Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 15:54



Ответить на тему  [ Сообщений: 16 ] 
Ещё одна задачка с СЕ2009: про ограничение скорости 
Автор Сообщение
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
У вас есть маршрутизатор. На нем 2 интерфейса fastethernet. Администраторы, настраивавшие его до вас, в целях экономии интерфейсов и физической пропускной способности настроили его довольно странно:
- На каждом интерфейсе есть 2 подинтерфейса (vlan 10,100 на f0/0 и vlan 20,200 на f0/1)
- Vlan 10 и 20 смотрят на провайдеров (сети 192.168.10.1/24, 192.168.20.1/24)
- Vlan 100 и 200 смотрят в локальные сети (10.100.100.1/24 и 10.200.200.1/24)

Возникла задача: ограничить суммарную скорость со стороны локальных сетей в сторону провайдеров (для теста ограничьте передачу по протоколу ICMP до 56кбит/сек). Чтобы не перегружать процессор маршрутизатора, задачу надо решить, не используя дополнительных интерфейсов. Дополнительно, необходимо разрешить управление маршрутизатором только по ssh и только администраторам, подключающимся с интерфейса, обслуживающего VLAN 100.


Вложения:
SNRS.jpeg
SNRS.jpeg [ 10.12 КБ | Просмотров: 59513 ]
21 окт 2009, 22:29
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
О знакомое условие у задачки :)))


21 окт 2009, 23:28
Профиль WWW

Зарегистрирован: 02 июл 2009, 00:43
Сообщения: 302
mls qos aggregate-police ? что то никаих больше идей ....


22 окт 2009, 09:55
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
свитч незя трогать, все на роутере делается :)


22 окт 2009, 10:24
Профиль WWW

Зарегистрирован: 02 июл 2009, 00:43
Сообщения: 302
У ISR же нет аггрегатного полисинга. В этом мнении я как то не одинок ;) http://ieoc.com/forums/t/6323.aspx
В чем фокус то?


22 окт 2009, 11:11
Профиль

Зарегистрирован: 02 июл 2009, 00:43
Сообщения: 302
Понятно интуиция мне подсказывает (судя по всем задачам :), что решение находится где то здесь - http://www.cisco.com/en/US/products/ps6 ... 0f6dd.html


22 окт 2009, 11:36
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
да, одни интерфейсы в одной зоне. другие - в другой. и police :)


24 окт 2009, 21:13
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Ну приведите уже кто-нибудь полный command set. А то всё ходят вокруг да около, типа намекают, что знают :)

Разрешаю всем :)

Пусть останется для потомков канонический конфиг. Можно будет на него ссылаться.


25 окт 2009, 10:51
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
Описываем трафик, который нужно полисить:
ip access-list extended TRUSTED_TO_ANY
permit ip 10.100.100.0 0.0.0.255 any
permit ip 10.200.200.0 0.0.0.255 any


Создаем класс мапу для zbfw:
class-map type inspect match-all TRUSTED_TO_ANY
match access-group name TRUSTED_TO_ANY

Создаем policy map for zbfw, тут как раз выставляем рейт лимит:
policy-map type inspect TRUSTED_TO_UNTRUSTED
class type inspect TRUSTED_TO_ANY
inspect
police rate 56000 burst 1000
class class-default
drop

Создаем security zones
zone security UNTRUSTED_LAN
zone security TRUSTED_LAN

Создаем zone-pair: все что идет из zone TRUSTED в UNTRUSTED - проверят по полиси мапу
zone-pair security TRUSTED_TO_UNTRSUTED source TRUSTED_LAN destination UNTRUSTED_LAN
service-policy type inspect TRUSTED_TO_UNTRUSTED
!
!
Командой :
zone-member security TRUSTED_LAN
Запихиваем внутреннией интерфейсы в TRUSTED зону

те, что в влане 10,20 - в UNTRUSTED


для SSH:
control-plane host
management-interface FastEthernet0/0 allow ssh




Когда писал, возник вопрос: мы полисим только в одну сторону, ответный трафик по идеи может превышать 56кбит ( или я не прав ).

%Please configure inspect action first
Без явного указания inspect полисить policy-map не дает. Если мы не хотим разрешать соединения из вне во внутрь
( те писать policy-map type inspect для UNTRUSTED_TO_TRUSTED и в ней говорить 0) inspect ( тем самым разрешая трафик из вне ) 1) police rate ... )
- то я хз как сделать agregate policer для трафика из UNTRUSTED в TRUSTED


25 окт 2009, 11:34
Профиль WWW

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
в классе class-default полисить тоже незя


25 окт 2009, 11:36
Профиль WWW

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
для ssh описка : не fa0/0 а fa0/0.100


25 окт 2009, 11:51
Профиль WWW
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Ну в задаче требуется только из LAN в WAN, обратно не требуется полисить.

Без инспекта полисить не получится.

Не пробовал делать, чтобы было allow и policy-map (это для трафика, который zbfне умеет инспектировать).


25 окт 2009, 16:19
Профиль

Зарегистрирован: 21 июл 2009, 13:59
Сообщения: 565
Откуда: Moscow
%Pass or drop actions are not allowed with police action

:)


25 окт 2009, 16:24
Профиль WWW
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Ага... Интересно, на базе какой технологии они сварганили полисер межзонный и насколько он шустро работает...


25 окт 2009, 22:09
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2
Парни, я не силен в теме, поэтому вопрос:
почему нельзя было сделать простой шейпинг/полисинг?


26 мар 2010, 22:07
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
[quote="ismersh"]Парни, я не силен в теме, поэтому вопрос:
почему нельзя было сделать простой шейпинг/полисинг?[/quote]
потому что входящих интерфейсов 2 и исходящих тоже. а требовалось ограничение по суммарной полосе.


26 мар 2010, 22:09
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 16 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 9


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB