 Cisco 3750. Ограничение входящей скорости WAN - Vlan,  Diesel315, 07-Фев-13, 15:31 [смотреть все]Добрый день всем.Подскажите люди добрые, что делаю не так и возможно ли это вообще.
Цель ограничить входящую скорость из интернета для гостевого VLAN.
Схема выхода в интернет следующая: VLAN61 (10.60.61.0/24)--Cisco3750 intVlan61(10.60.61.254/24)---ip route 0.0.0.0 0.0.0.0 10.60.64.240--- TMG2010 (10.60.64.240)---ISP.
То есть пользователи находясь в Vlan61 выходят в интернет через прокси TMG2010. Средствами самого прокси скорость ограничить нельзя. Так как все Vlan сходятся в С3750 (12.2(55)SE1 C3750-IPSERVICESK9-M) было решено настроить там ограничение для соответствующего Vlan.
Конфиг:
#interface GigabitEthernet1/0/2
description C2960-211
switchport trunk encapsulation dot1q
switchport mode trunk
mls qos vlan-based
Этот транк уходит дальше на C2960, в котором сидит пользователь в Vlan61.
#Extended IP access list TESTVLAN61
10 permit ip host 10.60.64.240 10.60.61.0 0.0.0.255
# class-map match-all cm-1
match access-group name TESTVLAN61
# class-map match-all cm-interface-1
match input-interface GigabitEthernet1/0/2
!
# policy-map port-pmap
class cm-interface-1
police 1000000 500000 exceed-action drop
# policy-map vlan-pmap
class cm-1
trust dscp
service-policy port-pmap
# interface Vlan61
ip address 10.60.61.254 255.255.255.0
ip helper-address
service-policy input vlan-pmap Не срабатывает.Если в ACL поменять местами хост и сеть тоже самое. Однако если указать просто permit any any, то ограничение действует. Но действует не на входящий трафик, а на исходящий, при том согласно ACL на весь исходящий из данного VLAN.
Собственно как сделать, чтобы ограничивался только входящий и из интернета не могу реализовать.
Может кто реализовал подобное. Буду благодарен за любую помощь или хотя в каком направлении копать.
|
- Cisco 3750. Ограничение входящей скорости WAN - Vlan, Merridius, 17:08 , 07-Фев-13 (1)
> Собственно как сделать, чтобы ограничивался только входящий и из интернета не могу
> реализовать.access-list 101 permit ip any 10.60.61.0 0.0.0.255 class-map OUT
match access-group 101 policy-map OUT
class OUT
police 64000 8000 8000 con tr ex drop int vlan 61
service-policy output OUT int gig1/0/2
mls qos vlan-based Таким образом мы ограничим весь входящий трафик в сеть 10.60.61.0/24, подключенную к порту gig1/0/2.
- Cisco 3750. Ограничение входящей скорости WAN - Vlan, Diesel315, 10:57 , 08-Фев-13 (6)
>[оверквотинг удален]
> match access-group 101
> policy-map OUT
> class OUT
> police 64000 8000 8000 con tr ex drop
> int vlan 61
> service-policy output OUT
> int gig1/0/2
> mls qos vlan-based
> Таким образом мы ограничим весь входящий трафик в сеть 10.60.61.0/24, подключенную к
> порту gig1/0/2.Забыл сказать. Наткнувшись на то, что ограничивается исходящий трафик думал как раз логичным будет заменить на интерфейсе input на output, но не сработало:
(config-if)#service-policy output OUT
police command is not supported for this interface
The interface does not support the specified policy configuration and/or parameter values.
- Cisco 3750. Ограничение входящей скорости WAN - Vlan, Mr. Mistoffelees, 20:25 , 07-Фев-13 (2)
Привет,> Однако
> если указать просто permit any any, то ограничение действует. Но действует
> не на входящий трафик, а на исходящий, Именно так устроен мир. Огранчение трафика ставят там, где он уходит из девайса (поскольку только тогда можна им управлять, а на входащие пакеты коммутатор повлиять никак не может). Ingress queueing возможен, но это совсем иной мир. WWell,
- Cisco 3750. Ограничение входящей скорости WAN - Vlan, eek, 06:56 , 08-Фев-13 (3)
- Cisco 3750. Ограничение входящей скорости WAN - Vlan, eek, 07:04 , 08-Фев-13 (4)
> Вот примеры конфигурации и посмотрите чтобы софт был не очень старый.P.S. Не всегда можно сделать match по ip, бывает что доступно только dscp, тогда нужно траффик сначала раскрасить, а потом уже накручивать политики.
- Cisco 3750. Ограничение входящей скорости WAN - Vlan, Merridius, 09:25 , 08-Фев-13 (5)
>> Вот примеры конфигурации и посмотрите чтобы софт был не очень старый.
> P.S. Не всегда можно сделать match по ip, бывает что доступно только
> dscp, тогда нужно траффик сначала раскрасить, а потом уже накручивать политики. На 3750 точно можно.
- Cisco 3750. Ограничение входящей скорости WAN - Vlan, Diesel315, 11:21 , 08-Фев-13 (7)
>>> Вот примеры конфигурации и посмотрите чтобы софт был не очень старый.
>> P.S. Не всегда можно сделать match по ip, бывает что доступно только
>> dscp, тогда нужно траффик сначала раскрасить, а потом уже накручивать политики.
> На 3750 точно можно.Всем спасибо за помощь. Проблему решил. Натолкнуло на решение то, что политика срабатывает на исходящий трафик. Исходя из этого нужно просто повесить политику на lan интерфейс прокси, ведь тогда трафик в гостевой vlan будет уже считаться исходящим.Собственно конфиг тот же самый, только повесил не на влан интерфейс:
access-list 101 permit ip any 10.60.61.0 0.0.0.255 class-map OUT
match access-group 101 policy-map OUT
class OUT
police 64000 8000 8000 con tr ex drop interface GigabitEthernet1/0/21
description --LanTMG2010
switchport access vlan
switchport mode access
spanning-tree portfast
service-policy input OUT int gig1/0/2
mls qos vlan-based # вот тут надо еще проверить влияет эта строчка или нет... Всем спасибо.
|
Версия для распечатки
