rate-limi per singolo IP

[francofranco]

Buongiorno a tutti,

avrei la necessità si porre un rate-limit di 200kB sulla interfaccia Vlan1 per il traffico internet per singolo ip in un range di indirizzi (da 192.168.1.100 a 192.168.1.200).

Prendendo spunto da questo 3d http://www.ciscoforums.it/viewtopic.php?t=9637
sono riuscito ad applicare il rate-limit tramite l'acl.

Solo che il rate-limit così impostato è di 200kB complessivo.
Come dovrei riscrivere per impostare il limite per ogni ip?

L'acl è stata volutamente generalizzata ad any any per il momento. Dovrei specificare singolarmente i 100 indirizzi ip nalle acl 101?

Perdonatemi se ho detto qualche castroneria ma sono alle prime armi.


!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
rate-limit output access-group 101 1600000 2400000 2400000 conform-action transmit exceed-action drop
ip tcp adjust-mss 1452
service-policy input P2P-DROP
!
access-list 101 remark *** OpenSpace - in ***
access-list 101 permit ip any any
!

[paolomat75]

Ciao.
Il rate-limit limita tutto quello che è permesso dalla ACL, perciò con rate-limit dovresti creare 100 ACL e 100 rate-limit.

Paolo

[francofranco]

Azz...
e come posso realizzare il mio intento senza scrivere 100 ACL e 100 rate-limit? Possibile non ci sia soluzione?

Su un altro ruoter HP ho implementato la stessa cosa con un comando come questo al posto della acl:

qos carl 1 destination-ip-address range 192.168.1.101 to 192.168.1.200 per-address

In iOS non vi è un corrispettivo?

[francofranco]

Ma nell'eventualità di usare 100 acl e 100 rate-limit si appesantisce di molto la macchina? Degrado di performance?

[paolomat75]

Ciao.
A livello di performance sicuramente appesantisce un po'.
Prova a vedere MQC, che è uno strumento più recente.

Paolo

[francofranco]

Sto dando un'occhiata a MQC, non ho ancora avuto modo di provare, ma così ad occhio mi sembra che il risultato possa essere lo stesso del rate-limit con ACL.

Sto cercando in rete ma non trovo risposta. Mi sembra strano che non sia prevista una funzionalità del genere, non mi sembra un caso "straordinario"...

[paolomat75]

Di norma il QoS si fa sui servizi, o si limita la banda per cliente (fatto dal ISP) non singolo IP.
Se vuoi limitare per singolo IP, devi creare un limite per ogni IP. Io non conosco altra soluzione.

Così però non ottimizzi l'uso della banda disponibile.

Paolo

P.S. Se trovi una soluzione migliore fammi sapere

[francofranco]

Capisco.
Il mio scopo è garantire una banda a tutti gli utilizzatori del mio ufficio, evitando che magari qualcuno utilizzi tutta la banda e gli altri siano totalmente bloccati...una sorta di banda minima garantita
Come ti dicevo sopra, linguaggi come comware di HP hanno un comando del genere. (ho citato HP solo perché l'ho utilizzato, non sono fan di nessuna marca).
Continuerò ad indagare

[paolomat75]

Con il rate-limit limiti sempre la velocità. Se usi il CBWFQ riesci a garantire un minimo di banda a tutti, dare la priorità a certo traffico e limitare o non permettere certo traffico.

Dovresti capire prima che tipo di traffico hai nella rete, poi si può vedere di implementare qualcosa per "regolarlo".

Paolo

[francofranco]

Siamo una società di consulenti informatici, quindi tutti accedono alla rete in wi-fi con portatile e utilizziamo molte vpn. Non abbiamo il voip.
Quindi non riesco ad avere pieno controllo delle postazioni di lavoro.
Devo in qualche modo regolamentare il traffico internet in modo da evitare ad esempio che un collega si metta a scaricare qualche distro di Linux a 2,5 MB/s e gli altri venti si ritrovino bloccati. Oppure che il "pirla" di turno si piazzi su youtube a vedersi un video e saturi tutto.
Diaciamo che quindi non ho grosse esigenze o traffici strani.
Con il MQC se non ho capito male posso "limitare" o dare priorità a forme di traffico, ad esempio ftp. Però ad esempio vorrà dire che se attribuisco il 50% del traffico all'FTP, anche un solo utente potrebbe utilizzare tutto il 50% e non lasciare comunque spazio ad un altro che vorrebbe utilizzare l'FTP.
Il mio ragionamento è corretto o sbaglio in qualcosa?

Ribadisco, sono agli inizi, facile che dica castronerie.

[paolomat75]

Ciao.
Sono di corsa, perciò non sarò molto prolisso.
Puoi creare delle classi che identificano il traffico e a queste classi gli attribuisci una banda minima allocata.
Per fare in modo che un singolo utente rubi la banda di quel tipo di traffico devi aggiungere nella policy-map il comando:

Codice: Seleziona tutto

fair-queue

Questo fa in modo che i flussi vengano suddivisi a tutti gli utenti.

Spero di essere stato chiaro.

Paolo

[francofranco]

Interessante. Questo potrebbe fare al caso mio.
Quindi potrei fare una classe che identifichi l'intero traffico internet (ad esempio tutto l'ip) e assegnare una banda minima. Poi con il comando fair-queue verrebbe suddivisa in base ai client?

Se ad esempio imposto una banda minima a 200KB, l'utente A sta prelevando un file a 2 MB/s e un utente B comincia il download di un altro file, B andrà almeno a 200KB riducendo la banda di A?
E cosi via all'aumentare delle attivitò su internet di un eventuale C e D e E?

Ho compreso bene il funzionamento? Se così fosse sarebbe perfetto

ps: un ringraziamento sincero Paolo per l'aiuto!

[paolomat75]

Puoi provare a mettere fair-queue nell'interfaccia verso Internet.
Ma che linea hai?

Paolo

[francofranco]

Ho la vdsl di telecom 30Mb.
Ma il solo comando fair-queue o insieme alla policy-map?

[paolomat75]

Ma hai problemi di banda su una VDSL?
Su una linea del genere devi usare la service policy, ma solo se è veramente necessario.

Prova

Codice: Seleziona tutto

policy-map WAN
class class-default
  fair-queue

E nella interfaccia di uscita

Codice: Seleziona tutto

service-policy output WAN

Paolo