Всем привет!!!

Есть cisco 871
Есть пользователи подключенные по VPN
Цель: зарезать скорость на каждое VPN - подключение, т.е. чтоб каждый пользователь имел
на вход и на выход допустим 1 мбит/с., если не трудно, то можно для определенной группы
2 мбита/с., а для другой 1 мбит/с.

Не могу понять работает ли "traffic-shape group 1 1024000 25600 25600 1000" нужно ли это?
Или нужно делать по другому?

Кусок из конфига.
Всем СПАСИБО заранее!
..........
vpdn enable
!
vpdn-group abon1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
..........
!
interface FastEthernet4
ip address dhcp
ip nat outside
!
interface Virtual-Template1
ip address 192.168.192.1 255.255.255.0
ip nat inside
peer default ip address pool vpn_pool
traffic-shape group 1 1024000 25600 25600 1000
ppp encrypt mppe auto
ppp authentication ms-chap-v2
!
interface Vlan1
ip address 10.104.31.131 255.255.255.0
ip nat inside
!
ip local pool vpn_pool 192.168.192.100 192.168.192.200
..........
access-list 1 permit any
..........

• traffic-shape или rate-limit ???,TARANTINO, 04:41 , 23-Сен-09
  • traffic-shape или rate-limit ???,silvercaptain, 12:16 , 23-Сен-09
    • traffic-shape или rate-limit ???,Роман, 22:26 , 25-Сен-09
      • traffic-shape или rate-limit ???,Vladin, 23:11 , 27-Сен-09

H E L P

>H E L P

Лучше тогда через rate-limit

sm-c3660(config-if)#rate-limit input access-group 100 500000 62500 62500 conform-action transmit exceed-action drop
sm-c3660(config-if)#rate-limit input access-group 101 2010000 250000 250000 conform-action transmit exceed-action drop
!
sm-c3660(config)#access-list 100 permit ip any any
sm-c3660(config)#access-list 101 permit ip any any

А посмотреть так:

sm-c3660#sh int tu 122 rate-limit
Tunnel122 crypto tunnel sm
  Input
    matches: access-group 199
      params:  8000 bps, 1600 limit, 2000 extended limit
      conformed 23741 packets, 1994692 bytes; action: transmit
      exceeded 3210 packets, 184395 bytes; action: drop
      last packet: 1149595396ms ago, current burst: 0 bytes
      last cleared 14w0d ago, conformed 0 bps, exceeded 0 bps

ну либо смотрить сам акцесс лист

sm-c3660#sh access-list 100

>[оверквотинг удален]
>      exceeded 3210 packets, 184395 bytes; action:
>drop
>      last packet: 1149595396ms ago, current burst:
>0 bytes
>      last cleared 14w0d ago, conformed 0
>bps, exceeded 0 bps
>
>ну либо смотрить сам акцесс лист
>
>sm-c3660#sh access-list 100

Только я не понимаю зачем два access-list'а? Можно и один обойтись

Похоже что Андрей скопировал с конфига, где есть сложные листы, и обрезал их до пермит_эни_то_эни. Вы можете расширить эти списки под свои задачи. Главная идея - можно применить несколько шейперов на один интерфейс, а трафик выбрать списками доступа.

Что касается выбора между traffic-shape и rate-limit, то это разные механизмы.
traffic-shape превышающий трафик складывает в буфер, и потом идет отправка с буфера.
Если трафика много, буфер может переполнится и будут дропы.

rate-limit при exceed-action drop сразу дропает сверх лимита. А в протоколе tcp заложен механизм снижения скорости при появлении дропов. При этом передача по tcp "подстраивается" под шейп.

Так что если шейперов на железке 1-2, то можете применить traffic-shape. Обычно это делается на клиентском оборудовании. Если шейпить надо много и скорости приличные (частая потребность на стороне оператора) - лучше rate-limit, загрузка будет меньше.