Как порезать скорость на порту?

@Yacudzer · Регистрация: 06.07.2012

Author24 — интернет-сервис помощи студентам

Добрый день.
На cisco 1921 хотел порезать скорость инета до 8 мбит на одном порту.
Сделал следующее:

Кликните здесь для просмотра всего текста

Код

ip access-list extended ARENDA-LIMIT-acl
 permit ip any 192.168.0.0 0.0.0.255
ip access-list extended INET-ONLY-acl
 permit udp any any eq bootps
 deny   ip any 192.168.0.0 0.0.255.255
 permit ip any any
class-map match-all ARENDA-LIMIT-class
 match access-group name ARENDA-LIMIT-acl
policy-map ARENDA-LIMIT-pol
 class ARENDA-LIMIT-class
  shape peak 8000000
interface GigabitEthernet0/0/0
 service-policy output ARENDA-LIMIT-pol
interface Vlan1
 ip address 192.168.0.1 255.255.255.224
 ip access-group INET-ONLY-acl in
 ip nat inside
 ip virtual-reassembly in

Почему то на скорость строка shape peak 8000000 не влияет (пробовал меньше делать - пофигу).
Помогите разобраться что не так?

Jabbson · 14.02.2014, 21:17

полную конфигу приложите, если нужно измените адреса и пароли. также будет гораздо проще если Вы опишите что именно Вы хотите сделать, "порезать скорость" - это очень скромное объяснение.
Пример, "локальные пользователи, находящиеся в подсети такой-то находятся за портом таким-то, а за таким-то портом находится dmz со своей сетью такой-то, а за таким-то портом находится глобальная сеть Интернет. Я пытаюсь ограничить скорость до стольки-то таким-то пользователям, когда они идут в такую-то сеть".

@Yacudzer · 14.02.2014, 22:08 **[ТС]**

ок, попытаюсь.
Весь конфиг вряд ли полезен будет, да и громоздкий он слишком. Ключевые моменты ниже:

Кликните здесь для просмотра всего текста

Код

version 15.1
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname qwerty
!
boot-start-marker
boot system flash:c1900-universalk9-mz.SPA.151-3.T1.bin
boot-end-marker
!
!
... skipped ...
!
ip dhcp pool MAIN
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1 
   dns-server 1.2.3.4 2.3.4.5
   lease 7
!
ip dhcp pool ARENDA-1
   network 192.168.0.0 255.255.255.224
   default-router 192.168.0.1 
   dns-server 1.2.3.4 2.3.4.5
   lease 7
!
no ip bootp server
login block-for 100 attempts 5 within 60
login on-failure log
login on-success log
!
!
object-group network MY-ADDR 
 host aa.bb.cc.163
!
object-group network MY-ADDR-pool 
 range aa.bb.cc.162 aa.bb.cc.164
!
... skipped ...
!
ip ssh time-out 60
ip ssh port 9876 rotary 1
ip ssh logging events
ip ssh version 2
!
class-map match-all ARENDA-LIMIT-class
 match access-group name ARENDA-LIMIT-acl
!
!
policy-map ARENDA-LIMIT-pol
 class ARENDA-LIMIT-class
  shape peak 8000000
!
... skipped ...
!
interface GigabitEthernet0/0
 description Internet
 ip address aa.bb.cc.dd.163 255.255.255.248
 ip access-group GWAN-in in
 ip access-group GWAN-out out
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 description Local Network
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/0/0
 service-policy output ARENDA-LIMIT-pol
!
interface GigabitEthernet0/0/1
 switchport access vlan 2
 service-policy output ARENDA-LIMIT-pol
!
interface GigabitEthernet0/0/2
 switchport access vlan 3
 service-policy output ARENDA-LIMIT-pol
!
interface GigabitEthernet0/0/3
 switchport access vlan 4
 service-policy output ARENDA-LIMIT-pol
!
interface Vlan1
 ip address 192.168.0.1 255.255.255.224
 ip access-group INET-ONLY-acl in
 ip nat inside
 ip virtual-reassembly in
!
interface Vlan2
 ip address 192.168.0.33 255.255.255.224
 ip access-group INET-ONLY-acl in
 ip nat inside
 ip virtual-reassembly in
!
interface Vlan3
 ip address 192.168.0.65 255.255.255.224
 ip access-group INET-ONLY-acl in
 ip nat inside
 ip virtual-reassembly in
!
interface Vlan4
 ip address 192.168.0.97 255.255.255.224
 ip access-group INET-ONLY-acl in
 ip nat inside
 ip virtual-reassembly in
!
... skipped ...
!
ip nat pool NAT-ARENDA-pool aa.bb.cc.162 aa.bb.cc.162 netmask 255.255.255.248
!
... тут проброс портов через нат внутрь
!
ip nat inside source list NAT-ARENDA-acl pool NAT-ARENDA-pool overload
ip nat inside source list NAT-acl interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 aa.bb.cc.161
!
ip access-list standard NAT-ARENDA-acl
 permit 192.168.0.0 0.0.0.31
 permit 192.168.0.32 0.0.0.31
 permit 192.168.0.64 0.0.0.31
 permit 192.168.0.96 0.0.0.31
ip access-list standard NAT-acl
 permit 192.168.1.0 0.0.0.255
ip access-list standard TELNET-in
 permit 192.168.1.0 0.0.0.255
!
ip access-list extended ARENDA-LIMIT-acl
 permit ip any 192.168.0.0 0.0.0.255
ip access-list extended GWAN-in
 deny   ip 10.0.0.0 0.255.255.255 any log
 deny   ip 172.16.0.0 0.15.255.255 any log
 deny   ip 192.168.0.0 0.0.255.255 any log
 permit esp any object-group MY-ADDR
 permit icmp any object-group MY-ADDR
 permit udp any eq domain object-group MY-ADDR
 permit udp any eq ntp object-group MY-ADDR
... тут открытые порты проброшенные через нат ...
 evaluate NAT-mirror 
 deny   ip any any log
ip access-list extended GWAN-out
 permit esp object-group MY-ADDR any
 permit ip object-group MY-ADDR-pool any reflect NAT-mirror timeout 300
ip access-list extended INET-ONLY-acl
 permit udp any any eq bootps
 deny   ip any 192.168.0.0 0.0.255.255 log
 permit ip any any
!
logging esm config
!
no cdp run

!
!
!
!
!
!
control-plane
!
!
!
line con 0
 exec-timeout 20 0
 logging synchronous
line aux 0
line vty 0 4
 exec-timeout 20 0
 logging synchronous
 rotary 1
 transport input ssh
 transport output none
line vty 5 9
 access-class TELNET-in in
 exec-timeout 5 0
 logging synchronous
 transport input telnet
 transport output none
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 89.109.251.21
ntp server 89.109.251.22
ntp server 89.109.251.23
ntp server 89.109.251.24
ntp server 89.109.251.25
ntp server 192.168.1.201 prefer
end

Задача такая: порезать максимальную скорость в порту gi0/0/0 (vlan 1) (для компов сети 192.168.0.0/27) до 8 мбит без гарантированной полосы. Но можно вариант и с выделением гарантированной полосы в 8 мбит.

То, что сделано сейчас, к сожалению, не работает.

Jabbson · 15.02.2014, 00:42

почему shaping, а не policing? почему peak, а не average?
На svi можно сделать или policing, или rate-limit, с шейпингом - на аутпут физического L3.

@Yacudzer · 15.02.2014, 09:23 **[ТС]**

Сообщение от Jabbson

почему shaping, а не policing?

Потому что policing отбрасывает пакеты, в отличии от шейпинга. Может я что-то до конца не понимаю, но если при полисинге будут отбрасыватся пакеты не приведет ли это к разрыву сессий? Или пинги с потерями будут? Не хотелось бы этого допустить.

Сообщение от Jabbson

почему peak, а не average?

Потому что так написано в гайде, по которому я это делал. Честно говоря, до конца не понял в чем разница, решил так попробовать.

Сообщение от Jabbson

На svi можно сделать или policing, или rate-limit, с шейпингом - на аутпут физического L3.

svi я так понимаю это int vlan, принадлежащий порту платы 4egs?? А L3 реальный физ. интерфейс роутера? Так я пробовал шейпинг делать и на gi0/0, смотрящий в сторону инета. Думал ради эксперимента порезать исх. скорость - тоже ничего не вышло. Может я не так тестирую? А тестирую я с помощью speedtest.net.

Jabbson · 15.02.2014, 11:24

Сообщение от Yacudzer

имаю, но если при полисинге будут отбрасыватся пакеты не

отбрасываться будут, но сессии это не порвет, это приведет к регулировке системы "окон" (windows) в tcp и перепосылу пакетов.

Сообщение от Yacudzer

Потому что так написано в гайде

разница в том, как они используют и наполняют систему корзин (buckets) для excess traffic - трафика, превышающего cir.

Сообщение от Yacudzer

А тестирую я с помощью speedtest.net.

Применив полиси, можно сделать show policy-map interface g0/0 и все, чтобы было сделано будет перед Вами как на ладони.

@Yacudzer · 15.02.2014, 13:27 **[ТС]**

Jabbson, а вот такой еще вопрос. Допустим я все сделал как Вы сказали. Зарезал скорость до 8 мбит и эту политику повесил на 4х интерфейсах, вот так:

Код

int range vlan 1 - 4
 service-policy output ARENDA-LIMIT-download-pol

Скорость будет резатся до 8 мбит для каждого интерфейса, либо эта скорость будет резатся 8 мбит на всех (для полиси) ??

Jabbson · 15.02.2014, 14:41

Сообщение от Yacudzer

Скорость будет резатся до 8 мбит для каждого интерфейса

да.

@Yacudzer 4 / 4 / 3 Регистрация: 06.07.2012 Сообщений: 138
		1
	Как порезать скорость на порту? 14.02.2014, 12:56. Показов 30941. Ответов 7 Метки нет (Все метки) Добрый день. На cisco 1921 хотел порезать скорость инета до 8 мбит на одном порту. Сделал следующее: Кликните здесь для просмотра всего текста Код ip access-list extended ARENDA-LIMIT-acl permit ip any 192.168.0.0 0.0.0.255 ip access-list extended INET-ONLY-acl permit udp any any eq bootps deny ip any 192.168.0.0 0.0.255.255 permit ip any any class-map match-all ARENDA-LIMIT-class match access-group name ARENDA-LIMIT-acl policy-map ARENDA-LIMIT-pol class ARENDA-LIMIT-class shape peak 8000000 interface GigabitEthernet0/0/0 service-policy output ARENDA-LIMIT-pol interface Vlan1 ip address 192.168.0.1 255.255.255.224 ip access-group INET-ONLY-acl in ip nat inside ip virtual-reassembly in Почему то на скорость строка shape peak 8000000 не влияет (пробовал меньше делать - пофигу). Помогите разобраться что не так? 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	14.02.2014, 21:17	2
	полную конфигу приложите, если нужно измените адреса и пароли. также будет гораздо проще если Вы опишите что именно Вы хотите сделать, "порезать скорость" - это очень скромное объяснение. Пример, "локальные пользователи, находящиеся в подсети такой-то находятся за портом таким-то, а за таким-то портом находится dmz со своей сетью такой-то, а за таким-то портом находится глобальная сеть Интернет. Я пытаюсь ограничить скорость до стольки-то таким-то пользователям, когда они идут в такую-то сеть". 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	15.02.2014, 00:42	4
	почему shaping, а не policing? почему peak, а не average? На svi можно сделать или policing, или rate-limit, с шейпингом - на аутпут физического L3. 0

@Yacudzer 4 / 4 / 3 Регистрация: 06.07.2012 Сообщений: 138
	15.02.2014, 09:23 [ТС]	5
	Сообщение от Jabbson почему shaping, а не policing? Потому что policing отбрасывает пакеты, в отличии от шейпинга. Может я что-то до конца не понимаю, но если при полисинге будут отбрасыватся пакеты не приведет ли это к разрыву сессий? Или пинги с потерями будут? Не хотелось бы этого допустить. Сообщение от Jabbson почему peak, а не average? Потому что так написано в гайде, по которому я это делал. Честно говоря, до конца не понял в чем разница, решил так попробовать. Сообщение от Jabbson На svi можно сделать или policing, или rate-limit, с шейпингом - на аутпут физического L3. svi я так понимаю это int vlan, принадлежащий порту платы 4egs?? А L3 реальный физ. интерфейс роутера? Так я пробовал шейпинг делать и на gi0/0, смотрящий в сторону инета. Думал ради эксперимента порезать исх. скорость - тоже ничего не вышло. Может я не так тестирую? А тестирую я с помощью speedtest.net. 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	15.02.2014, 11:24	6
	Сообщение от Yacudzer имаю, но если при полисинге будут отбрасыватся пакеты не отбрасываться будут, но сессии это не порвет, это приведет к регулировке системы "окон" (windows) в tcp и перепосылу пакетов. Сообщение от Yacudzer Потому что так написано в гайде разница в том, как они используют и наполняют систему корзин (buckets) для excess traffic - трафика, превышающего cir. Сообщение от Yacudzer А тестирую я с помощью speedtest.net. Применив полиси, можно сделать show policy-map interface g0/0 и все, чтобы было сделано будет перед Вами как на ладони. 1

@Yacudzer 4 / 4 / 3 Регистрация: 06.07.2012 Сообщений: 138
	15.02.2014, 13:27 [ТС]	7
	Jabbson, а вот такой еще вопрос. Допустим я все сделал как Вы сказали. Зарезал скорость до 8 мбит и эту политику повесил на 4х интерфейсах, вот так: Код int range vlan 1 - 4 service-policy output ARENDA-LIMIT-download-pol Скорость будет резатся до 8 мбит для каждого интерфейса, либо эта скорость будет резатся 8 мбит на всех (для полиси) ?? 0

Jabbson 5898 / 3355 / 1035 Регистрация: 03.11.2009 Сообщений: 10,003
	15.02.2014, 14:41	8
	Сообщение от Yacudzer Скорость будет резатся до 8 мбит для каждого интерфейса да. 1

Опции темы