mturba 10 Geschrieben 3. Oktober 2006 Melden Teilen Geschrieben 3. Oktober 2006 Hi, noch ein anderes Problem, was ich bisher noch nicht in den Griff bekommen habe... Die Hardware ist ein Cisco 876 mit Advanced IP Services Feature Set. WAN-Anbindung ist eine DSL-Leitung mit (z.Zt. noch) 1 MBit Down- und 160 KBit Upstream. Ich möchte nun den 876 derart konfigurieren, dass bestimmten Rechnern im internen Netz sowohl inbound als auch outbound eine geringere Bandbreite als anderen zur Verfügung steht. Erster Ansatz, das zu realisieren, war mit den Kommandos rate-limit input access-list 100 bzw. rate-limit output access-list 100 sowohl an interface atm0, atm0.1 als auch am Dialer-Interface, allerdings ohne Erfolg. show interfaces <interface> rate-limit zeigte auch, dass da nix limitiert wurde. Evtl. unterstützt der 876 kein rate-limiting auf ATM-Ebene in Zusammenhang mit DSL-Signalisierung. Der nächste Ansatz war, das ganze mit der Modular Quality of Service CLI zu erledigen. Das funktioniert auch wunderbar für den Outbound-Traffic. Ich lege eine Accessliste an, die z.B. lautet ip access-list extended match_test permit ip host 192.168.2.10 any und dann eine class-map, die diese Accessliste verwendet und eine policy-map, die dafür sorgt, dass der Traffic policed bzw. geshaped wird. Noch eine eintsprechende service-policy und soweit ist alles klar, funktioniert. Für den eingehenden Traffic zu einem bestimmten Rechner geht das dann leider nicht mehr so einfach, da ich in der Accessliste als Destination nur die Destinationadresse des Dialer-Interfaces verwenden kann, denn die Accessliste wird ausgewertet, bevor NAT passiert. Sie matched nicht, wenn man dort die Destinationadresse nach NAT angibt. So ist ist dann natürlich nicht möglich, Inbound-Traffic für verschiedene interne Rechner zu unterscheiden. Fällt irgendjemandem eine Möglichkeit ein, das zu realisieren? Die notwendigen Informationen dazu hat der Router ja eigentlich parat, steht ja alles in der xlate-table, die ich mir mit show ip nat translations anschauen kann. Danke und viele Grüße, Martin Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 3. Oktober 2006 Melden Teilen Geschrieben 3. Oktober 2006 Hi, würde sagen, es ist wichtig zu wissen, wann was abgearbeitet wird. Das Packet ist schon über den Dialer hereingekommen, hat schon die Queues hinter sich und wird dann erst mit NAT verarbeitet. Hier mal eine Reihenfolge in der auf einem Interface abgearbeitet wird: outside-to-inside * If IPSec, then check input access list * Decryption—for CET or IPSec * Check input access list * Check input rate limits * Input accounting * NAT outside to inside (global to local translation) * Policy routing * Routing * Redirect to Web cache * Crypto (check map and mark for encryption) * Check output access list * Inspect CBAC * TCP intercept * Encryption Fu Source: http://articles.techrepublic.com.com/5102-1035-6055946.html Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 3. Oktober 2006 Autor Melden Teilen Geschrieben 3. Oktober 2006 Genau das ist mein Problem - die Input-Accessliste wird gecheckt, bevor NAT passiert, entsprechend kann ich also auch nicht die interne Adresse als Destination in der Accessliste verwenden, um eingehenden Traffic zu einem bestimmten Host zu erfassen. Aber wie kann man das Problem in Hinblick auf funktionierende Bandbreitenbegrenzung lösen, wenn es überhaupt lösbar ist? Zitieren Link zu diesem Kommentar
tom12 10 Geschrieben 3. Oktober 2006 Melden Teilen Geschrieben 3. Oktober 2006 Hi, in output klappts ja. Nun könntest du versuchen am Vlan 1 Interface ein rate-limit zu machen.. Grüsse Thomas Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 3. Oktober 2006 Melden Teilen Geschrieben 3. Oktober 2006 Hi, ja genau. Ich weiß nicht welche Interfaces der Router hat. Du Router selber bestimmt, welches Interface "output/egress" oder "input/ingress" ist. Vom Router aus betrachtet ist das das Interface ausgehen, output und hereinkommen input. Wenn du jetzt ein Vlan oder Ethernetinterface hast auf dem du den genatteten Verkehr wieder herausgeben kannst, dann kannst du darauf ja eine output Regel setzen mit Access-listen für dein internes Netz. Fu Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 4. Oktober 2006 Autor Melden Teilen Geschrieben 4. Oktober 2006 Hey, super Idee - irgendwie kam ich noch nicht auf die Idee, auf dem SVI zu filtern... das funktioniert auch alles super... leider kann man aber an ein Vlan-Interface keine service-policy binden, traffic-shaping, -policing und rate-limiting allerdings sind möglich. Weiß jemand, woran das liegt, dass man das nur auf physikalischen Interfaces verwenden kann? Danke, mein Problem ist jedenfalls schonmal gelöst :) Gruß, Martin Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 5. Oktober 2006 Melden Teilen Geschrieben 5. Oktober 2006 Hi, was sagt er denn? In etwa so: SW1(config)#int vl17 SW1(config-if)#service-policy output PL_T QoS: policymap is not supported on virtual interfaces Service Policy attachment failed SW1(config-if)# Der kann es nicht. Andere können es. Siehe 3200. Wobei auf der Seite auch eine schöne Liste aller QoS Features ist. Quality of Service Fu Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 12. Oktober 2006 Autor Melden Teilen Geschrieben 12. Oktober 2006 Nee, das Kommando existiert nicht mal im Unterkonfigurationsmenü des Vlan-Interfaces... ;) Aber wenn's da generell Einschränkungen gibt, wie der Link ja zeigt, dann betrifft das so nen kleinen Router wie den 876 wohl auf jeden Fall. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.