https://www.opennet.ru/openforum/vsluhforumID6/19653.html Всем привет!!!<br><br>Есть cisco 871<br>Есть пользователи подключенные по VPN<br>Цель: зарезать скорость на каждое VPN - подключение, т.е. чтоб каждый пользователь имел<br>на вход и на выход допустим 1 мбит/с., если не трудно, то можно для определенной группы<br>2 мбита/с., а для другой 1 мбит/с.<br><br>Не могу понять работает ли "traffic-shape group 1 1024000 25600 25600 1000" нужно ли это?<br>Или нужно делать по другому?<br><br>Кусок из конфига.<br>Всем СПАСИБО заранее!<br>..........<br>vpdn enable<br>!<br>vpdn-group abon1<br>! Default PPTP VPDN group<br> accept-dialin<br> protocol pptp<br> virtual-template 1<br>..........<br>!<br>interface FastEthernet4<br> ip address dhcp<br> ip nat outside<br>!<br>interface Virtual-Template1 <br> ip address 192.168.192.1 255.255.255.0<br> ip nat inside<br> peer default ip address pool vpn_pool<br> traffic-shape group 1 1024000 25600 25600 1000<br> ppp encrypt mppe auto<br> ppp authentication ms-chap-v2<br>!<br>interface Vlan1<br> ip address 10.104.31.131 255.255.255.0<br> ip nat inside<br>!<br>ip local pool vpn_pool 192.168.192.100 192.168.192.2 https://www.opennet.ru/openforum/vsluhforumID6/19653.html#4 Sun, 27 Sep 2009 19:11:00 GMT Похоже что Андрей скопировал с конфига, где есть сложные листы, и обрезал их до пермит_эни_то_эни. Вы можете расширить эти списки под свои задачи. Главная идея - можно применить несколько шейперов на один интерфейс, а трафик выбрать списками доступа.<br><br>Что касается выбора между traffic-shape и rate-limit, то это разные механизмы.<br>traffic-shape превышающий трафик складывает в буфер, и потом идет отправка с буфера.<br>Если трафика много, буфер может переполнится и будут дропы.<br><br>rate-limit при exceed-action drop сразу дропает сверх лимита. А в протоколе tcp заложен механизм снижения скорости при появлении дропов. При этом передача по tcp "подстраивается" под шейп.<br><br>Так что если шейперов на железке 1-2, то можете применить traffic-shape. Обычно это делается на клиентском оборудовании. Если шейпить надо много и скорости приличные (частая потребность на стороне оператора) - лучше rate-limit, загрузка будет меньше.<br> https://www.opennet.ru/openforum/vsluhforumID6/19653.html#3 Fri, 25 Sep 2009 18:26:31 GMT &gt;[оверквотинг удален]<br>&gt; exceeded 3210 packets, 184395 bytes; action: <br>&gt;drop <br>&gt; last packet: 1149595396ms ago, current burst: <br>&gt;0 bytes <br>&gt; last cleared 14w0d ago, conformed 0 <br>&gt;bps, exceeded 0 bps <br>&gt;<br>&gt;ну либо смотрить сам акцесс лист <br>&gt;<br>&gt;sm-c3660#sh access-list 100 <br><br>Только я не понимаю зачем два access-list'а? Можно и один обойтись<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/19653.html#2 Wed, 23 Sep 2009 08:16:11 GMT &gt;H E L P <br><br>Лучше тогда через rate-limit<br><br><br>sm-c3660(config-if)#rate-limit input access-group 100 500000 62500 62500 conform-action transmit exceed-action drop<br>sm-c3660(config-if)#rate-limit input access-group 101 2010000 250000 250000 conform-action transmit exceed-action drop<br>!<br>sm-c3660(config)#access-list 100 permit ip any any<br>sm-c3660(config)#access-list 101 permit ip any any<br><br><br>А посмотреть так:<br><br>sm-c3660#sh int tu 122 rate-limit<br>Tunnel122 crypto tunnel sm<br> Input<br> matches: access-group 199<br> params: 8000 bps, 1600 limit, 2000 extended limit<br> conformed 23741 packets, 1994692 bytes; action: transmit<br> exceeded 3210 packets, 184395 bytes; action: drop<br> last packet: 1149595396ms ago, current burst: 0 bytes<br> last cleared 14w0d ago, conformed 0 bps, exceeded 0 bps<br><br>ну либо смотрить сам акцесс лист<br><br>sm-c3660#sh access-list 100<br> https://www.opennet.ru/openforum/vsluhforumID6/19653.html#1 Wed, 23 Sep 2009 00:41:20 GMT H E L P<br>