Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 20:03



Ответить на тему  [ Сообщений: 24 ] 
Применение QOS политик ASA 5510 
Автор Сообщение

Зарегистрирован: 08 окт 2013, 18:55
Сообщения: 100
Добрый день !
Есть задача ограничить скорость для одного клиента в сети по ip адресу при копировании файлов (SMB) в удаленную сеть и обратно. удаленная сеть за vpn тунелем.

Почитал ветку https://www.cisco.com/c/ru_ru/support/docs/security/asa-5500-x-series-next-generation-firewalls/82310-qos-voip-vpn.html#anc19
Нашел там вот такое решение:

Данный пример показывает, как отрегулировать пропускную способность к 1 Мбит/с для определенного пользователя в исходящем направлении:
ciscoasa(config)# access-list WEB-LIMIT permit ip host 192.168.10.1 any
ciscoasa(config)# class-map Class-Policy
ciscoasa(config-cmap)# match access-list WEB-LIMIT
ciscoasa(config-cmap)#exit

ciscoasa(config)# policy-map POLICY-WEB
ciscoasa(config-pmap)# class Class-Policy
ciscoasa(config-pmap-c)# police output 1000000 conform-action transmit exceed-action drop
ciscoasa(config-pmap-c)#exit
ciscoasa(config-pmap)#exit

ciscoasa(config)# service-policy POLICY-WEB interface outside

Направьте пожалуйста в правильную сторону. Спасибо.

Применил у себя, не работает. Копирование идет с той же скоростью.


11 окт 2017, 12:25
Профиль

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 80
Откуда: Default City
Если у Вас трафик улетает в VPN, а policy висит на внешнем интерфейсе, то конечно не будет работать - не будет матчей в ACL, т.к. на внешнем интерфейсе IP-пакет уже инкапсулирован в IPsec с новым заголовком.

_________________
@k@ fantik


11 окт 2017, 20:43
Профиль

Зарегистрирован: 08 окт 2013, 18:55
Сообщения: 100
CiscoGuy писал(а):
Если у Вас трафик улетает в VPN, а policy висит на внешнем интерфейсе, то конечно не будет работать - не будет матчей в ACL, т.к. на внешнем интерфейсе IP-пакет уже инкапсулирован в IPsec с новым заголовком.

Нужно применять к тунелю ?


12 окт 2017, 09:33
Профиль

Зарегистрирован: 08 окт 2013, 18:55
Сообщения: 100
Нашел только как применить на весь тунель, но мне то нужно применить от одного адреса, не догоню никак, хелп.


12 окт 2017, 09:46
Профиль

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 80
Откуда: Default City
На ASA нет
Код:
interface Tunnel
.
Почитайте блог от Paul Stewart.

http://www.packetu.com/2012/03/06/qos-c ... with-vpns/
http://www.packetu.com/2012/03/13/class ... h-the-asa/

Он верно пишет, что
Цитата:
–For IPsec-encrypted packets, you can only match traffic based on the DSCP or precedence setting.


Т.е. по сути Вам надо маркировать трафик на входе с помощью DCSP и на outside отлавливать этот трафик ... либо же сделать policing для входящего трафика на inside.

_________________
@k@ fantik


12 окт 2017, 09:49
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
CiscoGuy писал(а):
На ASA нет
Код:
interface Tunnel
.
Почитайте блог от Paul Stewart.

http://www.packetu.com/2012/03/06/qos-c ... with-vpns/
http://www.packetu.com/2012/03/13/class ... h-the-asa/

Он верно пишет, что
Цитата:
–For IPsec-encrypted packets, you can only match traffic based on the DSCP or precedence setting.


Т.е. по сути Вам надо маркировать трафик на входе с помощью DCSP и на outside отлавливать этот трафик ... либо же сделать policing для входящего трафика на inside.


Причём на новых asa этот пример из второй ссылки не заработает, потому что безмозглые индусы не смогли реализовать шейпинг для многоядерных платформ.
asa такой факап, что просто на душе праздник - смотришь на другие поделья - и не такими они уже страшными на фоне аса становятся.


12 окт 2017, 10:19
Профиль ICQ

Зарегистрирован: 08 окт 2013, 18:55
Сообщения: 100
Причём на новых asa этот пример из второй ссылки не заработает, потому что безмозглые индусы не смогли реализовать шейпинг для многоядерных платформ.
asa такой факап, что просто на душе праздник - смотришь на другие поделья - и не такими они уже страшными на фоне аса становятся.[/quote]

Имеете ввиду не будет работать ?

access-list PRIORITY extended permit udp host 192.0.2.2 host 192.0.2.1 eq isakmp
access-list PRIORITY extended permit esp host 192.0.2.2 host 192.0.2.1
!
class-map PRIORITY
match access-list PRIORITY
!
policy-map PRIORITY
class PRIORITY
priority
!
policy-map HPQ
class class-default
shape average 992000
service-policy PRIORITY
!
service-policy HPQ interface outside


12 окт 2017, 14:20
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
gaevsky писал(а):
Имеете ввиду не будет работать ?


Не будет работать именно шейпинг, полисинг работать будет.

Traffic shaping is only supported on the ASA 5505, 5510, 5520, 5540, and 5550. Multi-core models (such as the ASA 5500-X) do not support shaping.


12 окт 2017, 14:30
Профиль ICQ

Зарегистрирован: 08 окт 2013, 18:55
Сообщения: 100
ciscoasa(config)# access-list WEB-LIMIT permit ip host 192.168.10.1 any
ciscoasa(config)# class-map Class-Policy
ciscoasa(config-cmap)# match access-list WEB-LIMIT
ciscoasa(config-cmap)#exit

ciscoasa(config)# policy-map POLICY-WEB
ciscoasa(config-pmap)# class Class-Policy
ciscoasa(config-pmap-c)# police output 1000000 conform-action transmit exceed-
action drop
ciscoasa(config-pmap-c)#exit
ciscoasa(config-pmap)#exit

ciscoasa(config)# service-policy POLICY-WEB interface outside

Подскажите как тогда применить полисинг для пакетов отправленных в тунель ? я не могу понять


12 окт 2017, 14:53
Профиль

Зарегистрирован: 08 окт 2013, 18:55
Сообщения: 100
Ну получилось только обрезать аплоад и доунлоад путем создания политик на инсайде и аутсайде... а вот как применить к тунелю... не понял.


12 окт 2017, 15:56
Профиль

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 80
Откуда: Default City
Цитата:
Он верно пишет, что
Цитата:
–For IPsec-encrypted packets, you can only match traffic based on the DSCP or precedence setting.


Т.е. по сути Вам надо маркировать трафик на входе с помощью DCSP и на outside отлавливать этот трафик ... либо же сделать policing для входящего трафика на inside.

_________________
@k@ fantik


12 окт 2017, 16:18
Профиль

Зарегистрирован: 08 окт 2013, 18:55
Сообщения: 100
CiscoGuy писал(а):
Цитата:
Т.е. по сути Вам надо маркировать трафик на входе с помощью DCSP и на outside отлавливать этот трафик ... либо же сделать policing для входящего трафика на inside.

Имеете ввиду на удаленной площадке ? На инсайде локального шлюза правило режет так же только интерент трафик, не тунельный.


12 окт 2017, 17:43
Профиль

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 80
Откуда: Default City
На вашем сайте.
Сделайте полисинг на вход на интерфейсе inside - это первый метод.
Второй метод - на входе на inside отловить трафик, отмаркировать его по DSCP. Далее на outside отловить DSCP и его порезать.

_________________
@k@ fantik


12 окт 2017, 17:47
Профиль

Зарегистрирован: 08 окт 2013, 18:55
Сообщения: 100
CiscoGuy писал(а):
На вашем сайте.
Сделайте полисинг на вход на интерфейсе inside - это первый метод.
Второй метод - на входе на inside отловить трафик, отмаркировать его по DSCP. Далее на outside отловить DSCP и его порезать.

access-list inside_mpc extended permit ip 10.10.11.0 255.255.255.0 host 10.10.10.101
class-map inside-class
match access-list inside_mpc
policy-map inside-policy
class inside-class
police input 10000000 5000
police output 10000000 5000

вот , скорость не порезалась


12 окт 2017, 17:59
Профиль

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 80
Откуда: Default City
Ну а
Код:
sh run service-policy
то покажите.

P.S. вы пытаетесь заполисить 10Мб, а не 1.

_________________
@k@ fantik


12 окт 2017, 22:28
Профиль

Зарегистрирован: 08 окт 2013, 18:55
Сообщения: 100
да 10 как раз и нужно

Result of the command: "sh run service-policy"

service-policy global_policy global
service-policy inside-policy interface inside


хм... а где ? ))) я не туда применяю что-ли ?


13 окт 2017, 10:02
Профиль

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 80
Откуда: Default City
Покажите
Код:
sh access-list inside_mpc


И перепримените политику
Код:
no service-policy inside <>
service-policy inside <>

_________________
@k@ fantik


13 окт 2017, 10:18
Профиль

Зарегистрирован: 08 окт 2013, 18:55
Сообщения: 100
Result of the command: "sh access-list inside_mpc"

access-list inside_mpc; 1 elements; name hash: 0x780b2a26
access-list inside_mpc line 1 extended permit ip 10.10.11.0 255.255.255.0 host 10.10.10.101 (hitcnt=4488) 0xbc8ad644

переприменил


13 окт 2017, 10:25
Профиль

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 80
Откуда: Default City
Счетчики есть ..

Код:
show service-policy interface inside

_________________
@k@ fantik


13 окт 2017, 10:39
Профиль

Зарегистрирован: 08 окт 2013, 18:55
Сообщения: 100
Result of the command: "show service-policy interface inside"

Interface inside:
Service-policy: inside-policy
Class-map: inside-class
Input police Interface inside:
cir 10000000 bps, bc 5000 bytes
conformed 0 packets, 0 bytes; actions: transmit
exceeded 0 packets, 0 bytes; actions: drop
conformed 0 bps, exceed 0 bps
Output police Interface inside:
cir 10000000 bps, bc 5000 bytes
conformed 2698 packets, 481152 bytes; actions: transmit
exceeded 0 packets, 0 bytes; actions: drop
conformed 0 bps, exceed 0 bps


Я получается смотрю на график канала и копирую файл 200 Мб с адреса 10.10.10.101 в сеть 10.10.11.0\24 канал у меня 40 Мб, и он занимается полностью. То есть могу сделать вывод, что правило не отрабатывает.


13 окт 2017, 11:13
Профиль

Зарегистрирован: 08 окт 2013, 18:55
Сообщения: 100
я думаю хиты от вчерашних превышений когда в интернет выходить пытался и измерял скорость на 2ip


13 окт 2017, 11:52
Профиль

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 80
Откуда: Default City
Цитата:
Я получается смотрю на график канала и копирую файл 200 Мб с адреса 10.10.10.101 в сеть 10.10.11.0\24 канал у меня 40 Мб, и он занимается полностью. То есть могу сделать вывод, что правило не отрабатывает.


У вас отрабатывает политика на исходящем направлении, что и логично соглансо вашей конфигурации.
Если Вы хотите ограничить upload, то создайте ACL: permit ip host 10.10.10.101 10.10.11.0/24
Запихните этот ACL в Class-map.

Чтоб ограничить download используйте уже существующую конструкцию.

Код:
policy-map inside-policy
 class inside-class
  police output 10000000 5000
 class CMAP_DOWNLOAD // это новая class-map, в которую запихните новый ACL
  police input 10000000 5000

_________________
@k@ fantik


13 окт 2017, 13:35
Профиль

Зарегистрирован: 08 окт 2013, 18:55
Сообщения: 100
Отлично режет все правильно ! и интернет и трафик отправленный в тунель !

policy-map inside-policy
class inside-class
access-list inside_mpc extended permit ip 10.10.11.0 255.255.255.0 host 10.10.10.101
police output 10000000 5000
class inside-class1
access-list inside_mpc_1 extended permit ip host 10.10.10.101 10.10.11.0 255.255.255.0
police input 10000000 5000
service-policy inside-policy interface inside

Получается нельзя указывать для одного класса одновременно два направления, бессмысленно.
Большое спасибо за наставления на путь истинный.
Закрывайте тему как решенную.


Вложения:
Комментарий к файлу: Вид в ASDM
Режем скорость ASA 5500 ASDM ver 9.1.JPG
Режем скорость ASA 5500 ASDM ver 9.1.JPG [ 127.42 КБ | Просмотров: 12412 ]
13 окт 2017, 16:10
Профиль

Зарегистрирован: 08 окт 2013, 18:55
Сообщения: 100
что то как то через раз... переделал правило на основной нужный ip адрес и оно работать перестало. обязательно ли его создавать через командную строку ? похоже на глюк, при создании через ASDM

Cisco Adaptive Security Appliance Software Version 9.1(1)
Device Manager Version 7.1(1)52

с командной возникает косяк... почистил правила и просто хочу разобраться с синтаксисом... а правильно ли я его пишу ?

policy-map inside-policy
access-list inside_mpc extended permit ip 10.10.11.0 255.255.255.0 host 10.10.10.101
class inside-class
police output 10000000 5000
access-list inside_mpc_1 extended permit ip host 10.10.10.101 10.10.11.0 255.255.255.0
class inside-class1
police input 10000000 5000
service-policy inside-policy interface inside

вот вывод командной строки:

    Result of the command: "policy-map inside-policy"

    The command has been sent to the device


    Result of the command: "access-list inside_mpc extended permit ip 10.10.11.0 255.255.255.0 host 10.10.10.101"

    The command has been sent to the device


    Result of the command: "class inside-class"

    The command has been sent to the device


    Result of the command: "police output 10000000 5000"

    police output 10000000 5000
    ^
    ERROR: % Invalid input detected at '^' marker.


    Result of the command: "access-list inside_mpc_1 extended permit ip host 10.10.10.101 10.10.11.0 255.255.255.0"

    The command has been sent to the device


    Result of the command: "class inside-class1"

    The command has been sent to the device


    Result of the command: "police input 10000000 5000"

    police input 10000000 5000
    ^
    ERROR: % Invalid input detected at '^' marker.


    Result of the command: "service-policy inside-policy interface inside"

    The command has been sent to the device


Ошибка при установке ограничения скорости... что я в этой строке пишу не так ?


13 окт 2017, 17:08
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 24 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 47


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB