Limitare la banda di una classe intera

Rizio · gio 01 dic , 2011 11:56 am

Qual'è il sistema migliore (in termini di risultato e affidabilità) per limitare la banda riservata ad una determinata classe IP che transita su un mio router?

Tra tutte le net che serve quel router:

Codice: Seleziona tutto

Router#sh ip int brief | e unassi
Tunnel0                    10.0.5.54       YES NVRAM  up                    up      
Vlan1                      192.168.105.1   YES NVRAM  up                    up      
Vlan2                      172.16.6.4      YES NVRAM  up                    up      

Router#sh ip route static 
     172.31.0.0/32 is subnetted, 1 subnets
S       172.31.6.254 [1/0] via 172.16.6.1
     10.0.0.0/8 is variably subnetted, 8 subnets, 3 masks
S       10.10.10.0/24 [1/0] via 172.16.6.1
S       10.10.12.0/24 [1/0] via 172.16.6.1
S       10.0.5.33/32 [1/0] via 172.16.6.1
S*   0.0.0.0/0 is directly connected, Tunnel0
S    172.16.0.0/12 [1/0] via 172.16.6.1

Vorrei che la 192.168.105.x non potesse utilizzare più di 1Mb in totale, qual'è la parola magica?
Per quanto ne sò il qos gestisce le code ma non limita la banda a priori, entra in gioco solo in caso di saturazione. Io invece cerco qualcosa che proprio che limiti sempre e comunque la banda in uscita verso e da quella rete, uno shape costante.
(a dir la verità, pensandoci posso limitare anche quello che esce/entra dall'intero Tunnel.... magari è più facile)

Lui è il router:

Codice: Seleziona tutto

Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(24)T6, RELEASE SOFTWARE (fc2)

Cisco 877W (MPC8272) processor (revision 0x300) with 118784K/12288K bytes of memory.
Processor board ID FCZ114493H4
MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10
4 FastEthernet interfaces
1 ATM interface
1 802.11 Radio
128K bytes of non-volatile configuration memory.
24576K bytes of processor board System flash (Intel Strataflash)

Grazie per ogni suggerimento o link
Rizio

ghira · gio 01 dic , 2011 12:56 pm

Rizio ha scritto:Qual'è il sistema migliore (in termini di risultato e affidabilità) per limitare la banda riservata ad una determinata classe IP che transita su un mio router?

anche se hai banda libera non puoi permettere banda in piu' a questa classe?

guarda "police" e "shape" allora.

rain3 · gio 01 dic , 2011 1:03 pm

Io uso il rate-limit, puoi marcare il traffico interessato con un'acl e poi usare il rate-limit sull'interfaccia . Decidi la banda massima che l'host può usare e decidere cosa fare in caso la soglia sia superata; di solito il traffico in eccesso viene droppato .

http://www.cisco.com/en/US/docs/ios/12_ ... fcmd8.html

Qui c'e' un foglio excel per calcolare i valori, puoi farlo anche a mano .
https://learningnetwork.cisco.com/docs/DOC-7874

Se hai bisogno di più info posta pure .

Che banda vorresti limitare per quell'host ?

Rizio · gio 01 dic , 2011 2:02 pm

ghira ha scritto:anche se hai banda libera non puoi permettere banda in piu' a questa classe?

Si, l'idea sarebbe questa. Più che altro perchè anche lavorare in percentuale sulla banda disponibile mi metterebbe in condizione di essere a rischio.
Cioè, dando per assurdo che la classe "buona" stia facendo traffico zero non vorrei che la classe "cattiva" possa comunque usarmi tutta la banda. Anche perchè non vorrei dopo avere dei tunnel che non riescono ad andare sù perchè i pacchetti di handshare per lo scambio delle chiavi di cifratura o altro arrivano oltre al ttl o con timeout troppo stretti.
Mi rendo conto che è una finta paura ma la classe che voglio limitare ora ha un accesso ad 1Mb e mettendola su una linea 4/8 non voglio che la gente dietro gli schermi senta il cambio (nemmeno in bene)

ghira ha scritto:guarda "police" e "shape" allora.

Grazie, valuto un attimo il rate-limit poi darò un'occhiata al comando shape.

rain3 ha scritto:Io uso il rate-limit, puoi marcare il traffico interessato con un'acl e poi usare il rate-limit sull'interfaccia . Decidi la banda massima che l'host può usare e decidere cosa fare in caso la soglia sia superata; di solito il traffico in eccesso viene droppato .

Si, così sarebbe ottimo, proprio quello che stavo cercando. Mi butto sulla doc.

rain3 ha scritto:Qui c'e' un foglio excel per calcolare i valori, puoi farlo anche a mano .
https://learningnetwork.cisco.com/docs/DOC-7874

molto molto comodo, grazie mille.

rain3 ha scritto:Se hai bisogno di più info posta pure .

Lo terrò presente, grazie

rain3 ha scritto:Che banda vorresti limitare per quell'host ?

Stiamo parlando di tunnel crittati.
Praticamente su una linea internet fastweb 6/8 in IMA attualmente stò facendo passare 1 tunnel (crittato) di collegamento tra due sedi e il traffico internet di una delle sedi. Sullo stesso collegamento vorrei far transitare un altro tunnel senza però farlo eccedere dalla banda attualmente utilizzata (appunto 1Mb).
Essendo 2 tunnel crittati non riesco ad effettuare nessun identificazione del traffico e per il resto, essendo traffico internet passa tutto e niente. Era per questo motiva la domanda?

Rizio

ghira · gio 01 dic , 2011 3:24 pm

Rizio ha scritto: Vorrei che la 192.168.105.x non potesse utilizzare più di 1Mb in totale

usare per fare cosa?

puo' parlare con l'altra vlan senza limiti? e' solo uso del tunnel che vuoi limitare?

l'interfaccia fisica in uscita cos'e'? stai usando la linea adsl su questo router?

Rizio · gio 01 dic , 2011 3:35 pm

ghira ha scritto:usare per fare cosa?

puo' parlare con l'altra vlan senza limiti? e' solo uso del tunnel che vuoi limitare?

l'interfaccia fisica in uscita cos'e'? stai usando la linea adsl su questo router?

Gli utenti della rete limitata devono solo "uscire" attraverso il collegamento fastweb e non vedere nulla della rete attraverso cui transitano (sono chiusi in una vlan).
L'interfaccia in uscita è un tunnel che metto sul router ed è SOLO quel tunnel che voglio limitare, tutto il resto lo lascio "libero". No, non stò usando l'interfaccia adsl di questo router.

Rizio

ghira · gio 01 dic , 2011 3:49 pm

Rizio ha scritto:
ghira ha scritto:usare per fare cosa?

puo' parlare con l'altra vlan senza limiti? e' solo uso del tunnel che vuoi limitare?

l'interfaccia fisica in uscita cos'e'? stai usando la linea adsl su questo router?
Gli utenti della rete limitata devono solo "uscire" attraverso il collegamento fastweb e non vedere nulla della rete attraverso cui transitano (sono chiusi in una vlan).
L'interfaccia in uscita è un tunnel che metto sul router ed è SOLO quel tunnel che voglio limitare, tutto il resto lo lascio "libero". No, non stò usando l'interfaccia adsl di questo router.

Rizio

ma l'interfaccia fisica dove parte il traffico del tunnel qual e'?

in ogni caso puoi provare:

policy-map shape1meg
class class-default
shape average 1024000

int tunnel 0
service-policy out shape1meg

se il tunnel lo crei tu non puoi vedere il traffico non-crittato?

allora puoi anche mettere un service-policy sotto la class-default
e fare qos all'interno del tuo 1meg. ma devi o classificare il traffico
in entrata o usare "qos pre-classify" sul tunnel

Rizio · gio 01 dic , 2011 4:08 pm

ghira ha scritto:ma l'interfaccia fisica dove parte il traffico del tunnel qual e'?

Il traffico da limitare entra da un'interfaccia fisica (posta su una vlan) ed esce dal tunnel.
Le 2 interfacce interessate sono comunque quelle 2 lì.

ghira ha scritto:in ogni caso puoi provare:

policy-map shape1meg
class class-default
shape average 1024000

int tunnel 0
service-policy out shape1meg

Finisco di leggere la domcunetazione sul rate-limit e dopo provo (anche perchè ora sono alla parte in cui dice che non può essere usato su TUNNEL, FastEthernet e interfacce che non supportino il CEF

vedo dopo quando provo nella pratica cosa và e cosa non và)

ghira ha scritto:se il tunnel lo crei tu non puoi vedere il traffico non-crittato?

Si, in effetti il tunnel lo creo io, posso analizzare il traffico che entra dall'ethernet.

ghira ha scritto:allora puoi anche mettere un service-policy sotto la class-default
e fare qos all'interno del tuo 1meg. ma devi o classificare il traffico
in entrata o usare "qos pre-classify" sul tunnel

E' che sinceramente non vorrei complicarmi la vita e mi piace di più l'idea del limitare tutto a prescindere dal tipo di traffico che è: quello che esce dal tunnel non può superare il Mb. Messa così è anche più facile da far capire al reparto erp che si mettono un sacco di problemi per le performances della loro roba (che casualmente passa sempre da lì

-ohhh del resto il buco è sempre quello, le magie non le fà nessuno credo!!!- )

Perchè non ti convince la logica del "sega tutto"?

Rizio

ghira · gio 01 dic , 2011 4:40 pm

Rizio ha scritto:
Perchè non ti convince la logica del "sega tutto"?

Rizio

shape mi sembra meno brutale. se c'e' un poco di traffico extra per un decimo
di un secondo lo butti o lo fai aspettare un po'? e hai _anche_ la flessibilita'
di poter aggiungiere una classe figlia dove dai priorieta', all'interno della classe
genitrice shapata ad un meg, a, boh, pacchetti molto piccoli, o ntp, o quello che
vuoi.

Rizio · gio 01 dic , 2011 4:59 pm

ghira ha scritto:shape mi sembra meno brutale. se c'e' un poco di traffico extra per un decimo
di un secondo lo butti o lo fai aspettare un po'? e hai _anche_ la flessibilita'
di poter aggiungiere una classe figlia dove dai priorieta', all'interno della classe
genitrice shapata ad un meg, a, boh, pacchetti molto piccoli, o ntp, o quello che
vuoi.

Hummm... in effetti sembra più flessibile.
Magari per un'altro tipo di applicazione lo tengo presente, per questa mi va molto bene essere inflessibile (è il servizio che ci hanno chiesto e mi preme non sforare).

Rizio

rain3 · gio 01 dic , 2011 5:26 pm

Facci sapere poi come va l'implementazione .

ghira · gio 01 dic , 2011 7:10 pm

Un'altra domanda e':

oltre a limitare il tunnel, lo vuoi anche proteggere?

Quello che abbiamo detto finora non protegge il tunnel da eventuali
ondate di altro traffico che esce dalla stessa interfaccia fisica.

Rizio · gio 01 dic , 2011 8:00 pm

rain3 ha scritto:Facci sapere poi come va l'implementazione .

Certo, sarà fatto

Rizio

Rizio · gio 01 dic , 2011 8:09 pm

ghira ha scritto:Un'altra domanda e':

oltre a limitare il tunnel, lo vuoi anche proteggere?

Quello che abbiamo detto finora non protegge il tunnel da eventuali
ondate di altro traffico che esce dalla stessa interfaccia fisica.

In questo caso no, non mi interessa proteggerlo da eventuali saturazioni da parte della rete "privilegiata" però effettivamente non ci avevo pensato, l'implementazione del rate-limit non sembra farlo. Ho letto che può gestire l'eccedenza del traffico accodandolo o droppandolo, ma effettivamente non mi sembra di aver letto che garantisce un minimo.

Per proteggerlo sarebbe necessario utilizzare il QOS pieno giusto? Perchè a quel punto lavori in percentuale in base al tipo di traffico o alla rete.
O anche le policy di shape possono lavorare così?

Rizio

ghira · gio 01 dic , 2011 9:22 pm

Rizio ha scritto: O anche le policy di shape possono lavorare così?

"shape" all'interno del tunnel non fa questo, direi.

a quel punto dovresti, credo, mettere una "policy-map" sull'interfaccia fisica
dove una delle classi e' il traffico GRE o IPSEC o quello che e' per questo tunnel.

non _credo_ che sia permesso mettere policy-map sul tunnel e sull'interfaccia
fisica allo stesso tempo, ma queste magari sono cose che cambiano secondo la versione
dell'IOS.

Limitare la banda di una classe intera

Login • Iscriviti