profski15
Goto Top

Bandbreitenmanagement mit Cisco 6509

Hallo zusammen,
ich versuche die in unserem cisco 6509 die bandbreite der wanverbindung abhängig vom source
vlan zu begrenzen.

folgendes ist gewünscht:

vlan101 (öffentliche addressen) 10/10Mbit
vlan102 (öffentliche addressen) 10/10Mbit
vlan21 (öffentliche addressen) 20/20Mbit
vlan91 (private addressen NAT) 10/2Mbit
vlan92 (private addressen NAT) 10/10Mbit

die bandbreitenbeschrenkung soll sich aber nur auf die WAN verbindung auswirken,
inter vlan routing soll hiervon nicht betroffen sein.

vielen dank schon mal

Content-Key: 299763

Url: https://administrator.de/contentid/299763

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: aqui
aqui 22.03.2016 um 12:51:55 Uhr
Goto Top
Das machst du mit einer Accessliste mit der die den Traffic qualifizierst und auf die du dann das Rate Limiting loslässt.
Mitglied: profski15
profski15 22.03.2016 um 13:09:19 Uhr
Goto Top
ok, vielen dank
hast du vieleicht ein beispiel,
denn wen ichs auf das vlan interface lege funktionierts zwar
aber wirkt sich dann auch auf internen traffic aus

und wenn ichs aufs ausgehende interface lege wirkt es nicht auf die privaten netze da
diese bereits genattet wurden
Mitglied: aqui
aqui 23.03.2016 um 09:53:30 Uhr
Goto Top
Its all on the web... Guckst du hier:
http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500 ...
und auch
http://slaptijack.com/networking/inbound-rate-limiting-on-cisco-catalys ...
http://tekcert.com/blog/2011/09/26/how-configure-rate-limit-stop-bandwi ...
aber wirkt sich dann auch auf internen traffic aus
Den excludest du natürlich logischerweise in deiner ACL mit deny

P.S.: Deine Shift Taste ist defekt !
Mitglied: profski15
profski15 26.03.2016 um 18:02:18 Uhr
Goto Top
Vielen Dank, ich habe mich auch an diese Aktikel gehalten,
allerdings ohne wirkung:

Als grundlage diente dies:
http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500 ...

und hier der daraus resultierende code


!
class-map match-all werkstatt_download
match access-group 102
class-map match-all werkstatt_upload
match access-group 101
!
!
policy-map werkstatt_download
class werkstatt_download
police flow mask dest-only 1000000 1000 conform-action transmit exceed-action drop
policy-map werkstatt_upload
class werkstatt_upload
police flow mask src-only 1000000 1000 conform-action transmit exceed-action drop
!

#mein externs interface
interface GigabitEtherne 1/47
ip address 138.66.60.253 255.255.255.254
ip nat outside
service-policy input werkstatt_upload
ip nat inside source list nat interface GigabitEthernet1/47 overload


Extended IP access list 101
10 permit ip 10.0.0.0 0.0.63.255 any (45982 matches)
Extended IP access list 102
10 permit ip any 10.0.0.0 0.0.63.255 (56682 matches)

Jedoch ohne Erfolg.
der Traffic geht weiterhin ohne beschränkung durch
Mitglied: aqui
aqui 27.03.2016 aktualisiert um 14:17:45 Uhr
Goto Top
Warum hängst du sie ans Outbound Interface. Macht ja wenig Sinn das du den Router erst mit Traffic vollpumpst und dann tröpfenweise ans Internet weitergibst.
Wenn dann solltest du das am Inbound Interface machen.
Möglich auch das es sich beisst mit der PAT Funktion, dann da haben alle Pakete eine 138.66.60.253 Absender IP. Möglich das die Flowlist dann nicht mehr greift.
Hast du mal einen Debugger laufen lassen ??
Mitglied: profski15
profski15 27.03.2016 um 18:15:50 Uhr
Goto Top
Ich binn inzwischen nochmal einen Schritt weiter gekommen,

class-map match-any TEST5M
match access-group 101

policy-map TEST10M
class TEST10M
police 10240000 conform-action transmit exceed-action drop

interface vlan91
ip address 10.0.2.1 255.255.255.0
ip nat inside
service-policy input TEST10M
service-policy output TEST10M

ip nat inside source list nat interface GigabitEthernet1/47 overload

Extended IP access list 101
10 permit ip any any

Hiermit wirkt es sich zumindest auf den Download aus, der upload geht immernich ungebremst durch
Ich habe hierbei alles mal ganz einfach gestrickt.

Wenn ich die service-police zusetzlich auf mein externes Interface anwende klappts.
Warum wird am interface VLAN91 nur die output policy angewendet und nicht die input??
Mitglied: aqui
aqui 28.03.2016 um 20:21:15 Uhr
Goto Top
Versuche mal eine separate Policy mit anderem Namen zu nehmen. Vermutlich geht es nicht wenn du die gleiche Policy inbound sowie outbound auf dem gleichen Interface aktivierst.