Il giorno mar, 02/03/2010 alle 23.48 +0100, Matteo Pacifico ha scritto: > Se fai rate limiting basato su una ACL che 'permette' una subnet, quel > che ottieni è un rate limit sulla subnet, quindi limiteresti il > traffico sull'aggregato degli indirizzi IP della subnet permessa > nell'ACL.
Come immaginavo... > Se vuoi limitare le comunicazioni per indirizzo IP, quel che mi viene > in mente è l'uso delle policy-map. Ok. > Switch(config)# access-list 101 permit ip any host IP1 > Switch(config)# access-list 102 permit ip any host IP1 > Switch(config)# access-list 103 permit ip any host IP1 > > Switch(config)# class-map CLASS_PC_1 > Switch(config-cmap)# match access-group 101 > Switch(config-cmap)# exit > Switch(config)# class-map CLASS_PC_2 > Switch(config-cmap)# match access-group 102 > Switch(config-cmap)# exit > Switch(config)# class-map CLASS_PC_3 > Switch(config-cmap)# match access-group 103 > Switch(config-cmap)# exit > > Switch(config)# policy-map RATE_LIMIT_OUT > Switch(config-pmap)# class CLASS_PC_1 > Switch(config-pmap-c)# shape peak 5000000 > Switch(config-pmap-c)# exit > Switch(config-pmap)# class CLASS_PC_2 > Switch(config-pmap-c)# shape peak 5000000 > Switch(config-pmap-c)# exit > Switch(config-pmap)# class CLASS_PC_3 > Switch(config-pmap-c)# shape peak 5000000 > Switch(config-pmap-c)# exit > Switch(config-pmap)# exit > > Switch(config)# interface fastethernet0/24 > Switch(config-if)# service-policy output RATE_LIMIT_OUT Direi perfetto per quello che devo fare io. Attacco una sola policy map, ok, ma poi dentro la policy map posso attaccare più classmap con impostazioni differenti quindi non dovrebbe essere un problema. > Quanti sarebbero gli IP da limitare ? Molti, nell'ordine di un migliaio. Quante classmap posso associare ad una singola policymap? > E' proponible fare una configurazione manuale per tutti gli IP da limitare ? No, ma in qualche modo posso automatizzare le operazioni con qualche script da eseguire via telnet. Ad esempio potrei usare come ID della ACL gli ultimi due byte dell'IP. Nel caso di 192.168.123.124 potrei usare come ID 123124. Il numero massimo della ACL sarà quindi 254254. > In che modo connetti un segmento di rete ad una sola porta dello Switch? Sono switch di distribuzione. Altri switch sono connessi nelle porte 1..XX, mentre la porte 24 è l'uplink verso il router. Su quell'uplink voglio limitare il traffico. > Conosco un modo per 'automatizzare' l'implementazione degli script. Si > chiama EEM (Embedded Event Manager); è un sottosistema dell'IOS che, > sulla base di eventi real time nella rete, permette di automatizzare e > personalizzare il comportamento dei dispositivi di rete in base ai > propri bisogni. Fa uso del linguaggio TCL, che non è molto difficile > da scrivere. > Qualche informazione potresti trovarla qui: > http://www.cisco.com/en/US/docs/ios/netmgmt/configuration/guide/nm_eem_policy_cli.html Vado a leggere. Grazie mille Matteo.
_______________________________________________ http://www.areanetworking.it http://www.areanetworking.it/blog [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
