ISGv2: различия между версиями

Материал из noname.com.ua
Перейти к навигацииПерейти к поиску
Строка 25: Строка 25:
 
Сервисы могу описываться 2 способами - непосредственно в конфигурации маршрутизатора (простой способ) или загружаться динамически из радиуса (о сервисах в радиусе будет сказано ниже).
  
Сервисы могу описываться 2 способами - непосредственно в конфигурации маршрутизатора (простой способ) или загружаться динамически из радиуса (о сервисах в радиусе будет сказано ниже).
 
<BR>
  
<BR>
Пример сервиса (:
 +
Пример сервиса:
 
<PRE>
  
<PRE>
 
policy-map type service SOME_NAME
 
policy-map type service SOME_NAME
Строка 38: Строка 38:
 
* <code>police input 64000</code>, <code>police output 64000</code> - полисер на 64 кбит, такое значение выбрано в тестовых целях
  
* <code>police input 64000</code>, <code>police output 64000</code> - полисер на 64 кбит, такое значение выбрано в тестовых целях
 
Другими словами, этот сервис должен ограничить весь траффик (весь - по тому что <code>class type traffic ALL_TRAFFIC</code> судя по названию должен включать в себя весь трафик, хотя это только описание) <BR>
  
Другими словами, этот сервис должен ограничить весь траффик (весь - по тому что <code>class type traffic ALL_TRAFFIC</code> судя по названию должен включать в себя весь трафик, хотя это только описание) <BR>
  +
<BR>
  +
Для полноты описания нужно добавить <code>class-map type traffic match-any ALL_TRAFFIC</code>
  +
<PRE>
  +
class-map type traffic match-any ALL_TRAFFIC
  +
match access-group input 1301
  +
match access-group output 1301
  +
</PRE>
  +
<PRE>
  +
access-list 1301 permit any
  +
</PRE>
  +
Это максимально простой <code>class-map</code>, который включает в себя весь трафик, согласно <code>access-list 1301</code>
   
 
=Ссылки=
  
=Ссылки=

Версия 13:37, 6 марта 2023

Cisco ISG v2

Возвращаясь к теме ISG - отмечу что за прошедшие годы всякие prepaid тарифы благополучно канули в лету и никакого аккаунтинга больше не недо.
С другой стороны при повальном шифровании рассчитывать на L4-Redirect тоже нельзя.

Постановка задачи

Есть клиенты небольшого ISP которые можно разделить на несколько групп:
1. Имеют "белый" адрес, работают на скорости порта
2. Имеют "белый" адрес, требуется шейпер/полисер для ограничения скорости
3. Имеют "серый" адрес, работают на скорости порта
4. Имеют "серый" адрес, требуется шейпер/полисер для ограничения скорости


Примерно 90% клиентов подключены на скорости порта
Контроль за подменой мак-адресов осуществляется на уровне свитчей доступа

Задача: Настроить шейпер для тех для кого это требуется, остальных пропускать на скорости порта

Логика работы

Основное понятие - это "Сервис" и "Сессия"

Сервис

Сервис - это описание того что делать с трафиком - пропустить, дропнуть или зашейпить
Сервисы могу описываться 2 способами - непосредственно в конфигурации маршрутизатора (простой способ) или загружаться динамически из радиуса (о сервисах в радиусе будет сказано ниже).
Пример сервиса: 

policy-map type service SOME_NAME 
 class type traffic ALL_TRAFFIC
  police input 64000
  police output 64000
 !

Это описание читается по-человечески так

  • SOME_NAME - имя сервиса (произвольная строка, но лучше конечно человекочитаемая)
  • class type traffic ALL_TRAFFIC классификатор - траффик, который попадает под условие будет обработан сервисом, это условие может быть только одно у сервиса
  • police input 64000, police output 64000 - полисер на 64 кбит, такое значение выбрано в тестовых целях

Другими словами, этот сервис должен ограничить весь траффик (весь - по тому что class type traffic ALL_TRAFFIC судя по названию должен включать в себя весь трафик, хотя это только описание)

Для полноты описания нужно добавить class-map type traffic match-any ALL_TRAFFIC 

class-map type traffic match-any ALL_TRAFFIC
 match access-group input 1301
 match access-group output 1301

access-list 1301 permit any

Это максимально простой class-map, который включает в себя весь трафик, согласно access-list 1301

Ссылки


Источник — https://noname.com.ua/mediawiki/index.php?title=ISGv2&oldid=11047