×

Предупреждение

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

c3560 QoS and rACL

Неотвеченый вопрос
ноя 15th, 2015
User Badges:

Доброго дня!

Прошу помочь знающих) у меня не получается, (см. скорей всего запутался)

Суть задач проста:
1. Запретить Vlan7 ходить в остальные вланы, разрешить только до DNS 10.110.1.30и DHCP 10.110.1.22 серверов ну и соотв выход в интернет.НО, всем вланам , Vlan5 10.110.20.0, к примеру, разрешить ходить в Vlan7
2. Урезать Vlan7 и Vlan3 пользователям скорость до 2Мб\с. Vlan1 смотрит на с2811- (сделал{!})
создал rACL, работает. 7влан ограничен на выход. но <!--break-->и из других вланов него попасть нельзя.

ip access-list extended VLAN_Access_1stLINE_out
    10 permit ip any any reflect refVLAN_Access_1stLINE_in
ip access-list extended VLAN_Access_1stLINE_in
    5 evaluate refVLAN_Access_1stLINE_in
    10 permit ip 192.168.2.0 0.0.0.255 192.168.2.0 0.0.0.255 
    20 permit ip 192.168.2.0 0.0.0.255 host 10.110.1.22
    30 permit ip 192.168.2.0 0.0.0.255 host 10.110.1.30
    40 deny ip 192.168.2.0 0.0.0.255 10.110.0.0 0.0.255.255 
    50 permit ip any any

Пока писал эту тему, вернее публиковал, нашел решение ограничение влана 7 на исх и вх скорость с 40 мб\с до 2мб\с

не знаю насколько правильное, но работает! rate-limit не работает на 3560...сработали только иерархические полиси

********************************************
*        Access List Configuration          *
********************************************
ip access-list extended VLAN-3-7-LIMIT
   permit ip any 192.168.2.0 0.0.0.255
   permit ip any 172.16.1.0 0.0.0.255
ip access-list extended VLAN-LIMIT
permit ip any any
********************************************
*     Class Maps and Policy Maps        *
********************************************
class-map match-all CMAP1-VLAN-LIMIT
  match input-interface  FastEthernet0/12
class-map match-all CMAP3-VLAN-LIMIT
  match access-group name VLAN-3-7-LIMIT
policy-map PMAP1-VLAN
  class CMAP1-VLAN-LIMIT
   police 2048000 384000 exceed-action drop
policy-map PMAP1-VLAN-PARENT
  class CMAP3-VLAN-LIMIT
   set ip precedence 1
   service-policy PMAP1-VLAN
____________________________________________ 
class-map match-all CMAP2-VLAN-LIMIT
  match input-interface  FastEthernet0/7
class-map match-all CMAP4-VLAN-LIMIT
  match access-group name VLAN-LIMIT
policy-map PMAP2-VLAN
  class CMAP2-VLAN-LIMIT
   police 2048000 384000 exceed-action drop
policy-map PMAP2-VLAN-PARENT
  class CMAP4-VLAN-LIMIT
   set ip precedence 2
   service-policy PMAP2-VLAN

********************************************
*        VLAN Confguration                    *
********************************************
interface Vlan1
ip address 192.168.1.1 255.255.255.0
service-policy input PMAP1-VLAN-PARENT

interface Vlan3
ip address 172.16.1.1 255.255.255.0
service-policy input PMAP2-VLAN-PARENT

interface Vlan7
ip address 192.168.2.1 255.255.255.0
service-policy input PMAP2-VLAN-PARENT

I have this problem too.
0 голоса
Loading.

Действия

Информация о дискуссии