Cisco 2950 - Limitazione banda host-porta a 192 kb/s

Tutto quello che ha a che fare con le infrastrutture (non le configurazioni)

Moderatore: Federico.Lagni

Rispondi
tecno214
n00b
Messaggi: 17
Iscritto il: lun 30 mar , 2015 6:32 pm

Buonagiorno a tutti.
Come da oggetto avrei bisogno di una mano per ottenere una limitazione di banda (tramite Policy Map immagino) di un determinato host/porta verso tutta la rete.

In modo più specifico avrei bisogno di limitare il traffico derivante dagli aggiornamenti antivirus del Symantec (host - porta 8014).

Grazie a tutti degli eventuali consigli in merito.
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao.
Devi creare una class-map che selezione che traffico deve considerare, poi creare una policy map che limita la banda per quella classe creata. Ultimo passo applicare la policy all'interfaccia di uscita.

Es.

Codice: Seleziona tutto

class-map match-any CLASS_UPDATE_NORTON
match ip address ACL_NUM

policy-map POLICY_UPDATE_NORTON
 class CLASS_UPDATE_NORTON
  shape average 192000

interface INTERFACCIA_LAN
service-policy output POLICY_UPDATE_NORTON
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
tecno214
n00b
Messaggi: 17
Iscritto il: lun 30 mar , 2015 6:32 pm

Paolo, ti ringrazio intanto della risposta.
Ho configurato (intanto su di un lab GNS3) la seguente config rifacendomi a quanto mi hai postato:

*** Creata access LIST ***

router(config)#access-list 101 permit ip 192.168.80.14 255.255.255.0 any


*** Creata CLASS MAP ***

router(config)#class-map NORTON

router(config-cmap)#match access-group 101


*** Creata POLICY MAP ***

router(config)#policy-map RESTRICT-NORTON

router(config-pmap)#class NORTON

router(config-pmap-c)#shape average 192000


*** Applicata su interfaccia tunnel***

router(config)#int tun86

router(config-if)#service-policy output RESTRICT-NORTON

Dovrebbe funzionare, però così limito il traffico di tutto l'host 192.168.80.14. Quello che invece voglio fare è limitare solamente la porta tcp e udp con source 192.168.80.14 e non sò dove andare a filtrare questa impostazione....
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Cambia la ACL così

Codice: Seleziona tutto

access-list 130 permit tcp host 192.168.80.14 eq 8014 any
access-list 130 permit udp host 192.168.80.14 eq 8014 any
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
tecno214
n00b
Messaggi: 17
Iscritto il: lun 30 mar , 2015 6:32 pm

Paolo, GENTILISSIMO!!

Ti ringrazio di cuore e mi scuso se faccio domande su "questions" che per Voi sono banali..
Mi sono avvicinato da poco al mondo Cisco...
tecno214
n00b
Messaggi: 17
Iscritto il: lun 30 mar , 2015 6:32 pm

Purtroppo ho ancora un problema..
Applicando la policy-map di cui sopra all'interfaccia Tunnel ricevo questo messaggio di errore:

Traffic Shaping feature is not supported in user defined class of parent level policy

Mentre non ho problemi se applico la policy alla G0/0.

Dovrei però lavorare a livello di Tunnel GRE se possibile..
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

tecno214 ha scritto:Paolo, GENTILISSIMO!!

Ti ringrazio di cuore e mi scuso se faccio domande su "questions" che per Voi sono banali..
Mi sono avvicinato da poco al mondo Cisco...
Ci mancherebbe. Siamo qui per imparare.
Ora sono di fretta. Poi cerco di risponderti per il problema del GRE.
Mandami uno show ver.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
tecno214
n00b
Messaggi: 17
Iscritto il: lun 30 mar , 2015 6:32 pm

Eccola di seguito:

Cisco IOS Software, 3800 Software (C3845-ADVSECURITYK9-M), Version 15.1(2)T2, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Sat 23-Oct-10 03:55 by prod_rel_team

ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1)

RT********** uptime is 24 weeks, 2 days, 3 hours, 37 minutes
System returned to ROM by reload at 10:35:43 UTC Wed Nov 9 2016
System restarted at 10:37:04 UTC Wed Nov 9 2016
System image file is "flash:c3845-advsecurityk9-mz.151-2.T2.bin"
Last reload type: Normal Reload


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
[email protected].

Cisco 3845 (revision 1.0) with 1007616K/40960K bytes of memory.
Processor board ID FCZ1227723J
2 FastEthernet interfaces
2 Gigabit Ethernet interfaces
2 Virtual Private Network (VPN) Modules
DRAM configuration is 64 bits wide with parity enabled.
479K bytes of NVRAM.
497448K bytes of ATA System CompactFlash (Read/Write)


License Info:

License UDI:

-------------------------------------------------
Device# PID SN
-------------------------------------------------
*0 CISCO3845-MB FOC12242D5A



Configuration register is 0x2102
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Prova a fare così

Codice: Seleziona tutto

policy-map NORTON_MAP
 class NORTON
  police 192000 conform-action transmit  exceed-action drop
policy-map Tunnel
 class class-default
   service-policy NORTON_MAP
Nel tunnel metti

Codice: Seleziona tutto

service-policy output Tunnel
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
Rispondi