Bandwidth management su 5510

[dani83rn]

Ciao a tutti, innanzitutto complimenti per il forum!

Provo a spiegare il mio problema:
Ho un ASA 5510 collegato ad uno switch master sul quale sono configurate diverse vlan della rete aziendale sulle quali voglio applicare diverse regole di QOS.

Scartabellando nella documentazione cisco mi pare di aver capito che quando vado a configurare la mia policy QOS per limitare la banda essa (la policy) possa essere applicata soltanto a queste entità:
ciscoasa(config-cmap)# match ?

access-list Match an Access List
any Match any packet
default-inspection-traffic
dscp Match IP DSCP (DiffServ CodePoints)
flow Flow based Policy
port Match TCP/UDP port(s)
precedence Match IP precedence
rtp Match RTP port numbers
tunnel-group Match a Tunnel Group

La domanda quindi è: Esiste un modo per applicare regole di qos diverse a diverse classi di indirizzi sulla stessa interfaccia dell'ASA?

Grazie a tutti in anticipo,
Daniele

edit: cercando online ho visto che il qos applicato al tag vlan è fattibile su router serie 10000 ecc, speravo ci fosse un accorgimento per effettuare qualcosa di simile anche sul 5510..

[Wizard]

La domanda quindi è: Esiste un modo per applicare regole di qos diverse a diverse classi di indirizzi sulla stessa interfaccia dell'ASA?

Certo, fai ua acl dove indichi il traffico che deve essere prioritizzato

[dani83rn]

La domanda quindi è: Esiste un modo per applicare regole di qos diverse a diverse classi di indirizzi sulla stessa interfaccia dell'ASA?

Certo, fai ua acl dove indichi il traffico che deve essere prioritizzato

Scusa la niubbaggine.. Semplificando molto sull' interfaccia inside ho già applicato la mia access-list (101 ad esempio) che definisce gli accessi delle varie vlan (vlan1, vlan2 e vlan3) verso le altre interfacce dell'asa (outside, dmz, ecc).

Ovviamente facendo una regola di qos sulla access-list 101 limiterei il traffico di tutte e 3 le vlan (vlan1, vlan2 e vlan3) in modo uguale.

Potendo applicare una sola access-list per interfaccia (ricordo che ho un asa 5510, in questo caso applico l'access-list 101 sulla inside);
esiste un modo per specificare che la vlan1 non deve superare gli "x" Mbit, la vlan2 non deve superare gli "y" Mbit e la vlan3 non deve superare gli "z" Mbit visto che non posso fare altre access list su quella interfaccia?

[dani83rn]

uppete.. non rispondete perchè è una domanda stupida o perchè non si può fare?

Edit: Da quel che ho capito leggendo la documentazione cisco con il qos è possibile regolare soltanto il traffico in uscita, la cosa che non ho capito è se fosse possibile applicare priorità diverse a diverse subnet sulla stessa interfaccia (inside in questo caso). L'unica soluzione è montare un router a "monte"? Consigli a riguardo?

[Wizard]

Il QOS sugli asa ma anche sui router lo puoi usare per prioritizzare solo il traffico in upload chiaramente!

Eccoti un esempio:

access-list QOS-MAIL-ACL remark *** ACL PER QOS NAVIGAZIONE INTERNET ***
access-list QOS-MAIL-ACL extended permit tcp any any eq 110
access-list QOS-MAIL-ACL extended permit tcp any any eq 25
access-list QOS-MAIL-ACL extended permit tcp any any eq imap4
access-list QOS-MAIL-ACL extended permit tcp any eq 110 any
access-list QOS-MAIL-ACL extended permit tcp any eq 25 any
access-list QOS-MAIL-ACL extended permit tcp any eq imap4 any

class-map MAIL-QOS
match access-list QOS-MAIL-ACL

policy-map INSIDE-QOS
description POLICY QOS INTERFACCIA INTERNA
class MAIL-QOS
police input 8000000 4000

service-policy INSIDE-QOS interface INSIDE
service-policy INSIDE-QOS interface INSIDE-2
service-policy INSIDE-QOS interface DMZ

[Wizard]

Usa una acl ad hoc x il qos, nn usare quelle applicate alle interfaccie

[dani83rn]

Usa una acl ad hoc x il qos, nn usare quelle applicate alle interfaccie

Ahm, mi era sfuggito un piccolo particolare! Ti ringrazio molto, oggi pomeriggio provo