Шейпинг Украина/Мир на Cisco 2811

Все остальное

Шейпинг Украина/Мир на Cisco 2811

Сообщение plastilin » 08 сен 2010, 23:46

Доброго времени суток!

Возникла задача в реализации механизма принудительного ограничивания скорости клиентов по схеме: мир - режем, украину не трогаем

Дано:

Мировой канал: 10 Мбит
Украина: 1 Гбит

Все клиенты подключены через вланы к cisco 2811 на внешних айпи из диапазона, который анонсируется с этого же маршрутизатора по bgp провайдеру.
Провайдеру анонсируем себя, и держим с ним 2 сессии, по которым принимаем в первой сессии дефолт (мир), во второй сессии (украину).

Смотрю в сторону rate-limit и access-group, но как правильно сделать пока не пойму...
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: Шейпинг Украина/Мир на Cisco 2811

Сообщение root » 09 сен 2010, 19:27

а ты уверен что проц твоей кошки не загнется если ты повесишь на него такую задачу ?
насколько я помню 2811 не очень то и сильна
лично я бы не рискнул включать шейпер на 28ой, особенно которая держит "моё" BGP, это может убить её, а вместе с ней и "моё" BGP.

на catalyst 3560 делали шейпинг так, пример шейпа всего и вся на 10 мбит/с за портом FastEthernet0/1:
Код: Выделить всё
class-map match-all SHAPE
match access-group name CLIENT-SHAPE
!
policy-map PCLIENT-SHAPE
class SHAPE
police 10000000 16000 exceed-action drop
!
interface FastEthernet0/1
switchport mode access
service-policy input PCLIENT-SHAPE
no cdp enable
!
ip access-list extended CLIENT-SHAPE
permit ip any any
!


Не забыть включить QOS:
Код: Выделить всё
conf t
mls qos


по твоей задаче, если Украину трогать не надо, то тебе придется перечислить в аксесс листе все подсети Украины со словом deny впереди, а потом уже permit ip any any
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1887
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Шейпинг Украина/Мир на Cisco 2811

Сообщение plastilin » 10 сен 2010, 11:17

Ого, там 4 тысячи записей... А как то автоматизировать этот процесс можно?
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: Шейпинг Украина/Мир на Cisco 2811

Сообщение root » 10 сен 2010, 11:28

plastilin писал(а):Ого, там 4 тысячи записей...

ну а как ты хотел, тебе же надо объяснить девайсу, что надо шейпить, а что нет

plastilin писал(а):А как то автоматизировать этот процесс можно?

можно, напиши скрипт, который будет совершать все необходимые действия за тебя.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1887
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Шейпинг Украина/Мир на Cisco 2811

Сообщение MadMax » 10 сен 2010, 12:07

plastilin писал(а):Ого, там 4 тысячи записей... А как то автоматизировать этот процесс можно?


скриптом можно например собирать украинские маршруты по snmp - обрати внимание на ветку RFC1213-MIB::ipRouteNextHop
и потом заталкивать их в нужный ацл с некой периодичностью, чтобы сохранять актуальность по префиксам полученным по bgp.
www.mega-net.ru - IT аутсорсинг
MadMax
Site Admin
 
Сообщения: 37
Зарегистрирован: 09 июл 2008, 15:39
Откуда: Moscow

Re: Шейпинг Украина/Мир на Cisco 2811

Сообщение root » 10 сен 2010, 12:18

MadMax писал(а):обрати внимание на ветку RFC1213-MIB::ipRouteNextHop

ага, хороший совет, т.к. раз у него две сессии то и NextHop будет разный

а вот если он одинаковый, когда все маршруты получают от одного пира, то кроме как по community матчить по сути не по чему
наверняка пров "раскрашивает" маршруты, полученные от Украинских пиров, в какое то комьюнити
т.е. есть скрипт, который стучится на циску по telnet, дает команду, получает результат, парсит его и затем совершает какие то действия по изменению чего либо в конфиге циски
пример скрипта который стучится на циску и дает команду можно увидеть тут
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1887
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Шейпинг Украина/Мир на Cisco 2811

Сообщение plastilin » 10 сен 2010, 17:37

А если есть список сетей в текстовом файле http://noc.ix.net.ua/ua-list.txt

Его каким то образом можно прикрутить?

Сейчас я использую следующую конструкцию на интерфейсе:

Код: Выделить всё
interface FastEthernet0/0.100
 description --==DELTA <-> ECHO <-> INDIA==--
 encapsulation dot1Q 100
 ip address 192.168.20.1 255.255.255.252
 rate-limit input 1024000 192000 384000 conform-action transmit exceed-action drop
 rate-limit output 10240000 1920000 3840000 conform-action transmit exceed-action drop
 no cdp enable
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: Шейпинг Украина/Мир на Cisco 2811

Сообщение root » 10 сен 2010, 19:37

plastilin писал(а):Его каким то образом можно прикрутить?

если файлик не меняется, то прикрути руками
если меняется, то опять же остается только скрипт
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1887
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Шейпинг Украина/Мир на Cisco 2811

Сообщение plastilin » 10 сен 2010, 20:05

Опять же вопрос прикрути - как?
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: Шейпинг Украина/Мир на Cisco 2811

Сообщение root » 11 сен 2010, 09:24

plastilin писал(а):Опять же вопрос прикрути - как?

я же привел пример настройки в своем первом сообщении
попробуй настроить у себя
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1887
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

След.

Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

cron