Сообщения без ответов | Активные темы Текущее время: 12 дек 2019, 17:40



Ответить на тему  [ Сообщений: 11 ] 
Проблема с применением QOS policy 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 38
Коллеги!

Появилась необходимость на пограничном маршрутизаторе сделать выделенную полосу фиксированной ширины для прямого доступа в интернет строго ограниченного количества хостов. Для этих целей была создана политика QOS:

class-map match-all WHITE
description VIP-Inet
match access-group name WHITE
!
!
policy-map WHITE
class WHITE
police 150000 8000 conform-action transmit exceed-action drop violate-action drop
class class-default
set precedence 5
!
и применена на внутреннем интерфейсе:
interface GigabitEthernet0/0
...
service-policy input WHITE

Список хостов, которым разрешен прямой выход в интернет пишется в ACL:

ip access-list extended WHITE
deny ospf any any
deny eigrp any any
permit ip host 10.10.100.1 any (раз хост)
permit ip host 10.10.33.33 any (два хост)
deny ip any any

Также к внутреннему интерфейсу применяется другой ACL, разграничивающий доступ из внутренней подсети в туннели.
И получается, что если не внести в ACL интерфейса те же хосты, что и в ACL QOS политики, то они не получают доступа в интернет. Это правильно или нет? Или я где-то накосячил? Можно ли сделать так, чтобы добавлять хост только в одном месте?


11 янв 2012, 14:55
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 909
Alex Norton писал(а):
Также к внутреннему интерфейсу применяется другой ACL, разграничивающий доступ из внутренней подсети в туннели.

А как там распознается, что это именно в тоннели трафик?

И ещё, до внедрения QoS они могли нормально ходить в Интернет, несмотря на этот "тоннельный" ACL?
Может покажете этот ACL?


P.S. Надеюсь, вы учли, что этой QoS вы ограничили скорость подключения данных хостов не только к Интернет, но и ко всему, к чему они ходят через данный рутер.


11 янв 2012, 15:55
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 38
Вот ACL на этом интерфейсе.

ip access-list extended vlan_office
permit ip 10.10.0.0 0.0.255.255 192.168.0.0 0.0.255.255 - вот разрешение ходить из ЦО в бранчи.
permit ip any 10.10.0.0 0.0.255.255
permit icmp 10.10.0.0 0.0.255.255 any echo
permit icmp 10.10.0.0 0.0.255.255 any unreachable
permit icmp 10.10.0.0 0.0.255.255 any time-exceeded
permit ospf any any
permit eigrp any any
permit ip host 10.10.0.100 any
permit ip host 10.10.33.33 any
deny ip any any

Про глобальное ограничение скорости - учел, конечно; к счастью, это руководство, которое кроме интернета и локальной сети никуда не лазает.


11 янв 2012, 16:01
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 38
И что странно, хотя я применил сейчас service-policy на интерфейсе и на input и на output, но входящая скорость осталась без изменения. :shock:


11 янв 2012, 16:04
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 909
Цитата:
ip access-list extended vlan_office
permit ip 10.10.0.0 0.0.255.255 192.168.0.0 0.0.255.255
...
deny ip any any

А что вы хотели-то? Вы же сами им закрыли доступ куда-либо, кроме бренчей!


11 янв 2012, 16:07
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 38
Black-Dragon писал(а):
Цитата:
ip access-list extended vlan_office
permit ip 10.10.0.0 0.0.255.255 192.168.0.0 0.0.255.255
...
deny ip any any

А что вы хотели-то? Вы же сами им закрыли доступ куда-либо, кроме бренчей!


То есть добавлять придется в все же в два ACL? Хорошо, это был первый вопрос. Спасибо. :) Не поможете ли со вторым? Почему не срезается входящая скорость?


11 янв 2012, 16:10
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 909
Alex Norton писал(а):
То есть добавлять придется в все же в два ACL?

Думайте об ACL не как о чем-то блокирующем, а как о возможности выделить что-то, чтобы потом что-то с этим сделать.
В случае с ACL для QoS вы просто выделяете (классифицируете) трафик, который далее полисите, а ACL, используемый для access-group на интерфейсе, используется для выделения трафика, который потом блокируется на входе.
Т.о. разрешаете вы трафик только в одном месте, в QoS вы его просто выделяете.

Alex Norton писал(а):
Не поможете ли со вторым? Почему не срезается входящая скорость?

Цитата:
ip access-list extended WHITE
deny ospf any any
deny eigrp any any
permit ip host 10.10.100.1 any (раз хост)
permit ip host 10.10.33.33 any (два хост)
deny ip any any

Вы тут отметили трафик от хостов куда-то, а как насчет оттуда к хостам? ;)

BTW, а зачем тут
Цитата:
deny ospf any any
deny eigrp any any

Для спокойствия, что маршруты в Интернет не утекут? :)


11 янв 2012, 16:26
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 38
Цитата:
Думайте об ACL не как о чем-то блокирующем, а как о возможности выделить что-то, чтобы потом что-то с этим сделать.
В случае с ACL для QoS вы просто выделяете (классифицируете) трафик, который далее полисите, а ACL, используемый для access-group на интерфейсе, используется для выделения трафика, который потом блокируется на входе.
Т.о. разрешаете вы трафик только в одном месте, в QoS вы его просто выделяете.


Это более философский подход, более гибкий и инженерный. Спасибо, постараюсь менять свое мышление.

Цитата:
Вы тут отметили трафик от хостов куда-то, а как насчет оттуда к хостам? ;)


Действительно! Даже стыдно. Сейчас сделаю правильно.

Цитата:
Для спокойствия, что маршруты в Интернет не утекут? :)


Да, я несколько сколонен к паранойе. Считаете, это бесполезно или избыточно?


11 янв 2012, 16:34
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 909
Alex Norton писал(а):
Считаете, это бесполезно или избыточно?

В данном случае, да. Конфиг ведь зазря усложняется, становится менее удобно его читать.
У меня этот момент тоже развит, но я ограничиваю себя тем, что всегда лично дописываю "deny ip any any", хотя, AFAIK, по умолчанию он сам туда ставится (возможны исключения, но не думаю, что в "блокирующих" ACL).


Рад был помочь. Так скоро начну думать, что я что-то понимаю в Cisco :)


11 янв 2012, 16:54
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 38
Спасибо, вы действительно помогли. :ugeek: Вы понимаете в Cisco, независимо от того, думаете вы так или нет. ;)


12 янв 2012, 17:22
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 38
Спасибо, коллеги, проблема решена, топик можно переносить в закрытые.


13 янв 2012, 09:10
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 11 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB