Pagina 1 di 1
zone based firewall & bandwidth
Inviato: dom 31 ago , 2014 8:24 pm
da fulviobz
Salve a tutti,
ho fatto una configurazione utilizzando "zone based firewall"
e impostando un limite alla banda in questo modo:
Codice: Seleziona tutto
...
!
policy-map type inspect vlan100-net-policy
class type inspect vlan100-net-class
inspect
police rate 320000 burst 40000
class class-default
drop
!
...
il tutto funziona solo che mi trovo la banda limitata sia in trasmissione
che in ricezzione alla stessa velocità;
avendo una linea asincrona con molta piu banda in entrata che in uscita
vorrei limitare in modo differente la velocità di invio da quella di ricezione;
Qualcuno conosce un modo?
Re: zone based firewall & bandwidth
Inviato: mar 02 set , 2014 9:15 am
da lorbellu
Ciao,
sono molto incuriosito dalla tua affermazione:
il tutto funziona solo che mi trovo la banda limitata sia in trasmissione
che in ricezzione alla stessa velocità
Come é fatta la classe? Dove hai posizionato la policy?
Lo chiedo perchè impostando la policy solo in uscita sulla WAN la stessa non afferisce il traffico in ingresso
Saluti
Re: zone based firewall & bandwidth
Inviato: mer 03 set , 2014 10:57 am
da fulviobz
carico un file su un server remoto (INVIO)
Codice: Seleziona tutto
$ scp file.img user@server-remoto:
Password:
file.img 12% 2576KB 39.0KB/s
scarico un file da un server remoto (RICEZIONE)
Codice: Seleziona tutto
$ scp user@server-remoto:file.img .
Password:
file.img 51% 2106KB 41.3KB/s
ecco la conf un po piu dettagliata
Codice: Seleziona tutto
!
class-map type inspect match-any lan100-net-class
match protocol tcp
match protocol udp
match protocol icmp
!
policy-map type inspect lan100-net-policy
class type inspect lan100-net-class
inspect
police rate 320000 burst 40000
class class-default
drop
!
zone security net
zone security lan100
!
zone-pair security lan100-net source lan100 destination net
service-policy type inspect lan100-net-policy
!
interface Vlan100
ip nat inside
zone-member security lan100
!
interface Dialer0
ip nat outside
zone-member security net
!
Re: zone based firewall & bandwidth
Inviato: mer 03 set , 2014 11:19 am
da lorbellu
Ciao,
Il problema lamentato si verifica perchè stai applicando il traffic policing sulla policy di inspection.
Per gestire la banda separa le due cose, crea quindi una policy-map semplice (non inspect) dove applichi il traffic policing, quindi applica la policy in uscita sul dialer o sull'ethernet, in base al criterio di match e/o alla direzione, del traffico che vuol sottoporre a policing (i dialer ad esempio permettono l'applicazione di una policy solo in uscita).
Fai attenzione al criterio di match della class-map, quella che utilizzi al momento, oltre che ad essere destinata all'inspection, è troppo poco restrittiva se, ad esempio, vuoi regolare il flusso di uscita, su una dialer attraverso la quale passa il traffico di più subnet.
In questa condizione, se non vuoi creare una class-map nuova dovrai applicare la service policy sulla stessa interfaccia VLAN.
Saluti
Re: zone based firewall & bandwidth
Inviato: ven 05 set , 2014 2:03 pm
da fulviobz
Ciao,
non sono riuscito ad applicare le service-policy alle interfaccie, mi tornava un errore..
comunque ho risolto cosi:
Codice: Seleziona tutto
access-list 100 deny tcp any any eq smtp
access-list 100 deny tcp any any eq 465
access-list 100 deny tcp any any eq 587
access-list 100 deny ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
access-list 100 permit ip any any
access-list 101 deny tcp any eq www any
access-list 101 deny tcp any eq pop3 any
access-list 101 deny tcp any eq 143 any
access-list 101 deny tcp any eq 443 any
access-list 101 deny tcp any eq 993 any
access-list 101 deny tcp any eq 995 any
access-list 101 deny ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
access-list 101 permit ip any any
!
interface Vlan100
rate-limit input access-group 100 200000 25000 25000 conform-action transmit exceed-action drop
rate-limit output access-group 101 200000 25000 25000 conform-action transmit exceed-action drop
in questo modo do libero utilizzo:
- da internet verso la vlan per http/s, pop/s, imap/s smtp/s
- dalla vlan verso internet per smtp/s
- traffico in/out verso le altre vlan
metre per tutto il resto blocco a 25KB/s
Re: zone based firewall & bandwidth
Inviato: ven 05 set , 2014 2:27 pm
da lorbellu
Ciao,
l'importante é il risultato no?!?
Comunque questa è l'ennesima riprova che su Cisco ci sono più modi di fare la stessa cosa
Saluti e complimenti