• How To: Cisco Rate-Limits & NBAR
    Σελ. 1 από 3

    από
    wintech2003
    Δημοσιεύθηκε στις 04-11-06 06:26
    10 Σχόλια Σχόλια
    Ας υποθέσουμε οτι έχουμε ενα δίκτυο με 4 υπολογιστές, εναν Cisco router και μια σύνδεση στο Internet 2048/256 και οτι θέλουμε με κάποιο τρόπο να βάλουμε ενα global όριο στα P2P ωστε να μην μπουκώνουν την γραμμή μας, και επίσης να περιορίσουμε το bandwidth που μπορει να χρησιμοποιήσει ο κάθε υπολογιστής.

    Για να αξιποιήσετε τον παρακάτω οδηγό θα χρειαστείτε περισσότερα του ενός PC, συνδεδεομένα σε δίκτυο, που βγαινει στο Internet μεσω ενός Cisco router.

    Επίσης θα χρειαστείτε και αρχεία pdlm τα οποία χρησιμοποιουνται για το classification του traffic που περνάει απο τον router.
    Αυτά μπορείτε να τα κατεβάσετε απο το site της Cisco (απαιτείται εγγραφή):

    http://www.cisco.com/pcgi-bin/tablebuild.pl/pdlm

    Φυσικά με το nbar μπορειτε να κάνετε classify και άλλου είδους traffic εκτός απο P2P traffic, οπως για παράδειγμα http, ftp, pop3, smtp, citrix, sip κ.α. αλλα στην προκειμένη περίπτωση θα ασχοληθουμε με πρωτόκολα P2P.

    Ελπίζω ο παρακάτω οδηγός να σας φανει χρήσιμος.

    Αυτό το άρθρο δημοσιεύθηκε πρώτα στο forum με θέμα: How To: Cisco Rate-Limits & NBAR Δημοσιεύθηκε από wintech2003 Δείτε την αρχική δημοσίευση
    Σελίδες: How To: Cisco Rate-Limits & NBAR  Επόμενη σελίδαRate-LimitsΕπόμενο
    Σχόλια 10 Σχόλια
    1. Το avatar του μέλους karavagos
      karavagos - 04-11-06, 15:39
      police 64000 2000 2000



      Προτεινόμενα από Cisco:

      police cir bc be

      bc = cir [bps] x (1 [byte]/8 [bits]) x 1.5 [secs] = ... [bytes]
      be = 2 x bc = ... [bytes]
    1. Το avatar του μέλους wintech2003
      wintech2003 - 04-11-06, 15:51
      Προτείνεις δηλαδή να γίνουν:

      Rate-Limits
      Κώδικας:
      rate-limit input access-group 121 1536000 288000 576000 conform-action transmit exceed-action drop
rate-limit input access-group 122 1536000 288000 576000 conform-action transmit exceed-action drop
rate-limit input access-group 123 1536000 288000 576000 conform-action transmit exceed-action drop
rate-limit input access-group 124 1536000 288000 576000 conform-action transmit exceed-action drop
rate-limit output access-group 141 96000 18000 36000 conform-action transmit exceed-action drop
rate-limit output access-group 142 96000 18000 36000 conform-action transmit exceed-action drop
rate-limit output access-group 143 96000 18000 36000 conform-action transmit exceed-action drop
rate-limit output access-group 144 96000 18000 36000 conform-action transmit exceed-action drop
      NBAR
      Κώδικας:
      policy-map P2P-IN class p2p police 512000 96000 192000 conform-action transmit exceed-action drop
      Κώδικας:
      policy-map P2P-OUT class p2p police 64000 12000 24000 conform-action transmit exceed-action drop
    1. Το avatar του μέλους karavagos
      karavagos - 04-11-06, 16:47
      Στα μεγάλα cir ίσως πρέπει να είσαι πιο επιφυλακτικός με τα burst. Δηλαδή δοκιμάζεις πιο μικρά και αν βλέπεις να κόβονται πακέτα πριν το cir, τότε τα αυξάνεις. Ή δοκιμάζεις πιο μεγάλα και αν βλέπεις ότι ξεπερνιέται συνέχεια το cir χωρίς να κόβονται πακέτα, τότε τα μειώνεις.
      Πάντως το 2000 που είχες βάλει είναι απαγορευτικό, γιατί με 1500 bytes το (default) max μέγεθος του πακέτου, ούτε 2 πακέτα δεν χωράνε στον "κουβά".

      ΥΓ: καλό είναι να αντικαταστήσεις και τα αρχικά rate-limit (CAR) με το MQC (policies, classes, service-policies)
    1. Το avatar του μέλους wintech2003
      wintech2003 - 04-11-06, 18:05
      Στα μεγάλα cir ίσως πρέπει να είσαι πιο επιφυλακτικός με τα burst. Δηλαδή δοκιμάζεις πιο μικρά και αν βλέπεις να κόβονται πακέτα πριν το cir, τότε τα αυξάνεις. Ή δοκιμάζεις πιο μεγάλα και αν βλέπεις ότι ξεπερνιέται συνέχεια το cir χωρίς να κόβονται πακέτα, τότε τα μειώνεις.
      Πάντως το 2000 που είχες βάλει είναι απαγορευτικό, γιατί με 1500 bytes το (default) max μέγεθος του πακέτου, ούτε 2 πακέτα δεν χωράνε στον "κουβά".
      Αρα αυτο που προτείνει η Cisco τελικά γιατι το προτείνει?
      Anyway, ουτως ή άλλως το παρόν αποτελεί ενα παράδειγμα για το πως να υλοποιήσει κανεις rate-limits και οχι για να του εξηγήσουμε την θεωρία (για την θεωρία, εχω hyperlink σε κάθε *λέξη-κλειδι*).
      Οντως αυτό που λες για το 2000 στο P2P-OUT εχεις δίκιο, θέλει ανέβασμα, αλλα εξάλλου μιλάμε για P2P traffic (outgoing)... τι μας νοιαζει?

      EDIT: Το 2000 εγινε 16000

      ΥΓ: καλό είναι να αντικαταστήσεις και τα αρχικά rate-limit (CAR) με το MQC (policies, classes, service-policies)
      Ε αντε κανε ενα how-to ντε
    1. Το avatar του μέλους karavagos
      karavagos - 04-11-06, 19:01
      Παράθεση Αρχικό μήνυμα από wintech2003 Εμφάνιση μηνυμάτων
      Αρα αυτο που προτείνει η Cisco τελικά γιατι το προτείνει?
      Είναι προτεινόμενη λύση, όχι όμως υποχρεωτική. Γι' αυτό άλλωστε μπορείς να βάζεις ότι νούμερα θες. Το δίκτυο του καθενός είναι ιδιάζουσα περίπτωση και πρέπει να σχεδιάζεται βασιζόμενο πάνω σε γενικές αρχές, με εξειδικευμένες όμως παρεμβάσεις όπου κρίνεται απαραίτητο.

      Παράθεση Αρχικό μήνυμα από wintech2003 Εμφάνιση μηνυμάτων
      Οντως αυτό που λες για το 2000 στο P2P-OUT εχεις δίκιο, θέλει ανέβασμα, αλλα εξάλλου μιλάμε για P2P traffic (outgoing)... τι μας νοιαζει?
      Κακέ...

      Παράθεση Αρχικό μήνυμα από wintech2003 Εμφάνιση μηνυμάτων
      Ε αντε κανε ενα how-to ντε


      hint :
      Κώδικας:
      class.. xxx
 match acl xxx
class... yyy
 match acl yyy
...

policy... blah-blah
 class xxx
  police 100
 class yyy
  police 200
...
    1. Το avatar του μέλους wintech2003
      wintech2003 - 04-11-06, 19:45
      Παράθεση Αρχικό μήνυμα από karavagos Εμφάνιση μηνυμάτων
      Κώδικας:
      class.. xxx
 match acl xxx
class... yyy
 match acl yyy
...

policy... blah-blah
 class xxx
  police 100
 class yyy
  police 200
...
      Υλοποιείται λοιπον με τον ίδιο τρόπο με τον οποίο έχω φτιαξει τα policy-maps για το NBAR στο How-To.
      Απλα στα class-maps κάνουμε match acl αντι για protocol.
    1. Το avatar του μέλους karavagos
      karavagos - 04-11-06, 22:37
      Παράθεση Αρχικό μήνυμα από wintech2003 Εμφάνιση μηνυμάτων
      Υλοποιείται λοιπον με τον ίδιο τρόπο με τον οποίο έχω φτιαξει τα policy-maps για το NBAR στο How-To.
      Απλα στα class-maps κάνουμε match acl αντι για protocol.
      yep...

      ΥΓ: acl = access-group για να μην μπερδευόμαστε
    1. Το avatar του μέλους cprotopapas
      cprotopapas - 04-11-06, 22:54
      Είστε κλίκα ρε!!!!!..Κατά τ'άλλα ένα πολύ σωστό και ενδιαφέρον How-to.Καλή δουλειά και από τους δύο.
    1. Το avatar του μέλους fasolia
      fasolia - 14-02-09, 08:24
      Πολύ καλό το άρθρο αλλά δύσκολο για τους πιο πολλούς..
      λίγο προχωρημένο αλλά και δύσκολο να κατεβάσεις απο την cisco.
    1. Το avatar του μέλους euklidis
      euklidis - 30-11-09, 19:54
      Παράθεση Αρχικό μήνυμα από fasolia Εμφάνιση μηνυμάτων
      Πολύ καλό το άρθρο αλλά δύσκολο για τους πιο πολλούς..
      λίγο προχωρημένο αλλά και δύσκολο να κατεβάσεις απο την cisco.
      Oχι και τοσο δυσκολο... απλες access lists ειναι σε cisco router. Εκει ειναι η μονη δυσκολια...