Добрый день великие гуру!

Есть вопрос:

суть такая, есть 2 офиса с рутерами (2811), соединены по интернету туннелями между собой (локальная сетка,  локальные везде адреса). Внутренняя сетка, но т.к. каналы ограниченны, то юзеры все забивают - необходимо для серверов выделить ГАРАНТИРОВАННУЮ полосу,
соответственно делаю аксес лист со списком ИП серверов, класс создаю на основе этого аксеслиста и делаю сервис полиси и вешаю ее на интерфейс ТУННЕЛЬ. Но в политике разрешает роутер только шейпер применить к классу (ограничение максимальной полосы), а бандвич (выделение гарантированной) не дает - ругается (Class Based Weighted Fair Queueing not supported on interface Tunnel30)
можно ли на интерфейсе туннель каким-нибуть способом выделить гарантированную полоску?

примерный конфиг
ip access-list servers
permit 10.1.1.1
permit 10.1.1.2
permit 10.1.1.3

Class Map match-all servers (id 8)
   Match access-group name servers

Policy Map servers
    Class servers
      Traffic Shaping
         Average Rate Traffic Shaping
         CIR 150000 (bps) Max. Buffers Limit 1000 (Packets)

interface Tunnel30
description office1-office2
ip address 10.10.5.5 255.255.255.252
ip nbar protocol-discovery
tunnel source ******
tunnel destination ******
service-policy output servers
end

соответственно чтобы канал не забивался, с обеих сторон одинаковый конфиг на OUT со списком серверов. Как сделать CIR а не ограничить максимум?

• бандвич (гарантиррованная полоса) на интерфейсе Tunnel,GolDi, 11:15 , 26-Мрт-10
  • бандвич (гарантиррованная полоса) на интерфейсе Tunnel,madmaxi, 11:25 , 26-Мрт-10
    • бандвич (гарантиррованная полоса) на интерфейсе Tunnel,h, 11:29 , 26-Мрт-10
      • бандвич (гарантиррованная полоса) на интерфейсе Tunnel,fantom, 11:54 , 26-Мрт-10
        • бандвич (гарантиррованная полоса) на интерфейсе Tunnel,madmaxi, 11:59 , 26-Мрт-10
      • бандвич (гарантиррованная полоса) на интерфейсе Tunnel,madmaxi, 11:57 , 26-Мрт-10
        • бандвич (гарантиррованная полоса) на интерфейсе Tunnel,h, 12:13 , 26-Мрт-10
      • бандвич (гарантиррованная полоса) на интерфейсе Tunnel,BJ, 09:16 , 29-Мрт-10
        • бандвич (гарантиррованная полоса) на интерфейсе Tunnel,plohish, 11:43 , 29-Мрт-10
          • бандвич (гарантиррованная полоса) на интерфейсе Tunnel,madmaxi, 13:38 , 29-Мрт-10
• бандвич (гарантиррованная полоса) на интерфейсе Tunnel,ShyLion, 15:20 , 29-Мрт-10

>[оверквотинг удален]
> description office1-office2
> ip address 10.10.5.5 255.255.255.252
> ip nbar protocol-discovery
> tunnel source ******
> tunnel destination ******
> service-policy output servers
>end
>
>соответственно чтобы канал не забивался, с обеих сторон одинаковый конфиг на OUT
>со списком серверов. Как сделать CIR а не ограничить максимум?

Раскрашивайте входящий трафикиз локалки, и настраивайте QoS на физическом интерфейсе

>[оверквотинг удален]
>> ip nbar protocol-discovery
>> tunnel source ******
>> tunnel destination ******
>> service-policy output servers
>>end
>>
>>соответственно чтобы канал не забивался, с обеих сторон одинаковый конфиг на OUT
>>со списком серверов. Как сделать CIR а не ограничить максимум?
>
>Раскрашивайте входящий трафикиз локалки, и настраивайте QoS на физическом интерфейсе

маркировать на интерфейсе  вцыхода с локалки и потом на физической интерфейсе где поднят туннель обрабатывать приоритетом по маркерам?

сработает ли эта схема, если через физический интерфейс трафик как таковой не идет - он идет по тупннелю на этом интерфейсе? т.е. пакеты завернуты в туннель, а еще планируется туннель шифровать - тогда мне кажется маркеры ни физическоп интерфейсе вообще не будут разбирваться...

>идет - он идет по тупннелю на этом интерфейсе? т.е. пакеты
>завернуты в туннель, а еще планируется туннель шифровать - тогда мне
>кажется маркеры ни физическоп интерфейсе вообще не будут разбирваться...

qos pre-classify ?

Роутмапом все завернуть на лупбек и на лупбеке применить полиси?

Нагрузочки правда добавит...

>Роутмапом все завернуть на лупбек и на лупбеке применить полиси?
>
>Нагрузочки правда добавит...

вот именно нагрузочки, с шифрованными туннелями и кучей мелких пакетов нагрузка итак ооочень высокая:((((

>
>>идет - он идет по тупннелю на этом интерфейсе? т.е. пакеты
>>завернуты в туннель, а еще планируется туннель шифровать - тогда мне
>>кажется маркеры ни физическоп интерфейсе вообще не будут разбирваться...
>
>qos pre-classify ?

мысль, если не ошибаюсь он копирует в память маркеры для шифрованного трайика.

т.е. на внутреннем интерфейсе на нужный трафик по аксес листу вешаем маркеры
на Int tun 30 прописываем qos pre-classify

description office1-office2
ip address 10.10.5.5 255.255.255.252
ip nbar protocol-discovery
tunnel source ******
tunnel destination ******
qos pre-classify
end

и уже потом на физической интерфейсе котором поднят туннель вешаем service-policy output servers - политику, которая по навешанным маркерам делает бандвич.

Правильно последовательность уловил?!

примерный конфиг

ip access-list servers (список серверов)
permit 10.1.1.1
permit 10.1.1.2
permit 10.1.1.3

Class Map match-all servers_LOC (id 8)
   Match access-group name servers (класс с серверами для вешания маркеров)

Class Map match-all servers (id 8)
   Match ip dscp ef (класс с маркерами)

Policy Map servers_LOC (политика вешания маркеров)
    Class servers_LOC
      set ip dscp ef

Policy Map servers (политика разбора маркером и выделения CIR)
    Class servers
    bandwith 512

interface Tunnel30
description office1-office2
ip address 10.10.5.5 255.255.255.252
ip nbar protocol-discovery
tunnel source ******
tunnel destination ******
qos pre-classify (копируем маркеры на интерфейсе туннель)
end

физический интерфейс локалки, вешаем маркеры
interface FastEthernet0/1
description -=management=-
ip address х.х.х.. 255.255.255.0
ip accounting output-packets
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip route-cache policy
service-policy output servers_LOC
duplex auto
speed auto
end

физический интерфейс нета, по маркерам выделяем полосу
interface FastEthernet0/0/1
description -=INET=-
switchport access vlan 806
end

interface Vlan806
description -=INET=-
ip address x.x.x.x 255.255.255.252
ip accounting output-packets
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
ip policy route-map MAP
service-policy output servers
end
???

>
>>qos pre-classify ?
>Правильно последовательность уловил?!

да

>
>>идет - он идет по тупннелю на этом интерфейсе? т.е. пакеты
>>завернуты в туннель, а еще планируется туннель шифровать - тогда мне
>>кажется маркеры ни физическоп интерфейсе вообще не будут разбирваться...
>
>qos pre-classify ?

К черту pre-classify, мысль раскрашивать на входе с локалки и приотеризировать по dscp на физическом интерфейсе правильная. При энкапсуляции в тунель и шифровании поле ToS копируется, поэтому всё будет работать.

>>
>>>идет - он идет по тупннелю на этом интерфейсе? т.е. пакеты
>>>завернуты в туннель, а еще планируется туннель шифровать - тогда мне
>>>кажется маркеры ни физическоп интерфейсе вообще не будут разбирваться...
>>
>>qos pre-classify ?
>
>К черту pre-classify, мысль раскрашивать на входе с локалки и приотеризировать по
>dscp на физическом интерфейсе правильная. При энкапсуляции в тунель и шифровании
>поле ToS копируется, поэтому всё будет работать.

Если иос поддерживает pre-clasify, то к черту как раз таки краски..

>[оверквотинг удален]
>>>>завернуты в туннель, а еще планируется туннель шифровать - тогда мне
>>>>кажется маркеры ни физическоп интерфейсе вообще не будут разбирваться...
>>>
>>>qos pre-classify ?
>>
>>К черту pre-classify, мысль раскрашивать на входе с локалки и приотеризировать по
>>dscp на физическом интерфейсе правильная. При энкапсуляции в тунель и шифровании
>>поле ToS копируется, поэтому всё будет работать.
>
>Если иос поддерживает pre-clasify, то к черту как раз таки краски..

Extended IP access list voip
    10 permit ip host 192.168.9.1 any (107956 matches)

Class Map match-any voip (id 6)
   Match access-group name voip

Policy Map QoS
    Class voip
      Bandwidth 200 (kbps) Max Threshold 64 (packets)

interface FastEthernet0/1
description -=INET=-
ip address X.X.X.X 255.255.255.252
ip accounting output-packets
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
ip policy route-map MAP
duplex auto
speed auto
traffic-shape rate 1024000 7936 7936 1000
!!!!! service-policy output QoS
end

interface Tunnel30
description office1-office2
ip address 10.10.5.5 255.255.255.252
ip nbar protocol-discovery
!!! qos pre-classify
tunnel source Fa 0/1
tunnel destination X.X.X.X
end

sh policy-map int fa 0/1
FastEthernet0/1

  Service-policy output: QoS

    Class-map: voip (match-any)
      113334 packets, 26944378 bytes
      5 minute offered rate 46000 bps, drop rate 0 bps
      Match: access-group name voip
        113334 packets, 26944378 bytes
        5 minute rate 46000 bps
      Queueing
        Output Queue: Conversation 265
        Bandwidth 200 (kbps)Max Threshold 64 (packets)
        (pkts matched/bytes matched) 2/476
        (depth/total drops/no-buffer drops) 0/0/0

вроди как работает, на физической совпадения идут и пакеты матчатся

ro#sh ip access-lists voip
Extended IP access list voip
    10 permit ip host 192.168.9.1 any (113335 matches)

>Добрый день великие гуру!
>
>Есть вопрос:

На тоннельном интерфейсе нет возможности определить явно, на сколько процентов он нагружен, тем более на интернетном.
Основной принцип выделения полосы в этом случае - сперва вешается общее ограничение пропускной способности, равное приблизительной пропускной способности туннеля, а уж внутри этого ограничения - все остальное.