Subnets.ru

Доброго времени суток!

Возникла задача в реализации механизма принудительного ограничивания скорости клиентов по схеме: мир - режем, украину не трогаем

Дано:

Мировой канал: 10 Мбит
Украина: 1 Гбит

Все клиенты подключены через вланы к cisco 2811 на внешних айпи из диапазона, который анонсируется с этого же маршрутизатора по bgp провайдеру.
Провайдеру анонсируем себя, и держим с ним 2 сессии, по которым принимаем в первой сессии дефолт (мир), во второй сессии (украину).

Смотрю в сторону rate-limit и access-group, но как правильно сделать пока не пойму...

а ты уверен что проц твоей кошки не загнется если ты повесишь на него такую задачу ?
насколько я помню 2811 не очень то и сильна
лично я бы не рискнул включать шейпер на 28ой, особенно которая держит "моё" BGP, это может убить её, а вместе с ней и "моё" BGP.

на catalyst 3560 делали шейпинг так, пример шейпа всего и вся на 10 мбит/с за портом FastEthernet0/1:

Код: Выделить всё

class-map match-all SHAPE
match access-group name CLIENT-SHAPE
!
policy-map PCLIENT-SHAPE
class SHAPE
police 10000000 16000 exceed-action drop
!
interface FastEthernet0/1
switchport mode access
service-policy input PCLIENT-SHAPE
no cdp enable
!
ip access-list extended CLIENT-SHAPE
permit ip any any
!

Не забыть включить QOS:

Код: Выделить всё

conf t
mls qos

по твоей задаче, если Украину трогать не надо, то тебе придется перечислить в аксесс листе все подсети Украины со словом deny впереди, а потом уже permit ip any any

Ого, там 4 тысячи записей... А как то автоматизировать этот процесс можно?

plastilin писал(а):Ого, там 4 тысячи записей...

ну а как ты хотел, тебе же надо объяснить девайсу, что надо шейпить, а что нет

plastilin писал(а):А как то автоматизировать этот процесс можно?

можно, напиши скрипт, который будет совершать все необходимые действия за тебя.

plastilin писал(а):Ого, там 4 тысячи записей... А как то автоматизировать этот процесс можно?

скриптом можно например собирать украинские маршруты по snmp - обрати внимание на ветку RFC1213-MIB::ipRouteNextHop
и потом заталкивать их в нужный ацл с некой периодичностью, чтобы сохранять актуальность по префиксам полученным по bgp.

MadMax писал(а):обрати внимание на ветку RFC1213-MIB::ipRouteNextHop

ага, хороший совет, т.к. раз у него две сессии то и NextHop будет разный

а вот если он одинаковый, когда все маршруты получают от одного пира, то кроме как по community матчить по сути не по чему
наверняка пров "раскрашивает" маршруты, полученные от Украинских пиров, в какое то комьюнити
т.е. есть скрипт, который стучится на циску по telnet, дает команду, получает результат, парсит его и затем совершает какие то действия по изменению чего либо в конфиге циски
пример скрипта который стучится на циску и дает команду можно увидеть тут

А если есть список сетей в текстовом файле http://noc.ix.net.ua/ua-list.txt

Его каким то образом можно прикрутить?

Сейчас я использую следующую конструкцию на интерфейсе:

Код: Выделить всё

interface FastEthernet0/0.100
 description --==DELTA <-> ECHO <-> INDIA==--
 encapsulation dot1Q 100
 ip address 192.168.20.1 255.255.255.252
 rate-limit input 1024000 192000 384000 conform-action transmit exceed-action drop
 rate-limit output 10240000 1920000 3840000 conform-action transmit exceed-action drop
 no cdp enable

plastilin писал(а):Его каким то образом можно прикрутить?

если файлик не меняется, то прикрути руками
если меняется, то опять же остается только скрипт

Опять же вопрос прикрути - как?

plastilin писал(а):Опять же вопрос прикрути - как?

я же привел пример настройки в своем первом сообщении
попробуй настроить у себя