forum.opennet.ru

Составление сообщения

Исходное сообщение

"QoS Policy на Cisco ASA"
Отправлено dimaonline, 08-Июн-09 15:29

Всезнающий ALL !
Вопрос: Как прикрутить ограничение по скорости к WWW к группе компьютеров ?
Изучил "Configuring Service Policy Rules" & "Configuring QoS".
Пытаюсь прикрутить на DMZ2 (т.к. нужно ограничить трафик в сторону хостов сети DMZ2, то делаю ограничение на output):
access-list DMZ2_mpc extended permit tcp any any eq www
class-map DMZ2-class
match access-list DMZ2_mpc
policy-map DMZ2-policy
class DMZ2-class
  police output 32000 1500
service-policy DMZ2-policy interface DMZ2
Для интерфейса DMZ2 HTTP-трафик является входящим(получаются запросы) и порт TCP 80 - destination port. Но политика не срабатывает(скорость не ограничивается):
show service-policy police
Interface outside:
  Service-policy: outside-policy-dmz2
    Class-map: outside-class-dmz2
      Input police Interface outside:
        cir 32000 bps, bc 1500 bytes
        conformed 3 packets, 170 bytes; actions:  transmit
        exceeded 0 packets, 0 bytes; actions:  drop
        conformed 320 bps, exceed 0 bps
Если же поставить входящую политику на outside интерфейс(на направление input) на весь поток ip/tcp то новая политика срабатывает, но тогда неизвестно как выделить WWW трафик (т.к. ACL настраивается на destination port, а он для исходящего потока заранее неизвестен.

Исходное сообщение
"QoS Policy на Cisco ASA" Отправлено dimaonline, 08-Июн-09 15:29
Всезнающий ALL ! Вопрос: Как прикрутить ограничение по скорости к WWW к группе компьютеров ? Изучил "Configuring Service Policy Rules" & "Configuring QoS". Пытаюсь прикрутить на DMZ2 (т.к. нужно ограничить трафик в сторону хостов сети DMZ2, то делаю ограничение на output): access-list DMZ2_mpc extended permit tcp any any eq www class-map DMZ2-class match access-list DMZ2_mpc policy-map DMZ2-policy class DMZ2-class police output 32000 1500 service-policy DMZ2-policy interface DMZ2 Для интерфейса DMZ2 HTTP-трафик является входящим(получаются запросы) и порт TCP 80 - destination port. Но политика не срабатывает(скорость не ограничивается): show service-policy police Interface outside: Service-policy: outside-policy-dmz2 Class-map: outside-class-dmz2 Input police Interface outside: cir 32000 bps, bc 1500 bytes conformed 3 packets, 170 bytes; actions: transmit exceeded 0 packets, 0 bytes; actions: drop conformed 320 bps, exceed 0 bps Если же поставить входящую политику на outside интерфейс(на направление input) на весь поток ip/tcp то новая политика срабатывает, но тогда неизвестно как выделить WWW трафик (т.к. ACL настраивается на destination port, а он для исходящего потока заранее неизвестен.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Всезнающий ALL !

> Вопрос: Как прикрутить ограничение по скорости к WWW к группе компьютеров ?

> Изучил "Configuring Service Policy Rules" & "Configuring QoS".
> Пытаюсь прикрутить на DMZ2 (т.к. нужно ограничить трафик в сторону хостов сети 
> DMZ2, то делаю ограничение на output):

> access-list DMZ2_mpc extended permit tcp any any eq www 
> class-map DMZ2-class 
>  match access-list DMZ2_mpc 
> policy-map DMZ2-policy 
>  class DMZ2-class 
>   police output 32000 1500 
> service-policy DMZ2-policy interface DMZ2

> Для интерфейса DMZ2 HTTP-трафик является входящим(получаются запросы) и порт TCP 80 - 
> destination port. Но политика не срабатывает(скорость не ограничивается):

> show service-policy police

> Interface outside: 
>   Service-policy: outside-policy-dmz2 
>     Class-map: outside-class-dmz2 
>       Input police Interface outside: 
>         cir 32000 bps, bc 
> 1500 bytes 
>         conformed 3 packets, 170 
> bytes; actions:  transmit 
>         exceeded 0 packets, 0 
> bytes; actions:  drop 
>         conformed 320 bps, exceed 
> 0 bps

> Если же поставить входящую политику на outside интерфейс(на направление input) на весь 
> поток ip/tcp то новая политика срабатывает, но тогда неизвестно как выделить 
> WWW трафик (т.к. ACL настраивается на destination port, а он для 
> исходящего потока заранее неизвестен.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру