rate-limit non funziona?!?

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
Avatar utente
xanio
Cisco power user
Messaggi: 113
Iscritto il: mar 24 giu , 2008 11:21 am
Località: Messina
Contatta:
Contatta xanio

Ciao,
dopo aver cercato sul FORUM, ho appreso che per limitare la banda ad un determinato ip della mia lan posso utilizzare il comando rate-limit in accoppiata a delle access-list.

quindi sul router 2811 ho impostato questa accesslist e questo rate limit.

Codice: Seleziona tutto

router(config)#access-list 5 permit 192.168.1.3
..
..
router(config-int)#rate-limit output access-group 5 120000 120000 120000 conform-action transmit exceed-action drop 
router(config-int)#rate-limit input access-group 5 120000 120000 120000 conform-action transmit exceed-action drop
Praticamente ho applicato la rate-limit alla FastEthernet del router e se controllo le access-list vedo che vengono machate.

Il problema e che non viene imposto nessun limite, riesco a scaricare sempre a 50 - 80K.

Il mio scopo e non far scaricare non più di 15KB/s se non vado errato 120000bit.


Dove sbaglio? Se funziona il mio scopo è limitare alcuni client a non sueprare una certa capacità di banda e dare piena liberta agli altri.
[ Gnu/Linux The Power of UnderGround Knowledge ]
[ W3:http://www.nemesilabs.org - PGPKey: 0x70046843 ]
[ BC4E ABD0 E2BB 1E88 5595 8C5F 09A9 3D98 7004 6843 ]
Top
Avatar utente
andrewp
Messianic Network master
Messaggi: 2199
Iscritto il: lun 13 giu , 2005 7:32 pm
Località: Roma

Non ho tempo di controllare ora ma il comando é contorto, i valori sono uno in bit, uno in byte....ricontrolla.
Manipolatore di bit.
Top
Avatar utente
xanio
Cisco power user
Messaggi: 113
Iscritto il: mar 24 giu , 2008 11:21 am
Località: Messina
Contatta:
Contatta xanio

hai ragione, il primo è in bit, il secondo in byte come il terzo,. quindi ho ricontrollato, ho effettuato la variazione quindi per una manda di 15KB/s ovvero 12000Byte/s devo impostare questa dicitura

Codice: Seleziona tutto

router(config)#rate-limit input access-group 5 120000 15000 15000  conform-action transmit exceed-action drop 
router(config)#rate-limit output access-group 5 120000 15000 15000  conform-action transmit exceed-action drop
ma niente nessun risultato.
[ Gnu/Linux The Power of UnderGround Knowledge ]
[ W3:http://www.nemesilabs.org - PGPKey: 0x70046843 ]
[ BC4E ABD0 E2BB 1E88 5595 8C5F 09A9 3D98 7004 6843 ]
Top
Mocuisla82
Cisco fan
Messaggi: 50
Iscritto il: mer 13 ago , 2008 3:19 pm
Contatta:
Contatta Mocuisla82

xanio ha scritto:hai ragione, il primo è in bit, il secondo in byte come il terzo,. quindi ho ricontrollato, ho effettuato la variazione quindi per una manda di 15KB/s ovvero 12000Byte/s devo impostare questa dicitura

Codice: Seleziona tutto

router(config)#rate-limit input access-group 5 120000 15000 15000  conform-action transmit exceed-action drop 
router(config)#rate-limit output access-group 5 120000 15000 15000  conform-action transmit exceed-action drop
ma niente nessun risultato.
è un errore di scrittura ho il rate-limit non è associato all' interfaccia ?
MALEDETTI CISCO 3725 !!!!!! - 20 KG
Top
Avatar utente
xanio
Cisco power user
Messaggi: 113
Iscritto il: mar 24 giu , 2008 11:21 am
Località: Messina
Contatta:
Contatta xanio

errore di scrittura...il rate limit è impostato all'interfaccia, tante che se faccio lo show del rate-limit sull'interfaccia, vedo i pacchetti accept e dropped...ma purtroppo riesco a scaricare anche a 100KB/s, anche se poi si attesta sempre a 50-60kB/s.

Non so che pesci prendere, eppure sembra corretto tutto il sistema.

PS: io l'acl l'applico all'ìinterfaccia ethernet? la devo applicare all'ATM?
[ Gnu/Linux The Power of UnderGround Knowledge ]
[ W3:http://www.nemesilabs.org - PGPKey: 0x70046843 ]
[ BC4E ABD0 E2BB 1E88 5595 8C5F 09A9 3D98 7004 6843 ]
Top
Avatar utente
hashashin
Cisco enlightened user
Messaggi: 125
Iscritto il: sab 22 ott , 2005 7:40 am
Località: Frascati (RM)

ciao,

allora prova con questi valori 120000 22500 22500.
la documentazione cisco a riguardo parlando di rate-limit, indica che questo filtro varia in funzione anche del tempo (nn so se hai mai sentito farlare di token, burst ecc... ecc...), quindi la formula corretta sarebbe la seguente (utilizzando un tempo medio di 1,5 secondi):

primo valore: è il limite in bit che vuoi applicare quindi 120000 (15000 byte)

secondo valore (normal burst): primo valore / 8 (numero di bit che compongono un byte) * 1,5 (tempo medio in secondi di riempimento de secchiello) ---> (120000/8)*1,5=225000

terzo valore (extended burst): che in questo caso è uguale al secondo valore

cmq la documentazione cisco dice:

###############################################
Input and Output Rate Limiting on an Interface Example

In this example, a customer is connected to an Internet service provider (ISP) by a T3 link. The ISP wants to rate limit transmissions from the customer to 15 Mbps of the 45 Mbps. In addition, the customer is allowed to send bursts of 2,812,500 bytes. All packets exceeding this limit are dropped. The following commands are configured on the High-Speed Serial Interface (HSSI) of the ISP connected to the customer:

interface Hssi0/0/0

description 45Mbps to R1

rate-limit input 15000000 2812500 2812500 conform-action transmit exceed-action drop

ip address 200.200.14.250 255.255.255.252

rate-limit output 15000000 2812500 2812500 conform-action transmit exceed-action drop

###############################################


il link dell'esempio è questo:

http://www.cisco.com/en/US/docs/ios/12_ ... cfcar.html


il link che spiega il burst e la storia dei token e del secchiello è questo:

http://www.cisco.com/warp/public/732/Tech/car/


ciaoooooooo
Top
Avatar utente
xanio
Cisco power user
Messaggi: 113
Iscritto il: mar 24 giu , 2008 11:21 am
Località: Messina
Contatta:
Contatta xanio

Grazie, appena posso provo e ti faccio sapere.

Speriamo che sia questa la soluzione hai miei problemi ;)
[ Gnu/Linux The Power of UnderGround Knowledge ]
[ W3:http://www.nemesilabs.org - PGPKey: 0x70046843 ]
[ BC4E ABD0 E2BB 1E88 5595 8C5F 09A9 3D98 7004 6843 ]
Top
Avatar utente
hashashin
Cisco enlightened user
Messaggi: 125
Iscritto il: sab 22 ott , 2005 7:40 am
Località: Frascati (RM)

incrociamo le dita.... :-D
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Appena si trova la soluzione metto questo topic in evidenza...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Avatar utente
hashashin
Cisco enlightened user
Messaggi: 125
Iscritto il: sab 22 ott , 2005 7:40 am
Località: Frascati (RM)

eeehhhheeehhh ha detto che ci mette in evidenza!!!

facciamo gli scongiuri speriamo di aver risolto!!!

:D
Top
ciscomanagement
Network Emperor
Messaggi: 229
Iscritto il: lun 03 ott , 2005 7:17 pm
Località: Sicilia

Ragazzi ho lo stesso strano problema pure io

Ho anche provato ad inserire dopo il comando di access-group l'access-limit, ma non e' cambiato nulla

:?: :roll:
Top
ciscomanagement
Network Emperor
Messaggi: 229
Iscritto il: lun 03 ott , 2005 7:17 pm
Località: Sicilia

Ragazzi ho fatto delle prove in merito, e qualcosa non mi convince.

Ipotizziamo sempre i nostri 15KB di limite, per cui 120000 22500 22500


Se utilizzo la stringa con l'access group relativa, il limite non funziona
Se ometto la stringa, e la banda mi viene limitata all'intera interfaccia (eth0), il limite funziona correttamente.

A questo punto dovrebbe essere un errore riguardante l'access-list...
Top
ep
Network Emperor
Messaggi: 260
Iscritto il: sab 06 dic , 2008 11:36 am

La butto lì: non è che stai limitando i pacchetti con sorgente quell'IP interno, e devi usare una extended ACL mettendolo come destinazione?

Ti suggerisco di provare con una bella

access-list 105 permit ip any host 192.168.1.3

Ciao!
Top
Avatar utente
hashashin
Cisco enlightened user
Messaggi: 125
Iscritto il: sab 22 ott , 2005 7:40 am
Località: Frascati (RM)

.
salve ragazzi,

ho fatto caso ad una cosa (scusate il gioco di parole), e cioè che in tutti gli esempi che ho trovato, le access-list utilizzate erano tutte extended.
Anche se non è specificato, non vorrei che il comando rate-limit prenda per buone solo le ACL extended. :roll:.

magari si può provare con qualcosa del genere:

access-list 105 permit ip any host 192.168.1.3
access-list 105 permit ip host 192.168.1.3 any

mmmmm... (di dubbio)
Top
ep
Network Emperor
Messaggi: 260
Iscritto il: sab 06 dic , 2008 11:36 am

Ciao,

non è che prenda solo le extended, ci mancherebbe; prende tutte le access list, ma quelle standard non ti permettono di specificare la destinazione.

Nel caso che stavamo guardando volevamo rallentare lo scaricamento. Giustamente, per essere sicuri, l'esempio che hai fatto tu copre entrambe le direzioni, ma sarebbe sufficiente

Codice: Seleziona tutto

access-list 105 permit ip host 192.168.1.3 any
interface Ethernet0
rate-limit output 120000 15000 15000 conform-action transmit exceed-action drop
(a meno di non voler limitare anche eventuali upload).

Sinceramente non so in quale sequenza vengano applicati NAT e CAR, quindi non so se tentando di fare questo lavoro con rate-limit input sull'interfaccia di provenienza troverei l'indirizzo IP di destinazione già NATtato oppure no, ma credo di no! (e sì che mi basterebbe provare :) )

Ciao!
Top
Rispondi

Torna a “Configurazioni”