форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"Cisco 3750 Policy-map"	+/–
Сообщение от Diesel315 (ok) on 10-Дек-14, 09:37
Всем добрый день. Имею в наличии вот такой девайс -  WS-C3750G-24TS-1U  12.2(55)SE1 Необходимо грамотно настроить шейпинг для одной подсети (10.60.63.0/24). Суть вопроса в том, что есть эта подсеть 10.60.63.0/24 (гостевой влан), выходит в инет через прокси 10.60.4.11. Необходимо на Cisco настроить шейпинг этой подсети, чтобы канал инета не забивали. Раньше прокси был физической машиной и политику я прикрутил непосредтсnnвенно к порту LAN прокси на Cisco: Extended IP access list ACL-LIMIT-SPEED     10 permit ip any 10.60.63.0 0.0.0.255 ! class-map match-all LIMIT-SPEED match access-group name ACL-LIMIT-SPEED ! policy-map LIMIT-SPEED class LIMIT-SPEED   police 3000000 512000 exceed-action drop ! interface GigabitEthernet1/0/21 description --Lan switchport access vlan 15 switchport mode access spanning-tree portfast service-policy input LIMIT-SPEED Теперь же прокси это виртуальная машина которая скрыта за Etherchannel: interface GigabitEthernet1/0/19 description -- HP Network Team Gi1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 15,30,104 switchport mode trunk channel-group 2 mode active spanning-tree portfast service-policy input LIMIT-SPEED ! interface GigabitEthernet1/0/20 description -- HP Network Team Gi2 switchport trunk encapsulation dot1q switchport trunk allowed vlan 15,30,104 switchport mode trunk channel-group 2 mode active spanning-tree portfast service-policy input LIMIT-SPEED И если как видно по конфигу я вешаю эту политику на интерфейсы, то я шейпу трафик ото всех виртуальных машин в адрес подсети 10.60.63.0/24. Мне же надо надо только от одной 10.60.4.11. Пробовал изменить ACL Extended IP access list ACL-LIMIT-SPEED     10 permit ip host 10.60.4.11 10.60.63.0 0.0.0.25 Но это не помогает, в принципе логично думаю, так как подсеть качает трафик как бы не 10.60.4.11 а с инета... Может что и попутался, прошу вашей помощи.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco 3750 Policy-map"	+/–
Сообщение от eek (ok) on 11-Дек-14, 08:39
В задаче написано что хотите шейпить, а в решение пишете что делает policing. Определитесь что хотите сделать. Если шейпинг, то посмотрите в документации вот про этом: srr-queue bandwidth shape
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Cisco 3750 Policy-map"	+/–
	Сообщение от Diesel315 (ok) on 11-Дек-14, 08:55
	> В задаче написано что хотите шейпить, а в решение пишете что делает > policing. > Определитесь что хотите сделать. > Если шейпинг, то посмотрите в документации вот про этом: > srr-queue bandwidth shape Извиняюсь я не очень силен в данной теме. Просто это решение оказалось рабочее по старой схеме и оно реально ограничивало скорость. В новой схеме же возникли трудности. Есть ли возможность используя policing решить задачу?  Не уверен, что bandwidth есть в 3750, проверю...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Cisco 3750 Policy-map"	+/–
	Сообщение от eek (ok) on 11-Дек-14, 10:10
	> Извиняюсь я не очень силен в данной теме. Просто это решение оказалось > рабочее по старой схеме и оно реально ограничивало скорость. В новой > схеме же возникли трудности. Есть ли возможность используя policing решить задачу? >  Не уверен, что bandwidth есть в 3750, проверю... 1) Аксес лист и полиси у вас написаны вроде верно. 2) Вешаете вы его на вход интерфейса который смотрит на хост где крутиться ваша виртуалка с проксей. (В вашем случае как я понял это несколько интерфейсов собранных в порт ченел) 3) Одновременно вешать полиси на SVI (VlanXX) и физический интерфейс не нужно. Делайте на физических интерфейсе. 4) На 3750 есть проблемы с QOS если интерфейсы порт ченела обслуживаются разными асиками, посмотрите как у вас если разные перенесите и сделайте чтобы одним.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Cisco 3750 Policy-map"	+/–
	Сообщение от Diesel315 (ok) on 11-Дек-14, 13:35
	> 1) Аксес лист и полиси у вас написаны вроде верно. > 2) Вешаете вы его на вход интерфейса который смотрит на хост где > крутиться ваша виртуалка с проксей. (В вашем случае как я понял > это несколько интерфейсов собранных в порт ченел) > 3) Одновременно вешать полиси на SVI (VlanXX) и физический интерфейс не нужно. > Делайте на физических интерфейсе. > 4) На 3750 есть проблемы с QOS если интерфейсы порт ченела обслуживаются > разными асиками, посмотрите как у вас если разные перенесите и сделайте > чтобы одним. 1) На всякий случай попробую еще разные варианты. По сути нужно ограничить линк между 10.60.4.11 и подсетью 10.60.63.0/24 до 3 мбит/с 2) да 3) Так на SVI и не вешал... 4) команда sh platform pm platform-block выдает, что порты 1/0/19 и 1/0/20 находятся на одном ASIC №6 А вот команда srr-queue bandwidth shape думаю мне вообще не поможет, так как беглый поиск примеров в сети выдает информацию, что таким образом ограничивают весь трафик на физическом интерфейсе... Может попутался, но вроде так, а это не мой случай(((
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема