[ninux-not-wireless] [ninux-roma] Configurazione di class based traffic policing su router cisco

Alessandro Gnagni enterprise.nx at gmail.com
Fri Dec 7 19:54:10 CET 2012 

Da studiare!

Inviato da Sgs 2
Il giorno 07/dic/2012 19:07, "Saverio Proto" <zioproto at gmail.com> ha
scritto:

> Leggiti questo per iniziare
>
> http://www.noc.garr.it/index.php?option=com_content&view=article&id=116:guida-access-list&catid=57:guide&Itemid=129
>
> Saverio
>
>
> Il 07 dicembre 2012 18:57, Alessandro Gnagni <enterprise.nx at gmail.com>
> ha scritto:
> > Quindi dovrò fare due policy, una per traffico in e una out. Giusto?
> >
> > Inviato da Sgs 2
> >
> > Il giorno 07/dic/2012 18:48, "Stefano Ninux" <stefano at ninux.org> ha
> scritto:
> >
> >> Se vuoi specificare che lo shaping deve essere fatto solo per il
> traffico
> >> che va verso una particolare destinazione lo fai nell'ACL che invece di
> >> essere standard la deve essere estesa...
> >>
> >> ip access-list extended pippo
> >> permit 10.135.2.0 0.0.0.255 <rete_di_destinazione> <wildcard_mask>
> >>
> >> ;-)
> >>
> >> Il 12/7/12 6:41 PM, Alessandro Gnagni ha scritto:
> >>
> >> Ultima cosa prima di provarlo a fare: posso dire nella policy oltre
> >> all'origine del traffico anche la sua destinazione per applicare lo
> Shaping?
> >>
> >> Inviato da Sgs 2
> >>
> >> Il giorno 06/dic/2012 13:56, "Stefano Ninux" <stefano at ninux.org> ha
> >> scritto:
> >>>
> >>> No! Alla seconda non ci arriverà mai perchè matcha sempre la prima.
> >>> Tra l'altro quel 10 iniziale è un numero progressivo quindi deve essere
> >>> 10, 20, etc...
> >>>
> >>> Lo scopo dell'ACL è quello di classificare il traffico quindi devi
> >>> mettere solo le subnet a cui vuoi che venga applicato il
> policing/shaping.
> >>> Se vuoi classificare il traffico della 10.135.2.0/24 per applicare lo
> >>> shaping devi fare:
> >>>
> >>> ip access-list standard pippo
> >>> permit 10.135.2.0 0.0.0.255
> >>>
> >>> Se invere vuoi classificare tutto il traffico della 10.0.0.0/8 tranne
> la
> >>> 10.135.2.0/24 devi fare:
> >>>
> >>> ip access-list standard pippo
> >>> deny ip 10.135.2.0 0.0.0.255
> >>> permit 10.0.0.0 0.0.0.255
> >>>
> >>> ricordati che alla fine c'è il deny implicito.
> >>>
> >>> Comunque non penso sia l'ideale fare configurazioni "semi-avanzate"
> senza
> >>> le basi... guardati le ACL e i concetti delle wildcard mask altrimenti
> >>> rischi di impiegare una vita per fare una cosa che in realtà richiede 5
> >>> minuti. ;-)
> >>>
> >>> Se vuoi ho un corso Cisco ad un ottimo prezzo che parte tra poco....!!
> >>> auhauahuahua :-P
> >>>
> >>> Ciae.
> >>>
> >>> Il 12/6/12 1:03 PM, Alessandro Gnagni ha scritto:
> >>>
> >>> quindi se faccio:
> >>>
> >>> ip access-list standard pippo
> >>> 10 permit 10.0.0.0 0.255.255.255
> >>> 10 deny 10.135.2.0 0.0.0.255
> >>>
> >>> la regola di shaping a cui associo questa access list si applicherà a
> >>> tutta la 10.0.0.0/8 esclusa la subnet indicata?
> >>>
> >>> L’intervallo di tempo indicato in peak è un valore standard?
> >>>
> >>> Grazie
> >>>
> >>> Inviata da Windows Mail
> >>>
> >>> Da: Stefano Ninux <stefano at ninux.org>
> >>> Data invio: 6-dic-12 12.46
> >>> A: Alessandro Gnagni <enterprise.nx at gmail.com>
> >>> Cc: not-wireless at ml.ninux.org
> >>> Oggetto: Re: [ninux-roma] Configurazione di class based traffic
> policing
> >>> su router cisco
> >>>
> >>> Per le Acl si usa la wildcard mask che ti da grande flessibilità per la
> >>> classificazione del traffico rispetto alla classica ACL (e non è solo
> >>> l'inverso della subnet mask come molti pensano).
> >>> Se ad esempio hai una 192.168.1.0/24 e vuoi prendere solo la prima
> parte
> >>> della subnet ti basta dare:
> >>>
> >>> ip access-list standard pippo
> >>> 10 permit ip 192.168.1.0 0.0.0.127
> >>>
> >>> Questo significa nel dettaglio: solo i bit a 0 devono matchare con
> >>> l'indirizzo target (quello che arriva al router) il resto fregatene.
> >>> L'Acl in questo caso ti serve solo per Classificare e quinidi non hai
> >>> bisogno di applicarla in in/out su un'interfaccia, la direzioni la
> deciderai
> >>> applicando all'interfaccia la policy map che configuri.
> >>>
> >>> Il comando è
> >>>
> >>> shape [average | peak] mean-rate [[burst-size] [excess-burst-size]]
> >>>
> >>> in cui
> >>>
> >>> peak = BC (Committent Burst) + Excess Burst (BE) è il numero massimo di
> >>> bit inviati in un intervallo di tempo
> >>>
> >>> mean-rate = E la banda entro la quale vuoi stare (per FR è il famoso
> CIR)
> >>>
> >>> burst-size= Il numero di bit in un intervallo di tempo
> >>>
> >>> excess-burst- size = il numero di bit che possono andare oltre il BE
> >>> (Excess-Burst)
> >>>
> >>> I valori sono in bit quindi se scrivi 256000 significa 256Kbps .
> >>>
> >>> Ciae
> >>>
> >>> Il 12/6/12 2:25 AM, Alessandro Gnagni ha scritto:
> >>>
> >>> 1 - posso definire un acl come tutta una subnet meno una sua parte?
> >>> 2 - devo definire sempre nella acl se applicare a traffico inbound o
> >>> outbound?
> >>> 3 - nello shaping se do: shape peak x y significa che superato x con
> >>> quantità y applico shaping? con che scala inserisco quei numeri?
> >>>
> >>> Thx
> >>>
> >>>
> >>> Sto iniziando ora a studiare le reti più a fondo e ancora non siamo
> >>> arrivati alle access list.
> >>>
> >>>
> >>> Il 06/12/2012 02.15, Stefano Ninux ha scritto:
> >>>
> >>> C'è una differenza sostianziale da fare: policing o shaping.
> >>>
> >>> Con il policing, quando il traffico raggiunge la velocità massima
> >>> configurata (rate limit), il traffico in eccesso viene in genere
> >>> droppato o rimarcato (marking). Il risultato è una velocità in outbound
> >>> che è sicuramente sotto il rate limit ma solo per quel traffico che
> >>> tende ad andare oltre il rate limitconfigurato. A differenza del
> >>> policing, il traffic shaping mantiene i pacchetti che tendono a
> superare
> >>> il rate limit in eccesso in una coda (queing) e ne schedula l'uscita
> >>> degli stessi secondo le regole che gli vengono indicate. Il risultato
> >>> del traffic shaping è che si ha una velocità di uscita sotto ad un
> certo
> >>> rate limit ma con l'utilizzo di molte più risorse e molto più costante
> >>> per tutto il flusso del traffico.
> >>>
> >>> Quello che vuoi fare tu è in pratica lo shaping del traffico e lo si fa
> >>> semplicemente creando un'ACL per classificare il traffico e creando
> >>> successivamente una class-map per la definizione della classe di
> >>> servizio a cui vuoi dare il rate-limit (nel tuo caso penso tutto il
> >>> traffico). Ti riporto una semplice configurazione e te la scrivo in
> >>> linea generale per darti un'idea, se hai problemi chiedi pure:
> >>>
> >>> class-map shappol
> >>>    match access-group 101 //101 è il numero dell'ACL che hai creato per
> >>> classificare il traffico
> >>>
> >>> policy-map pippo
> >>>    class shappol
> >>>      priority 1000 //garantisci una "banda minima" di 100K
> >>>
> >>> *** cosi configuri il traffic policing ***
> >>>  policy-map Policing
> >>>    class class-default
> >>>      police 3300000 103000 103000 conform-action transmit exceed-action
> >>> drop // *il comando è: police* /bps burst-normal burst-max/
> >>> *conform-action***action*exceed-action***action violate-action**action
> >>>      service-policy pippo
> >>>
> >>> *** cosi configuri lo shaping ***
> >>> policy-map parent
> >>>     class class-default
> >>>      shape average 3300000 103000 0 // il comando è:*shape* [*average*
> |
> >>> *peak*] /mean-rate/ [[/burst-size/] [/excess-burst-size/]]
> >>>      service-policy pippo
> >>>
> >>> Te l'ho generalizzato molto ma nel caso di configurazioni complesse i
> >>> valori che inserisci li dovresti tirare fuori anche in base alla
> >>> velocità di aggiornamento dei token (policing e shaping utilizzano
> >>> l'algoritmo token bucket).
> >>>
> >>> Ciae
> >>>
> >>> Il 12/5/12 8:50 PM, Alessandro Gnagni ha scritto:
> >>>
> >>> Vorrei impostare che tutti gli ip della rete interna che non ricadono
> in
> >>> un range abbiano un limite alla banda in download e upload che possono
> >>> usare.
> >>>
> >>>
> >>> Cisco877#sh hardware
> >>> Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version
> >>> 12.4(15)T12, RELEASE SOFTWARE (fc3)
> >>> Technical Support: http://www.cisco.com/techsupport
> >>> Copyright (c) 1986-2010 by Cisco Systems, Inc.
> >>> Compiled Fri 22-Jan-10 12:32 by prod_rel_team
> >>>
> >>> ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE
> >>>
> >>> Cisco877 uptime is 1 day, 39 minutes
> >>> System returned to ROM by power-on
> >>> System restarted at 20:09:28 GMT Tue Dec 4 2012
> >>> System image file is "flash:c870-advsecurityk9-mz.124-15.T12.bin"
> >>>
> >>>
> >>>
> >>>
> >>>
> >>>
> >>>
> >>>
> >>> Il 05/12/2012 13.20, Stefano Ninux ha scritto:
> >>>
> >>> Qual'è il tuo obiettivo?  Cosa vuoi fare esattamente?
> >>>
> >>> Che modello di router hai e che versione dell'IOS?
> >>>
> >>> P.S. Non mi sembra che comunque questa sia una discussione da
> >>> nodi-roma... ma più da not-wireless...
> >>>
> >>> Il 12/4/12 11:16 PM, Alessandro Gnagni ha scritto:
> >>>
> >>> Qualcuno ha esperienza di configurazione di Class-Based Traffic
> Policing
> >>> (CBTP) su router cisco?
> >>> volevo provare a fare una configurazione a casa e se magari qualcuno mi
> >>> dava un consiglio o una configurazione già funzionante su altra
> macchina
> >>> potrei fare reverse engineering e provare a farlo da solo per imparare.
> >>> Thx
> >>>
> >>>
> >>>
> >>
> >
> > _______________________________________________
> > Not-wireless mailing list
> > Not-wireless at ml.ninux.org
> > http://ml.ninux.org/mailman/listinfo/not-wireless
> >
> _______________________________________________
> Not-wireless mailing list
> Not-wireless at ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/not-wireless
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://ml.ninux.org/pipermail/not-wireless/attachments/20121207/1d7f8ceb/attachment-0001.html>

More information about the Not-wireless mailing list