Автор |
Сообщение |
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
У вас есть маршрутизатор. На нем 2 интерфейса fastethernet. Администраторы, настраивавшие его до вас, в целях экономии интерфейсов и физической пропускной способности настроили его довольно странно: - На каждом интерфейсе есть 2 подинтерфейса (vlan 10,100 на f0/0 и vlan 20,200 на f0/1) - Vlan 10 и 20 смотрят на провайдеров (сети 192.168.10.1/24, 192.168.20.1/24) - Vlan 100 и 200 смотрят в локальные сети (10.100.100.1/24 и 10.200.200.1/24)
Возникла задача: ограничить суммарную скорость со стороны локальных сетей в сторону провайдеров (для теста ограничьте передачу по протоколу ICMP до 56кбит/сек). Чтобы не перегружать процессор маршрутизатора, задачу надо решить, не используя дополнительных интерфейсов. Дополнительно, необходимо разрешить управление маршрутизатором только по ssh и только администраторам, подключающимся с интерфейса, обслуживающего VLAN 100.
Вложения:
SNRS.jpeg [ 10.12 КБ | Просмотров: 60990 ]
|
21 окт 2009, 22:29 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
О знакомое условие у задачки :)))
|
21 окт 2009, 23:28 |
|
|
LAG
Зарегистрирован: 02 июл 2009, 00:43 Сообщения: 302
|
mls qos aggregate-police ? что то никаих больше идей ....
|
22 окт 2009, 09:55 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
свитч незя трогать, все на роутере делается :)
|
22 окт 2009, 10:24 |
|
|
LAG
Зарегистрирован: 02 июл 2009, 00:43 Сообщения: 302
|
У ISR же нет аггрегатного полисинга. В этом мнении я как то не одинок ;) http://ieoc.com/forums/t/6323.aspxВ чем фокус то?
|
22 окт 2009, 11:11 |
|
|
LAG
Зарегистрирован: 02 июл 2009, 00:43 Сообщения: 302
|
Понятно интуиция мне подсказывает (судя по всем задачам :), что решение находится где то здесь - http://www.cisco.com/en/US/products/ps6 ... 0f6dd.html
|
22 окт 2009, 11:36 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
да, одни интерфейсы в одной зоне. другие - в другой. и police :)
|
24 окт 2009, 21:13 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Ну приведите уже кто-нибудь полный command set. А то всё ходят вокруг да около, типа намекают, что знают Разрешаю всем Пусть останется для потомков канонический конфиг. Можно будет на него ссылаться.
|
25 окт 2009, 10:51 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
Описываем трафик, который нужно полисить: ip access-list extended TRUSTED_TO_ANY permit ip 10.100.100.0 0.0.0.255 any permit ip 10.200.200.0 0.0.0.255 any
Создаем класс мапу для zbfw: class-map type inspect match-all TRUSTED_TO_ANY match access-group name TRUSTED_TO_ANY
Создаем policy map for zbfw, тут как раз выставляем рейт лимит: policy-map type inspect TRUSTED_TO_UNTRUSTED class type inspect TRUSTED_TO_ANY inspect police rate 56000 burst 1000 class class-default drop
Создаем security zones zone security UNTRUSTED_LAN zone security TRUSTED_LAN
Создаем zone-pair: все что идет из zone TRUSTED в UNTRUSTED - проверят по полиси мапу zone-pair security TRUSTED_TO_UNTRSUTED source TRUSTED_LAN destination UNTRUSTED_LAN service-policy type inspect TRUSTED_TO_UNTRUSTED ! ! Командой : zone-member security TRUSTED_LAN Запихиваем внутреннией интерфейсы в TRUSTED зону
те, что в влане 10,20 - в UNTRUSTED
для SSH: control-plane host management-interface FastEthernet0/0 allow ssh
Когда писал, возник вопрос: мы полисим только в одну сторону, ответный трафик по идеи может превышать 56кбит ( или я не прав ).
%Please configure inspect action first Без явного указания inspect полисить policy-map не дает. Если мы не хотим разрешать соединения из вне во внутрь ( те писать policy-map type inspect для UNTRUSTED_TO_TRUSTED и в ней говорить 0) inspect ( тем самым разрешая трафик из вне ) 1) police rate ... ) - то я хз как сделать agregate policer для трафика из UNTRUSTED в TRUSTED
|
25 окт 2009, 11:34 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
в классе class-default полисить тоже незя
|
25 окт 2009, 11:36 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
для ssh описка : не fa0/0 а fa0/0.100
|
25 окт 2009, 11:51 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Ну в задаче требуется только из LAN в WAN, обратно не требуется полисить.
Без инспекта полисить не получится.
Не пробовал делать, чтобы было allow и policy-map (это для трафика, который zbfне умеет инспектировать).
|
25 окт 2009, 16:19 |
|
|
Hando
Зарегистрирован: 21 июл 2009, 13:59 Сообщения: 565 Откуда: Moscow
|
%Pass or drop actions are not allowed with police action
:)
|
25 окт 2009, 16:24 |
|
|
Fedia
Супермодератор
Зарегистрирован: 01 окт 2008, 12:24 Сообщения: 4434
|
Ага... Интересно, на базе какой технологии они сварганили полисер межзонный и насколько он шустро работает...
|
25 окт 2009, 22:09 |
|
|
631
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2
|
Парни, я не силен в теме, поэтому вопрос: почему нельзя было сделать простой шейпинг/полисинг?
|
26 мар 2010, 22:07 |
|
|
Ilya
Зарегистрирован: 20 окт 2009, 18:55 Сообщения: 962
|
[quote="ismersh"]Парни, я не силен в теме, поэтому вопрос: почему нельзя было сделать простой шейпинг/полисинг?[/quote] потому что входящих интерфейсов 2 и исходящих тоже. а требовалось ограничение по суммарной полосе.
|
26 мар 2010, 22:09 |
|
|