Hanjo_K. 10 Geschrieben 23. März 2009 Melden Teilen Geschrieben 23. März 2009 Hallo! Mein erster Post in diesem Forum und ich hoffe ihr seid nicht all zu streng mit mir. Kurze Frage, lange Rede: Wie kriege ich es auf einem Cisco 876 hin, dass ich einen Teil der Bandbreite unseres DSL-Anschlusses für bestimmte IP-Adressen reserviere? Hintergrund: Wie haben für allgemeines Internet, physikalisch vom Produktiv-Netz getrennt, 2000er DSL-Anschlüsse. Über diese Anbindungen will unsere Schulungsabteilung Online-Prüfungen abnehmen. Das Problem hierbei ist, dass die Prüfungen in Echtzeit online stattfinden und auch bei laufenden Downloads nicht abbrechen dürfen. Dazu wollte ich den Prüfugns-Clients einen bestimmten IP-Kreis geben und diesem IP-Kreis Bandbreite reservieren, wenn sie benötigt wird. Problem: Ich steig mangels Erfahrung mit DSL-Routern da nicht so ganz durch und bin mir gerade nicht so wirklich im Klaren darüber wie ich überprüfen kann, ob meine Konfig greift oder nicht. Meine Idee war, dass ich eine ACL erstelle, in der ich die IPs Eintrage, um den Bereich 200 - 254 abzudecken. ip access-list extended qos_pruefung permit ip any 192.168.1.200 0.0.0.7 permit ip any 192.168.1.208 0.0.0.15 permit ip any 192.168.1.224 0.0.0.31 Und dann fängt es an zu haken. Bei folgendem Versuch bin ich derzeit, bin mir aber auch im Klaren, dass es nicht so ganz klappt, wie ich mir das vorstelle. class-map match-any class_pruefung match access-group name qos_pruefung ! policy-map SDM-QoS-Policy-1 class class_pruefung bandwidth percent 20 class class-default fair-queue random-detect Im Interface Dialer 0 steht dann folgender Eintrag: interface Dialer0 description $FW_OUTSIDE$ ip address negotiated ip mtu 1452 ip nbar protocol-discovery ip flow ingress ip flow egress ip nat outside ip virtual-reassembly encapsulation ppp ip route-cache flow dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username xXx password xXx ppp ipcp dns request ppp ipcp wins request service-policy output SDM-QoS-Policy-1 Verwendetes Image: c870-advipservicesk9-mz.124-15.T7.bin Wenn ihr Beispiele für eine Konfiguration hättet oder Links, wo ich etwas nachlesen kann, wäre ich euch sehr zu Dank verpflichtet. Gruß, Hanjo Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. März 2009 Melden Teilen Geschrieben 23. März 2009 service-policy muss in den PVC vom ATM ... Zitieren Link zu diesem Kommentar
Hanjo_K. 10 Geschrieben 25. März 2009 Autor Melden Teilen Geschrieben 25. März 2009 Hallo Wordo, danke erst mal für die Antwort. [EDIT] Ich ziehe meine Frage zurück. Also ich habe jetzt eingetragen: interface ATM0 service-policy output SDM-QoS-Policy-1 Muss ich die Zeile beim interface Dialer0 wieder rausnehmen? Wenn ich das tue sagt mir der SDM im Monitoring-Bereich -> QoS Status, dass auf keinem Interface eine Policy konfiguriert ist. Und ein weiteres Problem: Meine ACL scheint noch nicht so wirklich zu greifen. Einer der Testrechner hat die IP 192.168.1.200. Eigentlich wollte ich bezwecken, dass 20% der eingehenden Bandbreite für IPs ab 200 reserviert werden. Tatsächlich bekomme ich aber (vorausgesetzt ich habe die Service-Policy sowohl auf ATM0 als auch auf Dialer0 gebindet) im SDM nur Traffic in der default Class angezeigt. Hat noch jemand eine Idee, woran es noch haken könnte? Gruß und noch mal danke. Hanjo Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 25. März 2009 Melden Teilen Geschrieben 25. März 2009 Sie muss aus dem Dialer raus (kann nicht an virtual-access vererbt werden) und IN den PVC vom ATM rein: interface ATM0.1 point-to-point description dsl-6000 bandwidth 640 no ip redirects no ip unreachables no ip proxy-arp pvc 1/32 vbr-nrt 640 640 tx-ring-limit 2 service-policy output qos pppoe-client dial-pool-number 1 ! ! Zitieren Link zu diesem Kommentar
Hanjo_K. 10 Geschrieben 25. März 2009 Autor Melden Teilen Geschrieben 25. März 2009 Nach einigem Hin und Her (Update des Routers, Config vor lauter Zeichen nicht sehen, etc.) habe ich jetzt das Problem, dass er den Befehl zwar zuerst schluckt, nach einem exit aber wieder löscht: HOSTNAME(config-subif)#pvc 1/32 HOSTNAME(config-if-atm-vc)#service-policy output SDM-QoS-Policy-1 HOSTNAME(config-if-atm-vc)#do sh run int atm0.1 Building configuration... Current configuration : 198 bytes ! interface ATM0.1 point-to-point bandwidth 2000 no ip redirects no ip unreachables no ip proxy-arp pvc 1/32 service-policy output SDM-QoS-Policy-1 pppoe-client dial-pool-number 1 ! end HOSTNAME(config-if-atm-vc)#exit HOSTNAME(config-subif)# 000050: Mar 25 10:39:46.051: I/f ATM0.1 VC 1/32 class class_pruefung requested bandwidth 0 (kbps), available only 0 (kbps) HOSTNAME(config-subif)# HOSTNAME(config-subif)# HOSTNAME(config-subif)#do sh run int atm0.1 Building configuration... Current configuration : 157 bytes ! interface ATM0.1 point-to-point bandwidth 2000 no ip redirects no ip unreachables no ip proxy-arp pvc 1/32 pppoe-client dial-pool-number 1 ! end HOSTNAME(config-subif)# Ein weiteres Problem: Wie kann ich nachprüfen, ob das auch wirklich funktioniert? Wenn ich den Befehl aus dem int Dialer0 rausnehme, funktioniert das Monitoring im SDM nicht mehr. Dort kriege ich dann die Meldung: No interface has been configured with an outbound or inbound QoS policy. Gibt es hier einen schlauen Befehl, der mir den Traffic nach Klassen auflistet? Gruß und danke, Hanjo Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 25. März 2009 Melden Teilen Geschrieben 25. März 2009 Du hast die Bandbreite nicht korrekt konfiguriert, poste mal die komplette Config bitte ... Zitieren Link zu diesem Kommentar
Hanjo_K. 10 Geschrieben 25. März 2009 Autor Melden Teilen Geschrieben 25. März 2009 So, hoffe hab' jetzt alles bereinigt... version 12.4 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption service sequence-numbers ! hostname xXx ! boot-start-marker boot system flash:c870-advipservicesk9-mz.124-15.T8.bin boot-end-marker ! logging buffered 51200 warnings enable secret xXx ! no aaa new-model clock timezone met 1 clock summer-time MEST recurring last Sun Mar 2:00 last Sun Oct 3:00 ! crypto xXx dot11 syslog ip cef ! ! no ip dhcp use vrf connected ip dhcp excluded-address 192.168.1.100 192.168.1.254 ip dhcp excluded-address 192.168.1.1 192.168.1.9 ! ip dhcp pool quarantaene import all network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 lease 30 ! ip dhcp pool pruefung00 host 192.168.1.200 255.255.255.0 client-identifier xXx default-router 192.168.1.1 ! ! login block-for 300 attempts 5 within 10 ! multilink bundle-name authenticated password encryption aes ! ! username xXx privilege 15 secret xXx ! ! archive log config hidekeys ! ! ! class-map match-any class_pruefung match access-group name qos_pruefung ! ! policy-map SDM-QoS-Policy-1 class class_pruefung bandwidth percent 20 class class-default fair-queue random-detect ! ! ! ! interface BRI0 no ip address encapsulation hdlc ip route-cache flow shutdown ! interface ATM0 no ip address ip route-cache flow no atm ilmi-keepalive dsl operating-mode auto ! interface ATM0.1 point-to-point description DSL-2000 bandwidth 2000 no ip redirects no ip unreachables no ip proxy-arp pvc 1/32 pppoe-client dial-pool-number 1 ! ! interface FastEthernet0 switchport mode trunk ! interface FastEthernet1 switchport access vlan 666 spanning-tree portfast ! interface FastEthernet2 switchport access vlan 666 spanning-tree portfast ! interface FastEthernet3 switchport access vlan 666 spanning-tree portfast ! interface Vlan1 description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$ no ip address ip route-cache flow ip tcp adjust-mss 1452 shutdown ! interface Vlan666 description Quarantaene$FW_INSIDE$ ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly ip route-cache flow ip tcp adjust-mss 1412 ! interface Dialer0 description $FW_OUTSIDE$ ip address negotiated ip mtu 1452 ip nbar protocol-discovery ip flow ingress ip flow egress ip nat outside ip virtual-reassembly encapsulation ppp ip route-cache flow dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username xXx password xXx ppp ipcp dns request ppp ipcp wins request ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer0 ! ip flow-top-talkers top 5 sort-by bytes ! ip http server ip http access-class 26 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip dns server ip nat inside source list 1 interface Dialer0 overload ! ip access-list extended qos_pruefung remark SDM_ACL Category=256 permit ip any 192.168.1.200 0.0.0.7 permit ip any 192.168.1.208 0.0.0.15 permit ip any 192.168.1.224 0.0.0.31 ! access-list 1 remark INSIDE_IF=Vlan666 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 192.168.1.0 0.0.0.255 access-list 26 permit 192.168.1.0 0.0.0.255 dialer-list 1 protocol ip permit no cdp run ! ! ! ! control-plane ! banner login ^C _____ | ... | |_____| ^C ! line con 0 login local no modem enable line aux 0 line vty 0 4 access-class 26 in login local transport input telnet ssh ! scheduler max-task-time 5000 ntp clock-period 17175033 ntp server 131.234.137.24 source Dialer0 prefer end Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 25. März 2009 Melden Teilen Geschrieben 25. März 2009 Du musst den Upload festlegen, hast du 2000 Upload? Mach bitte bandwith auch auf das ATM0, und dann noch den vbr mit Upload wie von mir beschrieben. Ausserdem wird das QoS nicht matchen weil deine ACLs verdreht sind (von any auf interne IP und ATM output). Zitieren Link zu diesem Kommentar
Hanjo_K. 10 Geschrieben 25. März 2009 Autor Melden Teilen Geschrieben 25. März 2009 Dann haben wir vielleicht irgendwo aneinander vorbei geredet. Ziel ist den Traffic von außen auf bestimmte IPs innen zu priorisieren. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 25. März 2009 Melden Teilen Geschrieben 25. März 2009 das wird imho nicht wirklich funkionieren, da müsste QoS auf der ganzen Strecke bsi zu dir gefahren werden. Spielts im Internet nicht...max. innerhalb eines MPLS-VPNs oder so Zitieren Link zu diesem Kommentar
Hanjo_K. 10 Geschrieben 25. März 2009 Autor Melden Teilen Geschrieben 25. März 2009 Ich wollte das ja nicht auf DSCP-Werte oder ähnliches matchen, sondern auf interne IP-Adressen. Gedacht war: Kommt ein Paket an, welches als Destination eine IP aus dem Bereich 192.168.1.200 - 254 hat, sollen andere Streams (z.B. Downloads) gedrosselt werden. Hintergrund: Über den DSL-Zugang sollen zeitkritische Onlineprüfungen laufen, die nicht abbrechen dürfen - eben auch dann, wenn ein Download oder anderes läuft. Eine andere Idee, bei der ich aber genauso wenig weiß, wie ich das lösen könnte: Die 400 Kbit permanent dem Bereich 200 - 254 reservieren. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 25. März 2009 Melden Teilen Geschrieben 25. März 2009 Wenn das Paket am Router ankommt ist es aber schon durch die Leitung durch?!?!? Da ist es zu spaet ... Zitieren Link zu diesem Kommentar
Hanjo_K. 10 Geschrieben 26. März 2009 Autor Melden Teilen Geschrieben 26. März 2009 Guten Morgen! Ich hatte mal was gelesen, dass anhand des ersten Pakets eines Streams das ganze zugeordnet werden könnte. Wie sähe es denn dann mit der zweiten Möglichkeit aus? Einen Teil der Bandbreite grundsätzlich abzuzweigen? Gruß, Hanjo Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 26. März 2009 Melden Teilen Geschrieben 26. März 2009 Das gilt nur fuer TCP-Streams und wird ueber die Window-Size geregelt, ist aber nicht das erste Paket. Du kannst auch nix abzweigen, die Pakete sind schon da?! Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 27. März 2009 Melden Teilen Geschrieben 27. März 2009 hier was zum thema Cisco IOS hints and tricks: Rate-limiting inbound traffic on DSL Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.