URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16914
[ Назад ]

Исходное сообщение
"rate-limit для access-list(a) ен работает!"

Отправлено sergioborcov , 12-Авг-08 15:04 
Привет!
Есть правило

access-list 2265 permit ip host (ip_address) any
access-list 2265 deny   ip any any

на интрефейсе написано

rate-limit input access-group 2265 1024000 256000 512000 conform-action transmit exceed-action drop

потому как надо на выход зашейпить.
а не работает! трафик от юзера валит на всю катушку.уже когда-то похожее у меня случалось,но помню что решил проблему только изменением адреса.
перерыл весь конфиг остатков конфигов такого типа нет.
в чем может быть проблема?
спасибо.


Содержание

Сообщения в этом обсуждении
"rate-limit для access-list(a) ен работает!"
Отправлено Аноним , 12-Авг-08 21:06 
>[оверквотинг удален]
>на интрефейсе написано
>
>rate-limit input access-group 2265 1024000 256000 512000 conform-action transmit exceed-action drop
>
>потому как надо на выход зашейпить.
>а не работает! трафик от юзера валит на всю катушку.уже когда-то похожее
>у меня случалось,но помню что решил проблему только изменением адреса.
>перерыл весь конфиг остатков конфигов такого типа нет.
>в чем может быть проблема?
>спасибо.

уберите  из access-list 2265 deny   ip any any


"rate-limit для access-list(a) ен работает!"
Отправлено fantom , 13-Авг-08 09:24 
>[оверквотинг удален]
>на интрефейсе написано
>
>rate-limit input access-group 2265 1024000 256000 512000 conform-action transmit exceed-action drop
>
>потому как надо на выход зашейпить.
>а не работает! трафик от юзера валит на всю катушку.уже когда-то похожее
>у меня случалось,но помню что решил проблему только изменением адреса.
>перерыл весь конфиг остатков конфигов такого типа нет.
>в чем может быть проблема?
>спасибо.

sh int <бла-бла> rate-limit что говорит?
Как Вы определяете что "трафик валит на полную катушку"??
Если флудануть с клиента с нужного адреса, то ДО кошки будет валить со скоростью, которую может обеспечить канал, а вот уже за пределы маршрутера выйдет "отрезаная" часть.


"rate-limit для access-list(a) ен работает!"
Отправлено sergioborcov , 13-Авг-08 10:24 
>[оверквотинг удален]
>>у меня случалось,но помню что решил проблему только изменением адреса.
>>перерыл весь конфиг остатков конфигов такого типа нет.
>>в чем может быть проблема?
>>спасибо.
>
>sh int <бла-бла> rate-limit что говорит?
>Как Вы определяете что "трафик валит на полную катушку"??
>Если флудануть с клиента с нужного адреса, то ДО кошки будет валить
>со скоростью, которую может обеспечить канал, а вот уже за пределы
>маршрутера выйдет "отрезаная" часть.

именно так и есть.канал до циски загружен на всю.все остальные клиенты на нем курят бабмук.а как с этим бороться.намалевал спецовый список правил для этого интерфейса,где прикрыл активность с этого адреса,пока жду результата.
а еще как можно?


"rate-limit для access-list(a) ен работает!"
Отправлено fantom , 13-Авг-08 10:27 
>[оверквотинг удален]
>>sh int <бла-бла> rate-limit что говорит?
>>Как Вы определяете что "трафик валит на полную катушку"??
>>Если флудануть с клиента с нужного адреса, то ДО кошки будет валить
>>со скоростью, которую может обеспечить канал, а вот уже за пределы
>>маршрутера выйдет "отрезаная" часть.
>
>именно так и есть.канал до циски загружен на всю.все остальные клиенты на
>нем курят бабмук.а как с этим бороться.намалевал спецовый список правил для
>этого интерфейса,где прикрыл активность с этого адреса,пока жду результата.
>а еще как можно?

Если сеть от абонента до маршрутизатора неуправляемая - никак, если управляемая - попробовать порезать скорость поближе к абоненту средствами других железок (свичи, модемы и т.д.)


"rate-limit для access-list(a) ен работает!"
Отправлено sh_ , 13-Авг-08 10:22 
А если попробовать использовать acl 100-199, то работает?

"rate-limit для access-list(a) ен работает!"
Отправлено sergioborcov , 13-Авг-08 10:26 
>А если попробовать использовать acl 100-199, то работает?

не пробовал.а разве это имеет значение?


"rate-limit для access-list(a) ен работает!"
Отправлено Аноним , 13-Авг-08 12:40 
>>А если попробовать использовать acl 100-199, то работает?
>
>не пробовал.а разве это имеет значение?

да