Re: [cisco-ttl] 4506 ve policy-map/class-map match sorunu

From: Emre SÜMENGEN <emresumengen_at_....>
Date: Mon, 27 Oct 2008 15:18:29 +0200


Merhaba Abdullah,

Simdi debug icin duzenlemeye calistigimiz yapida bir benzerini yapacagiz. Sadece bu is icin 3K USD vermek garip olsa da, netflow kartini almayi dusunduk. Ancak, hemen elimizde olamiyor kart ne yazik ki... Biz sorunun kaynagini anlamaya calisirken sunucu tarafindaki arkadaslar linux bir makina kuruyorlar, buradan gelen tum trafigi span ile atip linux uzerinde de analiz edecegiz.

Cisco IOS Bug Toolkit'te kullandigimiz ios ile ilgili tum kayitlari inceliyorum, simdilik alakali birsey bulamadim.

Konfigurasyonun dogrulugu ile ilgili yorumu yada benzer isi yapmak uzere alternatif konfig. onerisi olan var mi acaba?

On Mon, Oct 27, 2008 at 1:42 PM, Abdullah Muslumanoglu < engineer_middleeast_at_yahoo.co.uk> wrote:

> Emre,
>
> default-class ta exceed gorup de interesting class'ta exceed goremen bir
> bug da olabiir. ancak 4500lerde SUP4 ve yukarısına netflow kartı takarak
> 4500 üzerinden geçen tüm trafiği görebilirsin,
>
> bu yol ile omurgandaki tüm trafiği class-based veya interface based monitör
> edebilirsin
>
> gerekenler
> - netflow kartı
> - netflow versiyon 5 export destekleyen bir IOS
> - netflow yazılımı(netflowanalyzer.com dan download edeceğin trial
> versiyon olabilir)
>
> ________________________________
> From: Emre SÜMENGEN <emresumengen_at_gmail.com <emresumengen%40gmail.com>>
> To: cisco-ttl_at_yahoogroups.com <cisco-ttl%40yahoogroups.com>
> Sent: Sunday, 26 October, 2008 19:37:33
> Subject: [cisco-ttl] 4506 ve policy-map/class-map match sorunu
>
>
> Merhabalar,
>
> Cisco 4506 uzerinde policy-map'ler ile ugrasiyoruz. Ancak cok anlamsiz
> gelen bir durum var:
>
> Yerel agimizda n adet network var, diyelim 10.10.0.0/24, 10.20.0.0/24
> ve 10.30.0.0/24 olsun... Bir de yonetim agimiz oldugunu
> (192.168.0.0/ 24 gibi) ve burada da sistem yoneticilerinin
> bilgisayarlarinin oldugunu farzedelim.
>
> Bu aglardan birkac makinaya daha yuksek trafik limiti uygulamak, agin
> geriye kalanina da daha az da olsa limit koymak istiyoruz. Kalan tum
> trafik de dogal olarak limitlenecek ve onceligi biraz dusurulecek
> (ornekte yonetim agi)... Hedefimiz internete dogru upload trafigini
> kontrol etmek.
>
> Bunun icin asagidaki gibi bir config yaptik:
>
> 1) Once, limitlemek istedigimiz hostlara acl ve class olusturduk
> (10.10.0.10, 10.20.0.20 ve 10.30.0.30 olsun bu hostlar)
>
> ip access-list extended VL10_HOST_IN_ ACL
> permit ip host 10.10.0.10 any
> class-map match-any VL10_HOST_IN_ CLASS
> match access-group name VL10_HOST_IN_ ACL
>
> ip access-list extended VL20_HOST_IN_ ACL
> permit ip host 10.20.0.20 any
> class-map match-any VL20_HOST_IN_ CLASS
> match access-group name VL20_HOST_IN_ ACL
>
> ip access-list extended VL30_HOST_IN_ ACL
> permit ip host 10.30.0.30 any
> class-map match-any VL30_HOST_IN_ CLASS
> match access-group name VL30_HOST_IN_ ACL
>
> 2) Sonra kalan tum bilgisayarlar icin networklere bagli acl'ler ve
> class'lar olusturduk.. .
>
> ip access-list extended VL10_IN_ACL
> permit ip 10.10.0.0 0.0.0.255 any
>
> ip access-list extended VL20_IN_ACL
> permit ip 10.20.0.0 0.0.0.255 any
>
> ip access-list extended VL30_IN_ACL
> permit ip 10.30.0.0 0.0.0.255 any
>
> class-map match-any VLANS_IN_CLASS
> match access-group name VL10_IN_ACL
> match access-group name VL20_IN_ACL
> match access-group name VL30_IN_ACL
>
> 3) Sonra da policy-map'imizi olusturduk
>
> policy-map INPUT_POLICY
> class VL10_HOST_IN_ CLASS
> dbl
> police 100m 512k conform-action transmit exceed-action drop
>
> class VL20_HOST_IN_ CLASS
> dbl
> police 80m 512k conform-action transmit exceed-action drop
>
> class VL30_HOST_IN_ CLASS
> dbl
> police 70m 512k conform-action transmit exceed-action drop
>
> class VLANS_IN_CLASS
> dbl
> police 50m 512k conform-action transmit exceed-action drop
>
> class class-default
> police 50m 256k conform-action transmit exceed-action drop
> set precedence routine
> set ip precedence routine
>
> gibi...
>
> Ancak, uygulamada gordugumuze gore, policy-map'te nedense
> class-default' a surekli exceed dusmesine ragmen, VLANS_IN_CLASS 'da
> hic exceed yok, surekli conform edip trafik akiyor.
>
> Boyle bir yapida, bu class'lara match eden trafigi gormemizin
> (real-time vb) imkani var midir? Ozellikle hicbir class'a uymayip
> default'a dusen trafigi gormek istiyoruz. Cunku, sadece yonetim
> VLAN'inin default'a dusmesi gerekiyor ama bekledigimizden cok daha
> fazla conform/exceed var. Sanki VLANS_IN_CLASS sinifina policy
> uygulanmiyor, yada bir sekilde trafik match etmiyor...
>
> Yorumu olan var mi acaba?
>
> NOT: Cihaz uzerinde Sup5 var ve kullandigimiz ios versiyonu 12.2(25)EWA7
>
> NOT2: Olusturdugumuz policy-map tum bu aglarin routing ile geldigi tek
> bir gigabit interface uzerinde uygulaniyor, input yonunde...
>
> Emre SUMENGEN
>
> [Non-text portions of this message have been removed]
>
>
>

[Non-text portions of this message have been removed] Received on Mon Oct 27 2008 - 14:30:39 CET

This archive was generated by hypermail 2.2.0 : Mon Oct 27 2008 - 14:30:40 CET