rate-limi per singolo IP

[francofranco]

Purtroppo sì.
A volte in sede siamo anche in trenta. E naturalmente, come ti scrivevo, se qualcuno scarica qualche file da internet occupa tutta la banda e rallenta la normale navigazione o le vpn degli altri impedendo di lavorare in modo adeguato.

Dici che sia una cosa strana?

[francofranco]

Mi restituiesce questo errore:
"Flow Fair Queueing feature is not supported in default class of parent level policy of dialer"

Ho applicato la policy sulla mia interfaccia di output che sarebbe il Dialer0.
Per correggere mi basterebbe creare una class-map ad-hoc invece di usare quella default?

Ti riporto parte della mia configurazione:

Codice: Seleziona tutto

!
controller VDSL 0
!
!
class-map match-any ALL-P2P-PROTOCOLS
 match protocol edonkey
 match protocol fasttrack
 match protocol gnutella
 match protocol winmx
 match protocol cuseeme
 match protocol kazaa2
 match protocol irc
 match protocol bittorrent
!
policy-map P2P-DROP
 class ALL-P2P-PROTOCOLS
  drop
policy-map WAN
 class class-default
  fair-queue
!
!
!
bba-group pppoe global
!
!
interface ATM0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
 isdn termination multidrop
!
interface Ethernet0
 no ip address
!
interface Ethernet0.835
 encapsulation dot1Q 835
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0
 no ip address
!
interface GigabitEthernet1
 no ip address
!
interface GigabitEthernet2
 no ip address
!
interface GigabitEthernet3
 no ip address
!
interface GigabitEthernet4
 no ip address
!
interface GigabitEthernet5
 no ip address
!
interface GigabitEthernet6
 no ip address
!
interface GigabitEthernet7
 no ip address
!
interface GigabitEthernet8
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Vlan1
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 service-policy input P2P-DROP
!
interface Dialer0
 mtu 1492
 ip address negotiated
 no ip redirects
 no ip proxy-arp
 ip flow ingress
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip route-cache policy
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username aliceadsl password 0 aliceadsl
 ppp ipcp dns request accept
 ppp ipcp route default
 ppp ipcp address accept
 no cdp enable
!
ip forward-protocol nd
no ip http server
ip http authentication local
ip http secure-server
!
!

[francofranco]

Quindi pensavo ad una cosa del genere

Codice: Seleziona tutto

!
class-map match-any GARANTEE
 match any
!
policy-map GARANTEE
 class GARANTEE
  fair-queue
!

e poi su Dialer0

Codice: Seleziona tutto

service-policy output GARANTEE

[francofranco]

errore: "fair-queue not allowed without bandwidth or shape feature"
Ora correggo...

ma sia con bandwidth che con lo shape ottengo:

"Traffic Shaping feature is not supported in user defined class of parent level policy" ....

[perteghella]

Fai il rate limiting direttamente sulla parte wireless in uscita verso la lan.
Se hai il WLC configuri la banda max e la banda per utente direttamente volte a poter fare l'appiattino visibility e limitare/droppare le varie categorie di traffico

Giovanni

[francofranco]

Non uso il WLC, ma ho semplicemente un AP collegato ad una porta dello switch integrato nel 897.

Invece sembrava interessante il discorso delle code, ma non ho ben chiaro come si configuri e si utilizzi.
Se possibile la mia idea era "creare" 64 code a prescindere dalla tipologia del traffico, ma quasi randomizzandolo in esse, in modo da avere quasi in modo casuale una distribuzione equa del traffico stesso.
(chiedo venia se ho detto eresie )

[perteghella]

Per fare il rate limiting devi creare le 100 righe nella ACL e applicarla una volta escludendo prima il traffico locale.
Sempre per dare una soluzione KISS, ti consiglio di mettere una macchina con sopra pfsense in transparent proxy http così fai caching, filtering e shaping in un solo posto.
Con poco difficoltà in più fai anche transparent proxy https evitando di dover impostare tutti i client ad avere il proxy.

Giovanni