[cisco-ttl] 4506 ve policy-map/class-map match sorunu

From: Emre SÜMENGEN <emresumengen_at_....>
Date: Sun, 26 Oct 2008 17:37:33 -0000


Merhabalar,

Cisco 4506 uzerinde policy-map'ler ile ugrasiyoruz. Ancak cok anlamsiz gelen bir durum var:

Yerel agimizda n adet network var, diyelim 10.10.0.0/24, 10.20.0.0/24 ve 10.30.0.0/24 olsun... Bir de yonetim agimiz oldugunu
(192.168.0.0/24 gibi) ve burada da sistem yoneticilerinin
bilgisayarlarinin oldugunu farzedelim.

Bu aglardan birkac makinaya daha yuksek trafik limiti uygulamak, agin geriye kalanina da daha az da olsa limit koymak istiyoruz. Kalan tum trafik de dogal olarak limitlenecek ve onceligi biraz dusurulecek
(ornekte yonetim agi)... Hedefimiz internete dogru upload trafigini
kontrol etmek.

Bunun icin asagidaki gibi bir config yaptik:

  1. Once, limitlemek istedigimiz hostlara acl ve class olusturduk
    (10.10.0.10, 10.20.0.20 ve 10.30.0.30 olsun bu hostlar)
	ip access-list extended VL10_HOST_IN_ACL
	 permit ip host 10.10.0.10 any
	class-map match-any VL10_HOST_IN_CLASS
	 match access-group name VL10_HOST_IN_ACL
	
	ip access-list extended VL20_HOST_IN_ACL
	 permit ip host 10.20.0.20 any
	class-map match-any VL20_HOST_IN_CLASS
	 match access-group name VL20_HOST_IN_ACL
	
	ip access-list extended VL30_HOST_IN_ACL
	 permit ip host 10.30.0.30 any
	class-map match-any VL30_HOST_IN_CLASS
	 match access-group name VL30_HOST_IN_ACL

2) Sonra kalan tum bilgisayarlar icin networklere bagli acl'ler ve class'lar olusturduk...

	ip access-list extended VL10_IN_ACL
	 permit ip 10.10.0.0 0.0.0.255 any
	
	ip access-list extended VL20_IN_ACL
	 permit ip 10.20.0.0 0.0.0.255 any
	
	ip access-list extended VL30_IN_ACL
	 permit ip 10.30.0.0 0.0.0.255 any

	class-map match-any VLANS_IN_CLASS
	 match access-group name VL10_IN_ACL
	 match access-group name VL20_IN_ACL
	 match access-group name VL30_IN_ACL

3) Sonra da policy-map'imizi olusturduk

	policy-map INPUT_POLICY
	 class VL10_HOST_IN_CLASS
	  dbl
	  police 100m 512k conform-action transmit exceed-action drop

	 class VL20_HOST_IN_CLASS
	  dbl
	  police 80m 512k conform-action transmit exceed-action drop

	 class VL30_HOST_IN_CLASS
	  dbl
	  police 70m 512k conform-action transmit exceed-action drop

	 class VLANS_IN_CLASS
	  dbl
	  police 50m 512k conform-action transmit exceed-action drop

	 class class-default
	  police 50m 256k conform-action transmit exceed-action drop
	  set precedence routine
	  set ip precedence routine

gibi...

Ancak, uygulamada gordugumuze gore, policy-map'te nedense class-default'a surekli exceed dusmesine ragmen, VLANS_IN_CLASS 'da hic exceed yok, surekli conform edip trafik akiyor.

Boyle bir yapida, bu class'lara match eden trafigi gormemizin
(real-time vb) imkani var midir? Ozellikle hicbir class'a uymayip
default'a dusen trafigi gormek istiyoruz. Cunku, sadece yonetim VLAN'inin default'a dusmesi gerekiyor ama bekledigimizden cok daha fazla conform/exceed var. Sanki VLANS_IN_CLASS sinifina policy uygulanmiyor, yada bir sekilde trafik match etmiyor...

Yorumu olan var mi acaba?

NOT: Cihaz uzerinde Sup5 var ve kullandigimiz ios versiyonu 12.2(25)EWA7

NOT2: Olusturdugumuz policy-map tum bu aglarin routing ile geldigi tek bir gigabit interface uzerinde uygulaniyor, input yonunde...

Emre SUMENGEN Received on Mon Oct 27 2008 - 10:45:11 CET

This archive was generated by hypermail 2.2.0 : Mon Oct 27 2008 - 10:45:17 CET