 class-map match-all c-in match access-group 100 access-list 100 permit ip any any access-list 101 permit ip any any Что-то я не могу понять как в этом примере реализовано разделение скорости доступа к внутренним и внешним ресурсам? В разной скорости к разным ресурсам вся суть проблемы. На FreeBSD сейчас это выглядит так: pipe 10950 config bw 5Mbit/s queue 512Kbytes pipe 10951 config bw 5Mbit/s queue 512Kbytes add 10950 pipe 10950 ip from any to XXX.XXX.XXX.XXX out recv external200 xmit clients300 add 10951 pipe 10951 ip from XXX.XXX.XXX.XXX to any out recv clients300 xmit external200 именно эту схему я и хочу реализовать на Cisco. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uk2558 Опубликовано 29 апреля, 2014 · Жалоба В policy map создаете несколько классов, к классам привязываете access-list, в которых описываете нужные сети. Пример дать не могу, в отпуске, удаленки нет. И еще, если резать хотите их между собой и они в одном широковещательном домене - включайте proxy harp или local proxy arp на svi, забыл что именно точно из них делает подмену arp запросов (для того, чтобы трафик ходил в любом случае через Cisco). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 30 апреля, 2014 · Жалоба Вот как-то так: pipe = class add pipe = access-list Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
allan_sundry Опубликовано 30 апреля, 2014 · Жалоба Вот как-то так: pipe = class add pipe = access-list Хорошо, а как же разные скорости к внешним у внутренним ресурсам? В IPFW можно указать с какого IP и через какой интерфейс пришел/ушел пакет, а в этой схеме я этого просто не вижу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uk2558 Опубликовано 30 апреля, 2014 (изменено) · Жалоба policy-map p-in class in_resours police rate 20480000 burst 20480000 conform-action transmit exceed-action drop class out_resours police rate 12000000 burst 20480000 conform-action transmit exceed-action drop ----- class-map match-all in_resours match access-group 100 class-map match-all out_resours match access-group 101 ------ access-list 100 permit ip any (сетка внутренних ресурсов) access-list 101 permit ip any (сетка внешних ресурсов) ------ Как то так. Точный синтаксис поищите в интернете, писал по памяти. Изменено 30 апреля, 2014 пользователем uk2558 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
allan_sundry Опубликовано 5 мая, 2014 · Жалоба policy-map p-in class in_resours police rate 20480000 burst 20480000 conform-action transmit exceed-action drop class out_resours police rate 12000000 burst 20480000 conform-action transmit exceed-action drop ----- class-map match-all in_resours match access-group 100 class-map match-all out_resours match access-group 101 ------ access-list 100 permit ip any (сетка внутренних ресурсов) access-list 101 permit ip any (сетка внешних ресурсов) ------ Как то так. Точный синтаксис поищите в интернете, писал по памяти. Я понял, но к сожалению использовать статические листы внешних и внутренних сетей нет возможности, трафик от внешних ресурсов маркирован - можно ли как-то использовать это для ограничения хотя-бы на вход? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 5 мая, 2014 · Жалоба 7600(config-cmap)#match ? access-group Access group any Any packets atm Match on ATM info atm-vci Match on atm vci bgp-index BGP traffic index value class-map Class map cos IEEE 802.1Q/ISL class of service/user priority values destination-address Destination address dscp Match DSCP in IPv4 and IPv6 packets fr-de Match on Frame-relay DE bit fr-dlci Match on fr-dlci input input attachment circuits ip IP specific values mpls Multi Protocol Label Switching specific values not Negate this match result packet Layer 3 Packet length precedence Match Precedence in IPv4 and IPv6 packets protocol Protocol qos-group Qos-group source-address Source address subscriber Match subscribers vlan VLANs to match Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 6 мая, 2014 · Жалоба я так понимаю человек хочет ubrl.. а не общий лимит полосы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cold Опубликовано 12 мая, 2014 · Жалоба да актуально, как зарулить трафик не через статическую группу адресов с ацл для привязки к ISG ? на память приходить экзампель, но имхо криво это: policy-map class Peer police cir 20480000 bc 20480000 be 20480000 conform-action transmit exceed-action drop violate-action dro class-map match-all Peer match qos-group 1 кнешна qos-group 1 заранее испечь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tosha Опубликовано 14 мая, 2014 · Жалоба 7600 без DFC тянет примерно 1000 команд police Если хотите для каждого клиента 2 категории трафика вход выход = 4 полисера на каждого = 250 абонентов... Если абонентов много то единственно остается "UBRL", иногда известный как "microflow policing on 6500" (7600) UBRL вещь интересная, но не совместима c рядом других опций, например, NDE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 14 мая, 2014 (изменено) · Жалоба Ваш вариант - UBRL. Дочитал все комменты. Оказывается это уже предлагали. :) Изменено 14 мая, 2014 пользователем g3fox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...