Codice: Seleziona tutto
ip access-list extended http
permit tcp any any eq wwwCodice: Seleziona tutto
ip access-list extended http
permit tcp any eq www any Configurazione catalyst 3560x
Moderatore: Federico.Lagni
-
scolpi
- Network Emperor
- Messaggi: 337
- Iscritto il: sab 30 ott , 2010 5:33 pm
mi sono portato a casa dal lavoro un 3560G per testare la config e funziona, si tratta solo di sistemare l'acl. L'ho testato facendo dei test usando questo link: http://www.speed-test.it/internet-speed ... c-link.htm e limitando il traffico http a 8K e infatti lo speed test con policy attiva dava esattamente 8K, mentre senza dava 2Mega.
Confermo inoltre che gli show non mostrano l'incrementoi contatori ne della acl e ne della policy map.
Aggiungo che la mia supposizione di applicare il policy alla svi è andato a farsi friggere in quanto non supportato
Confermo inoltre che gli show non mostrano l'incrementoi contatori ne della acl e ne della policy map.
Aggiungo che la mia supposizione di applicare il policy alla svi è andato a farsi friggere in quanto non supportato
CCNA Security,CCDP, CCNP R&S
-
squasar
- n00b
- Messaggi: 18
- Iscritto il: lun 11 mar , 2013 6:14 pm
Ciao,
grazie mille per tutto l'impegno che ci stai mettendo. Difficile trovare persone così.
Ho fatto questa modifica.
permit tcp any eq www host x.x.x.x
Sembrava funzionare poiché da una parte mi scaricava a 12MB e dall'altra oscillava tra i 2 e i 3MB.
Ho cambiato da:
police 1000000 12500 exceed-action drop
a
police 500000 62500 exceed-action drop
per vedere se avevo risultati migliori ma va uguale quindi non capisco se funziona.
Può essere il burst size?
Ho trovato una formula che dice che se si vuole applicare un round-trip di 50ms bisogna fare:
500000 / 8 * .05 * 2 = 62500
Il problema è che non ci capisco molto. Cosa intendono con round-trip?
grazie mille per tutto l'impegno che ci stai mettendo. Difficile trovare persone così.
Ho fatto questa modifica.
permit tcp any eq www host x.x.x.x
Sembrava funzionare poiché da una parte mi scaricava a 12MB e dall'altra oscillava tra i 2 e i 3MB.
Ho cambiato da:
police 1000000 12500 exceed-action drop
a
police 500000 62500 exceed-action drop
per vedere se avevo risultati migliori ma va uguale quindi non capisco se funziona.
Può essere il burst size?
Ho trovato una formula che dice che se si vuole applicare un round-trip di 50ms bisogna fare:
500000 / 8 * .05 * 2 = 62500
Il problema è che non ci capisco molto. Cosa intendono con round-trip?
Ultima modifica di squasar il ven 13 set , 2013 6:00 pm, modificato 1 volta in totale.
-
scolpi
- Network Emperor
- Messaggi: 337
- Iscritto il: sab 30 ott , 2010 5:33 pm
Se il client ha ip pubblico x.x.x.x l'acl è corretta.
Ti posto la mia config che limita il traffico http a 8K dal server 195.110.136.75, che non è altro che il sito di speet-test dl link che ti ho messo, al client 192.168.1.2 che è il mio pc di test
Il client sta sulla gi0/2 e il server si raggiunge dalla gi0/1 su cui ho applicato la policy.
Ti assicuro che se fai lo speed test con questa config da quel sito non scarichi a + di 9K, mentre da qualsiasi altre sorgenti lo switch non limita
Per la formula vedrò di cercare tra i miei testi cosa trovo
Ti posto la mia config che limita il traffico http a 8K dal server 195.110.136.75, che non è altro che il sito di speet-test dl link che ti ho messo, al client 192.168.1.2 che è il mio pc di test
Codice: Seleziona tutto
mls qos
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 2
name client
!
vlan 3
!
class-map match-all http
match access-group name http
!
policy-map limita-http
class http
police 8000 10000 exceed-action drop
!
!
interface GigabitEthernet0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2
switchport mode trunk
spanning-tree portfast trunk
service-policy input limita-http
!
interface GigabitEthernet0/2
switchport access vlan 3
switchport mode access
spanning-tree portfast
!
interface Vlan2
ip address 10.209.4.253 255.255.255.0
!
interface Vlan3
ip address 192.168.1.1 255.255.255.0
!
router ospf 1
log-adjacency-changes
network 10.209.4.0 0.0.0.255 area 0
network 192.168.1.0 0.0.0.255 area 0
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.209.4.254
ip http server
ip http secure-server
!
!
ip access-list extended http
permit tcp host 195.110.136.75 eq www host 192.168.1.2
!
!
!
!
line con 0
line vty 0 4
password cisco
login
line vty 5
password cisco
login
line vty 6 15
login
!
end
Il client sta sulla gi0/2 e il server si raggiunge dalla gi0/1 su cui ho applicato la policy.
Ti assicuro che se fai lo speed test con questa config da quel sito non scarichi a + di 9K, mentre da qualsiasi altre sorgenti lo switch non limita
Per la formula vedrò di cercare tra i miei testi cosa trovo
Ultima modifica di scolpi il lun 16 set , 2013 10:18 am, modificato 2 volte in totale.
CCNA Security,CCDP, CCNP R&S
-
squasar
- n00b
- Messaggi: 18
- Iscritto il: lun 11 mar , 2013 6:14 pm
Ciao,
ho sbagliato a mettere l' IP pubblico per sicurezza ho messo delle x. Potresti fare altrettanto nel tuo post?
Ho un po' di confusione in realtà quello è l' IP del server. Io voglio che chiunque cerchi di arrivare in HTTP su quel server venga limitato. Ora non ho molto tempo lunedì mi guardo meglio quello che mi hai scritto.
ho sbagliato a mettere l' IP pubblico per sicurezza ho messo delle x. Potresti fare altrettanto nel tuo post?
Ho un po' di confusione in realtà quello è l' IP del server. Io voglio che chiunque cerchi di arrivare in HTTP su quel server venga limitato. Ora non ho molto tempo lunedì mi guardo meglio quello che mi hai scritto.
-
scolpi
- Network Emperor
- Messaggi: 337
- Iscritto il: sab 30 ott , 2010 5:33 pm
Mi sa che non ho capito molto.. se tu vuoi che chiunque dalla tua rete se accede a quel server sia limitato l'acl va fatta cosy:squasar ha scritto:Ciao,
ho sbagliato a mettere l' IP pubblico per sicurezza ho messo delle x. Potresti fare altrettanto nel tuo post?
Ho un po' di confusione in realtà quello è l' IP del server. Io voglio che chiunque cerchi di arrivare in HTTP su quel server venga limitato. Ora non ho molto tempo lunedì mi guardo meglio quello che mi hai scritto.
Codice: Seleziona tutto
ip access-list extended http
permit tcp host (qui ci va l'ip del serer) eq www any Codice: Seleziona tutto
ip access-list extended http
permit tcp any eq www anyCCNA Security,CCDP, CCNP R&S
-
scolpi
- Network Emperor
- Messaggi: 337
- Iscritto il: sab 30 ott , 2010 5:33 pm
Gli ip pubblici si chiamano così proprio perchè sono pubblici, se poi li associ ad un sito, esitono mille modi per risolvere l'ip dal nome, non c'è nessuna violazione della privacysquasar ha scritto:Potresti sostituire l'IP pubblico che hai inserito con delle x o un numero fasullo? Sai questione di privacy...
CCNA Security,CCDP, CCNP R&S
-
squasar
- n00b
- Messaggi: 18
- Iscritto il: lun 11 mar , 2013 6:14 pm
Ciao,
forse non mi sono spiegato. Intendo l'IP che avevo inserito io e che tu poi hai riportato. Non mi va che venga visto o riportato online. Starei più tranquillo se tu lo cambiassi all'interno di uno dei tuoi post precedenti. Il tuo post dopo il mio in cui inizio con "Ciao, grazie mille per tutto l'impegno che ci stai mettendo."
Grazie
forse non mi sono spiegato. Intendo l'IP che avevo inserito io e che tu poi hai riportato. Non mi va che venga visto o riportato online. Starei più tranquillo se tu lo cambiassi all'interno di uno dei tuoi post precedenti. Il tuo post dopo il mio in cui inizio con "Ciao, grazie mille per tutto l'impegno che ci stai mettendo."
Grazie
