Limiter la bande passante dans le routeur Cisco avec la carte de politique ne fonctionne pas

J'ai un problème avec mon scénario en limitant la bande passante de ubuntu PC dans GNS3 avec la carte de class et la carte de politique. C'est ma topologie dans GNS3:

-----------cisco-3725-router----------->Internet | | | | | Switch | | | | | | | UBUNTU-PC XP-PC 

Le R1 est un routeur cisco 3725 avec l'image c3725-adventerprisek9-mz.124-25d.bin, et c'est ma configuration:

 ! ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! no aaa new-model ! resource policy ! memory-size iomem 5 no ip icmp rate-limit unreachable ip cef ip tcp synwait-time 5 ! ! no ip domain lookup ! ! class-map match-all UBUNTU_DW match access-group name UBUNTU_DW class-map match-all UBUNTU_UP match access-group name UBUNTU_UP ! ! policy-map UP class UBUNTU_UP police cir 32000 bc 4000 be 4000 conform-action transmit exceed-action drop violate-action drop policy-map DW class UBUNTU_DW police cir 32000 bc 4000 be 4000 conform-action transmit exceed-action drop violate-action drop ! ! interface FastEthernet0/0 ip address 10.0.0.254 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! interface Serial0/0 no ip address shutdown clock rate 2000000 ! interface FastEthernet0/1 ip address 216.65.200.143 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto service-policy input DW service-policy output UP ! interface FastEthernet1/0 no ip address shutdown duplex auto speed auto ! interface Serial2/0 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable ! interface Serial2/1 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable ! interface Serial2/2 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable ! interface Serial2/3 no ip address shutdown serial restart-delay 0 no dce-terminal-timing-enable ! ip route 0.0.0.0 0.0.0.0 216.65.200.3 ! ip flow-top-talkers top 10 sort-by bytes ! no ip http server no ip http secure-server ip nat inside source list 1 interface FastEthernet0/1 overload ! ip access-list extended UBUNTU_DW permit ip any host 10.0.0.51 ip access-list extended UBUNTU_UP permit ip host 10.0.0.51 any ! access-list 1 permit 10.0.0.0 0.0.0.255 no cdp log mismatch duplex ! ! control-plane ! ! line con 0 exec-timeout 0 0 privilege level 15 logging synchronous line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous line vty 0 4 login ! ! end 

Le problème est que la limitation de 32kbps pour ubuntu ne fonctionne pas.

 R1#sh policy-map interface fastEthernet 0/1 FastEthernet0/1 Service-policy input: DW Class-map: UBUNTU_DW (match-all) 0 packets, 0 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: access-group name UBUNTU_DW police: cir 32000 bps, bc 4000 bytes, be 4000 bytes conformed 0 packets, 0 bytes; actions: transmit exceeded 0 packets, 0 bytes; actions: drop violated 0 packets, 0 bytes; actions: drop conformed 0 bps, exceed 0 bps, violate 0 bps Class-map: class-default (match-any) 905 packets, 812409 bytes 5 minute offered rate 27000 bps, drop rate 0 bps Match: any Service-policy output: UP Class-map: UBUNTU_UP (match-all) 0 packets, 0 bytes 5 minute offered rate 0 bps, drop rate 0 bps Match: access-group name UBUNTU_UP police: cir 32000 bps, bc 4000 bytes, be 4000 bytes conformed 0 packets, 0 bytes; actions: transmit exceeded 0 packets, 0 bytes; actions: drop violated 0 packets, 0 bytes; actions: drop conformed 0 bps, exceed 0 bps, violate 0 bps Class-map: class-default (match-any) 979 packets, 154180 bytes 5 minute offered rate 7000 bps, drop rate 0 bps Match: any 

Existe-t-il une mauvaise configuration? Comment puis-je appliquer cette politique?

2 Solutions collect form web for “Limiter la bande passante dans le routeur Cisco avec la carte de politique ne fonctionne pas”

Malheureusement, le NAT se passe avant la police, je crois; ce qui fait que tout le trafic apparaît comme l'adresse NAT à l'adresse interne que vous avez spécifiée dans votre carte ACL / Classe.

Une idée est de marquer le trafic entrant sur FA0 / 0 correspondant au server Ubuntu avec une valeur DSCP. Ensuite, la police repose sur cette valeur DSCP. Cela résoudra votre problème de sortie.

Pour l'aval, je ne sais pas très bien pourquoi cette politique manque. Je soupçonne la question de la NAT à nouveau, même si l'ordre des opérations semble indiquer qu'il devrait y avoir un non facteur. http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/6209-5.html

S'il s'avère être un problème de NAT pour l'aval ainsi, vous pouvez utiliser un politère sortant sur fa0 / 0 et avoir le même effet d'étouffer le stream vers le bas.

Comme l'a dit Jason, le NAT semble entrer en jeu. Mon conseil serait d'essayer la politique de service sur f0 / 0 à la place et de modifier les instructions.

Cela devrait prendre effet avant / après NAT s'est produite, ce qui devrait exclure NAT comme un problème.

 interface FastEthernet0/1 . . service-policy output DW service-policy input UP 

J'espère que cela t'aides!

  • Comment puis-je évaluer la forme de la limite / forme du package / trafic sur Solaris
  • Partager la bande passante et prioriser le trafic en time réel via HTB, quel scénario fonctionne mieux?
  • Mise en forme du trafic avec iptables, ipset et tc (--match-set et --set-mark)
  • Comment définir une limite réseau générale par client + priorité pour les remerciements TCP
  • Limitation de la bande passante de l'interface avec tc sous Linux
  • Formage du trafic Windows 2003 R2 et QOS
  • Mise en forme du trafic Linux pour plusieurs clients avec tc
  • Existe-t-il des moyens plus simples de faire du trafic dans linux en plus de tc?
  • Linux TC / Policy Routing tools
  • Taux minimal et problème de class par défaut pour HTB
  • Comment puis-je faire la mise en forme du trafic dans Linux par IP pour la communication à la fois?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.