forum.opennet.ru - "rate-limit и assecc-list`ы" (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"rate-limit и assecc-list`ы"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"rate-limit и assecc-list`ы"
Сообщение от stanru1 on 24-Авг-07, 18:22
Добрый день! Помогите разобраться с проблемой. версия ИОС - 12.4(15)T сама цицка - 1811 задача - ограничить входящий и исходящий трафик для определенных протоколов. цицка в локальной сети, к одному из switch-портов подключен тестовый комп. На цицке поднят НАТ. Конфиг "WAN" интерфейса: (WAN в кавычках, потому что на самом деле этот интерфейс смотрит в локальную сеть.) interface FastEthernet0 ip address 192.168.0.242 255.255.255.0 ip nat outside ip virtual-reassembly rate-limit input access-group 101 128000 64000 64000 conform-action transmit ex ceed-action drop rate-limit output access-group 101 128000 64000 64000 conform-action transmit e xceed-action drop no ip route-cache cef no ip route-cache duplex auto speed auto Т.е. по идее, трафик для группы 101 должен быть в районе 128кб/с. Если аксес-лист у нас такой: acc 101 perm ip any any то трафик шейпается как положено. Теперь хотим ограничить конкретный протокол, например, FTP: acc 101 perm tcp any any eq ftp-data и начинаются странные вещи! Трафик шейпается, но очень странно - при закачке с локального FTP сервера (который для цицки видится как внешний), скорость без шейпа - 10000Кб/с. С шейпом - 700/800 Кб/с, вместо 15Кб/с. Где же порылась собака и в чем проблема??? Заранее спасибо!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

rate-limit и assecc-list`ы, stanru1, 18:44 , 24-Авг-07, (1)
rate-limit и assecc-list`ы, alxl, 23:41 , 24-Авг-07, (2)

rate-limit и assecc-list`ы, stanru1, 12:52 , 03-Сен-07, (3)

rate-limit и assecc-list`ы, stanru1, 13:58 , 06-Сен-07, (4)

rate-limit и assecc-list`ы, alk, 14:19 , 06-Сен-07, (5)

Сообщения по теме [Сортировка по времени, UBB]

1. "rate-limit и assecc-list`ы"

Сообщение от stanru1 on 24-Авг-07, 18:44

Пытался следующим образом поступить:
acc 101 deny tcp any any eq www
acc 101 perm ip any any
и хотя были "матчи" в статистике аксес-листа, трафик шейпался опять весь :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "rate-limit и assecc-list`ы"

Сообщение от alxl (??) on 24-Авг-07, 23:41

>[оверквотинг удален]
>
>acc 101 perm tcp any any eq ftp-data
>
>и начинаются странные вещи!
>Трафик шейпается, но очень странно - при закачке с локального FTP сервера
>(который для цицки видится как внешний), скорость без шейпа - 10000Кб/с.
>С шейпом - 700/800 Кб/с, вместо 15Кб/с.
>
>Где же порылась собака и в чем проблема???
>Заранее спасибо!
по первых обычно:
burst=speed/8*1.5
maxburst=2*burst

во вторых вороятно используется passive mode для ftp, тоесть 20 порт не мэтчится, попробуй замэтчить порты >1023, но так и остальное попадёт под лист..
access-list 101 permit tcp any any eq ftp-data
access-list 101 permit tcp any any ge 1023
вопрос, а зачем отключен cef?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "rate-limit и assecc-list`ы"

Сообщение от stanru1 on 03-Сен-07, 12:52

>по первых обычно:
>
>burst=speed/8*1.5
>maxburst=2*burst
Спасибо, это я уже исправил - безрезультатно.
>во вторых вороятно используется passive mode для ftp, тоесть 20 порт не мэтчится, попробуй замэтчить порты >1023, но так и остальное попадёт под лист..
Используется актив мод, я это проверил пару раз. Даже если это пассив мод, почему не работает такая конструкция (для шейпа всего, кроме www)
acc 101 den tcp any any eq www
acc 101 perm ip any any
точнее, работает, но шейпается все. sh access-l 101 показывает матчи на первое правило.
>вопрос, а зачем отключен cef?
я новичок в настройке cisco, поэтому в основном пользуюсь поиском и интернетом для решения проблем. Прежде, чем написать в форум, облазил много всего. В некоторых местах советуют cef отключать, ибо при включенном cef может шейп не работать совсем ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "rate-limit и assecc-list`ы"

Сообщение от stanru1 on 06-Сен-07, 13:58

Так как же все-таки поступить, неужели никто не сталкивался с подобной проблемой? :((

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "rate-limit и assecc-list`ы"

Сообщение от alk (??) on 06-Сен-07, 14:19

>Так как же все-таки поступить, неужели никто не сталкивался с подобной проблемой?
>:((
Попробуй лучше юзать Policy-map
чтонить типа вроде
class-map match-any alex_out
match access-group 120
class-map match-any alex_in
match access-group 121
policy-map alex_policy_in
class alex_in
  police cir 100000 bc 500
    exceed-action drop
policy-map alex_policy_out
class alex_out
  police cir 100000 bc 500
    exceed-action drop
interface xxx
service-policy input alex_policy_in
service-policy output alex_policy_out

access-list 120 permit ip any to destination IP port
access-list 121 permit ip source IP port any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "rate-limit и assecc-list`ы"
Сообщение от stanru1 on 24-Авг-07, 18:44
Пытался следующим образом поступить: acc 101 deny tcp any any eq www acc 101 perm ip any any и хотя были "матчи" в статистике аксес-листа, трафик шейпался опять весь :(
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "rate-limit и assecc-list`ы"
Сообщение от alxl (??) on 24-Авг-07, 23:41
>[оверквотинг удален] > >acc 101 perm tcp any any eq ftp-data > >и начинаются странные вещи! >Трафик шейпается, но очень странно - при закачке с локального FTP сервера >(который для цицки видится как внешний), скорость без шейпа - 10000Кб/с. >С шейпом - 700/800 Кб/с, вместо 15Кб/с. > >Где же порылась собака и в чем проблема??? >Заранее спасибо! по первых обычно: burst=speed/81.5 maxburst=2burst во вторых вороятно используется passive mode для ftp, тоесть 20 порт не мэтчится, попробуй замэтчить порты >1023, но так и остальное попадёт под лист.. access-list 101 permit tcp any any eq ftp-data access-list 101 permit tcp any any ge 1023 вопрос, а зачем отключен cef?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "rate-limit и assecc-list`ы"
	Сообщение от stanru1 on 03-Сен-07, 12:52
	>по первых обычно: > >burst=speed/81.5 >maxburst=2burst Спасибо, это я уже исправил - безрезультатно. >во вторых вороятно используется passive mode для ftp, тоесть 20 порт не мэтчится, попробуй замэтчить порты >1023, но так и остальное попадёт под лист.. Используется актив мод, я это проверил пару раз. Даже если это пассив мод, почему не работает такая конструкция (для шейпа всего, кроме www) acc 101 den tcp any any eq www acc 101 perm ip any any точнее, работает, но шейпается все. sh access-l 101 показывает матчи на первое правило. >вопрос, а зачем отключен cef? я новичок в настройке cisco, поэтому в основном пользуюсь поиском и интернетом для решения проблем. Прежде, чем написать в форум, облазил много всего. В некоторых местах советуют cef отключать, ибо при включенном cef может шейп не работать совсем ;)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "rate-limit и assecc-list`ы"
Сообщение от stanru1 on 06-Сен-07, 13:58
Так как же все-таки поступить, неужели никто не сталкивался с подобной проблемой? :((
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "rate-limit и assecc-list`ы"
	Сообщение от alk (??) on 06-Сен-07, 14:19
	>Так как же все-таки поступить, неужели никто не сталкивался с подобной проблемой? >:(( Попробуй лучше юзать Policy-map чтонить типа вроде class-map match-any alex_out match access-group 120 class-map match-any alex_in match access-group 121 policy-map alex_policy_in class alex_in police cir 100000 bc 500 exceed-action drop policy-map alex_policy_out class alex_out police cir 100000 bc 500 exceed-action drop interface xxx service-policy input alex_policy_in service-policy output alex_policy_out access-list 120 permit ip any to destination IP port access-list 121 permit ip source IP port any
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]