Добрый день! Есть задача:ограничить нескольким подсетям канал в интернет. Ограничение должно быть на каждый хост в подсети.Сейчас сделал так:
ip access-list extended userpc2
permit ip any host 192.168.0.2
deny any any
ip access-list extended userpc3
permit ip any host 192.168.0.3
deny any any
ip access-list extended userpc4
permit ip any host 192.168.0.4
deny any any
ip access-list extended userpc5
permit ip any host 192.168.0.5
deny any any
ip access-list extended userpc6
permit ip any host 192.168.0.6
deny any any
ip access-list extended userpc7
permit ip any host 192.168.0.7
deny any any
ip access-list extended userpc8
permit ip any host 192.168.0.8
deny any any
ip access-list extended userpc9
permit ip any host 192.168.0.9
deny any anyclass-map match-all userpc2
match access-group name userpc2
class-map match-all userpc3
match access-group name userpc3
class-map match-all userpc4
match access-group name userpc4
class-map match-all userpc5
match access-group name userpc5
class-map match-all userpc6
match access-group name userpc6
class-map match-all userpc7
match access-group name userpc7
class-map match-all userpc8
match access-group name userpc8
class-map match-all userpc9
match access-group name userpc9policy-map users
class userpc2
police 10240000 1920000 3840000 conform-action transmit
class userpc3
police 10240000 1920000 3840000 conform-action transmit
class userpc4
police 10240000 1920000 3840000 conform-action transmit
class userpc5
police 10240000 1920000 3840000 conform-action transmit
class userpc6
police 10240000 1920000 3840000 conform-action transmit
class userpc7
police 10240000 1920000 3840000 conform-action transmit
class userpc8
police 10240000 1920000 3840000 conform-action transmit
class userpc9
police 10240000 1920000 3840000 conform-action transmit
class class-default
bandwidth 50000но это для 8 хостов, а их предполагается несколько сотен. Конфиг будет великоват. Оборудование с2821, текущая нагрузка около 40-60 процентов по процу. Или что можно поставить для прозрачного ограничения трафика.
>[оверквотинг удален]
> police 10240000 1920000 3840000 conform-action transmit
> class userpc8
> police 10240000 1920000 3840000 conform-action transmit
> class userpc9
> police 10240000 1920000 3840000 conform-action transmit
> class class-default
> bandwidth 50000
> но это для 8 хостов, а их предполагается несколько сотен. Конфиг будет
> великоват. Оборудование с2821, текущая нагрузка около 40-60 процентов по процу. Или
> что можно поставить для прозрачного ограничения трафика.Если обязательно на каждый хост отдельно и нет возможности резать на доступе, то тогда только так.
> Если обязательно на каждый хост отдельно и нет возможности резать на доступе,
> то тогда только так.на доступе резать - на уровне шлюза для подсети?
>> Если обязательно на каждый хост отдельно и нет возможности резать на доступе,
>> то тогда только так.
> на доступе резать - на уровне шлюза для подсети?На коммутаторе, куда хост включен.
> Если обязательно на каждый хост отдельно и нет возможности резать на доступе,
> то тогда только так.А если нужно просто "каждому - N килобит (и всем одинаково)" - есть возможность сократить конфиги маршрутизатора?
>> Если обязательно на каждый хост отдельно и нет возможности резать на доступе,
>> то тогда только так.
> А если нужно просто "каждому - N килобит (и всем одинаково)" -
> есть возможность сократить конфиги маршрутизатора?Нет, каждый класс - отдельное "ведерко".
Можно короче сделать если на интерфейсе rate-limit использовать.Можно персонально резать на уровне виртуальных интерфейсах при использовании PPTP/PPPoE/L2TP.
UBRL, SCE, Тазик с шейпером на ваш вкус.
Если сможете, то можно и коммутатором на доступе.
> UBRL, SCEТут уровень не тот, всего-лишь 28 циска.
>> UBRL, SCE
> Тут уровень не тот, всего-лишь 28 циска.а 2851 потянет ограничения для 3000 адресов?
>>> UBRL, SCE
>> Тут уровень не тот, всего-лишь 28 циска.
> а 2851 потянет ограничения для 3000 адресов?Вряд-ли.
С таким количеством хостов нужно смотреть на что-нибудь помощнее, ASR1001 например.
Ну или сервер с FreeBSD/Linux.
>>>> UBRL, SCE
>>> Тут уровень не тот, всего-лишь 28 циска.
>> а 2851 потянет ограничения для 3000 адресов?
> Вряд-ли.
> С таким количеством хостов нужно смотреть на что-нибудь помощнее, ASR1001 например.
> Ну или сервер с FreeBSD/Linux.Хостов порядка 200, но так как адреса выделяются динамически, то необходимо охватить все адреса.
>>>>> UBRL, SCE
>>>> Тут уровень не тот, всего-лишь 28 циска.
>>> а 2851 потянет ограничения для 3000 адресов?
>> Вряд-ли.
>> С таким количеством хостов нужно смотреть на что-нибудь помощнее, ASR1001 например.
>> Ну или сервер с FreeBSD/Linux.
> Хостов порядка 200, но так как адреса выделяются динамически, то необходимо охватить
> все адреса.Правильно продумайте дизайн сети и будет вам счастье.
У вас что на 200 хостов один 21 префикс и хосты постоянно получают разные адреса?
Продумайте нормально сегментирование, адресацию и DHCP, и не надо вам будет 3000 классов прописывать.