Здравствуйте.
Имеется циска 2811 с двумя FastEthernet интерфейсами, fa0/0 смотрит - в локальную сеть, а fa0/1 в интернет.
мне необходимо настроить ограничение на исходящий траффик для определенных ip из локальной сети.
Я делаю так:
access-list 2000 permit ip host 10.10.10.5 anyinterface fa0/1
traffic-shape group 2000 800000Но почему то трафик не шейпиться. По идее это исходящий трафик для интерфейса все должно работать.
У меня одна догадка - что трафик исходящий из локальной сети не подпадает по accces-list
поскольку он выходит через fa0/1 уже после nat с внешним адресом маршрутизатора.
Кто-нибудь сталкивался с подобной проблемой?
Заранее спасибо.
> У меня одна догадка - что трафик исходящий из локальной сети
> не подпадает по accces-list
> поскольку он выходит через fa0/1 уже после nat с внешним адресом маршрутизатора.У вас правильная догадка. Работайте в ACL с post-NAT адресами, будет вам шейп на выход.
А можно поподробнее?
Я так понимаю что post-NAT - в моем случае один - поскольку на интерфейсе у меня один белый ip.
А мне бы хотелось ограничивать по скорости определенные ip из локальной сети, для одно - одна пропускная способность для второго другая...
Или под post-NAT имелось ввиду что то другое?
> Я так понимаю что post-NAT - в моем случае один - поскольку
> на интерфейсе у меня один белый ip.Вы всё верно понимаете
> А мне бы хотелось ограничивать по скорости определенные ip из локальной сети,
Вообще, подобная тема поднимается достаточно регулярно, почитайте, например:
http://certification.ru/cgi-bin/forum.cgi?archive=1&action=t...
Вам нужно именно шейпить или можно и полисить?
если можно полисить, то конструкция следующего вида я думаю подойдетaccess-list 101 permit ip host 10.1.1.1 any
class-map match-all 2mbit/s
match access-list 101policy-map 2mbit/s
class 2mbit/s
police 2048000
int fa0/0
service-policy input 2mbit/s