Anticisco
http://anticisco.ru/forum/

Ещё одна задачка с СЕ2009: про ограничение скорости
http://anticisco.ru/forum/viewtopic.php?f=3&t=337		 Страница 1 из 1
Автор:  Fedia [ 21 окт 2009, 22:29 ]
Заголовок сообщения:  Ещё одна задачка с СЕ2009: про ограничение скорости
У вас есть маршрутизатор. На нем 2 интерфейса fastethernet. Администраторы, настраивавшие его до вас, в целях экономии интерфейсов и физической пропускной способности настроили его довольно странно:
- На каждом интерфейсе есть 2 подинтерфейса (vlan 10,100 на f0/0 и vlan 20,200 на f0/1)
- Vlan 10 и 20 смотрят на провайдеров (сети 192.168.10.1/24, 192.168.20.1/24)
- Vlan 100 и 200 смотрят в локальные сети (10.100.100.1/24 и 10.200.200.1/24)

Возникла задача: ограничить суммарную скорость со стороны локальных сетей в сторону провайдеров (для теста ограничьте передачу по протоколу ICMP до 56кбит/сек). Чтобы не перегружать процессор маршрутизатора, задачу надо решить, не используя дополнительных интерфейсов. Дополнительно, необходимо разрешить управление маршрутизатором только по ssh и только администраторам, подключающимся с интерфейса, обслуживающего VLAN 100.

Вложения:
SNRS.jpeg
SNRS.jpeg [ 10.12 КБ | Просмотров: 59594 ]
Автор:  Hando [ 21 окт 2009, 23:28 ]
Заголовок сообщения:  Re: Ещё одна задачка с СЕ2009: про ограничение скорости
О знакомое условие у задачки :)))
Автор:  LAG [ 22 окт 2009, 09:55 ]
Заголовок сообщения:  Re: Ещё одна задачка с СЕ2009: про ограничение скорости
mls qos aggregate-police ? что то никаих больше идей ....
Автор:  Hando [ 22 окт 2009, 10:24 ]
Заголовок сообщения:  Re: Ещё одна задачка с СЕ2009: про ограничение скорости
свитч незя трогать, все на роутере делается :)
Автор:  LAG [ 22 окт 2009, 11:11 ]
Заголовок сообщения:  Re: Ещё одна задачка с СЕ2009: про ограничение скорости
У ISR же нет аггрегатного полисинга. В этом мнении я как то не одинок ;) http://ieoc.com/forums/t/6323.aspx
В чем фокус то?
Автор:  LAG [ 22 окт 2009, 11:36 ]
Заголовок сообщения:  Re: Ещё одна задачка с СЕ2009: про ограничение скорости
Понятно интуиция мне подсказывает (судя по всем задачам :), что решение находится где то здесь - http://www.cisco.com/en/US/products/ps6 ... 0f6dd.html
Автор:  Ilya [ 24 окт 2009, 21:13 ]
Заголовок сообщения:  Re: Ещё одна задачка с СЕ2009: про ограничение скорости
да, одни интерфейсы в одной зоне. другие - в другой. и police :)
Автор:  Fedia [ 25 окт 2009, 10:51 ]
Заголовок сообщения:  Re: Ещё одна задачка с СЕ2009: про ограничение скорости
Ну приведите уже кто-нибудь полный command set. А то всё ходят вокруг да около, типа намекают, что знают :)

Разрешаю всем :)

Пусть останется для потомков канонический конфиг. Можно будет на него ссылаться.
Автор:  Hando [ 25 окт 2009, 11:34 ]
Заголовок сообщения:  Re: Ещё одна задачка с СЕ2009: про ограничение скорости
Описываем трафик, который нужно полисить:
ip access-list extended TRUSTED_TO_ANY
permit ip 10.100.100.0 0.0.0.255 any
permit ip 10.200.200.0 0.0.0.255 any


Создаем класс мапу для zbfw:
class-map type inspect match-all TRUSTED_TO_ANY
match access-group name TRUSTED_TO_ANY

Создаем policy map for zbfw, тут как раз выставляем рейт лимит:
policy-map type inspect TRUSTED_TO_UNTRUSTED
class type inspect TRUSTED_TO_ANY
inspect
police rate 56000 burst 1000
class class-default
drop

Создаем security zones
zone security UNTRUSTED_LAN
zone security TRUSTED_LAN

Создаем zone-pair: все что идет из zone TRUSTED в UNTRUSTED - проверят по полиси мапу
zone-pair security TRUSTED_TO_UNTRSUTED source TRUSTED_LAN destination UNTRUSTED_LAN
service-policy type inspect TRUSTED_TO_UNTRUSTED
!
!
Командой :
zone-member security TRUSTED_LAN
Запихиваем внутреннией интерфейсы в TRUSTED зону

те, что в влане 10,20 - в UNTRUSTED


для SSH:
control-plane host
management-interface FastEthernet0/0 allow ssh




Когда писал, возник вопрос: мы полисим только в одну сторону, ответный трафик по идеи может превышать 56кбит ( или я не прав ).

%Please configure inspect action first
Без явного указания inspect полисить policy-map не дает. Если мы не хотим разрешать соединения из вне во внутрь
( те писать policy-map type inspect для UNTRUSTED_TO_TRUSTED и в ней говорить 0) inspect ( тем самым разрешая трафик из вне ) 1) police rate ... )
- то я хз как сделать agregate policer для трафика из UNTRUSTED в TRUSTED
Автор:  Hando [ 25 окт 2009, 11:36 ]
Заголовок сообщения:  Re: Ещё одна задачка с СЕ2009: про ограничение скорости
в классе class-default полисить тоже незя
Автор:  Hando [ 25 окт 2009, 11:51 ]
Заголовок сообщения:  Re: Ещё одна задачка с СЕ2009: про ограничение скорости
для ssh описка : не fa0/0 а fa0/0.100
Автор:  Fedia [ 25 окт 2009, 16:19 ]
Заголовок сообщения:  Re: Ещё одна задачка с СЕ2009: про ограничение скорости
Ну в задаче требуется только из LAN в WAN, обратно не требуется полисить.

Без инспекта полисить не получится.

Не пробовал делать, чтобы было allow и policy-map (это для трафика, который zbfне умеет инспектировать).
Автор:  Hando [ 25 окт 2009, 16:24 ]
Заголовок сообщения:  Re: Ещё одна задачка с СЕ2009: про ограничение скорости
%Pass or drop actions are not allowed with police action

:)
Автор:  Fedia [ 25 окт 2009, 22:09 ]
Заголовок сообщения:  Re: Ещё одна задачка с СЕ2009: про ограничение скорости
Ага... Интересно, на базе какой технологии они сварганили полисер межзонный и насколько он шустро работает...
Автор:  631 [ 26 мар 2010, 22:07 ]
Заголовок сообщения:  Re: Ещё одна задачка с СЕ2009: про ограничение скорости
Парни, я не силен в теме, поэтому вопрос:
почему нельзя было сделать простой шейпинг/полисинг?
Автор:  Ilya [ 26 мар 2010, 22:09 ]
Заголовок сообщения:  Re: Ещё одна задачка с СЕ2009: про ограничение скорости
[quote="ismersh"]Парни, я не силен в теме, поэтому вопрос:
почему нельзя было сделать простой шейпинг/полисинг?[/quote]
потому что входящих интерфейсов 2 и исходящих тоже. а требовалось ограничение по суммарной полосе.
Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/