 traffic-shape или rate-limit ???,  TARANTINO, 21-Сен-09, 16:58 [смотреть все]Всем привет!!!Есть cisco 871
Есть пользователи подключенные по VPN
Цель: зарезать скорость на каждое VPN - подключение, т.е. чтоб каждый пользователь имел
на вход и на выход допустим 1 мбит/с., если не трудно, то можно для определенной группы
2 мбита/с., а для другой 1 мбит/с. Не могу понять работает ли "traffic-shape group 1 1024000 25600 25600 1000" нужно ли это?
Или нужно делать по другому? Кусок из конфига.
Всем СПАСИБО заранее!
..........
vpdn enable
!
vpdn-group abon1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
..........
!
interface FastEthernet4
ip address dhcp
ip nat outside
!
interface Virtual-Template1
ip address 192.168.192.1 255.255.255.0
ip nat inside
peer default ip address pool vpn_pool
traffic-shape group 1 1024000 25600 25600 1000
ppp encrypt mppe auto
ppp authentication ms-chap-v2
!
interface Vlan1
ip address 10.104.31.131 255.255.255.0
ip nat inside
!
ip local pool vpn_pool 192.168.192.100 192.168.192.200
..........
access-list 1 permit any
..........
|
- traffic-shape или rate-limit ???, TARANTINO, 04:41 , 23-Сен-09 (1)
- traffic-shape или rate-limit ???, silvercaptain, 12:16 , 23-Сен-09 (2)
>H E L P Лучше тогда через rate-limit
sm-c3660(config-if)#rate-limit input access-group 100 500000 62500 62500 conform-action transmit exceed-action drop
sm-c3660(config-if)#rate-limit input access-group 101 2010000 250000 250000 conform-action transmit exceed-action drop
!
sm-c3660(config)#access-list 100 permit ip any any
sm-c3660(config)#access-list 101 permit ip any any
А посмотреть так:
sm-c3660#sh int tu 122 rate-limit
Tunnel122 crypto tunnel sm
Input
matches: access-group 199
params: 8000 bps, 1600 limit, 2000 extended limit
conformed 23741 packets, 1994692 bytes; action: transmit
exceeded 3210 packets, 184395 bytes; action: drop
last packet: 1149595396ms ago, current burst: 0 bytes
last cleared 14w0d ago, conformed 0 bps, exceeded 0 bps ну либо смотрить сам акцесс лист sm-c3660#sh access-list 100
- traffic-shape или rate-limit ???, Роман, 22:26 , 25-Сен-09 (3)
>[оверквотинг удален]
> exceeded 3210 packets, 184395 bytes; action:
>drop
> last packet: 1149595396ms ago, current burst:
>0 bytes
> last cleared 14w0d ago, conformed 0
>bps, exceeded 0 bps
>
>ну либо смотрить сам акцесс лист
>
>sm-c3660#sh access-list 100 Только я не понимаю зачем два access-list'а? Можно и один обойтись
- traffic-shape или rate-limit ???, Vladin, 23:11 , 27-Сен-09 (4)
Похоже что Андрей скопировал с конфига, где есть сложные листы, и обрезал их до пермит_эни_то_эни. Вы можете расширить эти списки под свои задачи. Главная идея - можно применить несколько шейперов на один интерфейс, а трафик выбрать списками доступа.Что касается выбора между traffic-shape и rate-limit, то это разные механизмы.
traffic-shape превышающий трафик складывает в буфер, и потом идет отправка с буфера.
Если трафика много, буфер может переполнится и будут дропы. rate-limit при exceed-action drop сразу дропает сверх лимита. А в протоколе tcp заложен механизм снижения скорости при появлении дропов. При этом передача по tcp "подстраивается" под шейп. Так что если шейперов на железке 1-2, то можете применить traffic-shape. Обычно это делается на клиентском оборудовании. Если шейпить надо много и скорости приличные (частая потребность на стороне оператора) - лучше rate-limit, загрузка будет меньше.
|
Версия для распечатки
