Re: {Disarmed} [cisco-ttl] 4506 ve policy-map/class-map match sorunu

From: Emre SÜMENGEN <emresumengen_at_....>
Date: Mon, 27 Oct 2008 22:47:28 +0200


Hmm, match etmeyebilir dediginiz, bazi class'lara match etmeyebilir mi? Sonucta gi2/48 access portu ve bir l3 vlan uyesi...

Ayrica, isin ilginc olani, bir kisim veri isaretlenirken, digerlerinde problem var. Yani ornegin, VLAN10 icin yaptigimiz sinirlama problemsiz calisirken VLAN30 icin olanlarda sorun var...

Bug listesinde birsey bulamamis olmama ragmen, yazilim sorunu olduguna gitgide daha fazla inaniyorum.

On Mon, Oct 27, 2008 at 4:16 PM, Abdullah Muslumanoglu < engineer_middleeast_at_yahoo.co.uk> wrote:

> L3 interface'de veya VLAN interface inde dene bir de
>
> L2 interface de match etmeyebilir.
>
> ________________________________
> From: Emre SÜMENGEN <emresumengen_at_gmail.com <emresumengen%40gmail.com>>
> To: cisco-ttl_at_yahoogroups.com <cisco-ttl%40yahoogroups.com>
> Sent: Monday, 27 October, 2008 15:22:46
> Subject: Re: {Disarmed} [cisco-ttl] 4506 ve policy-map/class-map match
> sorunu
>
>
> Merhaba,
> En alt kisimda notta yazdigim uzere bunu yerel ag'dan gelen tek bir gigabit
> ethernet port uzerinde input olarak uyguluyoruz,
>
> interface GigabitEthernet2/ 48
> service-policy input INPUT_POLICY
>
> seklinde...
>
> 2008/10/27 <ozayba_at_itu.edu <ozayba%40itu.edu>. tr>
>
> > Emre Bey,
> >
> > Yaptiginiz konfigurasyonlarda interfacin altına service-policy komutunu
> > yurutmediginizi gordum. Kontrol edebilir misiniz?
> >
> > Baris OZAY
> >
> >
> > Quoting Emre SÜMENGEN <emresumengen@ gmail.com>:
> >
> > > Merhabalar,
> > >
> > > Cisco 4506 uzerinde policy-map'ler ile ugrasiyoruz. Ancak cok anlamsiz
> > > gelen bir durum var:
> > >
> > > Yerel agimizda n adet network var, diyelim 10.10.0.0/24, 10.20.0.0/24
> > > ve 10.30.0.0/24 olsun... Bir de yonetim agimiz oldugunu
> > > (192.168.0.0/ 24 gibi) ve burada da sistem yoneticilerinin
> > > bilgisayarlarinin oldugunu farzedelim.
> > >
> > > Bu aglardan birkac makinaya daha yuksek trafik limiti uygulamak, agin
> > > geriye kalanina da daha az da olsa limit koymak istiyoruz. Kalan tum
> > > trafik de dogal olarak limitlenecek ve onceligi biraz dusurulecek
> > > (ornekte yonetim agi)... Hedefimiz internete dogru upload trafigini
> > > kontrol etmek.
> > >
> > > Bunun icin asagidaki gibi bir config yaptik:
> > >
> > > 1) Once, limitlemek istedigimiz hostlara acl ve class olusturduk
> > > (10.10.0.10, 10.20.0.20 ve 10.30.0.30 olsun bu hostlar)
> > >
> > > ip access-list extended VL10_HOST_IN_ ACL
> > > permit ip host 10.10.0.10 any
> > > class-map match-any VL10_HOST_IN_ CLASS
> > > match access-group name VL10_HOST_IN_ ACL
> > >
> > > ip access-list extended VL20_HOST_IN_ ACL
> > > permit ip host 10.20.0.20 any
> > > class-map match-any VL20_HOST_IN_ CLASS
> > > match access-group name VL20_HOST_IN_ ACL
> > >
> > > ip access-list extended VL30_HOST_IN_ ACL
> > > permit ip host 10.30.0.30 any
> > > class-map match-any VL30_HOST_IN_ CLASS
> > > match access-group name VL30_HOST_IN_ ACL
> > >
> > > 2) Sonra kalan tum bilgisayarlar icin networklere bagli acl'ler ve
> > > class'lar olusturduk.. .
> > >
> > > ip access-list extended VL10_IN_ACL
> > > permit ip 10.10.0.0 0.0.0.255 any
> > >
> > > ip access-list extended VL20_IN_ACL
> > > permit ip 10.20.0.0 0.0.0.255 any
> > >
> > > ip access-list extended VL30_IN_ACL
> > > permit ip 10.30.0.0 0.0.0.255 any
> > >
> > > class-map match-any VLANS_IN_CLASS
> > > match access-group name VL10_IN_ACL
> > > match access-group name VL20_IN_ACL
> > > match access-group name VL30_IN_ACL
> > >
> > > 3) Sonra da policy-map'imizi olusturduk
> > >
> > > policy-map INPUT_POLICY
> > > class VL10_HOST_IN_ CLASS
> > > dbl
> > > police 100m 512k conform-action transmit exceed-action drop
> > >
> > > class VL20_HOST_IN_ CLASS
> > > dbl
> > > police 80m 512k conform-action transmit exceed-action drop
> > >
> > > class VL30_HOST_IN_ CLASS
> > > dbl
> > > police 70m 512k conform-action transmit exceed-action drop
> > >
> > > class VLANS_IN_CLASS
> > > dbl
> > > police 50m 512k conform-action transmit exceed-action drop
> > >
> > > class class-default
> > > police 50m 256k conform-action transmit exceed-action drop
> > > set precedence routine
> > > set ip precedence routine
> > >
> > > gibi...
> > >
> > > Ancak, uygulamada gordugumuze gore, policy-map'te nedense
> > > class-default' a surekli exceed dusmesine ragmen, VLANS_IN_CLASS 'da
> > > hic exceed yok, surekli conform edip trafik akiyor.
> > >
> > > Boyle bir yapida, bu class'lara match eden trafigi gormemizin
> > > (real-time vb) imkani var midir? Ozellikle hicbir class'a uymayip
> > > default'a dusen trafigi gormek istiyoruz. Cunku, sadece yonetim
> > > VLAN'inin default'a dusmesi gerekiyor ama bekledigimizden cok daha
> > > fazla conform/exceed var. Sanki VLANS_IN_CLASS sinifina policy
> > > uygulanmiyor, yada bir sekilde trafik match etmiyor...
> > >
> > > Yorumu olan var mi acaba?
> > >
> > > NOT: Cihaz uzerinde Sup5 var ve kullandigimiz ios versiyonu
> 12.2(25)EWA7
> > >
> > > NOT2: Olusturdugumuz policy-map tum bu aglarin routing ile geldigi tek
> > > bir gigabit interface uzerinde uygulaniyor, input yonunde...
> > >
> > > Emre SUMENGEN
> > >
> > >
> > >
> >
> >
> >
> > ------------ --------- --------- ------
> >
> > --
> > Cisco Teknik Tartisma Listesi (Cisco-ttl)
> >
> > Bu listede onerilen degisikliklerin uygulanmasindaki tum sorumluluk
> > kullaniciya aittir. Liste yoneticileri, oneride bulunan liste uyeleri ya
> da
> > bu uyelerin calistigi kuruluslar herhangi bir sekilde sorumlu
> > tutulamazlar. Yahoo! Groups Links
> >
> >
> >
> >
>
> [Non-text portions of this message have been removed]
>
> [Non-text portions of this message have been removed]
>
>
>

[Non-text portions of this message have been removed] Received on Tue Oct 28 2008 - 00:11:08 CET

This archive was generated by hypermail 2.2.0 : Tue Oct 28 2008 - 00:11:39 CET