C3750G как сделать полисинг для клиента?

[KaYot 3 708]

Есть catalyst 3750G, в него заходит аплинк, по BGP получаем default + префиксы UA-IX.

Возникла необходимость дать корпоративному клиенту доступ в инет, но с разграничением скоростей на мир и украину. Клиент включен виланом, пока без BGP.

Возможно ли это сделать и как вообще организуют ограничение скорости для разных направлений? Помогите, не понимаю в какую сторону копать вообще)

[fenix-vt 81]

3750 может только ingress трафик полисить (рейтить)

 

т.е. врядли одним свичем вы выполните такую задачу.

[loki 86]

kayotster

 

Можно завернуть в Loopback + ip unnumbered и шейпать на свитче.

Но лучше PBR на Catalyst + dummynet\ipfw table на FreeBSD.

[KaYot 3 708]

Это все понятно.. А как сделать разную скорость для мира и ua-ix к примеру? Можно ли использовать bgp-access листы для шейпера или что-то подобное?

Очень уж не хочется ради 1 клиента ставить роутер(тем более писюк).

 

Может проще включить их по bgp, реанонсить все что нужно и дать мир/украину разными виланами, порезав на них скорость хоть каталистом, хоть промежуточным свичем?

[KaYot 3 708]

И вдогонку.. А как хоть на вилане скорость порезать? Конструкции типа

int Vlan206
rate-limit input  5000000 200000 200000 conform-action transmit exceed-action drop
rate-limit output 5000000 200000 200000 conform-action transmit exceed-action drop

свич игнорирует(нет ограничения), service-map с полисером чего-то не прикручивается к вилану..

[fenix-vt 81]

И вдогонку.. А как хоть на вилане скорость порезать? Конструкции типа

int Vlan206
rate-limit input  5000000 200000 200000 conform-action transmit exceed-action drop
rate-limit output 5000000 200000 200000 conform-action transmit exceed-action drop

свич игнорирует(нет ограничения), service-map с полисером чего-то не прикручивается к вилану..

как я уже говорил, 3750 не умеет rate-limit output

[KaYot 3 708]

Дык оно похоже и input не режет. Ограничение есть, оно маленькое но как видно никогда не срабатывает. 2 пакета прошло через шейпер а остальные ушли мимо?

sw-ciscocore>sh int vlan206 rate-limit
 Input
   matches: all traffic
     params:  48000 bps, 10000 limit, 10000 extended limit
     conformed 0 packets, 0 bytes; action: transmit
     exceeded 0 packets, 0 bytes; action: drop
     last packet: 2760485900ms ago, current burst: 0 bytes
     last cleared 00:23:40 ago, conformed 0 bps, exceeded 0 bps
 Output
   matches: all traffic
     params:  48000 bps, 10000 limit, 10000 extended limit
     conformed 2 packets, 638 bytes; action: transmit
     exceeded 0 packets, 0 bytes; action: drop
     last packet: 1198489ms ago, current burst: 0 bytes
     last cleared 00:23:34 ago, conformed 3 bps, exceeded 0 bps

[loki 86]

sh sdm prefer

sh run?

покажи

[KaYot 3 708]

sh sdm prefer

The current template is "desktop routing" template.
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs.

 number of unicast mac addresses:                  3K
 number of IPv4 IGMP groups + multicast routes:    1K
 number of IPv4 unicast routes:                    11K
   number of directly-connected IPv4 hosts:        3K
   number of indirect IPv4 routes:                 8K
 number of IPv4 policy based routing aces:         0.5K
 number of IPv4/MAC qos aces:                      0.5K
 number of IPv4/MAC security aces:                 1K

 

sh run

Current configuration : 7239 bytes
!
! Last configuration change at 15:13:51 EEST Thu Sep 9 2010
! NVRAM config last updated at 11:15:15 EEST Wed Sep 8 2010
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log datetime localtime
service password-encryption
!
hostname sw-ciscocore
!
boot-start-marker
boot-end-marker
!
no aaa new-model
clock timezone EEST 2
switch 1 provision ws-c3750g-24t
system mtu routing 1500
ip subnet-zero
ip routing
no ip domain-lookup
ip name-server xx.xx.xx.xx
!
!
!
mls qos
!
!
!
!
!
spanning-tree mode pvst
spanning-tree etherchannel guard misconfig
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
class-map match-any TestL2shape
match any
!
!
policy-map PolTestL2shape
class TestL2shape
 police 128000 12000 exceed-action drop
!
!
!
!
interface GigabitEthernet1/0/1
description nas1.zeus.poltava.ua
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,3
switchport mode trunk
!
interface GigabitEthernet1/0/2
description nas2.zeus.poltava.ua
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,200
switchport mode trunk
!
interface GigabitEthernet1/0/3
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 200
switchport mode trunk
!
interface GigabitEthernet1/0/4
!
interface GigabitEthernet1/0/5
!
interface GigabitEthernet1/0/6
!
interface GigabitEthernet1/0/7
!
interface GigabitEthernet1/0/8
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!
interface GigabitEthernet1/0/12
!
interface GigabitEthernet1/0/13
!
interface GigabitEthernet1/0/14
!
interface GigabitEthernet1/0/15
!
interface GigabitEthernet1/0/16
!
interface GigabitEthernet1/0/17
!
interface GigabitEthernet1/0/18
switchport access vlan 1000
switchport mode access
!
interface GigabitEthernet1/0/19
description YouNET
switchport access vlan 206
switchport mode access
!
interface GigabitEthernet1/0/20
description nameserver
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 3,4,200
switchport mode trunk
!
interface GigabitEthernet1/0/21
description billing
switchport access vlan 2
switchport mode access
!
interface GigabitEthernet1/0/22
description servers-via-planet
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2-4,200,206,207,241
switchport mode trunk
!
interface GigabitEthernet1/0/23
description 4net
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 205,207,241
switchport mode trunk
!
interface GigabitEthernet1/0/24
description ITS-kyivstar
switchport access vlan 1000
switchport mode access
!
interface Vlan1
no ip address
shutdown
!
interface Vlan2
description routers
ip address xx.xx.xx.xx 255.255.255.240
!
interface Vlan4
description services
ip address xx.xx.xx.xx 255.255.255.240
!
interface Vlan200
description management
ip address xx.xx.xx.xx 255.255.0.0
!
interface Vlan205
description 4NET-BGP
ip address xx.xx.xx.xx 255.255.255.252
!
interface Vlan206
description You-NET
ip address xx.xx.xx.xx 255.255.255.248
rate-limit input 48000 10000 10000 conform-action transmit exceed-action drop
rate-limit output 48000 10000 10000 conform-action transmit exceed-action drop
!
interface Vlan207
description transport-4NET
no ip address
!
interface Vlan241
description 4net transport VISMA
no ip address
!
interface Vlan1000
description ITSystems
ip address 213.133.163.171 255.255.255.248
!
router ospf 100
router-id xx.xx.xx.xx
log-adjacency-changes
passive-interface default
no passive-interface Vlan2
network xx.xx.xx.xx 0.0.0.15 area 1
distribute-list 1 in
!
router bgp xxx
no synchronization
bgp log-neighbor-changes
network xx.xx.xx.xx mask 255.255.252.0
neighbor xx.xx.xx.xx remote-as as1
neighbor xx.xx.xx.xx transport path-mtu-discovery
neighbor xx.xx.xx.xx description 4NET-1st-AS
neighbor xx.xx.xx.xx update-source Vlan205
neighbor xx.xx.xx.xx soft-reconfiguration inbound
neighbor xx.xx.xx.xx route-map 4NET-IN in
neighbor xx.xx.xx.xx route-map 4NET-OUT out
neighbor xx.xx.xx.xx2 remote-as as2
neighbor xx.xx.xx.xx2 transport path-mtu-discovery
neighbor xx.xx.xx.xx2 description ITS-WORLD
neighbor xx.xx.xx.xx2 update-source Vlan1000
neighbor xx.xx.xx.xx2 soft-reconfiguration inbound
neighbor xx.xx.xx.xx2 route-map ITS-WORLD-IN in
neighbor xx.xx.xx.xx2 route-map ITS-WORLD-OUT out
neighbor xx.xx.xx.xx3 remote-as as2
neighbor xx.xx.xx.xx3 transport path-mtu-discovery
neighbor xx.xx.xx.xx3 description ITS-UA
neighbor xx.xx.xx.xx3 update-source Vlan1000
neighbor xx.xx.xx.xx3 soft-reconfiguration inbound
neighbor xx.xx.xx.xx3 route-map ITS-UA-IN in
neighbor xx.xx.xx.xx3 route-map ITS-UA-OUT out
no auto-summary
!
ip classless
ip route xx.xx.xx.xx 255.255.252.0 Null0 254
ip route 172.16.0.0 255.240.0.0 Null0
ip route 192.168.0.0 255.255.0.0 Null0
no ip http server
!
!
ip prefix-list DEFAULT seq 5 permit 0.0.0.0/0
!
ip prefix-list PEERING seq 5 permit xx.xx.xx.xx
ip prefix-list PEERING seq 10 permit xx.xx.xx.xx2
!
ip prefix-list SELF seq 5 permit xx.xx.xx.xx3
logging history size 100
logging history informational
logging facility local6
logging source-interface Vlan200
logging 10.200.0.5
access-list 1 permit xx.xx.xx.xx 0.0.0.255
access-list 1 permit xx.xx.xx.xx 0.0.1.255
access-list 1 deny   any
route-map 4NET-OUT permit 10
match ip address prefix-list SELF
!
route-map 4NET-OUT deny 20
!
route-map ITS-WORLD-IN permit 10
match ip address prefix-list DEFAULT
set local-preference 100
!
route-map ITS-WORLD-IN deny 20
!
route-map ITS-UA-OUT permit 10
match ip address prefix-list SELF
!
route-map ITS-UA-OUT deny 20
!
route-map 4NET-IN deny 10
match ip address prefix-list DEFAULT
!
route-map 4NET-IN permit 20
match ip address prefix-list PEERING
set local-preference 200
!
route-map 4NET-IN deny 30
!
route-map ITS-WORLD-OUT permit 10
match ip address prefix-list SELF
!
route-map ITS-WORLD-OUT deny 20
!
route-map ITS-UA-IN deny 10
match ip address prefix-list DEFAULT
!
route-map ITS-UA-IN permit 20
set local-preference 100
!
!
control-plane
!
end

Вот на 206ой влан которому дается доступ в инет нужно ограничить скорость. И желательно раздельно на мир и ua-ix, хотя я уже стал сомневаться в реальности этой затеи.

[KaYot 3 708]

Цискари, не проходите мимо)

[fenix-vt 81]

блин, та ну не может одна 3750 это сделать...

можно сделать через две.

можно, правда, и одной управиться, но через ж#пу -- хеирпином (соединением портов друг с другом)

[fenix-vt 81]

Дык оно похоже и input не режет. Ограничение есть, оно маленькое но как видно никогда не срабатывает. 2 пакета прошло через шейпер а остальные ушли мимо?

sw-ciscocore>sh int vlan206 rate-limit
 Input
   matches: all traffic
     params:  48000 bps, 10000 limit, 10000 extended limit
     conformed 0 packets, 0 bytes; action: transmit
     exceeded 0 packets, 0 bytes; action: drop
     last packet: 2760485900ms ago, current burst: 0 bytes
     last cleared 00:23:40 ago, conformed 0 bps, exceeded 0 bps
 Output
   matches: all traffic
     params:  48000 bps, 10000 limit, 10000 extended limit
     conformed 2 packets, 638 bytes; action: transmit
     exceeded 0 packets, 0 bytes; action: drop
     last packet: 1198489ms ago, current burst: 0 bytes
     last cleared 00:23:34 ago, conformed 3 bps, exceeded 0 bps

если мне не изменяет память (могу и ошибаться) rate-limit не будет на этом устройстве работать на ЛОГИЧЕСКОМ интерфейсе.

он применим только на ФИЗИЧЕСКОМ айпшном интерфейсе (порте).

и, как я уже говорил, тока на вход.

 

влан можно тока полисить (а не рейтить). и опять же -- тока на вход.

[KaYot 3 708]

Немного разобрался, на физическом порту шейпится на ура, но только на вход. На вилане не шейпит вообще, в инете видел странные мануалы как это обойти, но в любом случае решение жутко кривое..

Пока попробую зашейпить на свиче по дороге, и спасибо за подсказку с hairpin - портов свободных куча, почему бы и нет))

[KaYot 3 708]

Да, вопрос как отдать клиенту раздельные скорости на ua-ix и на мир остается открытым. Ставить сервер и тупо в tc по списку префиксов строить правила? Как бы решение не совсем провайдерского уровня..

[loki 86]

Ограничивать по выходу из порта трафик(output rate) нельзя.

[fenix-vt 81]

Да, вопрос как отдать клиенту раздельные скорости на ua-ix и на мир остается открытым. Ставить сервер и тупо в tc по списку префиксов строить правила? Как бы решение не совсем провайдерского уровня..

есть решения проще -- "раскрашивать" пакеты на входе. для этого лучше поднять с апстримом два интерфейс-влана (мир и Украина).

на каждом влане маркеруете по своему.

но, как потом это все заполисить я уже не подскажу (ну, кроме хейрпинов )

еще раз скажу, на одной 3750 это врядли получится сделать.

[karabassss 1]

Не хочется "писюк" ставить ради одного клиента??? А зачем Вам корпоратив??? Занимайтесь интернетом. Хотите заниматься корпоративом, то наймите себе толкового админа и купите себе нормального железа и не выкладывайте рагульные конфиги на топике. Тут явно пахнет дешевым транспортом. Продавая за копейки транспорт, Вы убиваете развитие сетей на Украине. Именно за счет корпоративного сектора сети и строятся, но ни как за счет интернета. Продажа интернета убыточна. Для примера, в Житомире одни идиоты продают Л2 по цене 60 грн за 2 мега по городу. Они разве не дибилы? Кому они делают хорошо? Денег сами не зарабатывают, и другим не дают. Думаю многие меня поддержат, кто работает на корпоративном рынке. Если клиент хочет Л2, то пусть платит за сервис, тем самым стимулирует развитие сетей на Украине в общем. А не ищет дешевой альтернативы.

[KaYot 3 708]

Вообще не понял вашей писанины, ровно как и ее смысла. И чем вам там пахнет тоже не понятно.

Клиенту нужно подать интернет, при чем тут транспорт, сети Украины, пинг на Житомир и ваши обиды на весь мир?

[Alexander Yakimenko 0]

Попробовать mls qos. Примеров масса, например так: http://slaptijack.com/networking/inbound-rate-limiting-on-cisco-catalyst-switches/

Получится - отпишите в личку.

[Ajar 92]

Не страдайте х.. не умеет 3750 и 3560 на выходе ограничивать трафик , это связанно с ХАРДВАРНОЙ архитектурой ! Поставьте в разрез не дорогой свитч с вх/исх рейт лимитом ..

[Alexander Yakimenko 0]

На выходе, не умеет? Ну-ну.

[KaYot 3 708]

В данный момент так и сделано, скорость режется на порту доступа клиента. С mls у меня чего-то не срослось, на порту ограничивает а на вилане фиг..

[Alexander Yakimenko 0]

На влане и не умеет. Здесь згодэн.

[fenix-vt 81]

На влане и не умеет. Здесь згодэн.

на физическом порту тоже на OUT не умеет.

ни 3750, ни 3550, ни даже 6500-SUP2.

Это особенности архитектуры данных коммутаторов -- у них полисинг АППАРАТНО реализован именно ТАК.

только на IN, при чем и на влане можно, и на физическом порту.

[Alexander Yakimenko 0]

IN по отношению к чему?