Добрый день! Помогите разобраться с проблемой.
версия ИОС - 12.4(15)T
сама цицка - 1811
задача - ограничить входящий и исходящий трафик для определенных протоколов.

цицка в локальной сети, к одному из switch-портов подключен тестовый комп. На цицке поднят НАТ.

Конфиг "WAN" интерфейса: (WAN в кавычках, потому что на самом деле этот интерфейс смотрит в локальную сеть.)

interface FastEthernet0
ip address 192.168.0.242 255.255.255.0
ip nat outside
ip virtual-reassembly
rate-limit input access-group 101 128000 64000 64000 conform-action transmit ex
ceed-action drop
rate-limit output access-group 101 128000 64000 64000 conform-action transmit e
xceed-action drop
no ip route-cache cef
no ip route-cache
duplex auto
speed auto

Т.е. по идее, трафик для группы 101 должен быть в районе 128кб/с.

Если аксес-лист у нас такой:
acc 101 perm ip any any

то трафик шейпается как положено. Теперь хотим ограничить конкретный протокол, например, FTP:

acc 101 perm tcp any any eq ftp-data

и начинаются странные вещи!
Трафик шейпается, но очень странно - при закачке с локального FTP сервера (который для цицки видится как внешний), скорость без шейпа - 10000Кб/с. С шейпом - 700/800 Кб/с, вместо 15Кб/с.

Где же порылась собака и в чем проблема???
Заранее спасибо!

• rate-limit и assecc-list`ы,stanru1, 18:44 , 24-Авг-07
• rate-limit и assecc-list`ы,alxl, 23:41 , 24-Авг-07
  • rate-limit и assecc-list`ы,stanru1, 12:52 , 03-Сен-07
• rate-limit и assecc-list`ы,stanru1, 13:58 , 06-Сен-07
  • rate-limit и assecc-list`ы,alk, 14:19 , 06-Сен-07

Пытался следующим образом поступить:
acc 101 deny tcp any any eq www
acc 101 perm ip any any

и хотя были "матчи" в статистике аксес-листа, трафик шейпался опять весь :(

>[оверквотинг удален]
>
>acc 101 perm tcp any any eq ftp-data
>
>и начинаются странные вещи!
>Трафик шейпается, но очень странно - при закачке с локального FTP сервера
>(который для цицки видится как внешний), скорость без шейпа - 10000Кб/с.
>С шейпом - 700/800 Кб/с, вместо 15Кб/с.
>
>Где же порылась собака и в чем проблема???
>Заранее спасибо!

по первых обычно:

burst=speed/8*1.5
maxburst=2*burst

во вторых вороятно используется passive mode для ftp, тоесть 20 порт не мэтчится, попробуй замэтчить порты >1023, но так и остальное попадёт под лист..

access-list 101 permit tcp any any eq ftp-data
access-list 101 permit tcp any any ge 1023

вопрос, а зачем отключен cef?

>по первых обычно:
>
>burst=speed/8*1.5
>maxburst=2*burst

Спасибо, это я уже исправил - безрезультатно.

>во вторых вороятно используется passive mode для ftp, тоесть 20 порт не мэтчится, попробуй замэтчить порты >1023, но так и остальное попадёт под лист..

Используется актив мод, я это проверил пару раз. Даже если это пассив мод, почему не работает такая конструкция (для шейпа всего, кроме www)

acc 101 den tcp any any eq www
acc 101 perm ip any any

точнее, работает, но шейпается все. sh access-l 101 показывает матчи на первое правило.

>вопрос, а зачем отключен cef?

я новичок в настройке cisco, поэтому в основном пользуюсь поиском и интернетом для решения проблем. Прежде, чем написать в форум, облазил много всего. В некоторых местах советуют cef отключать, ибо при включенном cef может шейп не работать совсем ;)

Так как же все-таки поступить, неужели никто не сталкивался с подобной проблемой? :((

>Так как же все-таки поступить, неужели никто не сталкивался с подобной проблемой?
>:((

Попробуй лучше юзать Policy-map
чтонить типа вроде

class-map match-any alex_out
match access-group 120
class-map match-any alex_in
match access-group 121

policy-map alex_policy_in
class alex_in
  police cir 100000 bc 500
    exceed-action drop
policy-map alex_policy_out
class alex_out
  police cir 100000 bc 500
    exceed-action drop

interface xxx
service-policy input alex_policy_in
service-policy output alex_policy_out

access-list 120 permit ip any to destination IP port
access-list 121 permit ip source IP port any