[ninux-not-wireless] [ninux-roma] Configurazione di class based traffic policing su router cisco
Stefano Ninux
stefano at ninux.org
Thu Dec 6 13:56:15 CET 2012
No! Alla seconda non ci arriverà mai perchè matcha sempre la prima.
Tra l'altro quel 10 iniziale è un numero progressivo quindi deve essere
10, 20, etc...
Lo scopo dell'ACL è quello di classificare il traffico quindi devi
mettere solo le subnet a cui vuoi che venga applicato il policing/shaping.
Se vuoi classificare il traffico della 10.135.2.0/24 per applicare lo
shaping devi fare:
ip access-list standard pippo
permit 10.135.2.0 0.0.0.255
Se invere vuoi classificare tutto il traffico della 10.0.0.0/8 tranne la
10.135.2.0/24 devi fare:
ip access-list standard pippo
deny ip 10.135.2.0 0.0.0.255
permit 10.0.0.0 0.0.0.255
ricordati che alla fine c'è il deny implicito.
Comunque non penso sia l'ideale fare configurazioni "semi-avanzate"
senza le basi... guardati le ACL e i concetti delle wildcard mask
altrimenti rischi di impiegare una vita per fare una cosa che in realtà
richiede 5 minuti. ;-)
Se vuoi ho un corso Cisco ad un ottimo prezzo che parte tra poco....!!
auhauahuahua :-P
Ciae.
Il 12/6/12 1:03 PM, Alessandro Gnagni ha scritto:
> quindi se faccio:
>
> ip access-list standard pippo
> 10 permit 10.0.0.0 0.255.255.255
> 10 deny 10.135.2.0 0.0.0.255
>
> la regola di shaping a cui associo questa access list si applicherà a
> tutta la 10.0.0.0/8 <http://10.0.0.0/8> esclusa la subnet indicata?
>
> L’intervallo di tempo indicato in peak è un valore standard?
>
> Grazie
>
> Inviata da Windows Mail
>
> *Da:* Stefano Ninux <stefano at ninux.org <mailto:stefano at ninux.org>>
> *Data invio:* 6-dic-12 12.46
> *A:* Alessandro Gnagni <enterprise.nx at gmail.com
> <mailto:enterprise.nx at gmail.com>>
> *Cc:* not-wireless at ml.ninux.org <mailto:not-wireless at ml.ninux.org>
> *Oggetto:* Re: [ninux-roma] Configurazione di class based traffic
> policing su router cisco
>
> Per le Acl si usa la wildcard mask che ti da grande flessibilità per
> la classificazione del traffico rispetto alla classica ACL (e non è
> solo l'inverso della subnet mask come molti pensano).
> Se ad esempio hai una 192.168.1.0/24 <http://192.168.1.0/24> e vuoi
> prendere solo la prima parte della subnet ti basta dare:
>
> ip access-list standard pippo
> 10 permit ip 192.168.1.0 0.0.0.127
>
> Questo significa nel dettaglio: solo i bit a 0 devono matchare con
> l'indirizzo target (quello che arriva al router) il resto fregatene.
> L'Acl in questo caso ti serve solo per Classificare e quinidi non hai
> bisogno di applicarla in in/out su un'interfaccia, la direzioni la
> deciderai applicando all'interfaccia la policy map che configuri.
>
> Il comando è
>
> *shape* [*average* | *peak*] /mean-rate/ [[/burst-size/]
> [/excess-burst-size/]]
>
> in cui
>
> peak = BC (Committent Burst) + Excess Burst (BE) è il numero massimo
> di bit inviati in un intervallo di tempo
>
> mean-rate = E la banda entro la quale vuoi stare (per FR è il famoso CIR)
>
> burst-size= Il numero di bit in un intervallo di tempo
>
> excess-burst- size = il numero di bit che possono andare oltre il BE
> (Excess-Burst)
>
> I valori sono in bit quindi se scrivi 256000 significa 256Kbps .
>
> Ciae
>
> Il 12/6/12 2:25 AM, Alessandro Gnagni ha scritto:
>
> 1 - posso definire un acl come tutta una subnet meno una sua parte?
> 2 - devo definire sempre nella acl se applicare a traffico inbound o
> outbound?
> 3 - nello shaping se do: shape peak x y significa che superato x con
> quantità y applico shaping? con che scala inserisco quei numeri?
>
> Thx
>
>
> Sto iniziando ora a studiare le reti più a fondo e ancora non siamo
> arrivati alle access list.
>
>
> Il 06/12/2012 02.15, Stefano Ninux ha scritto:
>
> C'è una differenza sostianziale da fare: policing o shaping.
>
> Con il policing, quando il traffico raggiunge la velocità massima
> configurata (rate limit), il traffico in eccesso viene in genere
> droppato o rimarcato (marking). Il risultato è una velocità in outbound
> che è sicuramente sotto il rate limit ma solo per quel traffico che
> tende ad andare oltre il rate limitconfigurato. A differenza del
> policing, il traffic shaping mantiene i pacchetti che tendono a superare
> il rate limit in eccesso in una coda (queing) e ne schedula l'uscita
> degli stessi secondo le regole che gli vengono indicate. Il risultato
> del traffic shaping è che si ha una velocità di uscita sotto ad un certo
> rate limit ma con l'utilizzo di molte più risorse e molto più costante
> per tutto il flusso del traffico.
>
> Quello che vuoi fare tu è in pratica lo shaping del traffico e lo si fa
> semplicemente creando un'ACL per classificare il traffico e creando
> successivamente una class-map per la definizione della classe di
> servizio a cui vuoi dare il rate-limit (nel tuo caso penso tutto il
> traffico). Ti riporto una semplice configurazione e te la scrivo in
> linea generale per darti un'idea, se hai problemi chiedi pure:
>
> class-map shappol
> match access-group 101 //101 è il numero dell'ACL che hai creato per
> classificare il traffico
>
> policy-map pippo
> class shappol
> priority 1000 //garantisci una "banda minima" di 100K
>
> *** cosi configuri il traffic policing ***
> policy-map Policing
> class class-default
> police 3300000 103000 103000 conform-action transmit exceed-action
> drop // *il comando è: police* /bps burst-normal burst-max/
> *conform-action***action*exceed-action***action violate-action**action
> service-policy pippo
>
> *** cosi configuri lo shaping ***
> policy-map parent
> class class-default
> shape average 3300000 103000 0 // il comando è:*shape* [*average* |
> *peak*] /mean-rate/ [[/burst-size/] [/excess-burst-size/]]
> service-policy pippo
>
> Te l'ho generalizzato molto ma nel caso di configurazioni complesse i
> valori che inserisci li dovresti tirare fuori anche in base alla
> velocità di aggiornamento dei token (policing e shaping utilizzano
> l'algoritmo token bucket).
>
> Ciae
>
> Il 12/5/12 8:50 PM, Alessandro Gnagni ha scritto:
>
> Vorrei impostare che tutti gli ip della rete interna che non ricadono in
> un range abbiano un limite alla banda in download e upload che possono
> usare.
>
>
> Cisco877#sh hardware
> Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version
> 12.4(15)T12, RELEASE SOFTWARE (fc3)
> Technical Support: http://www.cisco.com/techsupport
> Copyright (c) 1986-2010 by Cisco Systems, Inc.
> Compiled Fri 22-Jan-10 12:32 by prod_rel_team
>
> ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE
>
> Cisco877 uptime is 1 day, 39 minutes
> System returned to ROM by power-on
> System restarted at 20:09:28 GMT Tue Dec 4 2012
> System image file is "flash:c870-advsecurityk9-mz.124-15.T12.bin"
>
>
>
>
>
>
>
>
> Il 05/12/2012 13.20, Stefano Ninux ha scritto:
>
> Qual'è il tuo obiettivo? Cosa vuoi fare esattamente?
>
> Che modello di router hai e che versione dell'IOS?
>
> P.S. Non mi sembra che comunque questa sia una discussione da
> nodi-roma... ma più da not-wireless...
>
> Il 12/4/12 11:16 PM, Alessandro Gnagni ha scritto:
>
> Qualcuno ha esperienza di configurazione di Class-Based Traffic Policing
> (CBTP) su router cisco?
> volevo provare a fare una configurazione a casa e se magari qualcuno mi
> dava un consiglio o una configurazione già funzionante su altra macchina
> potrei fare reverse engineering e provare a farlo da solo per imparare.
> Thx
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://ml.ninux.org/pipermail/not-wireless/attachments/20121206/b80d127e/attachment-0001.html>
More information about the Not-wireless
mailing list