[ninux-not-wireless] [ninux-roma] Configurazione di class based traffic policing su router cisco

[Stefano Ninux]

Per le Acl si usa la wildcard mask che ti da grande flessibilità per la
classificazione del traffico rispetto alla classica ACL (e non è solo
l'inverso della subnet mask come molti pensano).
Se ad esempio hai una 192.168.1.0/24 e vuoi prendere solo la prima parte
della subnet ti basta dare:

ip access-list standard pippo
10 permit ip 192.168.1.0 0.0.0.127

Questo significa nel dettaglio: solo i bit a 0 devono matchare con
l'indirizzo target (quello che arriva al router) il resto fregatene.
L'Acl in questo caso ti serve solo per Classificare e quinidi non hai
bisogno di applicarla in in/out su un'interfaccia, la direzioni la
deciderai applicando all'interfaccia la policy map che configuri.

Il comando è

*shape* [*average* | *peak*] /mean-rate/ [[/burst-size/]
[/excess-burst-size/]]

in cui

peak = BC (Committent Burst) + Excess Burst (BE) è il numero massimo di
bit inviati in un intervallo di tempo

mean-rate = E la banda entro la quale vuoi stare (per FR è il famoso CIR)

burst-size= Il numero di bit in un intervallo di tempo

excess-burst- size = il numero di bit che possono andare oltre il BE
(Excess-Burst)

I valori sono in bit quindi se scrivi 256000 significa 256Kbps .

Ciae

Il 12/6/12 2:25 AM, Alessandro Gnagni ha scritto:
> 1 - posso definire un acl come tutta una subnet meno una sua parte?
> 2 - devo definire sempre nella acl se applicare a traffico inbound o
> outbound?
> 3 - nello shaping se do: shape peak x y significa che superato x con
> quantità y applico shaping? con che scala inserisco quei numeri?
>
> Thx
>
>
> Sto iniziando ora a studiare le reti più a fondo e ancora non siamo
> arrivati alle access list.
>
>
> Il 06/12/2012 02.15, Stefano Ninux ha scritto:
>> C'è una differenza sostianziale da fare: policing o shaping.
>>
>> Con il policing, quando il traffico raggiunge la velocità massima
>> configurata (rate limit), il traffico in eccesso viene in genere
>> droppato o rimarcato (marking). Il risultato è una velocità in outbound
>> che è sicuramente sotto il rate limit ma solo per quel traffico che
>> tende ad andare oltre il rate limitconfigurato. A differenza del
>> policing, il traffic shaping mantiene i pacchetti che tendono a superare
>> il rate limit in eccesso in una coda (queing) e ne schedula l'uscita
>> degli stessi secondo le regole che gli vengono indicate. Il risultato
>> del traffic shaping è che si ha una velocità di uscita sotto ad un certo
>> rate limit ma con l'utilizzo di molte più risorse e molto più costante
>> per tutto il flusso del traffico.
>>
>> Quello che vuoi fare tu è in pratica lo shaping del traffico e lo si fa
>> semplicemente creando un'ACL per classificare il traffico e creando
>> successivamente una class-map per la definizione della classe di
>> servizio a cui vuoi dare il rate-limit (nel tuo caso penso tutto il
>> traffico). Ti riporto una semplice configurazione e te la scrivo in
>> linea generale per darti un'idea, se hai problemi chiedi pure:
>>
>> class-map shappol
>>    match access-group 101 //101 è il numero dell'ACL che hai creato per
>> classificare il traffico
>>
>> policy-map pippo
>>    class shappol   
>>      priority 1000 //garantisci una "banda minima" di 100K
>>  
>> *** cosi configuri il traffic policing ***
>>  policy-map Policing
>>    class class-default
>>      police 3300000 103000 103000 conform-action transmit exceed-action
>> drop // *il comando è: police* /bps burst-normal burst-max/
>> *conform-action***action*exceed-action***action violate-action**action
>>      service-policy pippo
>>     
>> *** cosi configuri lo shaping ***
>> policy-map parent
>>     class class-default
>>      shape average 3300000 103000 0 // il comando è:*shape* [*average* |
>> *peak*] /mean-rate/ [[/burst-size/] [/excess-burst-size/]]      
>>      service-policy pippo
>>
>> Te l'ho generalizzato molto ma nel caso di configurazioni complesse i
>> valori che inserisci li dovresti tirare fuori anche in base alla
>> velocità di aggiornamento dei token (policing e shaping utilizzano
>> l'algoritmo token bucket).
>>
>> Ciae
>>
>> Il 12/5/12 8:50 PM, Alessandro Gnagni ha scritto:
>>> Vorrei impostare che tutti gli ip della rete interna che non ricadono in
>>> un range abbiano un limite alla banda in download e upload che possono
>>> usare.
>>>
>>>
>>> Cisco877#sh hardware
>>> Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version
>>> 12.4(15)T12, RELEASE SOFTWARE (fc3)
>>> Technical Support: http://www.cisco.com/techsupport
>>> Copyright (c) 1986-2010 by Cisco Systems, Inc.
>>> Compiled Fri 22-Jan-10 12:32 by prod_rel_team
>>>
>>> ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE
>>>
>>> Cisco877 uptime is 1 day, 39 minutes
>>> System returned to ROM by power-on
>>> System restarted at 20:09:28 GMT Tue Dec 4 2012
>>> System image file is "flash:c870-advsecurityk9-mz.124-15.T12.bin"
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>> Il 05/12/2012 13.20, Stefano Ninux ha scritto:
>>>> Qual'è il tuo obiettivo?  Cosa vuoi fare esattamente?
>>>>
>>>> Che modello di router hai e che versione dell'IOS?
>>>>
>>>> P.S. Non mi sembra che comunque questa sia una discussione da
>>>> nodi-roma... ma più da not-wireless...
>>>>
>>>> Il 12/4/12 11:16 PM, Alessandro Gnagni ha scritto:
>>>>> Qualcuno ha esperienza di configurazione di Class-Based Traffic Policing
>>>>> (CBTP) su router cisco?
>>>>> volevo provare a fare una configurazione a casa e se magari qualcuno mi
>>>>> dava un consiglio o una configurazione già funzionante su altra macchina
>>>>> potrei fare reverse engineering e provare a farlo da solo per imparare.
>>>>> Thx

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://ml.ninux.org/pipermail/not-wireless/attachments/20121206/140da2b4/attachment-0001.html>