Il 01 marzo 2010 17.47, Alessandro Corbelli <[email protected]> ha scritto: > Ciao a tutti.
Ciao Alessandro, > Un piccolo chiarimento. > Se configuro una ACL che mi identifichi, ad esempio, > una subnet o alcuni indirizzi sparsi, applicando un > eventuale rate-limit alla ACL, limitereri il traffico > complessivo di tutti gli IP o dei singoli? > > Mi spiego: > > devo limitare, per ciascun IP, il traffico in uscita dalla > porta 24 dello switch, a 5mbit. > Pensavo di fare una ACL che mi 'beccasse' gli IP da limitare, > vuoi per subnet, vuoi per ip singolo. > Ma così facendo, non mi limita la banda a tutti gli ip facendo > quindi condividere i 5mbit tra tutti quanti? Se fai rate limiting basato su una ACL che 'permette' una subnet, quel che ottieni è un rate limit sulla subnet, quindi limiteresti il traffico sull'aggregato degli indirizzi IP della subnet permessa nell'ACL. > > Io vorrei dare 5mbit a ciascuno. Se vuoi limitare le comunicazioni per indirizzo IP, quel che mi viene in mente è l'uso delle policy-map. > > Altra cosa, come attacco un rate-limit basato su ACL al traffico > in uscita dalla porta 24? Non voglio limitare le comunicazioni > tra server, ma solo quelle in uscita da una porta precisa. Con la soluzione proposta ci riusciresti; il problema è che questa soluzione è poco scalabile in quanto (se non ricordo male) puoi configurare una sola policy-map in IN ed una in OUT. Nel tuo caso dovresti configurare una policy-map in OUT in cui definisci tante class-map per quanti sono gli indirizzi IP da 'limitare' e fare lo shaping (o il policing a seconda di quel che ti serve) a 5Mbps. Poi applichi questa policy-map sull'interfaccia 24 ed il gioco è fatto. La scarsa scalabilità consiste nel definire tante class-map con tante ACL per quanti sono gli indirizzi IP ai quali deve essere applicato il rate limit. Ti scrivo un esempio, così capisci se ho interpretato bene il tuo problema: se hai 3 pc i cui indirizzi sono IP1 IP2 IP3 avrai: access-list 101 permit ip any host IP1 <wildcard mask> Switch(config)# access-list 101 permit ip any host IP1 Switch(config)# access-list 102 permit ip any host IP1 Switch(config)# access-list 103 permit ip any host IP1 Switch(config)# class-map CLASS_PC_1 Switch(config-cmap)# match access-group 101 Switch(config-cmap)# exit Switch(config)# class-map CLASS_PC_2 Switch(config-cmap)# match access-group 102 Switch(config-cmap)# exit Switch(config)# class-map CLASS_PC_3 Switch(config-cmap)# match access-group 103 Switch(config-cmap)# exit Switch(config)# policy-map RATE_LIMIT_OUT Switch(config-pmap)# class CLASS_PC_1 Switch(config-pmap-c)# shape peak 5000000 Switch(config-pmap-c)# exit Switch(config-pmap)# class CLASS_PC_2 Switch(config-pmap-c)# shape peak 5000000 Switch(config-pmap-c)# exit Switch(config-pmap)# class CLASS_PC_3 Switch(config-pmap-c)# shape peak 5000000 Switch(config-pmap-c)# exit Switch(config-pmap)# exit Switch(config)# interface fastethernet0/24 Switch(config-if)# service-policy output RATE_LIMIT_OUT spero di essere stato chiaro. Comunque avrei qualche domanda: Quanti sarebbero gli IP da limitare ? E' proponible fare una configurazione manuale per tutti gli IP da limitare ? In che modo connetti un segmento di rete ad una sola porta dello Switch? Conosco un modo per 'automatizzare' l'implementazione degli script. Si chiama EEM (Embedded Event Manager); è un sottosistema dell'IOS che, sulla base di eventi real time nella rete, permette di automatizzare e personalizzare il comportamento dei dispositivi di rete in base ai propri bisogni. Fa uso del linguaggio TCL, che non è molto difficile da scrivere. Qualche informazione potresti trovarla qui: http://www.cisco.com/en/US/docs/ios/netmgmt/configuration/guide/nm_eem_policy_cli.html > > Grazie in anticipo, Prego, > Alessandro. Matteo > > > > _______________________________________________ > http://www.areanetworking.it > http://www.areanetworking.it/blog > [email protected] > http://ml.areanetworking.it/mailman/listinfo/cug > > -- Dott. Matteo Pacifico Eng. of Telecomunication University of L'Aquila 67040 Poggio Roio (AQ), Italy Mobile: +39 3490827136 e-mail: [email protected] _______________________________________________ http://www.areanetworking.it http://www.areanetworking.it/blog [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
