Bandbreitenmanagement mit Cisco 6509
Hallo zusammen,
ich versuche die in unserem cisco 6509 die bandbreite der wanverbindung abhängig vom source
vlan zu begrenzen.
folgendes ist gewünscht:
vlan101 (öffentliche addressen) 10/10Mbit
vlan102 (öffentliche addressen) 10/10Mbit
vlan21 (öffentliche addressen) 20/20Mbit
vlan91 (private addressen NAT) 10/2Mbit
vlan92 (private addressen NAT) 10/10Mbit
die bandbreitenbeschrenkung soll sich aber nur auf die WAN verbindung auswirken,
inter vlan routing soll hiervon nicht betroffen sein.
vielen dank schon mal
ich versuche die in unserem cisco 6509 die bandbreite der wanverbindung abhängig vom source
vlan zu begrenzen.
folgendes ist gewünscht:
vlan101 (öffentliche addressen) 10/10Mbit
vlan102 (öffentliche addressen) 10/10Mbit
vlan21 (öffentliche addressen) 20/20Mbit
vlan91 (private addressen NAT) 10/2Mbit
vlan92 (private addressen NAT) 10/10Mbit
die bandbreitenbeschrenkung soll sich aber nur auf die WAN verbindung auswirken,
inter vlan routing soll hiervon nicht betroffen sein.
vielen dank schon mal
7 Antworten
- LÖSUNG aqui schreibt am 22.03.2016 um 12:51:55 Uhr
- LÖSUNG profski15 schreibt am 22.03.2016 um 13:09:19 Uhr
- LÖSUNG aqui schreibt am 23.03.2016 um 09:53:30 Uhr
- LÖSUNG profski15 schreibt am 26.03.2016 um 18:02:18 Uhr
- LÖSUNG aqui schreibt am 27.03.2016 um 14:17:22 Uhr
- LÖSUNG profski15 schreibt am 27.03.2016 um 18:15:50 Uhr
- LÖSUNG aqui schreibt am 28.03.2016 um 20:21:15 Uhr
- LÖSUNG profski15 schreibt am 27.03.2016 um 18:15:50 Uhr
- LÖSUNG aqui schreibt am 27.03.2016 um 14:17:22 Uhr
- LÖSUNG profski15 schreibt am 26.03.2016 um 18:02:18 Uhr
- LÖSUNG aqui schreibt am 23.03.2016 um 09:53:30 Uhr
- LÖSUNG profski15 schreibt am 22.03.2016 um 13:09:19 Uhr
LÖSUNG 22.03.2016 um 12:51 Uhr
Das machst du mit einer Accessliste mit der die den Traffic qualifizierst und auf die du dann das Rate Limiting loslässt.
LÖSUNG 22.03.2016 um 13:09 Uhr
ok, vielen dank
hast du vieleicht ein beispiel,
denn wen ichs auf das vlan interface lege funktionierts zwar
aber wirkt sich dann auch auf internen traffic aus
und wenn ichs aufs ausgehende interface lege wirkt es nicht auf die privaten netze da
diese bereits genattet wurden
hast du vieleicht ein beispiel,
denn wen ichs auf das vlan interface lege funktionierts zwar
aber wirkt sich dann auch auf internen traffic aus
und wenn ichs aufs ausgehende interface lege wirkt es nicht auf die privaten netze da
diese bereits genattet wurden
LÖSUNG 23.03.2016 um 09:53 Uhr
Its all on the web... Guckst du hier:
http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500 ...
und auch
http://slaptijack.com/networking/inbound-rate-limiting-on-cisco-catalys ...
http://tekcert.com/blog/2011/09/26/how-configure-rate-limit-stop-bandwi ...
P.S.: Deine Shift Taste ist defekt !
http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500 ...
und auch
http://slaptijack.com/networking/inbound-rate-limiting-on-cisco-catalys ...
http://tekcert.com/blog/2011/09/26/how-configure-rate-limit-stop-bandwi ...
aber wirkt sich dann auch auf internen traffic aus
Den excludest du natürlich logischerweise in deiner ACL mit deny P.S.: Deine Shift Taste ist defekt !
LÖSUNG 26.03.2016 um 18:02 Uhr
Vielen Dank, ich habe mich auch an diese Aktikel gehalten,
allerdings ohne wirkung:
Als grundlage diente dies:
http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500 ...
und hier der daraus resultierende code
!
class-map match-all werkstatt_download
match access-group 102
class-map match-all werkstatt_upload
match access-group 101
!
!
policy-map werkstatt_download
class werkstatt_download
police flow mask dest-only 1000000 1000 conform-action transmit exceed-action drop
policy-map werkstatt_upload
class werkstatt_upload
police flow mask src-only 1000000 1000 conform-action transmit exceed-action drop
!
#mein externs interface
interface GigabitEtherne 1/47
ip address 138.66.60.253 255.255.255.254
ip nat outside
service-policy input werkstatt_upload
ip nat inside source list nat interface GigabitEthernet1/47 overload
Extended IP access list 101
10 permit ip 10.0.0.0 0.0.63.255 any (45982 matches)
Extended IP access list 102
10 permit ip any 10.0.0.0 0.0.63.255 (56682 matches)
Jedoch ohne Erfolg.
der Traffic geht weiterhin ohne beschränkung durch
allerdings ohne wirkung:
Als grundlage diente dies:
http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500 ...
und hier der daraus resultierende code
!
class-map match-all werkstatt_download
match access-group 102
class-map match-all werkstatt_upload
match access-group 101
!
!
policy-map werkstatt_download
class werkstatt_download
police flow mask dest-only 1000000 1000 conform-action transmit exceed-action drop
policy-map werkstatt_upload
class werkstatt_upload
police flow mask src-only 1000000 1000 conform-action transmit exceed-action drop
!
#mein externs interface
interface GigabitEtherne 1/47
ip address 138.66.60.253 255.255.255.254
ip nat outside
service-policy input werkstatt_upload
ip nat inside source list nat interface GigabitEthernet1/47 overload
Extended IP access list 101
10 permit ip 10.0.0.0 0.0.63.255 any (45982 matches)
Extended IP access list 102
10 permit ip any 10.0.0.0 0.0.63.255 (56682 matches)
Jedoch ohne Erfolg.
der Traffic geht weiterhin ohne beschränkung durch
LÖSUNG 27.03.2016, aktualisiert um 14:17 Uhr
Warum hängst du sie ans Outbound Interface. Macht ja wenig Sinn das du den Router erst mit Traffic vollpumpst und dann tröpfenweise ans Internet weitergibst.
Wenn dann solltest du das am Inbound Interface machen.
Möglich auch das es sich beisst mit der PAT Funktion, dann da haben alle Pakete eine 138.66.60.253 Absender IP. Möglich das die Flowlist dann nicht mehr greift.
Hast du mal einen Debugger laufen lassen ??
Wenn dann solltest du das am Inbound Interface machen.
Möglich auch das es sich beisst mit der PAT Funktion, dann da haben alle Pakete eine 138.66.60.253 Absender IP. Möglich das die Flowlist dann nicht mehr greift.
Hast du mal einen Debugger laufen lassen ??
LÖSUNG 27.03.2016 um 18:15 Uhr
Ich binn inzwischen nochmal einen Schritt weiter gekommen,
class-map match-any TEST5M
match access-group 101
policy-map TEST10M
class TEST10M
police 10240000 conform-action transmit exceed-action drop
interface vlan91
ip address 10.0.2.1 255.255.255.0
ip nat inside
service-policy input TEST10M
service-policy output TEST10M
ip nat inside source list nat interface GigabitEthernet1/47 overload
Extended IP access list 101
10 permit ip any any
Hiermit wirkt es sich zumindest auf den Download aus, der upload geht immernich ungebremst durch
Ich habe hierbei alles mal ganz einfach gestrickt.
Wenn ich die service-police zusetzlich auf mein externes Interface anwende klappts.
Warum wird am interface VLAN91 nur die output policy angewendet und nicht die input??
class-map match-any TEST5M
match access-group 101
policy-map TEST10M
class TEST10M
police 10240000 conform-action transmit exceed-action drop
interface vlan91
ip address 10.0.2.1 255.255.255.0
ip nat inside
service-policy input TEST10M
service-policy output TEST10M
ip nat inside source list nat interface GigabitEthernet1/47 overload
Extended IP access list 101
10 permit ip any any
Hiermit wirkt es sich zumindest auf den Download aus, der upload geht immernich ungebremst durch
Ich habe hierbei alles mal ganz einfach gestrickt.
Wenn ich die service-police zusetzlich auf mein externes Interface anwende klappts.
Warum wird am interface VLAN91 nur die output policy angewendet und nicht die input??
LÖSUNG 28.03.2016 um 20:21 Uhr
Versuche mal eine separate Policy mit anderem Namen zu nehmen. Vermutlich geht es nicht wenn du die gleiche Policy inbound sowie outbound auf dem gleichen Interface aktivierst.