[ninux-not-wireless] [ninux-roma] Configurazione di class based traffic policing su router cisco

Stefano Ninux stefano at ninux.org
Fri Dec 7 18:48:40 CET 2012 

Se vuoi specificare che lo shaping deve essere fatto solo per il
traffico che va verso una particolare destinazione lo fai nell'ACL che
invece di essere standard la deve essere estesa...

ip access-list extended pippo
permit 10.135.2.0 0.0.0.255 <rete_di_destinazione> <wildcard_mask>

;-)

Il 12/7/12 6:41 PM, Alessandro Gnagni ha scritto:
>
> Ultima cosa prima di provarlo a fare: posso dire nella policy oltre
> all'origine del traffico anche la sua destinazione per applicare lo
> Shaping?
>
> Inviato da Sgs 2
>
> Il giorno 06/dic/2012 13:56, "Stefano Ninux" <stefano at ninux.org
> <mailto:stefano at ninux.org>> ha scritto:
>
>     No! Alla seconda non ci arriverà mai perchè matcha sempre la prima.
>     Tra l'altro quel 10 iniziale è un numero progressivo quindi deve
>     essere 10, 20, etc...
>
>     Lo scopo dell'ACL è quello di classificare il traffico quindi devi
>     mettere solo le subnet a cui vuoi che venga applicato il
>     policing/shaping.
>     Se vuoi classificare il traffico della 10.135.2.0/24
>     <http://10.135.2.0/24> per applicare lo shaping devi fare:
>
>     ip access-list standard pippo
>     permit 10.135.2.0 0.0.0.255
>
>     Se invere vuoi classificare tutto il traffico della 10.0.0.0/8
>     <http://10.0.0.0/8> tranne la 10.135.2.0/24 <http://10.135.2.0/24>
>     devi fare:
>
>     ip access-list standard pippo
>     deny ip 10.135.2.0 0.0.0.255
>     permit 10.0.0.0 0.0.0.255
>
>     ricordati che alla fine c'è il deny implicito.
>
>     Comunque non penso sia l'ideale fare configurazioni
>     "semi-avanzate" senza le basi... guardati le ACL e i concetti
>     delle wildcard mask altrimenti rischi di impiegare una vita per
>     fare una cosa che in realtà richiede 5 minuti. ;-)
>
>     Se vuoi ho un corso Cisco ad un ottimo prezzo che parte tra
>     poco....!! auhauahuahua :-P
>
>     Ciae.
>
>     Il 12/6/12 1:03 PM, Alessandro Gnagni ha scritto:
>>     quindi se faccio:
>>      
>>     ip access-list standard pippo
>>     10 permit 10.0.0.0 0.255.255.255
>>     10 deny 10.135.2.0 0.0.0.255
>>      
>>     la regola di shaping a cui associo questa access list si
>>     applicherà a tutta la 10.0.0.0/8 <http://10.0.0.0/8> esclusa la
>>     subnet indicata?
>>      
>>     L’intervallo di tempo indicato in peak è un valore standard?
>>      
>>     Grazie
>>      
>>     Inviata da Windows Mail
>>      
>>     *Da:* Stefano Ninux <stefano at ninux.org <mailto:stefano at ninux.org>>
>>     *Data invio:* 6-dic-12 12.46
>>     *A:* Alessandro Gnagni <enterprise.nx at gmail.com
>>     <mailto:enterprise.nx at gmail.com>>
>>     *Cc:* not-wireless at ml.ninux.org <mailto:not-wireless at ml.ninux.org>
>>     *Oggetto:* Re: [ninux-roma] Configurazione di class based traffic
>>     policing su router cisco
>>      
>>     Per le Acl si usa la wildcard mask che ti da grande flessibilità
>>     per la classificazione del traffico rispetto alla classica ACL (e
>>     non è solo l'inverso della subnet mask come molti pensano).
>>     Se ad esempio hai una 192.168.1.0/24 <http://192.168.1.0/24> e
>>     vuoi prendere solo la prima parte della subnet ti basta dare:
>>
>>     ip access-list standard pippo
>>     10 permit ip 192.168.1.0 0.0.0.127
>>
>>     Questo significa nel dettaglio: solo i bit a 0 devono matchare
>>     con l'indirizzo target (quello che arriva al router) il resto
>>     fregatene.
>>     L'Acl in questo caso ti serve solo per Classificare e quinidi non
>>     hai bisogno di applicarla in in/out su un'interfaccia, la
>>     direzioni la deciderai applicando all'interfaccia la policy map
>>     che configuri.
>>
>>     Il comando è
>>
>>     *shape* [*average* | *peak*] /mean-rate/ [[/burst-size/]
>>     [/excess-burst-size/]]
>>
>>     in cui
>>
>>     peak = BC (Committent Burst) + Excess Burst (BE) è il numero
>>     massimo di bit inviati in un intervallo di tempo
>>
>>     mean-rate = E la banda entro la quale vuoi stare (per FR è il
>>     famoso CIR)
>>
>>     burst-size= Il numero di bit in un intervallo di tempo
>>
>>     excess-burst- size = il numero di bit che possono andare oltre il
>>     BE (Excess-Burst)
>>
>>     I valori sono in bit quindi se scrivi 256000 significa 256Kbps .
>>
>>     Ciae
>>
>>     Il 12/6/12 2:25 AM, Alessandro Gnagni ha scritto:
>>
>>         1 - posso definire un acl come tutta una subnet meno una sua parte?
>>         2 - devo definire sempre nella acl se applicare a traffico inbound o
>>         outbound?
>>         3 - nello shaping se do: shape peak x y significa che superato x con
>>         quantità y applico shaping? con che scala inserisco quei numeri?
>>
>>         Thx
>>
>>
>>         Sto iniziando ora a studiare le reti più a fondo e ancora non siamo
>>         arrivati alle access list.
>>
>>
>>         Il 06/12/2012 02.15, Stefano Ninux ha scritto:
>>
>>             C'è una differenza sostianziale da fare: policing o shaping.
>>
>>             Con il policing, quando il traffico raggiunge la velocità massima
>>             configurata (rate limit), il traffico in eccesso viene in genere
>>             droppato o rimarcato (marking). Il risultato è una velocità in outbound
>>             che è sicuramente sotto il rate limit ma solo per quel traffico che
>>             tende ad andare oltre il rate limitconfigurato. A differenza del
>>             policing, il traffic shaping mantiene i pacchetti che tendono a superare
>>             il rate limit in eccesso in una coda (queing) e ne schedula l'uscita
>>             degli stessi secondo le regole che gli vengono indicate. Il risultato
>>             del traffic shaping è che si ha una velocità di uscita sotto ad un certo
>>             rate limit ma con l'utilizzo di molte più risorse e molto più costante
>>             per tutto il flusso del traffico.
>>
>>             Quello che vuoi fare tu è in pratica lo shaping del traffico e lo si fa
>>             semplicemente creando un'ACL per classificare il traffico e creando
>>             successivamente una class-map per la definizione della classe di
>>             servizio a cui vuoi dare il rate-limit (nel tuo caso penso tutto il
>>             traffico). Ti riporto una semplice configurazione e te la scrivo in
>>             linea generale per darti un'idea, se hai problemi chiedi pure:
>>
>>             class-map shappol
>>                match access-group 101 //101 è il numero dell'ACL che hai creato per
>>             classificare il traffico
>>
>>             policy-map pippo
>>                class shappol   
>>                  priority 1000 //garantisci una "banda minima" di 100K
>>              
>>             *** cosi configuri il traffic policing ***
>>              policy-map Policing
>>                class class-default
>>                  police 3300000 103000 103000 conform-action transmit exceed-action
>>             drop // *il comando è: police* /bps burst-normal burst-max/
>>             *conform-action***action*exceed-action***action violate-action**action
>>                  service-policy pippo
>>                 
>>             *** cosi configuri lo shaping ***
>>             policy-map parent
>>                 class class-default
>>                  shape average 3300000 103000 0 // il comando è:*shape* [*average* |
>>             *peak*] /mean-rate/ [[/burst-size/] [/excess-burst-size/]]      
>>                  service-policy pippo
>>
>>             Te l'ho generalizzato molto ma nel caso di configurazioni complesse i
>>             valori che inserisci li dovresti tirare fuori anche in base alla
>>             velocità di aggiornamento dei token (policing e shaping utilizzano
>>             l'algoritmo token bucket).
>>
>>             Ciae
>>
>>             Il 12/5/12 8:50 PM, Alessandro Gnagni ha scritto:
>>
>>                 Vorrei impostare che tutti gli ip della rete interna che non ricadono in
>>                 un range abbiano un limite alla banda in download e upload che possono
>>                 usare.
>>
>>
>>                 Cisco877#sh hardware
>>                 Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version
>>                 12.4(15)T12, RELEASE SOFTWARE (fc3)
>>                 Technical Support: http://www.cisco.com/techsupport
>>                 Copyright (c) 1986-2010 by Cisco Systems, Inc.
>>                 Compiled Fri 22-Jan-10 12:32 by prod_rel_team
>>
>>                 ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE
>>
>>                 Cisco877 uptime is 1 day, 39 minutes
>>                 System returned to ROM by power-on
>>                 System restarted at 20:09:28 GMT Tue Dec 4 2012
>>                 System image file is "flash:c870-advsecurityk9-mz.124-15.T12.bin"
>>
>>
>>
>>
>>
>>
>>
>>
>>                 Il 05/12/2012 13.20, Stefano Ninux ha scritto:
>>
>>                     Qual'è il tuo obiettivo?  Cosa vuoi fare esattamente?
>>
>>                     Che modello di router hai e che versione dell'IOS?
>>
>>                     P.S. Non mi sembra che comunque questa sia una discussione da
>>                     nodi-roma... ma più da not-wireless...
>>
>>                     Il 12/4/12 11:16 PM, Alessandro Gnagni ha scritto:
>>
>>                         Qualcuno ha esperienza di configurazione di Class-Based Traffic Policing
>>                         (CBTP) su router cisco?
>>                         volevo provare a fare una configurazione a casa e se magari qualcuno mi
>>                         dava un consiglio o una configurazione già funzionante su altra macchina
>>                         potrei fare reverse engineering e provare a farlo da solo per imparare.
>>                         Thx
>>
>>
>

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://ml.ninux.org/pipermail/not-wireless/attachments/20121207/656bd0a5/attachment-0001.html>

More information about the Not-wireless mailing list