хочу сюди!
 

MELANA

39 років, рак, познайомиться з хлопцем у віці 49-51 років

Замітки з міткою «drop»

Настройка NAT и шейпера на маршрутизаторе Cisco

Задача:

Настроить NAT для локальной сети 192.168.0.0/24 на новом маршрутизаторе и обрезать скорость на даунлоад 10 Мегабит на аплоад 1 Мегабит.

Дано:

Внутренний интерфейс (FastEthernet 0/0) - 192.168.0.1/24
Внешний интерфейс (FastEthernet 0/1) - 10.10.10.2/32

Решение:

1. router#configure terminal
2. router(config)#interface FastEthernet 0/0
3. router(config)#no shutdown
4. router(config-if)#description --==Internal==--
5. router(config-if)#ip address 192.168.0.1 255.255.255.0
6. router(config-if)#ip nat inside
7. router(config-if)#rate-limit input 1024000 192000 384000 conform-action transmit exceed-action drop
8. router(config-if)#rate-limit output 10240000 1920000 3840000 conform-action transmit exceed-action drop
9. router(config-if)#exit
10. router(config)#interface FastEthernet 0/1
11. router(config)#no shutdown
12. router(config-if)#description --==External==--
13. router(config-if)#ip address 10.10.10.2 255.255.255.252
14. router(config-if)#ip nat outside
15. router(config-if)#exit
16. router(config)#ip routing
17. router(config)#ip cef
18. router(config)#ip route 0.0.0.0 0.0.0.0 FastEthernet 0/1
19. router(config)#access-list 10 permit 192.168.0.0 0.0.0.255
20. router(config)#ip nat inside source list 10 interface FastEthernet0/0 overload
21. router(config)#exit
22. router#copy running-config startup-config

Пояснение:

1. Входим в режим конфигурирования маршрутизатора
2. Входим режим конфигурирования внутреннего интерфейса
3. Включаем интерфейс
4. Назначаем описание интерфейса
5. Назначаем IP адрес и маску подсети
6. Указываем, что это внутренний интерфейс для NAT
7. Задаем ограничение скорости на вход интерфейса (Аплоад для клиентов)
8. Задаем ограничение скорости на выход интерфейса (Даунлоад для клиентов)
9. Выходим из режима конфигурирования внешнего интерфейса
10. Входим режим конфигурирования внутреннего интерфейса
11. Включаем интерфейс
12. Назначаем описание интерфейса
13. Назначаем IP адрес и маску подсети
14. Указываем, что это внешний интерфейс для NAT
15. Выходим из режима конфигурирования внешнего интерфейса
16. Включаем маршрутизацию между интерфейсами
17. Включаем режим Cisco Express Forwarding (При включенном режиме уменьшается нагрузка на процессор маршрутизатора)
18. Устанавливаем маршрут по умолчанию. (Без него не будет работать)
19. Создаем список доступа с номер 10, в котором разрешаем подсеть 192.168.0.0 с обратной маской 0.0.0.255
20. Включаем NAT и разрешаем доступ из списка номер 10 через интерфейс FastEthernet 0/0 в режиме трансляции всех внутренних адресов в один внешний
21. Выходим из режима конфигурирования маршрутизатора
22. Сохраняем конфигурацию в энергонезависимую память

Примечания:

1. Для расчета данных по рекомендациям Cisco для ограничения скорости используются 3 числа, которые расчитываются по следующей формуле:

Число 1 = Количество бит в секунду задается пользователем
Число 2 = Число 1 / 8 * 1,5
Число 3 = Число 2 * 2


2. Информацию о работе NAT можно просмотреть командами:

router#show ip nat statistics (Общее состояние)
router#show ip nat translations (Активные NAT трансляции)

Ограничение скорости для клиентов Украина-Мир на маршрутизаторе

Задача: 
Поделить исходящий мировой трафик между клиентами, находящимся за BGP маршрутизатором.

Дано:
100 мегабит/с "Украины", 10 мегабит/с "мира" и маршрутизатор Cisco 2811, на котором поднято BGP соединение с провайдером. Принимаем по BGP от провайдера только дефолтный маршрут 0.0.0.0

Предисловие:
Если, конечно, все делать правильно, изначально, то описанное ниже в корне неверно, так как шейпить на бордере считается высшей степенью хамства... Однако не всегда и не у всех есть лишний маршрутизатор в загашнике или же потребляемые ресурсы не настолько велики, чтобы для них заводить отдельную железку. У меня, например, второй вариант.

Решение:
1. Просим провайдера анонсировать UA-IX отдельным пирингом по отдельному VLAN, тем самым мы разделим потоки трафика, Украина побежит в свой интерфейс, все что не найдется в таблице UA-IX побежит в мировой интерфейс.

2. Определяемся с политикой нарезки трафика и создаем отдельные списки доступа (access-list) для каждого клиента, скорость аплоада на мир которого подлежит обрезанию...

Например: Имеем клиента с IP 192.168.18.21/30
Создаем access-list, находясь в режиме глобального конфигурирования:

router(config)#access-list 101 remark --==World Upload Traffic Shape==--
router(config)#access-list 101 permit ip host 192.168.18.21 any

3. На мировом интерфейсе включаем ограничение скорости с нужными значениями для созданных в п.2 списков доступа

Например: Мировой интерфейс имеет название: FastEthernet 0/1.100

Режем исход на 1 мегабит/с

router(config)#interface FastEthernet 0/1.100
router(config-subif)#rate-limit output access-group 101 1000000 62500 62500 conform-action transmit exceed-action drop

Теперь наш клиент, находящийся в списке доступа под номером 101 будет ограничен 1мегабитом/с исходящего мирового трафика.

П.С. С шейпингом входящего трафика, все аналогично, только задом наперед:

Список доступа:
router(config)#access-list 101 permit ip any host 192.168.18.21

Настройки на интерфейсе:
router(config-subif)#rate-limit input access-group 101 1000000 62500 62500 conform-action transmit exceed-action drop