Перейти к содержимому

C3750G как сделать полисинг для клиента?


Рекомендованные сообщения

Есть catalyst 3750G, в него заходит аплинк, по BGP получаем default + префиксы UA-IX.

Возникла необходимость дать корпоративному клиенту доступ в инет, но с разграничением скоростей на мир и украину. Клиент включен виланом, пока без BGP.

Возможно ли это сделать и как вообще организуют ограничение скорости для разных направлений? Помогите, не понимаю в какую сторону копать вообще)

Ссылка на сообщение
Поделиться на других сайтах

Это все понятно.. А как сделать разную скорость для мира и ua-ix к примеру? Можно ли использовать bgp-access листы для шейпера или что-то подобное?

Очень уж не хочется ради 1 клиента ставить роутер(тем более писюк).

 

Может проще включить их по bgp, реанонсить все что нужно и дать мир/украину разными виланами, порезав на них скорость хоть каталистом, хоть промежуточным свичем? :)

Ссылка на сообщение
Поделиться на других сайтах

И вдогонку.. А как хоть на вилане скорость порезать? Конструкции типа

int Vlan206
rate-limit input  5000000 200000 200000 conform-action transmit exceed-action drop
rate-limit output 5000000 200000 200000 conform-action transmit exceed-action drop

свич игнорирует(нет ограничения), service-map с полисером чего-то не прикручивается к вилану..

Ссылка на сообщение
Поделиться на других сайтах

И вдогонку.. А как хоть на вилане скорость порезать? Конструкции типа

int Vlan206
rate-limit input  5000000 200000 200000 conform-action transmit exceed-action drop
rate-limit output 5000000 200000 200000 conform-action transmit exceed-action drop

свич игнорирует(нет ограничения), service-map с полисером чего-то не прикручивается к вилану..

как я уже говорил, 3750 не умеет rate-limit output

Ссылка на сообщение
Поделиться на других сайтах

Дык оно похоже и input не режет. Ограничение есть, оно маленькое но как видно никогда не срабатывает. 2 пакета прошло через шейпер а остальные ушли мимо?

sw-ciscocore>sh int vlan206 rate-limit
 Input
   matches: all traffic
     params:  48000 bps, 10000 limit, 10000 extended limit
     conformed 0 packets, 0 bytes; action: transmit
     exceeded 0 packets, 0 bytes; action: drop
     last packet: 2760485900ms ago, current burst: 0 bytes
     last cleared 00:23:40 ago, conformed 0 bps, exceeded 0 bps
 Output
   matches: all traffic
     params:  48000 bps, 10000 limit, 10000 extended limit
     conformed 2 packets, 638 bytes; action: transmit
     exceeded 0 packets, 0 bytes; action: drop
     last packet: 1198489ms ago, current burst: 0 bytes
     last cleared 00:23:34 ago, conformed 3 bps, exceeded 0 bps

Ссылка на сообщение
Поделиться на других сайтах

sh sdm prefer

The current template is "desktop routing" template.
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs.

 number of unicast mac addresses:                  3K
 number of IPv4 IGMP groups + multicast routes:    1K
 number of IPv4 unicast routes:                    11K
   number of directly-connected IPv4 hosts:        3K
   number of indirect IPv4 routes:                 8K
 number of IPv4 policy based routing aces:         0.5K
 number of IPv4/MAC qos aces:                      0.5K
 number of IPv4/MAC security aces:                 1K

 

sh run

Current configuration : 7239 bytes
!
! Last configuration change at 15:13:51 EEST Thu Sep 9 2010
! NVRAM config last updated at 11:15:15 EEST Wed Sep 8 2010
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log datetime localtime
service password-encryption
!
hostname sw-ciscocore
!
boot-start-marker
boot-end-marker
!
no aaa new-model
clock timezone EEST 2
switch 1 provision ws-c3750g-24t
system mtu routing 1500
ip subnet-zero
ip routing
no ip domain-lookup
ip name-server xx.xx.xx.xx
!
!
!
mls qos
!
!
!
!
!
spanning-tree mode pvst
spanning-tree etherchannel guard misconfig
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
class-map match-any TestL2shape
match any
!
!
policy-map PolTestL2shape
class TestL2shape
 police 128000 12000 exceed-action drop
!
!
!
!
interface GigabitEthernet1/0/1
description nas1.zeus.poltava.ua
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,3
switchport mode trunk
!
interface GigabitEthernet1/0/2
description nas2.zeus.poltava.ua
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,200
switchport mode trunk
!
interface GigabitEthernet1/0/3
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 200
switchport mode trunk
!
interface GigabitEthernet1/0/4
!
interface GigabitEthernet1/0/5
!
interface GigabitEthernet1/0/6
!
interface GigabitEthernet1/0/7
!
interface GigabitEthernet1/0/8
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!
interface GigabitEthernet1/0/12
!
interface GigabitEthernet1/0/13
!
interface GigabitEthernet1/0/14
!
interface GigabitEthernet1/0/15
!
interface GigabitEthernet1/0/16
!
interface GigabitEthernet1/0/17
!
interface GigabitEthernet1/0/18
switchport access vlan 1000
switchport mode access
!
interface GigabitEthernet1/0/19
description YouNET
switchport access vlan 206
switchport mode access
!
interface GigabitEthernet1/0/20
description nameserver
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 3,4,200
switchport mode trunk
!
interface GigabitEthernet1/0/21
description billing
switchport access vlan 2
switchport mode access
!
interface GigabitEthernet1/0/22
description servers-via-planet
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2-4,200,206,207,241
switchport mode trunk
!
interface GigabitEthernet1/0/23
description 4net
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 205,207,241
switchport mode trunk
!
interface GigabitEthernet1/0/24
description ITS-kyivstar
switchport access vlan 1000
switchport mode access
!
interface Vlan1
no ip address
shutdown
!
interface Vlan2
description routers
ip address xx.xx.xx.xx 255.255.255.240
!
interface Vlan4
description services
ip address xx.xx.xx.xx 255.255.255.240
!
interface Vlan200
description management
ip address xx.xx.xx.xx 255.255.0.0
!
interface Vlan205
description 4NET-BGP
ip address xx.xx.xx.xx 255.255.255.252
!
interface Vlan206
description You-NET
ip address xx.xx.xx.xx 255.255.255.248
rate-limit input 48000 10000 10000 conform-action transmit exceed-action drop
rate-limit output 48000 10000 10000 conform-action transmit exceed-action drop
!
interface Vlan207
description transport-4NET
no ip address
!
interface Vlan241
description 4net transport VISMA
no ip address
!
interface Vlan1000
description ITSystems
ip address 213.133.163.171 255.255.255.248
!
router ospf 100
router-id xx.xx.xx.xx
log-adjacency-changes
passive-interface default
no passive-interface Vlan2
network xx.xx.xx.xx 0.0.0.15 area 1
distribute-list 1 in
!
router bgp xxx
no synchronization
bgp log-neighbor-changes
network xx.xx.xx.xx mask 255.255.252.0
neighbor xx.xx.xx.xx remote-as as1
neighbor xx.xx.xx.xx transport path-mtu-discovery
neighbor xx.xx.xx.xx description 4NET-1st-AS
neighbor xx.xx.xx.xx update-source Vlan205
neighbor xx.xx.xx.xx soft-reconfiguration inbound
neighbor xx.xx.xx.xx route-map 4NET-IN in
neighbor xx.xx.xx.xx route-map 4NET-OUT out
neighbor xx.xx.xx.xx2 remote-as as2
neighbor xx.xx.xx.xx2 transport path-mtu-discovery
neighbor xx.xx.xx.xx2 description ITS-WORLD
neighbor xx.xx.xx.xx2 update-source Vlan1000
neighbor xx.xx.xx.xx2 soft-reconfiguration inbound
neighbor xx.xx.xx.xx2 route-map ITS-WORLD-IN in
neighbor xx.xx.xx.xx2 route-map ITS-WORLD-OUT out
neighbor xx.xx.xx.xx3 remote-as as2
neighbor xx.xx.xx.xx3 transport path-mtu-discovery
neighbor xx.xx.xx.xx3 description ITS-UA
neighbor xx.xx.xx.xx3 update-source Vlan1000
neighbor xx.xx.xx.xx3 soft-reconfiguration inbound
neighbor xx.xx.xx.xx3 route-map ITS-UA-IN in
neighbor xx.xx.xx.xx3 route-map ITS-UA-OUT out
no auto-summary
!
ip classless
ip route xx.xx.xx.xx 255.255.252.0 Null0 254
ip route 172.16.0.0 255.240.0.0 Null0
ip route 192.168.0.0 255.255.0.0 Null0
no ip http server
!
!
ip prefix-list DEFAULT seq 5 permit 0.0.0.0/0
!
ip prefix-list PEERING seq 5 permit xx.xx.xx.xx
ip prefix-list PEERING seq 10 permit xx.xx.xx.xx2
!
ip prefix-list SELF seq 5 permit xx.xx.xx.xx3
logging history size 100
logging history informational
logging facility local6
logging source-interface Vlan200
logging 10.200.0.5
access-list 1 permit xx.xx.xx.xx 0.0.0.255
access-list 1 permit xx.xx.xx.xx 0.0.1.255
access-list 1 deny   any
route-map 4NET-OUT permit 10
match ip address prefix-list SELF
!
route-map 4NET-OUT deny 20
!
route-map ITS-WORLD-IN permit 10
match ip address prefix-list DEFAULT
set local-preference 100
!
route-map ITS-WORLD-IN deny 20
!
route-map ITS-UA-OUT permit 10
match ip address prefix-list SELF
!
route-map ITS-UA-OUT deny 20
!
route-map 4NET-IN deny 10
match ip address prefix-list DEFAULT
!
route-map 4NET-IN permit 20
match ip address prefix-list PEERING
set local-preference 200
!
route-map 4NET-IN deny 30
!
route-map ITS-WORLD-OUT permit 10
match ip address prefix-list SELF
!
route-map ITS-WORLD-OUT deny 20
!
route-map ITS-UA-IN deny 10
match ip address prefix-list DEFAULT
!
route-map ITS-UA-IN permit 20
set local-preference 100
!
!
control-plane
!
end

Вот на 206ой влан которому дается доступ в инет нужно ограничить скорость. И желательно раздельно на мир и ua-ix, хотя я уже стал сомневаться в реальности этой затеи.

Ссылка на сообщение
Поделиться на других сайтах

:)

блин, та ну не может одна 3750 это сделать...

можно сделать через две.

можно, правда, и одной управиться, но через ж#пу -- хеирпином (соединением портов друг с другом)

Ссылка на сообщение
Поделиться на других сайтах

Дык оно похоже и input не режет. Ограничение есть, оно маленькое но как видно никогда не срабатывает. 2 пакета прошло через шейпер а остальные ушли мимо?

sw-ciscocore>sh int vlan206 rate-limit
 Input
   matches: all traffic
     params:  48000 bps, 10000 limit, 10000 extended limit
     conformed 0 packets, 0 bytes; action: transmit
     exceeded 0 packets, 0 bytes; action: drop
     last packet: 2760485900ms ago, current burst: 0 bytes
     last cleared 00:23:40 ago, conformed 0 bps, exceeded 0 bps
 Output
   matches: all traffic
     params:  48000 bps, 10000 limit, 10000 extended limit
     conformed 2 packets, 638 bytes; action: transmit
     exceeded 0 packets, 0 bytes; action: drop
     last packet: 1198489ms ago, current burst: 0 bytes
     last cleared 00:23:34 ago, conformed 3 bps, exceeded 0 bps

если мне не изменяет память (могу и ошибаться) rate-limit не будет на этом устройстве работать на ЛОГИЧЕСКОМ интерфейсе.

он применим только на ФИЗИЧЕСКОМ айпшном интерфейсе (порте).

и, как я уже говорил, тока на вход.

 

влан можно тока полисить (а не рейтить). и опять же -- тока на вход.

Ссылка на сообщение
Поделиться на других сайтах

Немного разобрался, на физическом порту шейпится на ура, но только на вход. На вилане не шейпит вообще, в инете видел странные мануалы как это обойти, но в любом случае решение жутко кривое..

Пока попробую зашейпить на свиче по дороге, и спасибо за подсказку с hairpin - портов свободных куча, почему бы и нет))

Ссылка на сообщение
Поделиться на других сайтах

Да, вопрос как отдать клиенту раздельные скорости на ua-ix и на мир остается открытым. Ставить сервер и тупо в tc по списку префиксов строить правила? Как бы решение не совсем провайдерского уровня..

Ссылка на сообщение
Поделиться на других сайтах

Да, вопрос как отдать клиенту раздельные скорости на ua-ix и на мир остается открытым. Ставить сервер и тупо в tc по списку префиксов строить правила? Как бы решение не совсем провайдерского уровня..

есть решения проще -- "раскрашивать" пакеты на входе. для этого лучше поднять с апстримом два интерфейс-влана (мир и Украина).

на каждом влане маркеруете по своему.

но, как потом это все заполисить я уже не подскажу (ну, кроме хейрпинов :) )

еще раз скажу, на одной 3750 это врядли получится сделать.

Ссылка на сообщение
Поделиться на других сайтах

Не хочется "писюк" ставить ради одного клиента??? А зачем Вам корпоратив??? Занимайтесь интернетом. Хотите заниматься корпоративом, то наймите себе толкового админа и купите себе нормального железа и не выкладывайте рагульные конфиги на топике. Тут явно пахнет дешевым транспортом. Продавая за копейки транспорт, Вы убиваете развитие сетей на Украине. Именно за счет корпоративного сектора сети и строятся, но ни как за счет интернета. Продажа интернета убыточна. Для примера, в Житомире одни идиоты продают Л2 по цене 60 грн за 2 мега по городу. Они разве не дибилы? Кому они делают хорошо? Денег сами не зарабатывают, и другим не дают. Думаю многие меня поддержат, кто работает на корпоративном рынке. Если клиент хочет Л2, то пусть платит за сервис, тем самым стимулирует развитие сетей на Украине в общем. А не ищет дешевой альтернативы.

Ссылка на сообщение
Поделиться на других сайтах

Вообще не понял вашей писанины, ровно как и ее смысла. И чем вам там пахнет тоже не понятно.

Клиенту нужно подать интернет, при чем тут транспорт, сети Украины, пинг на Житомир и ваши обиды на весь мир?

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...

Попробовать mls qos. Примеров масса, например так: http://slaptijack.com/networking/inbound-rate-limiting-on-cisco-catalyst-switches/

Получится - отпишите в личку.

Ссылка на сообщение
Поделиться на других сайтах

Не страдайте х.. не умеет 3750 и 3560 на выходе ограничивать трафик , это связанно с ХАРДВАРНОЙ архитектурой ! Поставьте в разрез не дорогой свитч с вх/исх рейт лимитом ..

Ссылка на сообщение
Поделиться на других сайтах

В данный момент так и сделано, скорость режется на порту доступа клиента. С mls у меня чего-то не срослось, на порту ограничивает а на вилане фиг..

Ссылка на сообщение
Поделиться на других сайтах

На влане и не умеет. Здесь згодэн.

на физическом порту тоже на OUT не умеет.

ни 3750, ни 3550, ни даже 6500-SUP2.

Это особенности архитектуры данных коммутаторов -- у них полисинг АППАРАТНО реализован именно ТАК.

только на IN, при чем и на влане можно, и на физическом порту.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...