А можно с помощью acl порезать скорость на порту для ip? Грубо говоря на одном порту висят два клиента и acl разрешает только их 2 ip примерно так

create access_profile ip source_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id 1 ip source_ip ад.рес.клиент.та port 3 permit
create access_profile ip source_ip_mask 0.0.0.0 profile_id 20
config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 3 deny

и вот эта строка всего лишь ограничит скорость на порту
config bandwidth_control 3 rx_rate 2 tx_rate 2

а желательно, чтоб каждому из клиентов выдать его персонаньные 2 мбита. Реально?

Можно. Смотрите функцию, которая привязывается к ACL. Называется Flow meter. Команды config flow_meter.

А в чем там значения <value 0-999936> и если можно пример бы .

create access_profile ip source_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id 1 ip source_ip ад.рес.клиент.та port 3 permit
create access_profile ip source_ip_mask 0.0.0.0 profile_id 20
config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 3 deny

config flow_meter profile_id 10 access_id (1 или 2?) rate 1024(kb?) rate_exceed drop

Оно самостоятельной строкой или указать с какой работать?

Нужно указать уже созданное правило ACL. Т.е. в вашем случае 1. А полоса это в килобитах, округляется до ближайшего целого с шагом 1 Мбит/с. Работает в железе, и только по входу на порт, т.е. для клиента upstream. Если хотите полисить downstream то правило нужно назначать на uplink порт.

create access_profile ip source_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id 1 ip source_ip ад.рес.клиент.та port 3 permit
create access_profile ip source_ip_mask 0.0.0.0 profile_id 20
config access_profile profile_id 20 add access_id 2 ip source_ip 0.0.0.0 port 3 deny
create access_profile ip source_ip_mask 255.255.255.255 profile_id 30
config access_profile profile_id 10 add access_id 1 ip source_ip ад.рес.клиент.та port 24(uplink свитча) permit

config flow_meter profile_id 10 access_id 1 rate 1024 rate_exceed drop
config flow_meter profile_id 30 access_id 1 rate 1024 rate_exceed drop

я правильно понял? И остальные пакеты на uplink порту останутся не задетыми?

Вот здесь то надо всё-таки destination_IP:

create access_profile ip destination_ip_mask 255.255.255.255 profile_id 30
config access_profile profile_id 30 add access_id 1 ip destination_ip ад.рес.клиент.та port 24(uplink свитча) permit

А так правильно.

Да, конечно, просто скопировал не поправив.

Спасибо, буду тестить.

a bandwith_control и flow_meter одинаково реализованы?

Одинаково т.е. в железе.

Затеял порезать vlan клиентский, почему именно так - потому что с 4 порта идет несколько вланов в другой свитч, который не позволяет резать скорость. Вот какие мысли:

# ACL

create access_profile ethernet vlan profile_id 10
config access_profile profile_id 10 add access_id 1 ethernet vlan clientVlan port 4 permit
config access_profile profile_id 10 add access_id 2 ethernet vlan clientVlan port 26 permit

config flow_meter profile_id 10 access_id 1 rate 2000 rate_exceed drop
Полоса от клиента к свитчу полагаю порезана

А вот дальше возникает засада, поскольку порт 26 гигабитный:

config flow_meter profile_id 10 access_id 2 rate 2048 rate_exceed drop
Command: config flow_meter profile_id 10 access_id 2 rate 2048 rate_exceed drop

Warning! Bandwidth limits are set in increments of 8000kbps.
Bandwidth limits, which are not entered in multiples of 8000,
will be rounded down to the nearest 8000Kbps setting.
(Ex: 8999Kbps will be set as 8000Kbps)

The bandwidth 0Kbps is choosed.

Entering 0Kbps will disable bandwidth limits for this access rule.

Success.

как быть?

Это действительно ограничение этой серии. Шаг на гигабитных портах 8 Мбит/с. Может Вам выше это порезать?

А подскажите как прописать.
у клиента IP в диапазоне 172.23.15.0/24
вся локалка 172.16.0.0/13
надо гранничить скорость именно в диапазоне 172.16.0.0/13
до 5Мбит
но на сервер VPN по адресу 172.16.15.33 дать полную скорость.

Аналогично используя source IP и destination IP одновременно в одном правиле. Первый профиль и правило permit на сервер без ограничений а второе permit с ограничением во всю эту подсетку.

А как прописать диапазон адресов 172.23.15.0/24 и 172.16.0.0/24