Anticisco
http://anticisco.ru/forum/

Проблема с применением QOS policy
http://anticisco.ru/forum/viewtopic.php?f=9&t=2763
Страница 1 из 1

Автор:  1265 [ 11 янв 2012, 14:55 ]
Заголовок сообщения:  Проблема с применением QOS policy

Коллеги!

Появилась необходимость на пограничном маршрутизаторе сделать выделенную полосу фиксированной ширины для прямого доступа в интернет строго ограниченного количества хостов. Для этих целей была создана политика QOS:

class-map match-all WHITE
description VIP-Inet
match access-group name WHITE
!
!
policy-map WHITE
class WHITE
police 150000 8000 conform-action transmit exceed-action drop violate-action drop
class class-default
set precedence 5
!
и применена на внутреннем интерфейсе:
interface GigabitEthernet0/0
...
service-policy input WHITE

Список хостов, которым разрешен прямой выход в интернет пишется в ACL:

ip access-list extended WHITE
deny ospf any any
deny eigrp any any
permit ip host 10.10.100.1 any (раз хост)
permit ip host 10.10.33.33 any (два хост)
deny ip any any

Также к внутреннему интерфейсу применяется другой ACL, разграничивающий доступ из внутренней подсети в туннели.
И получается, что если не внести в ACL интерфейса те же хосты, что и в ACL QOS политики, то они не получают доступа в интернет. Это правильно или нет? Или я где-то накосячил? Можно ли сделать так, чтобы добавлять хост только в одном месте?

Автор:  Black-Dragon [ 11 янв 2012, 15:55 ]
Заголовок сообщения:  Re: Проблема с применением QOS policy

Alex Norton писал(а):
Также к внутреннему интерфейсу применяется другой ACL, разграничивающий доступ из внутренней подсети в туннели.

А как там распознается, что это именно в тоннели трафик?

И ещё, до внедрения QoS они могли нормально ходить в Интернет, несмотря на этот "тоннельный" ACL?
Может покажете этот ACL?


P.S. Надеюсь, вы учли, что этой QoS вы ограничили скорость подключения данных хостов не только к Интернет, но и ко всему, к чему они ходят через данный рутер.

Автор:  1265 [ 11 янв 2012, 16:01 ]
Заголовок сообщения:  Re: Проблема с применением QOS policy

Вот ACL на этом интерфейсе.

ip access-list extended vlan_office
permit ip 10.10.0.0 0.0.255.255 192.168.0.0 0.0.255.255 - вот разрешение ходить из ЦО в бранчи.
permit ip any 10.10.0.0 0.0.255.255
permit icmp 10.10.0.0 0.0.255.255 any echo
permit icmp 10.10.0.0 0.0.255.255 any unreachable
permit icmp 10.10.0.0 0.0.255.255 any time-exceeded
permit ospf any any
permit eigrp any any
permit ip host 10.10.0.100 any
permit ip host 10.10.33.33 any
deny ip any any

Про глобальное ограничение скорости - учел, конечно; к счастью, это руководство, которое кроме интернета и локальной сети никуда не лазает.

Автор:  1265 [ 11 янв 2012, 16:04 ]
Заголовок сообщения:  Re: Проблема с применением QOS policy

И что странно, хотя я применил сейчас service-policy на интерфейсе и на input и на output, но входящая скорость осталась без изменения. :shock:

Автор:  Black-Dragon [ 11 янв 2012, 16:07 ]
Заголовок сообщения:  Re: Проблема с применением QOS policy

Цитата:
ip access-list extended vlan_office
permit ip 10.10.0.0 0.0.255.255 192.168.0.0 0.0.255.255
...
deny ip any any

А что вы хотели-то? Вы же сами им закрыли доступ куда-либо, кроме бренчей!

Автор:  1265 [ 11 янв 2012, 16:10 ]
Заголовок сообщения:  Re: Проблема с применением QOS policy

Black-Dragon писал(а):
Цитата:
ip access-list extended vlan_office
permit ip 10.10.0.0 0.0.255.255 192.168.0.0 0.0.255.255
...
deny ip any any

А что вы хотели-то? Вы же сами им закрыли доступ куда-либо, кроме бренчей!


То есть добавлять придется в все же в два ACL? Хорошо, это был первый вопрос. Спасибо. :) Не поможете ли со вторым? Почему не срезается входящая скорость?

Автор:  Black-Dragon [ 11 янв 2012, 16:26 ]
Заголовок сообщения:  Re: Проблема с применением QOS policy

Alex Norton писал(а):
То есть добавлять придется в все же в два ACL?

Думайте об ACL не как о чем-то блокирующем, а как о возможности выделить что-то, чтобы потом что-то с этим сделать.
В случае с ACL для QoS вы просто выделяете (классифицируете) трафик, который далее полисите, а ACL, используемый для access-group на интерфейсе, используется для выделения трафика, который потом блокируется на входе.
Т.о. разрешаете вы трафик только в одном месте, в QoS вы его просто выделяете.

Alex Norton писал(а):
Не поможете ли со вторым? Почему не срезается входящая скорость?

Цитата:
ip access-list extended WHITE
deny ospf any any
deny eigrp any any
permit ip host 10.10.100.1 any (раз хост)
permit ip host 10.10.33.33 any (два хост)
deny ip any any

Вы тут отметили трафик от хостов куда-то, а как насчет оттуда к хостам? ;)

BTW, а зачем тут
Цитата:
deny ospf any any
deny eigrp any any

Для спокойствия, что маршруты в Интернет не утекут? :)

Автор:  1265 [ 11 янв 2012, 16:34 ]
Заголовок сообщения:  Re: Проблема с применением QOS policy

Цитата:
Думайте об ACL не как о чем-то блокирующем, а как о возможности выделить что-то, чтобы потом что-то с этим сделать.
В случае с ACL для QoS вы просто выделяете (классифицируете) трафик, который далее полисите, а ACL, используемый для access-group на интерфейсе, используется для выделения трафика, который потом блокируется на входе.
Т.о. разрешаете вы трафик только в одном месте, в QoS вы его просто выделяете.


Это более философский подход, более гибкий и инженерный. Спасибо, постараюсь менять свое мышление.

Цитата:
Вы тут отметили трафик от хостов куда-то, а как насчет оттуда к хостам? ;)


Действительно! Даже стыдно. Сейчас сделаю правильно.

Цитата:
Для спокойствия, что маршруты в Интернет не утекут? :)


Да, я несколько сколонен к паранойе. Считаете, это бесполезно или избыточно?

Автор:  Black-Dragon [ 11 янв 2012, 16:54 ]
Заголовок сообщения:  Re: Проблема с применением QOS policy

Alex Norton писал(а):
Считаете, это бесполезно или избыточно?

В данном случае, да. Конфиг ведь зазря усложняется, становится менее удобно его читать.
У меня этот момент тоже развит, но я ограничиваю себя тем, что всегда лично дописываю "deny ip any any", хотя, AFAIK, по умолчанию он сам туда ставится (возможны исключения, но не думаю, что в "блокирующих" ACL).


Рад был помочь. Так скоро начну думать, что я что-то понимаю в Cisco :)

Автор:  1265 [ 12 янв 2012, 17:22 ]
Заголовок сообщения:  Re: Проблема с применением QOS policy

Спасибо, вы действительно помогли. :ugeek: Вы понимаете в Cisco, независимо от того, думаете вы так или нет. ;)

Автор:  1265 [ 13 янв 2012, 09:10 ]
Заголовок сообщения:  Re: Проблема с применением QOS policy

Спасибо, коллеги, проблема решена, топик можно переносить в закрытые.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/