[ninux-not-wireless] [ninux-roma] Configurazione di class based traffic policing su router cisco

[Alessandro Gnagni]

quindi se faccio:

ip access-list standard pippo
10 permit 10.0.0.0 0.255.255.255
10 deny 10.135.2.0 0.0.0.255

la regola di shaping a cui associo questa access list si applicherà a tutta
la 10.0.0.0/8 esclusa la subnet indicata?

L’intervallo di tempo indicato in peak è un valore standard?

Grazie

Inviata da Windows Mail

 *Da:* Stefano Ninux <stefano at ninux.org>
*Data invio:* 6-dic-12 12.46
*A:* Alessandro Gnagni <enterprise.nx at gmail.com>
*Cc:* not-wireless at ml.ninux.org
*Oggetto:* Re: [ninux-roma] Configurazione di class based traffic policing
su router cisco

 Per le Acl si usa la wildcard mask che ti da grande flessibilità per la
classificazione del traffico rispetto alla classica ACL (e non è solo
l'inverso della subnet mask come molti pensano).
Se ad esempio hai una 192.168.1.0/24 e vuoi prendere solo la prima parte
della subnet ti basta dare:

ip access-list standard pippo
10 permit ip 192.168.1.0 0.0.0.127

Questo significa nel dettaglio: solo i bit a 0 devono matchare con
l'indirizzo target (quello che arriva al router) il resto fregatene.
L'Acl in questo caso ti serve solo per Classificare e quinidi non hai
bisogno di applicarla in in/out su un'interfaccia, la direzioni la
deciderai applicando all'interfaccia la policy map che configuri.

Il comando è

*shape* [*average* | *peak*] *mean-rate* [[*burst-size*] [*excess-burst-size
*]]
in cui

peak = BC (Committent Burst) + Excess Burst (BE) è il numero massimo di bit
inviati in un intervallo di tempo

mean-rate = E la banda entro la quale vuoi stare (per FR è il famoso CIR)

burst-size= Il numero di bit in un intervallo di tempo

excess-burst- size = il numero di bit che possono andare oltre il BE
(Excess-Burst)

I valori sono in bit quindi se scrivi 256000 significa 256Kbps .

Ciae

Il 12/6/12 2:25 AM, Alessandro Gnagni ha scritto:

1 - posso definire un acl come tutta una subnet meno una sua parte?
2 - devo definire sempre nella acl se applicare a traffico inbound o
outbound?
3 - nello shaping se do: shape peak x y significa che superato x con
quantità y applico shaping? con che scala inserisco quei numeri?

Thx


Sto iniziando ora a studiare le reti più a fondo e ancora non siamo
arrivati alle access list.


Il 06/12/2012 02.15, Stefano Ninux ha scritto:

 C'è una differenza sostianziale da fare: policing o shaping.

Con il policing, quando il traffico raggiunge la velocità massima
configurata (rate limit), il traffico in eccesso viene in genere
droppato o rimarcato (marking). Il risultato è una velocità in outbound
che è sicuramente sotto il rate limit ma solo per quel traffico che
tende ad andare oltre il rate limitconfigurato. A differenza del
policing, il traffic shaping mantiene i pacchetti che tendono a superare
il rate limit in eccesso in una coda (queing) e ne schedula l'uscita
degli stessi secondo le regole che gli vengono indicate. Il risultato
del traffic shaping è che si ha una velocità di uscita sotto ad un certo
rate limit ma con l'utilizzo di molte più risorse e molto più costante
per tutto il flusso del traffico.

Quello che vuoi fare tu è in pratica lo shaping del traffico e lo si fa
semplicemente creando un'ACL per classificare il traffico e creando
successivamente una class-map per la definizione della classe di
servizio a cui vuoi dare il rate-limit (nel tuo caso penso tutto il
traffico). Ti riporto una semplice configurazione e te la scrivo in
linea generale per darti un'idea, se hai problemi chiedi pure:

class-map shappol
   match access-group 101 //101 è il numero dell'ACL che hai creato per
classificare il traffico

policy-map pippo
   class shappol
     priority 1000 //garantisci una "banda minima" di 100K

*** cosi configuri il traffic policing ***
 policy-map Policing
   class class-default
     police 3300000 103000 103000 conform-action transmit exceed-action
drop // *il comando è: police* /bps burst-normal burst-max/
*conform-action***action*exceed-action***action violate-action**action
     service-policy pippo

*** cosi configuri lo shaping ***
policy-map parent
    class class-default
     shape average 3300000 103000 0 // il comando è:*shape* [*average* |
*peak*] /mean-rate/ [[/burst-size/] [/excess-burst-size/]]
     service-policy pippo

Te l'ho generalizzato molto ma nel caso di configurazioni complesse i
valori che inserisci li dovresti tirare fuori anche in base alla
velocità di aggiornamento dei token (policing e shaping utilizzano
l'algoritmo token bucket).

Ciae

Il 12/5/12 8:50 PM, Alessandro Gnagni ha scritto:

 Vorrei impostare che tutti gli ip della rete interna che non ricadono in
un range abbiano un limite alla banda in download e upload che possono
usare.


Cisco877#sh hardware
Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version
12.4(15)T12, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Fri 22-Jan-10 12:32 by prod_rel_team

ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE

Cisco877 uptime is 1 day, 39 minutes
System returned to ROM by power-on
System restarted at 20:09:28 GMT Tue Dec 4 2012
System image file is "flash:c870-advsecurityk9-mz.124-15.T12.bin"








Il 05/12/2012 13.20, Stefano Ninux ha scritto:

 Qual'è il tuo obiettivo?  Cosa vuoi fare esattamente?

Che modello di router hai e che versione dell'IOS?

P.S. Non mi sembra che comunque questa sia una discussione da
nodi-roma... ma più da not-wireless...

Il 12/4/12 11:16 PM, Alessandro Gnagni ha scritto:

 Qualcuno ha esperienza di configurazione di Class-Based Traffic Policing
(CBTP) su router cisco?
volevo provare a fare una configurazione a casa e se magari qualcuno mi
dava un consiglio o una configurazione già funzionante su altra macchina
potrei fare reverse engineering e provare a farlo da solo per imparare.
Thx
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://ml.ninux.org/pipermail/not-wireless/attachments/20121206/cd81a3bd/attachment-0001.html>