<p>Ultima cosa prima di provarlo a fare: posso dire nella policy oltre all'origine del traffico anche la sua destinazione per applicare lo Shaping?</p>
<p>Inviato da Sgs 2</p>
<div class="gmail_quote">Il giorno 06/dic/2012 13:56, "Stefano Ninux" <<a href="mailto:stefano@ninux.org">stefano@ninux.org</a>> ha scritto:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div bgcolor="#FFFFFF" text="#000000">
<div>No! Alla seconda non ci arriverà mai
perchè matcha sempre la prima.<br>
Tra l'altro quel 10 iniziale è un numero progressivo quindi deve
essere 10, 20, etc...<br>
<br>
Lo scopo dell'ACL è quello di classificare il traffico quindi devi
mettere solo le subnet a cui vuoi che venga applicato il
policing/shaping.<br>
Se vuoi classificare il traffico della <a href="http://10.135.2.0/24" target="_blank">10.135.2.0/24</a> per applicare
lo shaping devi fare:<br>
<br>
<div>ip access-list standard pippo<br>
permit 10.135.2.0 0.0.0.255<br>
<br>
Se invere vuoi classificare tutto il traffico della <a href="http://10.0.0.0/8" target="_blank">10.0.0.0/8</a>
tranne la <a href="http://10.135.2.0/24" target="_blank">10.135.2.0/24</a> devi fare:<br>
<br>
ip access-list standard pippo<br>
deny ip 10.135.2.0 0.0.0.255<br>
permit 10.0.0.0 0.0.0.255<br>
<br>
ricordati che alla fine c'è il deny implicito.<br>
<br>
Comunque non penso sia l'ideale fare configurazioni
"semi-avanzate" senza le basi... guardati le ACL e i concetti
delle wildcard mask altrimenti rischi di impiegare una vita per
fare una cosa che in realtà richiede 5 minuti. ;-)<br>
</div>
<br>
Se vuoi ho un corso Cisco ad un ottimo prezzo che parte tra
poco....!! auhauahuahua :-P<br>
<br>
Ciae.<br>
<br>
Il 12/6/12 1:03 PM, Alessandro Gnagni ha scritto:<br>
</div>
<blockquote type="cite">
<div>
<div>quindi se faccio:</div>
<div> </div>
<div>ip access-list standard pippo</div>
<div>10 permit 10.0.0.0 0.255.255.255</div>
<div>10 deny 10.135.2.0 0.0.0.255</div>
<div> </div>
<div>la regola di shaping a cui associo questa access list si
applicherà a tutta la <a href="http://10.0.0.0/8" target="_blank">10.0.0.0/8</a> esclusa la subnet
indicata?</div>
<div> </div>
<div>L’intervallo di tempo indicato in peak è un valore
standard?</div>
<div> </div>
<div>Grazie</div>
<div>
<div> </div>
<div>Inviata da Windows Mail</div>
<div> </div>
</div>
<div style="border-top-color:rgb(225,225,225);border-top-width:1px;border-top-style:solid">
<strong>Da:</strong> Stefano Ninux <<a href="mailto:stefano@ninux.org" target="_blank">stefano@ninux.org</a>><br>
<strong>Data invio:</strong> 6-dic-12 12.46<br>
<strong>A:</strong> Alessandro Gnagni <<a href="mailto:enterprise.nx@gmail.com" target="_blank">enterprise.nx@gmail.com</a>><br>
<strong>Cc:</strong> <a href="mailto:not-wireless@ml.ninux.org" target="_blank">not-wireless@ml.ninux.org</a><br>
<strong>Oggetto:</strong> Re: [ninux-roma] Configurazione di
class based traffic policing su router cisco<br>
</div>
<div>
</div>
<div>
<div>Per le Acl si usa la wildcard mask che ti da grande
flessibilità per la classificazione del traffico rispetto
alla classica ACL (e non è solo l'inverso della subnet mask
come molti pensano).<br>
Se ad esempio hai una <a href="http://192.168.1.0/24" target="_blank">192.168.1.0/24</a>
e vuoi prendere solo la prima parte della subnet ti basta
dare:<br>
<br>
ip access-list standard pippo <br>
10 permit ip 192.168.1.0 0.0.0.127<br>
<br>
Questo significa nel dettaglio: solo i bit a 0 devono
matchare con l'indirizzo target (quello che arriva al
router) il resto fregatene. <br>
L'Acl in questo caso ti serve solo per Classificare e
quinidi non hai bisogno di applicarla in in/out su
un'interfaccia, la direzioni la deciderai applicando
all'interfaccia la policy map che configuri.<br>
<br>
Il comando è <span>
<p><b>shape</b> <span>[</span><b style="font-style:normal">average</b> <span style="font-style:normal">|</span> <b>peak</b><span style="font-weight:normal">]</span> <em style="font-weight:bold">mean-rate</em> <span>[[</span><em>burst-size</em><span>]
[</span><em>excess-burst-size</em><span>]] </span></p>
</span>in cui <br>
<br>
peak = <span>BC (Committent Burst) + Excess Burst</span>
(BE) è il numero massimo di bit inviati in un intervallo di
tempo<br>
<br>
mean-rate = E la banda entro la quale vuoi stare <span></span>
(per FR è il famoso CIR)<br>
<br>
burst-size= Il numero di bit in un intervallo di tempo <br>
<br>
excess-burst- <span>size = il numero di bit che possono
andare oltre il BE (Excess-Burst)</span><br>
<br>
I valori sono in bit quindi se scrivi 256000 significa
256Kbps <span></span>.<br>
<br>
Ciae<br>
<br>
Il 12/6/12 2:25 AM, Alessandro Gnagni ha scritto:<br>
</div>
<blockquote>
<pre>1 - posso definire un acl come tutta una subnet meno una sua parte?
2 - devo definire sempre nella acl se applicare a traffico inbound o
outbound?
3 - nello shaping se do: shape peak x y significa che superato x con
quantità y applico shaping? con che scala inserisco quei numeri?
Thx
Sto iniziando ora a studiare le reti più a fondo e ancora non siamo
arrivati alle access list.
Il 06/12/2012 02.15, Stefano Ninux ha scritto:
</pre>
<blockquote>
<pre>C'è una differenza sostianziale da fare: policing o shaping.
Con il policing, quando il traffico raggiunge la velocità massima
configurata (rate limit), il traffico in eccesso viene in genere
droppato o rimarcato (marking). Il risultato è una velocità in outbound
che è sicuramente sotto il rate limit ma solo per quel traffico che
tende ad andare oltre il rate limitconfigurato. A differenza del
policing, il traffic shaping mantiene i pacchetti che tendono a superare
il rate limit in eccesso in una coda (queing) e ne schedula l'uscita
degli stessi secondo le regole che gli vengono indicate. Il risultato
del traffic shaping è che si ha una velocità di uscita sotto ad un certo
rate limit ma con l'utilizzo di molte più risorse e molto più costante
per tutto il flusso del traffico.
Quello che vuoi fare tu è in pratica lo shaping del traffico e lo si fa
semplicemente creando un'ACL per classificare il traffico e creando
successivamente una class-map per la definizione della classe di
servizio a cui vuoi dare il rate-limit (nel tuo caso penso tutto il
traffico). Ti riporto una semplice configurazione e te la scrivo in
linea generale per darti un'idea, se hai problemi chiedi pure:
class-map shappol
match access-group 101 //101 è il numero dell'ACL che hai creato per
classificare il traffico
policy-map pippo
class shappol
priority 1000 //garantisci una "banda minima" di 100K
*** cosi configuri il traffic policing ***
policy-map Policing
class class-default
police 3300000 103000 103000 conform-action transmit exceed-action
drop // *il comando è: police* /bps burst-normal burst-max/
*conform-action***action*exceed-action***action violate-action**action
service-policy pippo
*** cosi configuri lo shaping ***
policy-map parent
class class-default
shape average 3300000 103000 0 // il comando è:*shape* [*average* |
*peak*] /mean-rate/ [[/burst-size/] [/excess-burst-size/]]
service-policy pippo
Te l'ho generalizzato molto ma nel caso di configurazioni complesse i
valori che inserisci li dovresti tirare fuori anche in base alla
velocità di aggiornamento dei token (policing e shaping utilizzano
l'algoritmo token bucket).
Ciae
Il 12/5/12 8:50 PM, Alessandro Gnagni ha scritto:
</pre>
<blockquote>
<pre>Vorrei impostare che tutti gli ip della rete interna che non ricadono in
un range abbiano un limite alla banda in download e upload che possono
usare.
Cisco877#sh hardware
Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version
12.4(15)T12, RELEASE SOFTWARE (fc3)
Technical Support: <a href="http://www.cisco.com/techsupport" target="_blank">http://www.cisco.com/techsupport</a>
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Fri 22-Jan-10 12:32 by prod_rel_team
ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE
Cisco877 uptime is 1 day, 39 minutes
System returned to ROM by power-on
System restarted at 20:09:28 GMT Tue Dec 4 2012
System image file is "flash:c870-advsecurityk9-mz.124-15.T12.bin"
Il 05/12/2012 13.20, Stefano Ninux ha scritto:
</pre>
<blockquote>
<pre>Qual'è il tuo obiettivo? Cosa vuoi fare esattamente?
Che modello di router hai e che versione dell'IOS?
P.S. Non mi sembra che comunque questa sia una discussione da
nodi-roma... ma più da not-wireless...
Il 12/4/12 11:16 PM, Alessandro Gnagni ha scritto:
</pre>
<blockquote>
<pre>Qualcuno ha esperienza di configurazione di Class-Based Traffic Policing
(CBTP) su router cisco?
volevo provare a fare una configurazione a casa e se magari qualcuno mi
dava un consiglio o una configurazione già funzionante su altra macchina
potrei fare reverse engineering e provare a farlo da solo per imparare.
Thx
</pre>
</blockquote>
</blockquote>
</blockquote>
</blockquote>
</blockquote>
<br>
</div>
</div>
</blockquote>
<br>
</div>
</blockquote></div>