zone based firewall & bandwidth

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
fulviobz
Cisco fan
Messaggi: 30
Iscritto il: sab 25 feb , 2012 4:14 pm

Salve a tutti,

ho fatto una configurazione utilizzando "zone based firewall"
e impostando un limite alla banda in questo modo:

Codice: Seleziona tutto

...
!
policy-map type inspect vlan100-net-policy
 class type inspect vlan100-net-class
  inspect 
  police rate 320000 burst 40000
 class class-default
  drop
!
...
il tutto funziona solo che mi trovo la banda limitata sia in trasmissione
che in ricezzione alla stessa velocità;
avendo una linea asincrona con molta piu banda in entrata che in uscita
vorrei limitare in modo differente la velocità di invio da quella di ricezione;
Qualcuno conosce un modo?
Top
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

Ciao,

sono molto incuriosito dalla tua affermazione:
il tutto funziona solo che mi trovo la banda limitata sia in trasmissione
che in ricezzione alla stessa velocità
Come é fatta la classe? Dove hai posizionato la policy?
Lo chiedo perchè impostando la policy solo in uscita sulla WAN la stessa non afferisce il traffico in ingresso

Saluti
Lorbellu
Top
fulviobz
Cisco fan
Messaggi: 30
Iscritto il: sab 25 feb , 2012 4:14 pm

carico un file su un server remoto (INVIO)

Codice: Seleziona tutto

$ scp file.img user@server-remoto:
Password: 
file.img                            12% 2576KB   39.0KB/s
scarico un file da un server remoto (RICEZIONE)

Codice: Seleziona tutto

$ scp user@server-remoto:file.img .
Password: 
file.img                            51%   2106KB  41.3KB/s
ecco la conf un po piu dettagliata

Codice: Seleziona tutto

!
class-map type inspect match-any lan100-net-class
 match protocol tcp
 match protocol udp
 match protocol icmp
!
policy-map type inspect lan100-net-policy
 class type inspect lan100-net-class
  inspect 
  police rate 320000 burst 40000
 class class-default
  drop
!
zone security net
zone security lan100
!
zone-pair security lan100-net source lan100 destination net
 service-policy type inspect lan100-net-policy
!
interface Vlan100
ip nat inside
zone-member security lan100
!
interface Dialer0
ip nat outside
zone-member security net
!
Top
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

Ciao,

Il problema lamentato si verifica perchè stai applicando il traffic policing sulla policy di inspection.
Per gestire la banda separa le due cose, crea quindi una policy-map semplice (non inspect) dove applichi il traffic policing, quindi applica la policy in uscita sul dialer o sull'ethernet, in base al criterio di match e/o alla direzione, del traffico che vuol sottoporre a policing (i dialer ad esempio permettono l'applicazione di una policy solo in uscita).
Fai attenzione al criterio di match della class-map, quella che utilizzi al momento, oltre che ad essere destinata all'inspection, è troppo poco restrittiva se, ad esempio, vuoi regolare il flusso di uscita, su una dialer attraverso la quale passa il traffico di più subnet.
In questa condizione, se non vuoi creare una class-map nuova dovrai applicare la service policy sulla stessa interfaccia VLAN.

Saluti
Lorbellu
Top
fulviobz
Cisco fan
Messaggi: 30
Iscritto il: sab 25 feb , 2012 4:14 pm

Ciao,

non sono riuscito ad applicare le service-policy alle interfaccie, mi tornava un errore..
comunque ho risolto cosi:

Codice: Seleziona tutto

access-list 100 deny   tcp any any eq smtp
access-list 100 deny   tcp any any eq 465
access-list 100 deny   tcp any any eq 587
access-list 100 deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
access-list 100 permit ip any any
access-list 101 deny   tcp any eq www any
access-list 101 deny   tcp any eq pop3 any
access-list 101 deny   tcp any eq 143 any
access-list 101 deny   tcp any eq 443 any
access-list 101 deny   tcp any eq 993 any
access-list 101 deny   tcp any eq 995 any
access-list 101 deny   ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
access-list 101 permit ip any any
!
interface Vlan100
 rate-limit input access-group 100 200000 25000 25000 conform-action transmit exceed-action drop
 rate-limit output access-group 101 200000 25000 25000 conform-action transmit exceed-action drop
in questo modo do libero utilizzo:
- da internet verso la vlan per http/s, pop/s, imap/s smtp/s
- dalla vlan verso internet per smtp/s
- traffico in/out verso le altre vlan
metre per tutto il resto blocco a 25KB/s
Top
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

Ciao,

l'importante é il risultato no?!? :wink: :wink:
Comunque questa è l'ennesima riprova che su Cisco ci sono più modi di fare la stessa cosa

Saluti e complimenti
Lorbellu
Top
Rispondi

Torna a “Configurazioni”