networker blog

[faq] как сделать что б в убунту работало ...

noreply@blogger.com (invalidCCIE) — Sun, 05 Sep 2010 13:59:00 +0000

сохранялись и загружались правила файрвола

сразу предполагается что файрвол это iptables, а не ubuntu-f*ckingwall(ufw), сносим ufw:

apt-get purge ufw

создаем upstart job, vim /etc/init/iptables.conf:

description "Load and save iptables"

start on runlevel [23]
stop on runlevel [016]

console output

task

post-stop script
    iptables-save > /etc/iptables.conf
    iptables -F
    iptables -X
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT
end script

pre-start script
    if test -f /etc/iptables.conf; then
        iptables-restore < /etc/iptables.conf
    else
        iptables -F
        iptables -X
        iptables -P INPUT DROP
        iptables -P FORWARD DROP
        iptables -A INPUT -i lo -j ACCEPT
        iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    fi  
end script

создаем базовую настройку в /etc/iptables/conf (или можно iptables-save >/etc/iptables.conf):

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:ACCEPT_NEW - [0:0]
:SERVICES - [0:0]
-A INPUT -i lo -j ACCEPT 
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -m conntrack --ctstate NEW -j SERVICES 
-A ACCEPT_NEW -m limit --limit 100/sec -j ACCEPT 
-A ACCEPT_NEW -j DROP 
-A SERVICES -p tcp -m tcp --dport 22 -j ACCEPT_NEW 
-A SERVICES -p tcp -m tcp --dport 21 -j ACCEPT_NEW 
-A SERVICES -p tcp -m tcp --dport 8010 -j ACCEPT_NEW 
COMMIT

загружался мой любовно написаный(скопипащенный) конфиг screen'а, а не эта непонятная херь

echo > /etc/screenrc
chattr +i /etc/screenrc

(опустошаем дебильный убунтушный конфиг, и делаем что б при апгрейде никто его не тронул)

загружался мой любовно написаный(скопипащенный) конфиг zsh'а, а не эта непонятная херь, и что б нормально работала история и кнопки навигации/редактирования

rm -rf /etc/zsh
touch /etc/zsh
chattr +i /etc/zsh

(опустошаем дебильный убунтушный конфиг, и делаем что б при апгрейде никто его не тронул)

возвращаем к жизни нетворк менеджер (ошибка 'network management is disabled (C)')

vim /var/lib/NetworkManager/NetworkManager.state

меняем

NetworkingEnabled=false

на

NetworkingEnabled=true

ускоряем работу с сетью/веб (тщетные попытки убунты резолвить dns через хрен знает что)

по-умолчанию убунта пробуем разрешать имена не через dns-сервер прописанный в /etc/resolv.conf, а через avahi-daemon. это приводит к значительным задержкам при открытии сайтов.

update-rc.d -f avahi-daemon remove

избавляемся от подлых авто-апдейтов, пользующих без спросу наш драгоценный инет

удаляем любые намеки на автоапдейт из настроек apt:

vim /etc/apt/apt.conf.d/10periodic

для надежности можно удалить сам запуск автоапдейтов из крона (внимание, при апгрейде может без спросу вернуться)

rm /etc/cron.daily/99apt

Hurricane Electric IPv6 Certification

noreply@blogger.com (invalidCCIE) — Sun, 04 Jul 2010 17:56:00 +0000

p.s. больше набрать не могу, ни для одного из моих доменов нельзя указать ipv6 dns hints :(

Question of the day

noreply@blogger.com (invalidCCIE) — Sun, 04 Jul 2010 17:54:00 +0000

Вопрос:

какой MAC-адрес получателя используется для отправки кадров 802.1x?

ответ:
по стандарту зарезервирован IEEE Std 802.1X PAE address 01-80-C2-00-00-03.
данный адрес является Link-Local адресом, то есть не передается дальше чем соседнему L2 устройству, что существенно усложняет использование 802.1x в виртуальных средах :(

Question of the day

noreply@blogger.com (invalidCCIE) — Mon, 03 May 2010 04:22:00 +0000

вопрос:

что такое cef epoch?
пример sh ip cef:

Router#sh ip cef detail
IPv4 CEF is enabled and running
VRF Default:
 79 prefixes (79/0 fwd/non-fwd)
 Table id 0
 Database epoch:        0 (79 entries at this epoch)

0.0.0.0/0, epoch 0, flags default route handler
  no route
0.0.0.0/8, epoch 0
  Special source: drop
  drop
0.0.0.0/32, epoch 0, flags receive
  Special source: receive
  receive
10.0.1.0/24, epoch 0
  recursive via 192.168.1.2
    attached to FastEthernet0/0.304
10.0.2.0/24, epoch 0
  recursive via 192.168.2.2
    attached to FastEthernet0/0.305
10.0.3.0/24, epoch 0
  recursive via 192.168.3.2
    attached to FastEthernet0/0.306
10.0.4.0/24, epoch 0
  recursive via 192.168.4.2
    attached to FastEthernet0/0.307
127.0.0.0/8, epoch 0
  Special source: drop
  drop

ответ:

это глобальная версия таблицы FIB, т.е. у всех up-to-date записей версия должна быть равной. служит для синхронизации FIB.

Какой ты сисадмин?

noreply@blogger.com (invalidCCIE) — Sun, 02 May 2010 08:35:00 +0000

Какой ты сисадмин?

Дорогой Sergey,

Вы гуру! Мы сами не можем выбить столько правильных ответов в этом тесте. Пожалуйста, пришлите нам Ваше резюме!

Правильных ответов: 14 из 16

Пройти тест: Какой ты сисадмин?

Nerd Test

noreply@blogger.com (invalidCCIE) — Thu, 22 Apr 2010 04:07:00 +0000

Нагрузка процессора NBAR'ом

noreply@blogger.com (invalidCCIE) — Mon, 29 Mar 2010 14:45:00 +0000

на сайте циски появилась статья, сравнивающая разницу производительности и нагрузки на процессор с использованием nbar и без него.
для разных линеек програмных маршрутизоторов результаты немного разные, и есть небольшая разница при использовании protocol-discovery и match protocol, но результат приблизительно стабилен - разница нагрузки на процессор без nbar и с nbar в полтора раза.

Question of the day

noreply@blogger.com (invalidCCIE) — Thu, 18 Mar 2010 08:03:00 +0000

вопрос:

что значит "interface is congested"?
(формулировка, часто встречающаяся в объяснениях работы механизмов очередей)

ответ:

несколько почти эквивалентных вариантов:

1) wfq/llq/cbwfq/wrr/и.т.д. очередь на интерфейсе не пуста

2) аппаратная фифо-очередь интерфейса (она же tx-ring) заполнена

3) ваш вариант (оставляйте в комментариях)

вопрос2:
как объяснять перегруженность в случаях когда пропускная предоставляемая через интерфейс существенно ниже скорости интерфейса (например 3Мбит на Fa-интерфейсе)?
как объяснять перегруженность в случаях с вложенными политиками qos?

Question of the day

noreply@blogger.com (invalidCCIE) — Sat, 13 Mar 2010 01:04:00 +0000

вопрос:

что показывает команда show ip cef exact-route 10.1.1.1 10.2.2.2 ?

ответ:

маршрут, который будет выбран сефом для конкретной пары src-ip 10.1.1.1, dst-ip 10.2.2.2.

вопрос2:

а как же номера портов?

ответ2:

а при 'ip cef load-sharing algorithm original' порты не фигурируют.

а для прочих вариантов в новых ios есть 'show ip cef exact-route 10.1.1.1 src-port 32323 10.2.2.2 dst-port 23'

Question of the day

noreply@blogger.com (invalidCCIE) — Fri, 12 Mar 2010 20:23:00 +0000

вопрос:

что значат два числи выделенные в выводе команды show processes cpu?

SW1#show processes cpu
CPU utilization for five seconds: 1%/0%; one minute: 1%; five minutes: 0%
 PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
   1           0         6          0  0.00%  0.00%  0.00%   0 Chunk Manager
   2           0    117516          0  0.00%  0.00%  0.00%   0 Load Meter
   3           0      4897          0  0.00%  0.00%  0.00%   0 DHCPD Timer
   4      482004     65064       7408  0.00%  0.07%  0.05%   0 Check heaps
   5          72       257        280  0.00%  0.00%  0.00%   0 Pool Manager

ответ:

первое (1%) - загрузка проца суммарная

второе (0%) - загрузка проца обработкой прерываний packet switching

Question of the day

noreply@blogger.com (invalidCCIE) — Fri, 12 Mar 2010 12:36:00 +0000

вопрос:

какой командой show можно получить следующий вывод:

SW1#.............................................

CAM Utilization for ASIC# 0                      Max            Used
                                             Masks/Values    Masks/values

 Unicast mac addresses:                        400/3200         42/263
 IPv4 IGMP groups + multicast routes:          144/1152          9/41
 IPv4 unicast directly-connected routes:       400/3200         42/263
 IPv4 unicast indirectly-connected routes:    1040/8320         20/127
 IPv4 policy based routing aces:               512/512           2/2
 IPv4 qos aces:                                512/512           6/6
 IPv4 security aces:                          1024/1024         27/27

Note: Allocation of TCAM entries per feature uses
a complex algorithm. The above information is meant
to provide an abstract view of the current TCAM utilization

SW1#

свич - 3560

ответ:

show platform tcam utilization

на некоторых платформах близкий к указанному результат можно получить с show tcam

Question of the day

noreply@blogger.com (invalidCCIE) — Wed, 10 Mar 2010 14:11:00 +0000

Вопрос:

какой коммандой show можно получить следующий вывод:

SW1#show ........................
Name : Fa0/1
Administrative Speed: auto
Administrative Duplex: auto
Administrative Auto-MDIX: on
Administrative Power Inline: N/A
Operational Speed: 100
Operational Duplex: full
Operational Auto-MDIX: on

SW1#

(это самый обычный свич, например 3560 или 2960)

ответ:

SW1# show interface fa0/1 transceiver properties

Question of the day

noreply@blogger.com (invalidCCIE) — Sun, 06 Dec 2009 17:20:00 +0000

вопрос:

может ли VTP передавать информацию о private-vlan map?

ответ:
да, в версии VTP 3

кстати, эта версия таки реализована на IOS (ранее она была только на CatOS):
кроме того третья версия поддерживает:
* распространение vlan-instance map для MST
* private-vlan
* extended vlan range
* множество других функций по контролю и управлению самим VTP

Question of the day

noreply@blogger.com (invalidCCIE) — Thu, 03 Dec 2009 19:44:00 +0000

вопрос:

всегда ли bpdufilter работает одинаково?

ответ:
нет. конечно, bpdufilter должен приводить к одному результату: прекращению отправки и обработки bpdu на порту. но. есть два варианта настройки:
* (config)# spanning-tree portfast bpdufilter default
* (config-if)# spanning-tree bpdufilter enable
первый включает bpdufilter по-умолчанию на всех portfast портах
второй - принудительно на интерфейсе.
так вот, первый вариант работает следующим образом: сначала отправляются 11 (одинадцать, не больше и не меньше) bpdu, и только затем, если не были обнаружены ответы, включается фильтр :)


SW1#sh span int fa0/1 de
  Port 3 (FastEthernet0/1) of VLAN0146 is designated forwarding
   Port path cost 19, Port priority 128, Port Identifier 128.3.
   Designated root has priority 32914, address 000f.90fd.a280
   Designated bridge has priority 32914, address 001d.4614.cc80
   Designated port id is 128.3, designated path cost 19
   Timers: message age 0, forward delay 0, hold 0
   Number of transitions to forwarding state: 1
   The port is in the portfast mode
   Link type is point-to-point by default
   Bpdu filter is enabled by default
   BPDU: sent 0, received 0
SW1#
%LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
SW1#sh span int fa0/1 de
 Port 3 (FastEthernet0/1) of VLAN0146 is designated forwarding
   Port path cost 19, Port priority 128, Port Identifier 128.3.
   Designated root has priority 32914, address 000f.90fd.a280
   Designated bridge has priority 32914, address 001d.4614.cc80
   Designated port id is 128.3, designated path cost 19
   Timers: message age 0, forward delay 0, hold 0
   Number of transitions to forwarding state: 1
   The port is in the portfast mode
   Link type is point-to-point by default
   Bpdu filter is enabled by default
   BPDU: sent 3, received 0
SW1#sh span int fa0/1 de
 Port 3 (FastEthernet0/1) of VLAN0146 is designated forwarding
   Port path cost 19, Port priority 128, Port Identifier 128.3.
   Designated root has priority 32914, address 000f.90fd.a280
   Designated bridge has priority 32914, address 001d.4614.cc80
   Designated port id is 128.3, designated path cost 19
   Timers: message age 0, forward delay 0, hold 0
   Number of transitions to forwarding state: 1
   The port is in the portfast mode
   Link type is point-to-point by default
   Bpdu filter is enabled by default
   BPDU: sent 11, received 0
SW1#sh span int fa0/1 de
  Port 3 (FastEthernet0/1) of VLAN0146 is designated forwarding
    Port path cost 19, Port priority 128, Port Identifier 128.3.
    Designated root has priority 32914, address 000f.90fd.a280
    Designated bridge has priority 32914, address 001d.4614.cc80
    Designated port id is 128.3, designated path cost 19
    Timers: message age 0, forward delay 0, hold 0
    Number of transitions to forwarding state: 1
    The port is in the portfast mode
    Link type is point-to-point by default
    Bpdu filter is enabled by default
    BPDU: sent 11, received 0

как мы видим, несмотря на то что "Bpdu filter is enabled by default" счетчик отправленных bpdu растет, и замирает на отметке 11.

Question of the day

noreply@blogger.com (invalidCCIE) — Mon, 30 Nov 2009 19:58:00 +0000

вопрос:


SW2#sh span int fa0/2 detail
no spanning tree info available for FastEthernet0/2

SW2#sh run int fa0/2
Building configuration...

Current configuration : 128 bytes
!
interface FastEthernet0/2
 description to R2
 switchport access vlan 100
 switchport mode access
 spanning-tree portfast
end

SW2#sh vlan brief | in N100
1000 VLAN1000                         active

SW2#sh run | in switchport backup
SW2#

как удалось отключить spanning-tree?

ответ: см. private-vlan


 SW2#sh vla id 100

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
100  VLAN0100                         active    Fa0/2, Fa0/19, Fa0/20, Fa0/21
                                                Fa0/24, Po1

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
100  enet  100100     1500  -      -      -        -    -        0      0

Remote SPAN VLAN
----------------
Disabled

Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------
100     1000      community
100     2000      community         Fa0/4
100     3000      isolated          Fa0/6

SW2#

Question of the day

noreply@blogger.com (invalidCCIE) — Fri, 27 Nov 2009 07:17:00 +0000

вопрос:

что из нижеперечисленного пропускается в прозрачном режиме файрвола (при настройках по-умолчанию, из inside на outside):
dhcp, eigrp, ospf, rip, icmp, multicast, arp, stp, cdp, is-is?

ответ: icmp.
l2-протоколы такие как stp, cdp, is-is необходимо явно разрешать с помощью ethertype acl;
l3-протоколы маршрутизации и dhcp тоже по-умолчанию запрещены.

Question of the day

noreply@blogger.com (invalidCCIE) — Sun, 22 Nov 2009 11:32:00 +0000

вопрос:

сколько есть вариантов реагирование на превышение лимита mac-адресов port-security?

ответ: приблизительно 4-5:
* shutdown (при нарушении - err-disable port)
* protect(игнорирует все кадры с mac-адресов отличных от зафиксированных)
* restrict(игнорирует все кадры с mac-адресов отличных от зафиксированных, и кроме того отправляет trap/syslog и увеличивает violation counter)
* shutdown vlan(err-disable только того vlan в котором появился mac нарушителя, например только voice vlan :))
* и конечно же no switchport port-security :))

Questions of the day

noreply@blogger.com (invalidCCIE) — Fri, 20 Nov 2009 22:31:00 +0000

вопрос 1:

топология sw1==sw2, оба свича - клиенты vtp домена cisco, в базе - 15 вланов, ревизия 21.
a) переводим sw1 в домен linksys. как изменится на нем номер ревизии vtp?
b) переводим sw1 обратно в домен cisco. как изменится на нем номер ревизии vtp?
c) почему?

ответ:
a) станет равной нулю
b) станет равной 21
c) потому что клиенты vtp ОТПРАВЛЯЮТ АПДЕЙТЫ VTP НИЧУТЬ НЕ ХУЖЕ СЕРВЕРОВ :)

вопрос 2:

топология sw1==sw2, оба свича - клиенты vtp домена cisco. свичпорт sw1 административно является dynamic desirable, порт sw2 - dynamic auto.
a) какое будет операционное состояние свичпортов линка между sw1 и sw2?
b) теперь переводим sw1 в домен vtp linksys. изменится ли состояние свичпортов?
с) почему?
d) а что было бы если б административный режим свичпорта был trunk?

ответ:
a) trunk
b) trunk (до перезапуска переговоров dtp)
c) переговоры dtp рестартуют к примеру при смене down/up свичпорта, и до этих пор порт останется trunk
d) в любом случае был бы trunk

Зачем нужен сислог, если есть твиттер?

noreply@blogger.com (invalidCCIE) — Fri, 20 Nov 2009 20:40:00 +0000

на цискокоме в коллекции скриптов для Embeded Event Manager'а появился скрипт для twitter'а
(пример использования указан там же).
рассмотрим как им пользоваться :)

1) качаем и загружаем на роутер


# copy tftp://10.1.1.1/tweet-policy.tcl flash:/tweet-policy.tcl

2) регистрируем политику EEM


(config)# event manager directory user policy "flash:/"
(config)# event manager policy tweet-policy.tcl type user

3) заполняем переменные окружения


$ dig +short twitter.com
168.143.162.52
$ echo login:password | base64 -
bG9naW46cGFzc3dvcmQK

(config)# event manager environment _tweet_ip 168.143.162.52
(config)# event manager environment _tweet_b64 bG9naW46cGFzc3dvcmQK

3a) выполняем политику вручную


# event manager run tweet-policy.tcl

3b) выполняем политику периодически каждые 5 минут


(config)#event manager applet tweetme
(config-applet)# event timer watchdog time 300                   
(config-applet)# action 1 policy tweet-policy.tcl

домашнее задание: разобраться с формированием статуса, научится постить в твиттер сислог...

Question of the day

noreply@blogger.com (invalidCCIE) — Sun, 08 Nov 2009 07:49:00 +0000

вопрос:
какими способами можно запретить привилегированому пользователю перезагружать роутер? :)

ответы:

1) сделав alias команды reload:
conf t
alias exec relo sh ver
alias exec reloa sh ver
alias exec reload sh ver
^Z
wr mem
2) Role-Based CLI, поместив пользователя в вид в котором команда reload запрещена:
conf t
aaa new
ena pass cisco123
^Z
enable view
cisco123
conf t
parser view reload
secret cisco123-super-secret
commands exec include-exclusive all reload
parser view normal
secret cisco123
username test nopassword priv 15 view normal
aaa authentication login default local
aaa authorization exec default local
aaa authorization console
^Z
wr mem
logout
3) Embedded Event Manager - при вводе команды reload писать в сислог сообщение, а команду - игнорировать :)
conf t
event manager applet noReload
event cli pattern "relo.*" sync no skip yes
action 10 syslog msg "Reload not permitted"

буду рад услышать ваши остроумные способы :)

Question of the day

noreply@blogger.com (invalidCCIE) — Fri, 06 Nov 2009 16:41:00 +0000

Вопрос:

можно ли использовать time-based acl совместно с политиками бгп?
например в светлое время суток для префиксов 10.1.0.0/16 ставить локал преференс выше?


time-range DAY
periodic daily 9:00 to 18:00

access-list 101 permit 10.1.0.0 0.0.255.255 any time-range DAY

route-map SET_LPREF 10
match ip address 101
set local-preference 150
!
route-map SET_LPREF 20
set local-preference 50
router bgp 65001
 neighbor 192.168.1.2 remote-as 65002
 neighbor 192.168.1.2 route-map SET_LPREF in

ответ:
да. то есть нет. на новых иосах bgp не обратит внимание на смену времени по time-based acl без другого внешнего события (падения/изменения маршрута на 10.1.0.0/16).
так же смотрите обратный пример (модификация анонсируемого по bgp префикса) - http://blog.internetworkexpert.com/2008/01/25/bgp-time-based-policy-routing/

Question of the day

noreply@blogger.com (invalidCCIE) — Wed, 04 Nov 2009 14:10:00 +0000

вопрос:

какие значения соответствуют "стандартным" коммюнити no-export, no-advertise, local-as, internet?

ответ:
no-export=0xFFFFFF01
no-advertise=0xFFFFFF02
local-as=0xFFFFFF03
internet=0

EIGRP hidden commands

noreply@blogger.com (invalidCCIE) — Mon, 26 Oct 2009 11:19:00 +0000

случайно нашел еще одну "скрытую" команду связанную с eigrp:


BBR1#sh ip ei eve
Event information for AS 1:
1    11:22:36.267 Poison squashed: 10.97.97.0/24 reverse
2    11:22:34.259 Poison squashed: 172.31.1.0/24 reverse
3    11:22:34.243 Change queue emptied, entries: 1
4    11:22:34.243 Metric set: 10.97.97.0/24 281600
5    11:22:34.243 Update reason, delay: new if 4294967295
6    11:22:34.243 Update sent, RD: 10.97.97.0/24 4294967295
7    11:22:34.243 Update reason, delay: metric chg 4294967295
8    11:22:34.243 Update sent, RD: 10.97.97.0/24 4294967295
9    11:22:34.243 Route install: 10.97.97.0/24 10.254.0.3

ASA: change https/ASDM certificate

noreply@blogger.com (invalidCCIE) — Thu, 22 Oct 2009 06:33:00 +0000

по-умолчанию, аса использует самоподписанный сертификат при подключении по https/asdm. краткая инструкция как это исправить.

1) получаем законный сертификат
а) добавляем центр сертификации:


(config)# crypto ca trustpoint CorpCA
(config-ca-trustpoint)# enrollment url http://172.26.26.50/certsrv/mscep/mscep.dll

b) подтверждаем сертификат CorpCA


crypto ca authenticate CorpCA
Do you accept this certificate? [yes/no]: yes

c) указываем атрибуты для своего будущего сертификата


(config)# crypto ca trustpoint CorpCA
(config-ca-trustpoint)# subject-name cn=CORP-ASA

d) запрашиваем сертификат


(config)# crypto ca enroll CorpCA
%                                                                          
% Start certificate enrollment ..                                          
% Create a challenge password. You will need to verbally provide this      
password to the CA Administrator in order to revoke your certificate.   
For security reasons your password will not be saved in the configuration.
Please make a note of it.                                               
Password:                                                                  
Re-enter password:                                                         

% The subject name in the certificate will be: cn=CORP-ASA

% The fully-qualified domain name in the certificate will be: CORP-ASA

% Include the device serial number in the subject name? [yes/no]: no

Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority

2) привязываем свой сертификат к интерфейсу


(config)# ssl trust-point ASA inside

ASA QoS

noreply@blogger.com (invalidCCIE) — Tue, 20 Oct 2009 05:27:00 +0000

проводя курс на асе с прошивкой 8.2, заметил некоторые изменения в списке доступных действий MPF layer3/4 policy-map:


ASA-CO2(config)# policy-map test
ASA-CO2(config-pmap)# class class-default
ASA-CO2(config-pmap-c)# ?            

MPF policy-map class configuration commands:
 csc             Content Security and Control service module
 exit            Exit from MPF class action configuration mode
 flow-export     Configure filters for NetFlow events     
 help            Help for MPF policy-map class/match submode commands
 inspect         Protocol inspection services
 ips             Intrusion prevention services
 no              Negate or set default values of a command
 police          Rate limit traffic for this class
 priority        Strict scheduling priority for this class
 quit            Exit from MPF class action configuration mode
 service-policy  Configure QoS Service Policy
 set             Set connection values
  shape           Traffic Shaping
ASA-CO2(config-pmap-c)# shape ?

mpf-policy-map-class mode commands/options:
 average  configure token bucket: CIR (bps) [Bc (bits)], send out Bc only per
          interval
ASA-CO2(config-pmap-c)# shape average ?

mpf-policy-map-class mode commands/options:
 <64000-154400000>  Target Bit Rate (bits per second), the value needs to be
                  multiple of 8000
ASA-CO2(config-pmap-c)# shape average 200000 ?

mpf-policy-map-class mode commands/options:
 <2048-154400000>  bits per interval, sustained. Needs to be multiple of 128.
                   Recommend not to configure it, the algorithm will find out
                   the best value

ASA-CO2(config-pmap-c)# shape average 200000
ASA-CO2(config-pmap-c)#

на асах наконец-то появился шейпинг! :)