
<p>Da studiare!</p>

<p>Inviato da Sgs 2</p>

<div class="gmail_quote">Il giorno 07/dic/2012 19:07, "Saverio Proto" <<a href="mailto:zioproto@gmail.com">zioproto@gmail.com</a>> ha scritto:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Leggiti questo per iniziare<br>

<a href="http://www.noc.garr.it/index.php?option=com_content&view=article&id=116:guida-access-list&catid=57:guide&Itemid=129" target="_blank">http://www.noc.garr.it/index.php?option=com_content&view=article&id=116:guida-access-list&catid=57:guide&Itemid=129</a><br>


<br>

Saverio<br>

<br>

<br>

Il 07 dicembre 2012 18:57, Alessandro Gnagni <<a href="mailto:enterprise.nx@gmail.com">enterprise.nx@gmail.com</a>><br>

ha scritto:<br>

> Quindi dovrò fare due policy, una per traffico in e una out. Giusto?<br>

><br>

> Inviato da Sgs 2<br>

><br>

> Il giorno 07/dic/2012 18:48, "Stefano Ninux" <<a href="mailto:stefano@ninux.org">stefano@ninux.org</a>> ha scritto:<br>

><br>

>> Se vuoi specificare che lo shaping deve essere fatto solo per il traffico<br>

>> che va verso una particolare destinazione lo fai nell'ACL che invece di<br>

>> essere standard la deve essere estesa...<br>

>><br>

>> ip access-list extended pippo<br>

>> permit 10.135.2.0 0.0.0.255 <rete_di_destinazione> <wildcard_mask><br>

>><br>

>> ;-)<br>

>><br>

>> Il 12/7/12 6:41 PM, Alessandro Gnagni ha scritto:<br>

>><br>

>> Ultima cosa prima di provarlo a fare: posso dire nella policy oltre<br>

>> all'origine del traffico anche la sua destinazione per applicare lo Shaping?<br>

>><br>

>> Inviato da Sgs 2<br>

>><br>

>> Il giorno 06/dic/2012 13:56, "Stefano Ninux" <<a href="mailto:stefano@ninux.org">stefano@ninux.org</a>> ha<br>

>> scritto:<br>

>>><br>

>>> No! Alla seconda non ci arriverà mai perchè matcha sempre la prima.<br>

>>> Tra l'altro quel 10 iniziale è un numero progressivo quindi deve essere<br>

>>> 10, 20, etc...<br>

>>><br>

>>> Lo scopo dell'ACL è quello di classificare il traffico quindi devi<br>

>>> mettere solo le subnet a cui vuoi che venga applicato il policing/shaping.<br>

>>> Se vuoi classificare il traffico della <a href="http://10.135.2.0/24" target="_blank">10.135.2.0/24</a> per applicare lo<br>

>>> shaping devi fare:<br>

>>><br>

>>> ip access-list standard pippo<br>

>>> permit 10.135.2.0 0.0.0.255<br>

>>><br>

>>> Se invere vuoi classificare tutto il traffico della <a href="http://10.0.0.0/8" target="_blank">10.0.0.0/8</a> tranne la<br>

>>> <a href="http://10.135.2.0/24" target="_blank">10.135.2.0/24</a> devi fare:<br>

>>><br>

>>> ip access-list standard pippo<br>

>>> deny ip 10.135.2.0 0.0.0.255<br>

>>> permit 10.0.0.0 0.0.0.255<br>

>>><br>

>>> ricordati che alla fine c'è il deny implicito.<br>

>>><br>

>>> Comunque non penso sia l'ideale fare configurazioni "semi-avanzate" senza<br>

>>> le basi... guardati le ACL e i concetti delle wildcard mask altrimenti<br>

>>> rischi di impiegare una vita per fare una cosa che in realtà richiede 5<br>

>>> minuti. ;-)<br>

>>><br>

>>> Se vuoi ho un corso Cisco ad un ottimo prezzo che parte tra poco....!!<br>

>>> auhauahuahua :-P<br>

>>><br>

>>> Ciae.<br>

>>><br>

>>> Il 12/6/12 1:03 PM, Alessandro Gnagni ha scritto:<br>

>>><br>

>>> quindi se faccio:<br>

>>><br>

>>> ip access-list standard pippo<br>

>>> 10 permit 10.0.0.0 0.255.255.255<br>

>>> 10 deny 10.135.2.0 0.0.0.255<br>

>>><br>

>>> la regola di shaping a cui associo questa access list si applicherà a<br>

>>> tutta la <a href="http://10.0.0.0/8" target="_blank">10.0.0.0/8</a> esclusa la subnet indicata?<br>

>>><br>

>>> L’intervallo di tempo indicato in peak è un valore standard?<br>

>>><br>

>>> Grazie<br>

>>><br>

>>> Inviata da Windows Mail<br>

>>><br>

>>> Da: Stefano Ninux <<a href="mailto:stefano@ninux.org">stefano@ninux.org</a>><br>

>>> Data invio: 6-dic-12 12.46<br>

>>> A: Alessandro Gnagni <<a href="mailto:enterprise.nx@gmail.com">enterprise.nx@gmail.com</a>><br>

>>> Cc: <a href="mailto:not-wireless@ml.ninux.org">not-wireless@ml.ninux.org</a><br>

>>> Oggetto: Re: [ninux-roma] Configurazione di class based traffic policing<br>

>>> su router cisco<br>

>>><br>

>>> Per le Acl si usa la wildcard mask che ti da grande flessibilità per la<br>

>>> classificazione del traffico rispetto alla classica ACL (e non è solo<br>

>>> l'inverso della subnet mask come molti pensano).<br>

>>> Se ad esempio hai una <a href="http://192.168.1.0/24" target="_blank">192.168.1.0/24</a> e vuoi prendere solo la prima parte<br>

>>> della subnet ti basta dare:<br>

>>><br>

>>> ip access-list standard pippo<br>

>>> 10 permit ip 192.168.1.0 0.0.0.127<br>

>>><br>

>>> Questo significa nel dettaglio: solo i bit a 0 devono matchare con<br>

>>> l'indirizzo target (quello che arriva al router) il resto fregatene.<br>

>>> L'Acl in questo caso ti serve solo per Classificare e quinidi non hai<br>

>>> bisogno di applicarla in in/out su un'interfaccia, la direzioni la deciderai<br>

>>> applicando all'interfaccia la policy map che configuri.<br>

>>><br>

>>> Il comando è<br>

>>><br>

>>> shape [average | peak] mean-rate [[burst-size] [excess-burst-size]]<br>

>>><br>

>>> in cui<br>

>>><br>

>>> peak = BC (Committent Burst) + Excess Burst (BE) è il numero massimo di<br>

>>> bit inviati in un intervallo di tempo<br>

>>><br>

>>> mean-rate = E la banda entro la quale vuoi stare (per FR è il famoso CIR)<br>

>>><br>

>>> burst-size= Il numero di bit in un intervallo di tempo<br>

>>><br>

>>> excess-burst- size = il numero di bit che possono andare oltre il BE<br>

>>> (Excess-Burst)<br>

>>><br>

>>> I valori sono in bit quindi se scrivi 256000 significa 256Kbps .<br>

>>><br>

>>> Ciae<br>

>>><br>

>>> Il 12/6/12 2:25 AM, Alessandro Gnagni ha scritto:<br>

>>><br>

>>> 1 - posso definire un acl come tutta una subnet meno una sua parte?<br>

>>> 2 - devo definire sempre nella acl se applicare a traffico inbound o<br>

>>> outbound?<br>

>>> 3 - nello shaping se do: shape peak x y significa che superato x con<br>

>>> quantità y applico shaping? con che scala inserisco quei numeri?<br>

>>><br>

>>> Thx<br>

>>><br>

>>><br>

>>> Sto iniziando ora a studiare le reti più a fondo e ancora non siamo<br>

>>> arrivati alle access list.<br>

>>><br>

>>><br>

>>> Il 06/12/2012 02.15, Stefano Ninux ha scritto:<br>

>>><br>

>>> C'è una differenza sostianziale da fare: policing o shaping.<br>

>>><br>

>>> Con il policing, quando il traffico raggiunge la velocità massima<br>

>>> configurata (rate limit), il traffico in eccesso viene in genere<br>

>>> droppato o rimarcato (marking). Il risultato è una velocità in outbound<br>

>>> che è sicuramente sotto il rate limit ma solo per quel traffico che<br>

>>> tende ad andare oltre il rate limitconfigurato. A differenza del<br>

>>> policing, il traffic shaping mantiene i pacchetti che tendono a superare<br>

>>> il rate limit in eccesso in una coda (queing) e ne schedula l'uscita<br>

>>> degli stessi secondo le regole che gli vengono indicate. Il risultato<br>

>>> del traffic shaping è che si ha una velocità di uscita sotto ad un certo<br>

>>> rate limit ma con l'utilizzo di molte più risorse e molto più costante<br>

>>> per tutto il flusso del traffico.<br>

>>><br>

>>> Quello che vuoi fare tu è in pratica lo shaping del traffico e lo si fa<br>

>>> semplicemente creando un'ACL per classificare il traffico e creando<br>

>>> successivamente una class-map per la definizione della classe di<br>

>>> servizio a cui vuoi dare il rate-limit (nel tuo caso penso tutto il<br>

>>> traffico). Ti riporto una semplice configurazione e te la scrivo in<br>

>>> linea generale per darti un'idea, se hai problemi chiedi pure:<br>

>>><br>

>>> class-map shappol<br>

>>>    match access-group 101 //101 è il numero dell'ACL che hai creato per<br>

>>> classificare il traffico<br>

>>><br>

>>> policy-map pippo<br>

>>>    class shappol<br>

>>>      priority 1000 //garantisci una "banda minima" di 100K<br>

>>><br>

>>> *** cosi configuri il traffic policing ***<br>

>>>  policy-map Policing<br>

>>>    class class-default<br>

>>>      police 3300000 103000 103000 conform-action transmit exceed-action<br>

>>> drop // *il comando è: police* /bps burst-normal burst-max/<br>

>>> *conform-action***action*exceed-action***action violate-action**action<br>

>>>      service-policy pippo<br>

>>><br>

>>> *** cosi configuri lo shaping ***<br>

>>> policy-map parent<br>

>>>     class class-default<br>

>>>      shape average 3300000 103000 0 // il comando è:*shape* [*average* |<br>

>>> *peak*] /mean-rate/ [[/burst-size/] [/excess-burst-size/]]<br>

>>>      service-policy pippo<br>

>>><br>

>>> Te l'ho generalizzato molto ma nel caso di configurazioni complesse i<br>

>>> valori che inserisci li dovresti tirare fuori anche in base alla<br>

>>> velocità di aggiornamento dei token (policing e shaping utilizzano<br>

>>> l'algoritmo token bucket).<br>

>>><br>

>>> Ciae<br>

>>><br>

>>> Il 12/5/12 8:50 PM, Alessandro Gnagni ha scritto:<br>

>>><br>

>>> Vorrei impostare che tutti gli ip della rete interna che non ricadono in<br>

>>> un range abbiano un limite alla banda in download e upload che possono<br>

>>> usare.<br>

>>><br>

>>><br>

>>> Cisco877#sh hardware<br>

>>> Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version<br>

>>> 12.4(15)T12, RELEASE SOFTWARE (fc3)<br>

>>> Technical Support: <a href="http://www.cisco.com/techsupport" target="_blank">http://www.cisco.com/techsupport</a><br>

>>> Copyright (c) 1986-2010 by Cisco Systems, Inc.<br>

>>> Compiled Fri 22-Jan-10 12:32 by prod_rel_team<br>

>>><br>

>>> ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE<br>

>>><br>

>>> Cisco877 uptime is 1 day, 39 minutes<br>

>>> System returned to ROM by power-on<br>

>>> System restarted at 20:09:28 GMT Tue Dec 4 2012<br>

>>> System image file is "flash:c870-advsecurityk9-mz.124-15.T12.bin"<br>

>>><br>

>>><br>

>>><br>

>>><br>

>>><br>

>>><br>

>>><br>

>>><br>

>>> Il 05/12/2012 13.20, Stefano Ninux ha scritto:<br>

>>><br>

>>> Qual'è il tuo obiettivo?  Cosa vuoi fare esattamente?<br>

>>><br>

>>> Che modello di router hai e che versione dell'IOS?<br>

>>><br>

>>> P.S. Non mi sembra che comunque questa sia una discussione da<br>

>>> nodi-roma... ma più da not-wireless...<br>

>>><br>

>>> Il 12/4/12 11:16 PM, Alessandro Gnagni ha scritto:<br>

>>><br>

>>> Qualcuno ha esperienza di configurazione di Class-Based Traffic Policing<br>

>>> (CBTP) su router cisco?<br>

>>> volevo provare a fare una configurazione a casa e se magari qualcuno mi<br>

>>> dava un consiglio o una configurazione già funzionante su altra macchina<br>

>>> potrei fare reverse engineering e provare a farlo da solo per imparare.<br>

>>> Thx<br>

>>><br>

>>><br>

>>><br>

>><br>

><br>

> _______________________________________________<br>

> Not-wireless mailing list<br>

> <a href="mailto:Not-wireless@ml.ninux.org">Not-wireless@ml.ninux.org</a><br>

> <a href="http://ml.ninux.org/mailman/listinfo/not-wireless" target="_blank">http://ml.ninux.org/mailman/listinfo/not-wireless</a><br>

><br>

_______________________________________________<br>

Not-wireless mailing list<br>

<a href="mailto:Not-wireless@ml.ninux.org">Not-wireless@ml.ninux.org</a><br>

<a href="http://ml.ninux.org/mailman/listinfo/not-wireless" target="_blank">http://ml.ninux.org/mailman/listinfo/not-wireless</a><br>

</blockquote></div>