Добрый день.
Посоветуйте.
С3825.
Необходимо резать скорость для аббонентов.
авторизация IP+MAC. т.е на циску приходят просто голые ip.
понятно как это делать.
не понятно: для каждого пользователя мне придеться, что ли свой ACL создавать?
Кто - нибудь делал?
Можно ли как в ipfw маской?
Cisco шейпер
-
Chrst
- Сообщения: 370
- Зарегистрирован: Пт май 11, 2007 09:28
- Откуда: Медиахолдинг "ЛеККС"
- Контактная информация:
Re: Cisco шейпер
Может не совсем то, да и зверь немного другой uBR7111E.Renaissance87 писал(а):Добрый день.
Посоветуйте.
С3825.
Необходимо резать скорость для аббонентов.
авторизация IP+MAC. т.е на циску приходят просто голые ip.
понятно как это делать.
не понятно: для каждого пользователя мне придеться, что ли свой ACL создавать?
Кто - нибудь делал?
Можно ли как в ipfw маской?
У себя решал так. Traffic-shape очень сильно грузит кошку. Ограничение скорости сделано посредством rate-limit на виртуальном интерфейсе при установлении сессии PPPoE. Параметры ограничения скорости передаются через RADIUS атрибуты(определены в тарифном плане).
На кошке создается два ACL
Код: Выделить всё
access-list 110 permit ip 10.20.4.0 0.0.3.255 10.0.0.0 0.0.0.255
access-list 110 deny ip any any
access-list 111 permit ip 10.0.0.0 0.0.0.255 10.20.4.0 0.0.3.255
access-list 111 deny ip any any
Далее к тарифному плану (услуга передача трафика) привязываются радиус атрибуты
Код: Выделить всё
lcp:interface-config#1=rate-limit input access-group 110 10000000 1250000 2500000 conform-action transmit exceed-action drop
lcp:interface-config#1=rate-limit output access-group 111 10000000 1250000 2500000 conform-action transmit exceed-action drop
и
lcp:interface-config#1=rate-limit input 128000 16000 32000 conform-action transmit exceed-action drop
lcp:interface-config#1=rate-limit output 128000 16000 32000 conform-action transmit exceed-action drop
Особенность. Радиус атрибуты для access-group 110/111 необходимо отправлять первыми.
Отдельные ACL для каждого из пользователей создавать не пришлось
-
Renaissance87
- Сообщения: 58
- Зарегистрирован: Вс май 25, 2008 11:55
-
Renaissance87
- Сообщения: 58
- Зарегистрирован: Вс май 25, 2008 11:55
-
Chrst
- Сообщения: 370
- Зарегистрирован: Пт май 11, 2007 09:28
- Откуда: Медиахолдинг "ЛеККС"
- Контактная информация:
Работает успешно более 3-х месяцев. Причем так реализовано порядка 10 разных ТП с разными ограничениями по скорости.Renaissance87 писал(а):Но мне кажеться, что он всю сеть засунит в 128 Kbits.
Выглядит примерно так
Код: Выделить всё
#sh int virtual-access 5 rate-limit
Virtual-Access5
Input
matches: access-group 110
params: 10000000 bps, 1250000 limit, 2500000 extended limit
conformed 8343 packets, 899974 bytes; action: transmit
exceeded 0 packets, 0 bytes; action: drop
last packet: 1668ms ago, current burst: 0 bytes
last cleared 00:24:11 ago, conformed 4000 bps, exceeded 0 bps
matches: all traffic
params: 128000 bps, 16000 limit, 32000 extended limit
conformed 255 packets, 109354 bytes; action: transmit
exceeded 1 packets, 1502 bytes; action: drop
last packet: 4200ms ago, current burst: 0 bytes
last cleared 00:24:11 ago, conformed 0 bps, exceeded 0 bps
Output
matches: access-group 111
params: 10000000 bps, 1250000 limit, 2500000 extended limit
conformed 11211 packets, 14438244 bytes; action: transmit
exceeded 0 packets, 0 bytes; action: drop
last packet: 1672ms ago, current burst: 0 bytes
last cleared 00:24:11 ago, conformed 79000 bps, exceeded 0 bps
matches: all traffic
params: 128000 bps, 16000 limit, 32000 extended limit
conformed 219 packets, 80314 bytes; action: transmit
exceeded 0 packets, 0 bytes; action: drop
last packet: 4008ms ago, current burst: 0 bytes
last cleared 00:24:11 ago, conformed 0 bps, exceeded 0 bps
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23
-
Chrst
- Сообщения: 370
- Зарегистрирован: Пт май 11, 2007 09:28
- Откуда: Медиахолдинг "ЛеККС"
- Контактная информация:
Ну никто и не говорил "это то что тебе нужно".mikkey finn писал(а):virtual access и radius - это слова из оперы про pppoe/pptp. А у человека в первом посте рассказывается про авторизацию IP+MAC, на циску попадают голые IP без всяких доп оболочек в виде туннелей. Нету там virtual access... И RADIUS нету...
Как вариант. Клиентские IP поделить на подсети. Под каждую подсеть написать свой ACL. К ACL прикрутить rate-limit.
Тем же самым пользуюсь, все хорошо работает. А как ты организовываешь динамическое шейпировние????Chrst писал(а):Работает успешно более 3-х месяцев. Причем так реализовано порядка 10 разных ТП с разными ограничениями по скорости.Renaissance87 писал(а):Но мне кажеться, что он всю сеть засунит в 128 Kbits.
Выглядит примерно такКод: Выделить всё
#sh int virtual-access 5 rate-limit Virtual-Access5 Input matches: access-group 110 params: 10000000 bps, 1250000 limit, 2500000 extended limit conformed 8343 packets, 899974 bytes; action: transmit exceeded 0 packets, 0 bytes; action: drop last packet: 1668ms ago, current burst: 0 bytes last cleared 00:24:11 ago, conformed 4000 bps, exceeded 0 bps matches: all traffic params: 128000 bps, 16000 limit, 32000 extended limit conformed 255 packets, 109354 bytes; action: transmit exceeded 1 packets, 1502 bytes; action: drop last packet: 4200ms ago, current burst: 0 bytes last cleared 00:24:11 ago, conformed 0 bps, exceeded 0 bps Output matches: access-group 111 params: 10000000 bps, 1250000 limit, 2500000 extended limit conformed 11211 packets, 14438244 bytes; action: transmit exceeded 0 packets, 0 bytes; action: drop last packet: 1672ms ago, current burst: 0 bytes last cleared 00:24:11 ago, conformed 79000 bps, exceeded 0 bps matches: all traffic params: 128000 bps, 16000 limit, 32000 extended limit conformed 219 packets, 80314 bytes; action: transmit exceeded 0 packets, 0 bytes; action: drop last packet: 4008ms ago, current burst: 0 bytes last cleared 00:24:11 ago, conformed 0 bps, exceeded 0 bps
Re: Cisco шейпер
Здравствуйте.Chrst писал(а):Может не совсем то, да и зверь немного другой uBR7111E.Renaissance87 писал(а):Добрый день.
Посоветуйте.
С3825.
Необходимо резать скорость для аббонентов.
авторизация IP+MAC. т.е на циску приходят просто голые ip.
понятно как это делать.
не понятно: для каждого пользователя мне придеться, что ли свой ACL создавать?
Кто - нибудь делал?
Можно ли как в ipfw маской?
У себя решал так. Traffic-shape очень сильно грузит кошку. Ограничение скорости сделано посредством rate-limit на виртуальном интерфейсе при установлении сессии PPPoE. Параметры ограничения скорости передаются через RADIUS атрибуты(определены в тарифном плане).
На кошке создается два ACLэто для прохождения трафика от клиента к локальным ресурсам и обратно.Код: Выделить всё
access-list 110 permit ip 10.20.4.0 0.0.3.255 10.0.0.0 0.0.0.255 access-list 110 deny ip any any access-list 111 permit ip 10.0.0.0 0.0.0.255 10.20.4.0 0.0.3.255 access-list 111 deny ip any any
Далее к тарифному плану (услуга передача трафика) привязываются радиус атрибутыПо идее здесь получается так. Все что попало под действие ACL 110 и 111, а это доступ к локальным ресурсам, будет резаться на скорости 10Мбит/с. Все что сюда не попало, далее будет резаться в ACL 105/106, т.е. на 128 кбит/с.Код: Выделить всё
lcp:interface-config#1=rate-limit input access-group 110 10000000 1250000 2500000 conform-action transmit exceed-action drop lcp:interface-config#1=rate-limit output access-group 111 10000000 1250000 2500000 conform-action transmit exceed-action drop и lcp:interface-config#1=rate-limit input 128000 16000 32000 conform-action transmit exceed-action drop lcp:interface-config#1=rate-limit output 128000 16000 32000 conform-action transmit exceed-action drop
Особенность. Радиус атрибуты для access-group 110/111 необходимо отправлять первыми.
Отдельные ACL для каждого из пользователей создавать не пришлось
Делаю по аналогии, скорость к локальным ресурсам режется, внешка вообще не работает
Что делаю не так? Совсем голову сломал.... и что за ACL 105/106?
Код: Выделить всё
Virtual-Access222
Input
matches: access-group 110
params: 10000000 bps, 256000 limit, 256000 extended limit
conformed 8854 packets, 3462343 bytes; action: transmit
exceeded 0 packets, 0 bytes; action: drop
last packet: 216ms ago, current burst: 0 bytes
last cleared 00:00:39 ago, conformed 700000 bps, exceeded 0 bps
matches: all traffic
params: 256000 bps, 32000 limit, 32000 extended limit
[b]conformed 0 packets, 0 bytes; action: transmit
exceeded 0 packets, 0 bytes; action: drop[/b]
last packet: 337383996ms ago, current burst: 0 bytes
last cleared 00:00:39 ago, conformed 0 bps, exceeded 0 bps
Output
matches: access-group 111
params: 10000000 bps, 256000 limit, 256000 extended limit
conformed 12799 packets, 16888391 bytes; action: transmit
exceeded 368 packets, 534240 bytes; action: drop
last packet: 436ms ago, current burst: 0 bytes
last cleared 00:00:39 ago, conformed 3415000 bps, exceeded 108000 bps
matches: all traffic
params: 256000 bps, 32000 limit, 32000 extended limit
[b]conformed 0 packets, 0 bytes; action: transmit
exceeded 0 packets, 0 bytes; action: drop[/b]
last packet: 337383996ms ago, current burst: 0 bytes
last cleared 00:00:39 ago, conformed 0 bps, exceeded 0 bps-
Chrst
- Сообщения: 370
- Зарегистрирован: Пт май 11, 2007 09:28
- Откуда: Медиахолдинг "ЛеККС"
- Контактная информация:
Re: Cisco шейпер
А acl 105 и 106 созданы? Это динамические ACL с разрешающими правилами для выхода в инет.ekex писал(а):Здравствуйте.
Делаю по аналогии, скорость к локальным ресурсам режется, внешка вообще не работает
Что делаю не так? Совсем голову сломал.... и что за ACL 105/106?