Добрый день.
Существует следующая схема сети:
Шлюз(FreeBSD) -> DGS-3426 -> DGS-3612G -> DES-3526 -> DES-3526.....
К каждому из 3526 подключены абоненты. Порты 25, 26 магистральные. Виланы создаются на 3612.
Набросал следующую схему ACL, в основном с целью красить трафик для VOIP и TV, ну и с возможностью включать/выключать интернет и блокировать неплательщиков:
Код:
# Открыть всем
create access_profile ip destination_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id auto_assign ip destination_ip BILLING port 1-24 permit priority 6 replace_dscp_with 48
config access_profile profile_id 10 add access_id auto_assign ip destination_ip WEB port 1-24 permit priority 5 replace_dscp_with 40
# SIP
create access_profile ip source_ip_mask 255.255.255.255 destination_ip_mask 255.255.255.255 udp src_port_mask 0xD361 profile_id 20
config access_profile profile_id 20 add access_id 1 ip source_ip 10.2.21.1 destination_ip SIP_IP udp src_port 5060 port 1 permit priority 7 replace_dscp_with 56
config access_profile profile_id 20 add access_id 3 ip source_ip 10.2.21.3 destination_ip SIP_IP udp src_port 5060 port 3 permit priority 7 replace_dscp_with 56
config access_profile profile_id 20 add access_id 23 ip source_ip 10.2.21.31 destination_ip SIP_IP udp src_port 5060 port 23 permit priority 7 replace_dscp_with 56
# Блочим неплательщиков и красим LAN
create access_profile ip destination_ip_mask 255.255.0.0 profile_id 30
config access_profile profile_id 30 add access_id 1 ip destination_ip 192.168.0.0 port 1 deny
config access_profile profile_id 30 add access_id 2 ip destination_ip 192.168.0.0 port 2 permit priority 2 replace_dscp_with 14
config access_profile profile_id 30 add access_id 3 ip destination_ip 192.168.0.0 port 3 permit priority 2 replace_dscp_with 14
config access_profile profile_id 30 add access_id 4 ip destination_ip 192.168.0.0 port 4 permit priority 2 replace_dscp_with 14
config access_profile profile_id 30 add access_id 15 ip destination_ip 192.168.0.0 port 15 deny
config access_profile profile_id 30 add access_id 22 ip destination_ip 192.168.0.0 port 22 deny
config access_profile profile_id 30 add access_id 23 ip destination_ip 192.168.0.0 port 23 permit priority 2 replace_dscp_with 14
config access_profile profile_id 30 add access_id 24 ip destination_ip 192.168.0.0 port 24 permit priority 2 replace_dscp_with 14
# Блочим неплательщиков и красим LAN
create access_profile ip destination_ip_mask 255.0.0.0 profile_id 31
config access_profile profile_id 31 add access_id 1 ip destination_ip 10.0.0.0 port 1 deny
config access_profile profile_id 31 add access_id 2 ip destination_ip 10.0.0.0 port 2 permit priority 2 replace_dscp_with 14
config access_profile profile_id 31 add access_id 3 ip destination_ip 10.0.0.0 port 3 permit priority 2 replace_dscp_with 14
config access_profile profile_id 31 add access_id 4 ip destination_ip 10.0.0.0 port 4 permit priority 2 replace_dscp_with 14
config access_profile profile_id 31 add access_id 15 ip destination_ip 10.0.0.0 port 15 deny
config access_profile profile_id 31 add access_id 22 ip destination_ip 10.0.0.0 port 22 deny
config access_profile profile_id 31 add access_id 23 ip destination_ip 10.0.0.0 port 23 permit priority 2 replace_dscp_with 14
config access_profile profile_id 31 add access_id 24 ip destination_ip 10.0.0.0 port 24 permit priority 2 replace_dscp_with 14
# Выключаем Интернет желающим
create access_profile ip source_ip_mask 255.255.255.0 profile_id 40
config access_profile profile_id 40 add access_id 1 ip source_ip 10.2.21.1 port 1 deny
config access_profile profile_id 40 add access_id 3 ip source_ip 10.2.21.3 port 3 deny
config access_profile profile_id 40 add access_id 24 ip source_ip 10.2.21.34 port 24 deny
# Красим HTTP, FTP, ....
create access_profile ip tcp dst_port_mask 0xFFFF profile_id 50
config access_profile profile_id 50 add access_id auto_assign ip tcp dst_port 80 port 1-24 permit priority 5 replace_dscp_with 40
config access_profile profile_id 50 add access_id auto_assign ip tcp dst_port 21 port 1-24 permit priority 4 replace_dscp_with 30
config access_profile profile_id 50 add access_id auto_assign ip tcp dst_port 27015 port 1-24 permit priority 3 replace_dscp_with 20
# Красим всё оставшееся
create access_profile ip source_ip_mask 0.0.0.0 profile_id 60
config access_profile profile_id 60 add access_id auto_assign ip source_ip 0.0.0.0 port 1-24 permit priority 1 replace_dscp_with 8
При написании возникли следующие вопросы:
1. Если эти правила применить на дальнем свиче 3526 на нетегированном приходе от абонента, то нужно ли перемаркировать приоритеты на всём пути следования по свичам или они так и пойдут дальше? И если пойдут, то до каких пор?
2. Для того, чтоб набросать приоритеты в обратную сторону можно ли сделать это на 3426, или только после создания виланов?
3. Я тут набросал dscp: 56 - 48 - 40 - 30 - 20 - 14 - 8 - 0 в порядке убывания приоритетов - это так и есть, или у Dlink-ов есть свои особенности? А то я тут начитался - все ремапят как хотят
4. Какой глубокий смысл в:
Код:
show 802.1p user_priority
QOS Class of Traffic
[b]Priority-0 -> <Class-1>[/b]
Priority-1 -> <Class-0>
Priority-2 -> <Class-0>
Priority-3 -> <Class-1>
Priority-4 -> <Class-2>
...
И как это может сказаться на моей схеме?
Спасибо за внимание и с наступающим всех праздником!
Вход
Регистрация
FAQ
Поиск
