URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22314
[ Назад ]

Исходное сообщение
"Ограничение трафика для каждого ip"
Отправлено eugene , 03-Мрт-11 08:20

Здравствуйте, имеется cisco 2811, IOS C2800NM-ADVIPSERVICESK9-M 12.4.
Есть 2 интерфейса: один смотрит в локальную сеть клиентов а второй в интернет соответственно. Локальная сеть допустим одна - 192.168.1.0/24.
Необходимо настроить ограничение на входящий и исходящий трафик для клиентов локальной сети.
Тоесть чтобы с каждого ip адреса можно было скачивать и отдавать не быстрее чем 1Мбит/c скажем.
Конечно есть одно некрасивое решение создать policy на каждом из интерфейсов с требуемым shape, а затем создать 250 access листов. Работать будет, но это не то что хотелось бы.
Может быть кто-нибудь знает? Заранее спасибо.

Содержание

Ограничение трафика для каждого ip,sm00th1980, 13:39 , 03-Мрт-11
- Ограничение трафика для каждого ip,Semop, 13:49 , 03-Мрт-11
  - Ограничение трафика для каждого ip,fantom, 14:38 , 03-Мрт-11
    - Ограничение трафика для каждого ip,Semop, 14:44 , 03-Мрт-11
      - Ограничение трафика для каждого ip,eugene, 15:11 , 03-Мрт-11
        
        Ограничение трафика для каждого ip,sm00th1980, 15:21 , 03-Мрт-11
        
        Ограничение трафика для каждого ip,Semop, 15:42 , 03-Мрт-11
        
        Ограничение трафика для каждого ip,fantom, 09:14 , 04-Мрт-11

Сообщения в этом обсуждении

"Ограничение трафика для каждого ip"
Отправлено sm00th1980 , 03-Мрт-11 13:39

хм, а зачем создавать 250 то листов?
написать нужно всего 1 access-list для этого случая
access-list 100 permit 192.168.1.0 0.255.255.255 #что-то в этом духе
создашь свою полиси 1 штуку и там пропишешь shape. Ну и повесишь полиси на интерфейс.
и всё.

Все ip адреса которые будут подпадать под правило №100 будут резаться.

"Ограничение трафика для каждого ip"
Отправлено Semop , 03-Мрт-11 13:49

+1 за красивый конфиг
Например у меня так:
--------------------
class-map match-all 1M_inet
match access-group 100
!
!
policy-map out-inet
class 1M_inet
shape average 1024000
!
interface FastEthernet0/1.1130
service-policy output out-inet
!
interface FastEthernet0/1.1131
service-policy output out-inet
!
access-list 100 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
access-list 100 permit ip any 192.168.0.0 0.0.255.255
192.168.0.0 / 16 - локалка
Интернет на роутер прилетает статикой.
И получилось, что локалка у людей толстая, а инет = 1Мбит/с
Внутренний трафик зачем резать? Не жадничайте ;)

"Ограничение трафика для каждого ip"
Отправлено fantom , 03-Мрт-11 14:38

>[оверквотинг удален]
> !
> interface FastEthernet0/1.1131
> service-policy output out-inet
> !
> access-list 100 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
> access-list 100 permit ip any 192.168.0.0 0.0.255.255
> 192.168.0.0 / 16 - локалка
> Интернет на роутер прилетает статикой.
> И получилось, что локалка у людей толстая, а инет = 1Мбит/с
> Внутренний трафик зачем резать? Не жадничайте ;)
Вопрос (насколько я понял) был perIP, т.е. КАЖДЫЙ ип должен получить по метру,
В приведенном примере - 1M На всех! или я ошибаюсь?

"Ограничение трафика для каждого ip"
Отправлено Semop , 03-Мрт-11 14:44

> Вопрос (насколько я понял) был perIP, т.е. КАЖДЫЙ ип должен получить по
> метру,
> В приведенном примере - 1M На всех! или я ошибаюсь?
нет
interface FastEthernet0/1.1131
....
и т.д.
Это локальные сабинтерф. из сети 192.168.0.0 Их много.
Хост(из 192.168) - хост(из 192.168) будет неограничено
Хост(из 192.168) - инет будет 1Мбит
Если брать случай с 1 интерфейсом, то аналогично все будет.

"Ограничение трафика для каждого ip"
Отправлено eugene , 03-Мрт-11 15:11

Да вот в том то и дело, если привязать этот 2-х мегабитный policy к интерфейсу и сделать один access-list то 2Мегабита будет делиться на всех.
А вот нужно чтобы на каждый ip было.

"Ограничение трафика для каждого ip"
Отправлено sm00th1980 , 03-Мрт-11 15:21

вы не понял - вы в шейпере укажите резать скорость до 1 мегабита
и каждый ip попавший в access-list будет резаться данным шейпером - в итоге каждый ip не получит свыше 1 мегабита
и естественно что полоса будет делиться на всех - т.к. все будут ломиться в этот канал - а вы ограничиваете сверху скорость

"Ограничение трафика для каждого ip"
Отправлено Semop , 03-Мрт-11 15:42

> вы не понял - вы в шейпере укажите резать скорость до 1
> мегабита
> и каждый ip попавший в access-list будет резаться данным шейпером - в
> итоге каждый ip не получит свыше 1 мегабита
> и естественно что полоса будет делиться на всех - т.к. все будут
> ломиться в этот канал - а вы ограничиваете сверху скорость
этот конфиг для сабинтерфейсов с сетями /30 из общей сетки 192.168.0.0
Все работает, что хоть вы.
"Локалка" - сегментирована просто. Я ж указал, что сабинтерф. там не один.
При схеме с одним шлюзом шейпить придется по IP. Или умный acl придумать.

"Ограничение трафика для каждого ip"
Отправлено fantom , 04-Мрт-11 09:14

>[оверквотинг удален]
>> мегабита
>> и каждый ip попавший в access-list будет резаться данным шейпером - в
>> итоге каждый ip не получит свыше 1 мегабита
>> и естественно что полоса будет делиться на всех - т.к. все будут
>> ломиться в этот канал - а вы ограничиваете сверху скорость
> этот конфиг для сабинтерфейсов с сетями /30 из общей сетки 192.168.0.0
> Все работает, что хоть вы.
> "Локалка" - сегментирована просто. Я ж указал, что сабинтерф. там не один.
> При схеме с одним шлюзом шейпить придется по IP. Или умный acl
> придумать.
т.е. у вас каждый IP в отдельном vlan! :)
Мелочи жизни - сбацать 200 vlan-ов...
Уж лучше policy на 200 правил наверное...