Автор |
Сообщение |
gaevsky
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100
|
Добрый день ! Есть задача ограничить скорость для одного клиента в сети по ip адресу при копировании файлов (SMB) в удаленную сеть и обратно. удаленная сеть за vpn тунелем. Почитал ветку https://www.cisco.com/c/ru_ru/support/docs/security/asa-5500-x-series-next-generation-firewalls/82310-qos-voip-vpn.html#anc19Нашел там вот такое решение: Данный пример показывает, как отрегулировать пропускную способность к 1 Мбит/с для определенного пользователя в исходящем направлении: ciscoasa(config)# access-list WEB-LIMIT permit ip host 192.168.10.1 any ciscoasa(config)# class-map Class-Policy ciscoasa(config-cmap)# match access-list WEB-LIMIT ciscoasa(config-cmap)#exit ciscoasa(config)# policy-map POLICY-WEB ciscoasa(config-pmap)# class Class-Policy ciscoasa(config-pmap-c)# police output 1000000 conform-action transmit exceed-action drop ciscoasa(config-pmap-c)#exit ciscoasa(config-pmap)#exit ciscoasa(config)# service-policy POLICY-WEB interface outside Направьте пожалуйста в правильную сторону. Спасибо. Применил у себя, не работает. Копирование идет с той же скоростью.
|
11 окт 2017, 12:25 |
|
|
CiscoGuy
Зарегистрирован: 09 сен 2017, 11:15 Сообщения: 80 Откуда: Default City
|
Если у Вас трафик улетает в VPN, а policy висит на внешнем интерфейсе, то конечно не будет работать - не будет матчей в ACL, т.к. на внешнем интерфейсе IP-пакет уже инкапсулирован в IPsec с новым заголовком.
_________________ @k@ fantik
|
11 окт 2017, 20:43 |
|
|
gaevsky
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100
|
CiscoGuy писал(а): Если у Вас трафик улетает в VPN, а policy висит на внешнем интерфейсе, то конечно не будет работать - не будет матчей в ACL, т.к. на внешнем интерфейсе IP-пакет уже инкапсулирован в IPsec с новым заголовком. Нужно применять к тунелю ?
|
12 окт 2017, 09:33 |
|
|
gaevsky
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100
|
Нашел только как применить на весь тунель, но мне то нужно применить от одного адреса, не догоню никак, хелп.
|
12 окт 2017, 09:46 |
|
|
CiscoGuy
Зарегистрирован: 09 сен 2017, 11:15 Сообщения: 80 Откуда: Default City
|
На ASA нет . Почитайте блог от Paul Stewart. http://www.packetu.com/2012/03/06/qos-c ... with-vpns/http://www.packetu.com/2012/03/13/class ... h-the-asa/Он верно пишет, что Цитата: –For IPsec-encrypted packets, you can only match traffic based on the DSCP or precedence setting. Т.е. по сути Вам надо маркировать трафик на входе с помощью DCSP и на outside отлавливать этот трафик ... либо же сделать policing для входящего трафика на inside.
_________________ @k@ fantik
|
12 окт 2017, 09:49 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Причём на новых asa этот пример из второй ссылки не заработает, потому что безмозглые индусы не смогли реализовать шейпинг для многоядерных платформ. asa такой факап, что просто на душе праздник - смотришь на другие поделья - и не такими они уже страшными на фоне аса становятся.
|
12 окт 2017, 10:19 |
|
|
gaevsky
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100
|
Причём на новых asa этот пример из второй ссылки не заработает, потому что безмозглые индусы не смогли реализовать шейпинг для многоядерных платформ. asa такой факап, что просто на душе праздник - смотришь на другие поделья - и не такими они уже страшными на фоне аса становятся.[/quote]
Имеете ввиду не будет работать ?
access-list PRIORITY extended permit udp host 192.0.2.2 host 192.0.2.1 eq isakmp access-list PRIORITY extended permit esp host 192.0.2.2 host 192.0.2.1 ! class-map PRIORITY match access-list PRIORITY ! policy-map PRIORITY class PRIORITY priority ! policy-map HPQ class class-default shape average 992000 service-policy PRIORITY ! service-policy HPQ interface outside
|
12 окт 2017, 14:20 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
gaevsky писал(а): Имеете ввиду не будет работать ?
Не будет работать именно шейпинг, полисинг работать будет. Traffic shaping is only supported on the ASA 5505, 5510, 5520, 5540, and 5550. Multi-core models (such as the ASA 5500-X) do not support shaping.
|
12 окт 2017, 14:30 |
|
|
gaevsky
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100
|
ciscoasa(config)# access-list WEB-LIMIT permit ip host 192.168.10.1 any ciscoasa(config)# class-map Class-Policy ciscoasa(config-cmap)# match access-list WEB-LIMIT ciscoasa(config-cmap)#exit
ciscoasa(config)# policy-map POLICY-WEB ciscoasa(config-pmap)# class Class-Policy ciscoasa(config-pmap-c)# police output 1000000 conform-action transmit exceed- action drop ciscoasa(config-pmap-c)#exit ciscoasa(config-pmap)#exit
ciscoasa(config)# service-policy POLICY-WEB interface outside
Подскажите как тогда применить полисинг для пакетов отправленных в тунель ? я не могу понять
|
12 окт 2017, 14:53 |
|
|
gaevsky
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100
|
Ну получилось только обрезать аплоад и доунлоад путем создания политик на инсайде и аутсайде... а вот как применить к тунелю... не понял.
|
12 окт 2017, 15:56 |
|
|
CiscoGuy
Зарегистрирован: 09 сен 2017, 11:15 Сообщения: 80 Откуда: Default City
|
Цитата: Он верно пишет, что Цитата: –For IPsec-encrypted packets, you can only match traffic based on the DSCP or precedence setting.
Т.е. по сути Вам надо маркировать трафик на входе с помощью DCSP и на outside отлавливать этот трафик ... либо же сделать policing для входящего трафика на inside.
_________________ @k@ fantik
|
12 окт 2017, 16:18 |
|
|
gaevsky
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100
|
CiscoGuy писал(а): Цитата: Т.е. по сути Вам надо маркировать трафик на входе с помощью DCSP и на outside отлавливать этот трафик ... либо же сделать policing для входящего трафика на inside. Имеете ввиду на удаленной площадке ? На инсайде локального шлюза правило режет так же только интерент трафик, не тунельный.
|
12 окт 2017, 17:43 |
|
|
CiscoGuy
Зарегистрирован: 09 сен 2017, 11:15 Сообщения: 80 Откуда: Default City
|
На вашем сайте. Сделайте полисинг на вход на интерфейсе inside - это первый метод. Второй метод - на входе на inside отловить трафик, отмаркировать его по DSCP. Далее на outside отловить DSCP и его порезать.
_________________ @k@ fantik
|
12 окт 2017, 17:47 |
|
|
gaevsky
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100
|
CiscoGuy писал(а): На вашем сайте. Сделайте полисинг на вход на интерфейсе inside - это первый метод. Второй метод - на входе на inside отловить трафик, отмаркировать его по DSCP. Далее на outside отловить DSCP и его порезать. access-list inside_mpc extended permit ip 10.10.11.0 255.255.255.0 host 10.10.10.101 class-map inside-class match access-list inside_mpc policy-map inside-policy class inside-class police input 10000000 5000 police output 10000000 5000 вот , скорость не порезалась
|
12 окт 2017, 17:59 |
|
|
CiscoGuy
Зарегистрирован: 09 сен 2017, 11:15 Сообщения: 80 Откуда: Default City
|
Ну а Код: sh run service-policy то покажите. P.S. вы пытаетесь заполисить 10Мб, а не 1.
_________________ @k@ fantik
|
12 окт 2017, 22:28 |
|
|
gaevsky
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100
|
да 10 как раз и нужно
Result of the command: "sh run service-policy"
service-policy global_policy global service-policy inside-policy interface inside
хм... а где ? ))) я не туда применяю что-ли ?
|
13 окт 2017, 10:02 |
|
|
CiscoGuy
Зарегистрирован: 09 сен 2017, 11:15 Сообщения: 80 Откуда: Default City
|
Покажите Код: sh access-list inside_mpc И перепримените политику Код: no service-policy inside <> service-policy inside <>
_________________ @k@ fantik
|
13 окт 2017, 10:18 |
|
|
gaevsky
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100
|
Result of the command: "sh access-list inside_mpc"
access-list inside_mpc; 1 elements; name hash: 0x780b2a26 access-list inside_mpc line 1 extended permit ip 10.10.11.0 255.255.255.0 host 10.10.10.101 (hitcnt=4488) 0xbc8ad644
переприменил
|
13 окт 2017, 10:25 |
|
|
CiscoGuy
Зарегистрирован: 09 сен 2017, 11:15 Сообщения: 80 Откуда: Default City
|
Счетчики есть .. Код: show service-policy interface inside
_________________ @k@ fantik
|
13 окт 2017, 10:39 |
|
|
gaevsky
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100
|
Result of the command: "show service-policy interface inside"
Interface inside: Service-policy: inside-policy Class-map: inside-class Input police Interface inside: cir 10000000 bps, bc 5000 bytes conformed 0 packets, 0 bytes; actions: transmit exceeded 0 packets, 0 bytes; actions: drop conformed 0 bps, exceed 0 bps Output police Interface inside: cir 10000000 bps, bc 5000 bytes conformed 2698 packets, 481152 bytes; actions: transmit exceeded 0 packets, 0 bytes; actions: drop conformed 0 bps, exceed 0 bps
Я получается смотрю на график канала и копирую файл 200 Мб с адреса 10.10.10.101 в сеть 10.10.11.0\24 канал у меня 40 Мб, и он занимается полностью. То есть могу сделать вывод, что правило не отрабатывает.
|
13 окт 2017, 11:13 |
|
|
gaevsky
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100
|
я думаю хиты от вчерашних превышений когда в интернет выходить пытался и измерял скорость на 2ip
|
13 окт 2017, 11:52 |
|
|
CiscoGuy
Зарегистрирован: 09 сен 2017, 11:15 Сообщения: 80 Откуда: Default City
|
Цитата: Я получается смотрю на график канала и копирую файл 200 Мб с адреса 10.10.10.101 в сеть 10.10.11.0\24 канал у меня 40 Мб, и он занимается полностью. То есть могу сделать вывод, что правило не отрабатывает. У вас отрабатывает политика на исходящем направлении, что и логично соглансо вашей конфигурации. Если Вы хотите ограничить upload, то создайте ACL: permit ip host 10.10.10.101 10.10.11.0/24 Запихните этот ACL в Class-map. Чтоб ограничить download используйте уже существующую конструкцию. Код: policy-map inside-policy class inside-class police output 10000000 5000 class CMAP_DOWNLOAD // это новая class-map, в которую запихните новый ACL police input 10000000 5000
_________________ @k@ fantik
|
13 окт 2017, 13:35 |
|
|
gaevsky
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100
|
Отлично режет все правильно ! и интернет и трафик отправленный в тунель !
policy-map inside-policy class inside-class access-list inside_mpc extended permit ip 10.10.11.0 255.255.255.0 host 10.10.10.101 police output 10000000 5000 class inside-class1 access-list inside_mpc_1 extended permit ip host 10.10.10.101 10.10.11.0 255.255.255.0 police input 10000000 5000 service-policy inside-policy interface inside
Получается нельзя указывать для одного класса одновременно два направления, бессмысленно. Большое спасибо за наставления на путь истинный. Закрывайте тему как решенную.
Вложения:
Комментарий к файлу: Вид в ASDM
Режем скорость ASA 5500 ASDM ver 9.1.JPG [ 127.42 КБ | Просмотров: 12413 ]
|
13 окт 2017, 16:10 |
|
|
gaevsky
Зарегистрирован: 08 окт 2013, 18:55 Сообщения: 100
|
что то как то через раз... переделал правило на основной нужный ip адрес и оно работать перестало. обязательно ли его создавать через командную строку ? похоже на глюк, при создании через ASDM Cisco Adaptive Security Appliance Software Version 9.1(1) Device Manager Version 7.1(1)52 с командной возникает косяк... почистил правила и просто хочу разобраться с синтаксисом... а правильно ли я его пишу ? policy-map inside-policy access-list inside_mpc extended permit ip 10.10.11.0 255.255.255.0 host 10.10.10.101 class inside-class police output 10000000 5000 access-list inside_mpc_1 extended permit ip host 10.10.10.101 10.10.11.0 255.255.255.0 class inside-class1 police input 10000000 5000 service-policy inside-policy interface inside вот вывод командной строки: Result of the command: "policy-map inside-policy"
The command has been sent to the device
Result of the command: "access-list inside_mpc extended permit ip 10.10.11.0 255.255.255.0 host 10.10.10.101"
The command has been sent to the device
Result of the command: "class inside-class"
The command has been sent to the device
Result of the command: "police output 10000000 5000"
police output 10000000 5000 ^ ERROR: % Invalid input detected at '^' marker.
Result of the command: "access-list inside_mpc_1 extended permit ip host 10.10.10.101 10.10.11.0 255.255.255.0"
The command has been sent to the device
Result of the command: "class inside-class1"
The command has been sent to the device
Result of the command: "police input 10000000 5000"
police input 10000000 5000 ^ ERROR: % Invalid input detected at '^' marker.
Result of the command: "service-policy inside-policy interface inside"
The command has been sent to the device
Ошибка при установке ограничения скорости... что я в этой строке пишу не так ?
|
13 окт 2017, 17:08 |
|
|