URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1568
[ Назад ]
Исходное сообщение
"Cisco 3750 Policy-map"
Отправлено Diesel315 , 10-Дек-14 09:37 
Всем добрый день.
Имею в наличии вот такой девайс -  WS-C3750G-24TS-1U  12.2(55)SE1
Необходимо грамотно настроить шейпинг для одной подсети (10.60.63.0/24). Суть вопроса в том, что есть эта подсеть 10.60.63.0/24 (гостевой влан), выходит в инет через прокси 10.60.4.11.
Необходимо на Cisco настроить шейпинг этой подсети, чтобы канал инета не забивали.
Раньше прокси был физической машиной и политику я прикрутил непосредтсnnвенно к порту LAN прокси на Cisco:
Extended IP access list ACL-LIMIT-SPEED
    10 permit ip any 10.60.63.0 0.0.0.255
!
class-map match-all LIMIT-SPEED
match access-group name ACL-LIMIT-SPEED
!
policy-map LIMIT-SPEED
class LIMIT-SPEED
  police 3000000 512000 exceed-action drop
!
interface GigabitEthernet1/0/21
description --Lan
switchport access vlan 15
switchport mode access
spanning-tree portfast
service-policy input LIMIT-SPEED

Теперь же прокси это виртуальная машина которая скрыта за Etherchannel:
interface GigabitEthernet1/0/19
description -- HP Network Team Gi1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 15,30,104
switchport mode trunk
channel-group 2 mode active
spanning-tree portfast
service-policy input LIMIT-SPEED
!
interface GigabitEthernet1/0/20
description -- HP Network Team Gi2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 15,30,104
switchport mode trunk
channel-group 2 mode active
spanning-tree portfast
service-policy input LIMIT-SPEED

И если как видно по конфигу я вешаю эту политику на интерфейсы, то я шейпу трафик ото всех виртуальных машин в адрес подсети 10.60.63.0/24. Мне же надо надо только от одной 10.60.4.11.
Пробовал изменить ACL
Extended IP access list ACL-LIMIT-SPEED
    10 permit ip host 10.60.4.11 10.60.63.0 0.0.0.25
Но это не помогает, в принципе логично думаю, так как подсеть качает трафик как бы не 10.60.4.11 а с инета...

Может что и попутался, прошу вашей помощи.

Содержание
Сообщения в этом обсуждении
"Cisco 3750 Policy-map"
Отправлено eek , 11-Дек-14 08:39 
В задаче написано что хотите шейпить, а в решение пишете что делает policing.
Определитесь что хотите сделать.

Если шейпинг, то посмотрите в документации вот про этом:
srr-queue bandwidth shape

"Cisco 3750 Policy-map"
Отправлено Diesel315 , 11-Дек-14 08:55 
> В задаче написано что хотите шейпить, а в решение пишете что делает
> policing.
> Определитесь что хотите сделать.
> Если шейпинг, то посмотрите в документации вот про этом:
> srr-queue bandwidth shape

Извиняюсь я не очень силен в данной теме. Просто это решение оказалось рабочее по старой схеме и оно реально ограничивало скорость. В новой схеме же возникли трудности. Есть ли возможность используя policing решить задачу?  Не уверен, что bandwidth есть в 3750, проверю...

"Cisco 3750 Policy-map"
Отправлено eek , 11-Дек-14 10:10 
> Извиняюсь я не очень силен в данной теме. Просто это решение оказалось
> рабочее по старой схеме и оно реально ограничивало скорость. В новой
> схеме же возникли трудности. Есть ли возможность используя policing решить задачу?
>  Не уверен, что bandwidth есть в 3750, проверю...

1) Аксес лист и полиси у вас написаны вроде верно.

2) Вешаете вы его на вход интерфейса который смотрит на хост где крутиться ваша виртуалка с проксей. (В вашем случае как я понял это несколько интерфейсов собранных в порт ченел)

3) Одновременно вешать полиси на SVI (VlanXX) и физический интерфейс не нужно. Делайте на физических интерфейсе.

4) На 3750 есть проблемы с QOS если интерфейсы порт ченела обслуживаются разными асиками, посмотрите как у вас если разные перенесите и сделайте чтобы одним.

"Cisco 3750 Policy-map"
Отправлено Diesel315 , 11-Дек-14 13:35 
> 1) Аксес лист и полиси у вас написаны вроде верно.
> 2) Вешаете вы его на вход интерфейса который смотрит на хост где
> крутиться ваша виртуалка с проксей. (В вашем случае как я понял
> это несколько интерфейсов собранных в порт ченел)
> 3) Одновременно вешать полиси на SVI (VlanXX) и физический интерфейс не нужно.
> Делайте на физических интерфейсе.
> 4) На 3750 есть проблемы с QOS если интерфейсы порт ченела обслуживаются
> разными асиками, посмотрите как у вас если разные перенесите и сделайте
> чтобы одним.

1) На всякий случай попробую еще разные варианты. По сути нужно ограничить линк между 10.60.4.11 и подсетью 10.60.63.0/24 до 3 мбит/с
2) да
3) Так на SVI и не вешал...
4) команда sh platform pm platform-block выдает, что порты 1/0/19 и 1/0/20 находятся на одном ASIC №6

А вот команда srr-queue bandwidth shape думаю мне вообще не поможет, так как беглый поиск примеров в сети выдает информацию, что таким образом ограничивают весь трафик на физическом интерфейсе... Может попутался, но вроде так, а это не мой случай(((