Anticisco http://www.anticisco.ru/forum/ |
|
Ещё одна задачка с СЕ2009: про ограничение скорости http://www.anticisco.ru/forum/viewtopic.php?f=3&t=337 |
Страница 1 из 1 |
Автор: | Fedia [ 21 окт 2009, 22:29 ] | ||
Заголовок сообщения: | Ещё одна задачка с СЕ2009: про ограничение скорости | ||
У вас есть маршрутизатор. На нем 2 интерфейса fastethernet. Администраторы, настраивавшие его до вас, в целях экономии интерфейсов и физической пропускной способности настроили его довольно странно: - На каждом интерфейсе есть 2 подинтерфейса (vlan 10,100 на f0/0 и vlan 20,200 на f0/1) - Vlan 10 и 20 смотрят на провайдеров (сети 192.168.10.1/24, 192.168.20.1/24) - Vlan 100 и 200 смотрят в локальные сети (10.100.100.1/24 и 10.200.200.1/24) Возникла задача: ограничить суммарную скорость со стороны локальных сетей в сторону провайдеров (для теста ограничьте передачу по протоколу ICMP до 56кбит/сек). Чтобы не перегружать процессор маршрутизатора, задачу надо решить, не используя дополнительных интерфейсов. Дополнительно, необходимо разрешить управление маршрутизатором только по ssh и только администраторам, подключающимся с интерфейса, обслуживающего VLAN 100.
|
Автор: | Hando [ 21 окт 2009, 23:28 ] |
Заголовок сообщения: | Re: Ещё одна задачка с СЕ2009: про ограничение скорости |
О знакомое условие у задачки :))) |
Автор: | LAG [ 22 окт 2009, 09:55 ] |
Заголовок сообщения: | Re: Ещё одна задачка с СЕ2009: про ограничение скорости |
mls qos aggregate-police ? что то никаих больше идей .... |
Автор: | Hando [ 22 окт 2009, 10:24 ] |
Заголовок сообщения: | Re: Ещё одна задачка с СЕ2009: про ограничение скорости |
свитч незя трогать, все на роутере делается :) |
Автор: | LAG [ 22 окт 2009, 11:11 ] |
Заголовок сообщения: | Re: Ещё одна задачка с СЕ2009: про ограничение скорости |
У ISR же нет аггрегатного полисинга. В этом мнении я как то не одинок ;) http://ieoc.com/forums/t/6323.aspx В чем фокус то? |
Автор: | LAG [ 22 окт 2009, 11:36 ] |
Заголовок сообщения: | Re: Ещё одна задачка с СЕ2009: про ограничение скорости |
Понятно интуиция мне подсказывает (судя по всем задачам :), что решение находится где то здесь - http://www.cisco.com/en/US/products/ps6 ... 0f6dd.html |
Автор: | Ilya [ 24 окт 2009, 21:13 ] |
Заголовок сообщения: | Re: Ещё одна задачка с СЕ2009: про ограничение скорости |
да, одни интерфейсы в одной зоне. другие - в другой. и police :) |
Автор: | Fedia [ 25 окт 2009, 10:51 ] |
Заголовок сообщения: | Re: Ещё одна задачка с СЕ2009: про ограничение скорости |
Ну приведите уже кто-нибудь полный command set. А то всё ходят вокруг да около, типа намекают, что знают Разрешаю всем Пусть останется для потомков канонический конфиг. Можно будет на него ссылаться. |
Автор: | Hando [ 25 окт 2009, 11:34 ] |
Заголовок сообщения: | Re: Ещё одна задачка с СЕ2009: про ограничение скорости |
Описываем трафик, который нужно полисить: ip access-list extended TRUSTED_TO_ANY permit ip 10.100.100.0 0.0.0.255 any permit ip 10.200.200.0 0.0.0.255 any Создаем класс мапу для zbfw: class-map type inspect match-all TRUSTED_TO_ANY match access-group name TRUSTED_TO_ANY Создаем policy map for zbfw, тут как раз выставляем рейт лимит: policy-map type inspect TRUSTED_TO_UNTRUSTED class type inspect TRUSTED_TO_ANY inspect police rate 56000 burst 1000 class class-default drop Создаем security zones zone security UNTRUSTED_LAN zone security TRUSTED_LAN Создаем zone-pair: все что идет из zone TRUSTED в UNTRUSTED - проверят по полиси мапу zone-pair security TRUSTED_TO_UNTRSUTED source TRUSTED_LAN destination UNTRUSTED_LAN service-policy type inspect TRUSTED_TO_UNTRUSTED ! ! Командой : zone-member security TRUSTED_LAN Запихиваем внутреннией интерфейсы в TRUSTED зону те, что в влане 10,20 - в UNTRUSTED для SSH: control-plane host management-interface FastEthernet0/0 allow ssh Когда писал, возник вопрос: мы полисим только в одну сторону, ответный трафик по идеи может превышать 56кбит ( или я не прав ). %Please configure inspect action first Без явного указания inspect полисить policy-map не дает. Если мы не хотим разрешать соединения из вне во внутрь ( те писать policy-map type inspect для UNTRUSTED_TO_TRUSTED и в ней говорить 0) inspect ( тем самым разрешая трафик из вне ) 1) police rate ... ) - то я хз как сделать agregate policer для трафика из UNTRUSTED в TRUSTED |
Автор: | Hando [ 25 окт 2009, 11:36 ] |
Заголовок сообщения: | Re: Ещё одна задачка с СЕ2009: про ограничение скорости |
в классе class-default полисить тоже незя |
Автор: | Hando [ 25 окт 2009, 11:51 ] |
Заголовок сообщения: | Re: Ещё одна задачка с СЕ2009: про ограничение скорости |
для ssh описка : не fa0/0 а fa0/0.100 |
Автор: | Fedia [ 25 окт 2009, 16:19 ] |
Заголовок сообщения: | Re: Ещё одна задачка с СЕ2009: про ограничение скорости |
Ну в задаче требуется только из LAN в WAN, обратно не требуется полисить. Без инспекта полисить не получится. Не пробовал делать, чтобы было allow и policy-map (это для трафика, который zbfне умеет инспектировать). |
Автор: | Hando [ 25 окт 2009, 16:24 ] |
Заголовок сообщения: | Re: Ещё одна задачка с СЕ2009: про ограничение скорости |
%Pass or drop actions are not allowed with police action :) |
Автор: | Fedia [ 25 окт 2009, 22:09 ] |
Заголовок сообщения: | Re: Ещё одна задачка с СЕ2009: про ограничение скорости |
Ага... Интересно, на базе какой технологии они сварганили полисер межзонный и насколько он шустро работает... |
Автор: | 631 [ 26 мар 2010, 22:07 ] |
Заголовок сообщения: | Re: Ещё одна задачка с СЕ2009: про ограничение скорости |
Парни, я не силен в теме, поэтому вопрос: почему нельзя было сделать простой шейпинг/полисинг? |
Автор: | Ilya [ 26 мар 2010, 22:09 ] |
Заголовок сообщения: | Re: Ещё одна задачка с СЕ2009: про ограничение скорости |
[quote="ismersh"]Парни, я не силен в теме, поэтому вопрос: почему нельзя было сделать простой шейпинг/полисинг?[/quote] потому что входящих интерфейсов 2 и исходящих тоже. а требовалось ограничение по суммарной полосе. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |