Bandbreitenmanagement mit Cisco 6509

Mitglied: profski15

profski15 (Level 1) - Jetzt verbinden

22.03.2016 um 12:24 Uhr, 950 Aufrufe, 7 Kommentare

Hallo zusammen,
ich versuche die in unserem cisco 6509 die bandbreite der wanverbindung abhängig vom source
vlan zu begrenzen.

folgendes ist gewünscht:

vlan101 (öffentliche addressen) 10/10Mbit
vlan102 (öffentliche addressen) 10/10Mbit
vlan21 (öffentliche addressen) 20/20Mbit
vlan91 (private addressen NAT) 10/2Mbit
vlan92 (private addressen NAT) 10/10Mbit

die bandbreitenbeschrenkung soll sich aber nur auf die WAN verbindung auswirken,
inter vlan routing soll hiervon nicht betroffen sein.

vielen dank schon mal
Mitglied: aqui
22.03.2016 um 12:51 Uhr
Das machst du mit einer Accessliste mit der die den Traffic qualifizierst und auf die du dann das Rate Limiting loslässt.
Bitte warten ..
Mitglied: profski15
22.03.2016 um 13:09 Uhr
ok, vielen dank
hast du vieleicht ein beispiel,
denn wen ichs auf das vlan interface lege funktionierts zwar
aber wirkt sich dann auch auf internen traffic aus

und wenn ichs aufs ausgehende interface lege wirkt es nicht auf die privaten netze da
diese bereits genattet wurden
Bitte warten ..
Mitglied: aqui
23.03.2016 um 09:53 Uhr
Its all on the web... Guckst du hier:
http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500 ...
und auch
http://slaptijack.com/networking/inbound-rate-limiting-on-cisco-catalys ...
http://tekcert.com/blog/2011/09/26/how-configure-rate-limit-stop-bandwi ...
aber wirkt sich dann auch auf internen traffic aus
Den excludest du natürlich logischerweise in deiner ACL mit deny

P.S.: Deine Shift Taste ist defekt !
Bitte warten ..
Mitglied: profski15
26.03.2016 um 18:02 Uhr
Vielen Dank, ich habe mich auch an diese Aktikel gehalten,
allerdings ohne wirkung:

Als grundlage diente dies:
http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500 ...

und hier der daraus resultierende code


!
class-map match-all werkstatt_download
match access-group 102
class-map match-all werkstatt_upload
match access-group 101
!
!
policy-map werkstatt_download
class werkstatt_download
police flow mask dest-only 1000000 1000 conform-action transmit exceed-action drop
policy-map werkstatt_upload
class werkstatt_upload
police flow mask src-only 1000000 1000 conform-action transmit exceed-action drop
!

#mein externs interface
interface GigabitEtherne 1/47
ip address 138.66.60.253 255.255.255.254
ip nat outside
service-policy input werkstatt_upload
ip nat inside source list nat interface GigabitEthernet1/47 overload


Extended IP access list 101
10 permit ip 10.0.0.0 0.0.63.255 any (45982 matches)
Extended IP access list 102
10 permit ip any 10.0.0.0 0.0.63.255 (56682 matches)

Jedoch ohne Erfolg.
der Traffic geht weiterhin ohne beschränkung durch
Bitte warten ..
Mitglied: aqui
27.03.2016, aktualisiert um 14:17 Uhr
Warum hängst du sie ans Outbound Interface. Macht ja wenig Sinn das du den Router erst mit Traffic vollpumpst und dann tröpfenweise ans Internet weitergibst.
Wenn dann solltest du das am Inbound Interface machen.
Möglich auch das es sich beisst mit der PAT Funktion, dann da haben alle Pakete eine 138.66.60.253 Absender IP. Möglich das die Flowlist dann nicht mehr greift.
Hast du mal einen Debugger laufen lassen ??
Bitte warten ..
Mitglied: profski15
27.03.2016 um 18:15 Uhr
Ich binn inzwischen nochmal einen Schritt weiter gekommen,

class-map match-any TEST5M
match access-group 101

policy-map TEST10M
class TEST10M
police 10240000 conform-action transmit exceed-action drop

interface vlan91
ip address 10.0.2.1 255.255.255.0
ip nat inside
service-policy input TEST10M
service-policy output TEST10M

ip nat inside source list nat interface GigabitEthernet1/47 overload

Extended IP access list 101
10 permit ip any any

Hiermit wirkt es sich zumindest auf den Download aus, der upload geht immernich ungebremst durch
Ich habe hierbei alles mal ganz einfach gestrickt.

Wenn ich die service-police zusetzlich auf mein externes Interface anwende klappts.
Warum wird am interface VLAN91 nur die output policy angewendet und nicht die input??
Bitte warten ..
Mitglied: aqui
28.03.2016 um 20:21 Uhr
Versuche mal eine separate Policy mit anderem Namen zu nehmen. Vermutlich geht es nicht wenn du die gleiche Policy inbound sowie outbound auf dem gleichen Interface aktivierst.
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 22 StundenTippErkennung und -Abwehr5 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 18 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...

Windows 10
Lokales Profil wird beim Herunterfahren gelöscht!
Yuuto.LucasVor 1 TagFrageWindows 1011 Kommentare

Hallo, ich habe aktuell folgendes Problem. An einem Kundenrechner ist aktuell ein Lokales Profil eingerichtet (vorher ein Server Profil bei dem das gleiche Problem ...