https://www.opennet.ru/openforum/vsluhforumID6/22314.html Здравствуйте, имеется cisco 2811, IOS C2800NM-ADVIPSERVICESK9-M 12.4.<br>Есть 2 интерфейса: один смотрит в локальную сеть клиентов а второй в интернет соответственно. Локальная сеть допустим одна - 192.168.1.0/24.<br>Необходимо настроить ограничение на входящий и исходящий трафик для клиентов локальной сети.<br> Тоесть чтобы с каждого ip адреса можно было скачивать и отдавать не быстрее чем 1Мбит/c скажем.<br> Конечно есть одно некрасивое решение создать policy на каждом из интерфейсов с требуемым shape, а затем создать 250 access листов. Работать будет, но это не то что хотелось бы.<br>Может быть кто-нибудь знает? Заранее спасибо.<br> https://www.opennet.ru/openforum/vsluhforumID6/22314.html#8 Fri, 04 Mar 2011 06:14:46 GMT &gt;[оверквотинг удален]<br>&gt;&gt; мегабита <br>&gt;&gt; и каждый ip попавший в access-list будет резаться данным шейпером - в <br>&gt;&gt; итоге каждый ip не получит свыше 1 мегабита <br>&gt;&gt; и естественно что полоса будет делиться на всех - т.к. все будут <br>&gt;&gt; ломиться в этот канал - а вы ограничиваете сверху скорость <br>&gt; этот конфиг для сабинтерфейсов с сетями /30 из общей сетки 192.168.0.0 <br>&gt; Все работает, что хоть вы.<br>&gt; "Локалка" - сегментирована просто. Я ж указал, что сабинтерф. там не один. <br>&gt; При схеме с одним шлюзом шейпить придется по IP. Или умный acl <br>&gt; придумать.<br><br>т.е. у вас каждый IP в отдельном vlan! :) <br>Мелочи жизни - сбацать 200 vlan-ов...<br>Уж лучше policy на 200 правил наверное...<br> https://www.opennet.ru/openforum/vsluhforumID6/22314.html#7 Thu, 03 Mar 2011 12:42:52 GMT &gt; вы не понял - вы в шейпере укажите резать скорость до 1 <br>&gt; мегабита <br>&gt; и каждый ip попавший в access-list будет резаться данным шейпером - в <br>&gt; итоге каждый ip не получит свыше 1 мегабита <br>&gt; и естественно что полоса будет делиться на всех - т.к. все будут <br>&gt; ломиться в этот канал - а вы ограничиваете сверху скорость <br><br>этот конфиг для сабинтерфейсов с сетями /30 из общей сетки 192.168.0.0<br>Все работает, что хоть вы.<br>"Локалка" - сегментирована просто. Я ж указал, что сабинтерф. там не один.<br>При схеме с одним шлюзом шейпить придется по IP. Или умный acl придумать.<br> https://www.opennet.ru/openforum/vsluhforumID6/22314.html#6 Thu, 03 Mar 2011 12:21:05 GMT вы не понял - вы в шейпере укажите резать скорость до 1 мегабита<br>и каждый ip попавший в access-list будет резаться данным шейпером - в итоге каждый ip не получит свыше 1 мегабита<br><br>и естественно что полоса будет делиться на всех - т.к. все будут ломиться в этот канал - а вы ограничиваете сверху скорость<br> https://www.opennet.ru/openforum/vsluhforumID6/22314.html#5 Thu, 03 Mar 2011 12:11:05 GMT Да вот в том то и дело, если привязать этот 2-х мегабитный policy к интерфейсу и сделать один access-list то 2Мегабита будет делиться на всех.<br>А вот нужно чтобы на каждый ip было.<br> https://www.opennet.ru/openforum/vsluhforumID6/22314.html#4 Thu, 03 Mar 2011 11:44:23 GMT &gt; Вопрос (насколько я понял) был perIP, т.е. КАЖДЫЙ ип должен получить по <br>&gt; метру, <br>&gt; В приведенном примере - 1M На всех! или я ошибаюсь?<br><br>нет<br><br>interface FastEthernet0/1.1131<br>....<br>и т.д.<br><br>Это локальные сабинтерф. из сети 192.168.0.0 Их много.<br>Хост(из 192.168) - хост(из 192.168) будет неограничено<br>Хост(из 192.168) - инет будет 1Мбит<br><br>Если брать случай с 1 интерфейсом, то аналогично все будет.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/22314.html#3 Thu, 03 Mar 2011 11:38:44 GMT &gt;[оверквотинг удален]<br>&gt; !<br>&gt; interface FastEthernet0/1.1131 <br>&gt; service-policy output out-inet <br>&gt; !<br>&gt; access-list 100 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 <br>&gt; access-list 100 permit ip any 192.168.0.0 0.0.255.255 <br>&gt; 192.168.0.0 / 16 - локалка <br>&gt; Интернет на роутер прилетает статикой.<br>&gt; И получилось, что локалка у людей толстая, а инет = 1Мбит/с <br>&gt; Внутренний трафик зачем резать? Не жадничайте ;) <br><br>Вопрос (насколько я понял) был perIP, т.е. КАЖДЫЙ ип должен получить по метру,<br>В приведенном примере - 1M На всех! или я ошибаюсь?<br><br> https://www.opennet.ru/openforum/vsluhforumID6/22314.html#2 Thu, 03 Mar 2011 10:49:11 GMT +1 за красивый конфиг<br><br>Например у меня так:<br>--------------------<br>class-map match-all 1M_inet<br> match access-group 100<br>!<br>!<br>policy-map out-inet<br> class 1M_inet<br> shape average 1024000<br>!<br>interface FastEthernet0/1.1130<br>service-policy output out-inet<br>!<br>interface FastEthernet0/1.1131<br>service-policy output out-inet<br>!<br><br>access-list 100 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255<br>access-list 100 permit ip any 192.168.0.0 0.0.255.255<br><br>192.168.0.0 / 16 - локалка<br>Интернет на роутер прилетает статикой.<br>И получилось, что локалка у людей толстая, а инет = 1Мбит/с<br><br>Внутренний трафик зачем резать? Не жадничайте ;)<br> https://www.opennet.ru/openforum/vsluhforumID6/22314.html#1 Thu, 03 Mar 2011 10:39:14 GMT хм, а зачем создавать 250 то листов?<br><br>написать нужно всего 1 access-list для этого случая<br>access-list 100 permit 192.168.1.0 0.255.255.255 #что-то в этом духе<br>создашь свою полиси 1 штуку и там пропишешь shape. Ну и повесишь полиси на интерфейс.<br><br>и всё.<br><br><br>Все ip адреса которые будут подпадать под правило &#8470;100 будут резаться.<br>