概要
Cisco Wireless LAN Controller でワイヤレス ユーザにダウンストリームのユーザごとのレート制限を提供することは可能ですが、IOS マイクロフロー ポリシングをソリューションに追加すると、アップストリームおよびダウンストリームの両方向により細かくレート制限が可能です。帯域幅の「大量消費」の防止など、ユーザごとのレート制限を実現しようという動機は、顧客のネットワーク アクセス用の階層型帯域幅モデルを実装し、場合によっては、要件として帯域幅ポリシングから免除される特定のリソースをホワイトリストに設定するためです。このソリューションは、現世代の Ipv4 トラフィックのスロットリングに加え、ユーザごとの IPv6 レート制限が可能です。これにより、投資が保護されます。
前提条件
要件
マイクロフローポリシングには、Cisco IOS® ソフトウェア リソース 12.2 (14) SX 以降を実行する Supervisor 720 以降を使用する必要があります。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
Catalyst 6500 の設定
マイクロフロー ポリシングの設定
次のステップを実行します。
-
マイクロフローポリシングを活用するには、スロットリング ポリシーを適用するためにトラフィックを特定するために、アクセス コントロール リスト(ACL)をまず作成する必要があります。
注:この設定例では、ワイヤレスクライアントに192.168.30.x/24サブネットを使用しています。
ip access-list extended acl-wireless-downstream
permit ip any 192.168.30.0 0.0.0.255
ip access-list extended acl-wireless-upstream
permit ip 192.168.30.0 0.0.0.255 any
-
以前の ACL と一致するクラスマップを作成します。
class-map match-all class-wireless-downstream
match access-group name acl-wireless-downstream
class-map match-all class-wireless-upstream
match access-group name acl-wireless-upstream
-
ポリシーマップを作成すると、以前に作成した ACL とクラスマップがトラフィックに適用される明確なアクションにリンクされます。この例の場合、トラフィックは、両方向に 1 Mbps までスロットリングされます。送信元のフロー マスクはアップストリームの方向(クライアントから AP)で使用され、宛先のフロー マスクはダウンストリーム方向(AP からクライアント)で使用されます。
policy-map police-wireless-upstream
class class-wireless-upstream
police flow mask src-only 1m 187500 conform-action transmit exceed-action drop
policy-map police-wireless-downstream
class class-wireless-downstream
police flow mask dest-only 1m 187500 conform-action transmit exceed-action drop
マイクロフロー ポリシングの設定の詳細については、「Cisco Catalyst 6500 におけるユーザベースのレート制限」を参照してください。
帯域幅ポリシング ポリシーの調整
ポリシーマップ内のポリシーステートメントでは、実際の Bandwidth (ビット単位で設定)および Burst size (バイト単位で設定)パラメータが設定されます。
バースト サイズに関する適切な経験則は次のとおりです。
Burst = (Bandwidth / 8) * 1.5
例:
次の行では 1 Mbps (ビット)のレートを使用します。
police flow mask dest-only 1m 187500 conform-action transmit exceed-action drop
次の行では 5 Mbps (ビット)のレートを使用します。
police flow mask dest-only 5mc 937500 conform-action transmit exceed-action drop
帯域幅ポリシングからのリソースのホワイトリスティング
場合によっては、Windows Update サーバやポスチャ修復アプライアンスなどの特定のネットワーク リソースは帯域幅ポリシングから免除される必要があります。ホストに加え、ホワイトリスティングを使用して帯域幅ポリシングからすべてのサブネットを除外することもできます。
例:
この例では、192.168.30.0/24 ネットワークと通信する際、ホスト 192.168.20.22 はいずれの帯域幅の制限からも除外されます。
ip access-list extended acl-wireless-downstream
deny ip host 192.168.20.22 192.168.30.0 0.0.0.255
permit ip any 192.168.30.0 0.0.0.255
ip access-list extended acl-wireless-upstream
deny ip 192.168.30.0 0.0.0.255 host 192.168.20.22
permit ip 192.168.30.0 0.0.0.255 any
IPv6 マイクロフロー ポリシング
次のステップを実行します。
-
スロットリングされる IPv6 トラフィックを識別するために、Catalyst 6500 に別のアクセス リストを追加します。
ipv6 access-list aclv6-wireless-downstream
permit ipv6 any 2001:DB8:0:30::/64
!
ipv6 access-list aclv6-wireless-upstream
permit ipv6 2001:DB8:0:30::/64 any
-
クラス マップを変更し、IPv6 の ACL を含めます。
class-map match-any class-wireless-downstream
match access-group name aclv6-wireless-downstream
match access-group name acl-wireless-downstream
class-map match-any class-wireless-upstream
match access-group name aclv6-wireless-upstream
match access-group name acl-wireless-upstream
アプライアンスベース(2500、4400、5500)のコントローラ コンフィギュレーション
5508 シリーズのようなアプライアンスベースのコントローラでマイクロフロー ポリシングを提供する場合、構成は極めて単純になります。Catalyst 6500 サービス ポリシーがコントローラ インターフェイスに適用される一方で、コントローラ インターフェイスは他の VLAN と同様に設定されます。
次のステップを実行します。
-
コントローラからの着信ポートに police-wireless-upstream を適用します。
interface GigabitEthernet4/13
description WLC
switchport
switchport trunk allowed vlan 30
switchport mode trunk
service-policy input police-wireless-upstream
end
-
アップリンク LAN/WAN ポートに policy-wireless-downstream を適用します。
interface GigabitEthernet4/20
description WAN
switchport
switchport access vlan 20
switchport mode access
service-policy input police-wireless-downstream
end
モジュールベース(WiSM、WiSM2)のコントローラ コンフィギュレーション
ワイヤレス サービス モジュール 2 (WiSM2)を持つ Catalyst 6500 でマイクロフローポリシングを活用するには、VLAN ベースの Quality of Service (QoS)を使用するように設定を調整する必要があります。つまり、マイクロフローポリシング ポリシーは、ポート インターフェイス(Gi1/0/1 など)に直接適用されず、VLAN インターフェイスに適用されます。
次のステップを実行します。
-
VLAN ベースの QoS 向けに WiSM を設定します。
wism service-vlan 800
wism module 1 controller 1 allowed-vlan 30
wism module 1 controller 1 qos vlan-based
-
クライアント VLAN SVI に policy-wireless-upstream を適用します。
interface Vlan30
description Client-Limited
ip address 192.168.30.1 255.255.255.0
ipv6 address 2001:DB8:0:30::1/64
ipv6 enable
service-policy input police-wireless-upstream
end
-
アップリンク LAN/WAN ポートに policy-wireless-downstream を適用します。
interface GigabitEthernet4/20
description WAN
switchport
switchport access vlan 20
switchport mode access
service-policy input police-wireless-downstream
end
ソリューションの検証
ユーザごとのレート制限の主な要件の 1 つは、特定のユーザに対して行き来するすべてのフローを制限する機能です。マイクロフローポリシング ソリューションがこの要件を満たしているかを確認するには、IxChariot を使用して、特定のユーザ向けに 4 つの同時ダウンロード セッションと 4 つの同時アップロードセッションをシミュレーションします。これは、いずれかのユーザが大容量のファイルを添付した電子メールを送信しながら、FTP セッションを起動し、Web を閲覧し、ビデオストリームの視聴しているような状況を表します。
このテストでは、スロットリングされたトラフィックを使用してリンクの速度を測定するために、TCP トラフィックを使用する「Throughput.scr」スクリプトで IxChariot が設定されています。マイクロフロー ポリシング ソリューションは、ユーザ用に合計 1 Mbps のダウンストリームと 1 Mbps のアップストリームまで、すべてのストリームをスロットリングできます。また、すべてのストリームが利用可能な帯域幅のおよそ 25 % を使用します(たとえば、ストリームあたり 250 kbps × 4 = 1 Mbps )。
注:Microflowポリシングアクションはレイヤ3で発生するため、プロトコルオーバーヘッドが原因で、TCPトラフィックスループットの最終結果が設定レートよりも低くなる場合があります。
関連情報