Inleiding
Voorzien in downstream snelheidsbeperking per gebruiker voor draadloze gebruikers is mogelijk op Cisco draadloze LAN-controllers, maar de toevoeging van IOS Microflow-toezicht aan de oplossing maakt granulaire snelheidsbeperking mogelijk in zowel de upstream- als de downstream-richting. De motivatie voor het implementeren van snelheidsbeperkingen per gebruiker varieert van bescherming tegen bandbreedte "hog" is om gelaagde bandbreedtemodellen te implementeren voor de toegang tot het klantnetwerk, en in sommige gevallen, whitelist bepaalde resources die zijn vrijgesteld van bandbreedtebewaking als een vereiste. Naast het IPv4-verkeer van de huidige generatie kan de oplossing ook de IPv6-snelheidsbeperking per gebruiker mogelijk maken. Dit biedt bescherming van investeringen.
Voorwaarden
Vereisten
Microflow-toezicht vereist het gebruik van een Supervisor 720 of hoger die een versie van Cisco IOS®-softwarerelease 12.2(14)SX of hoger uitvoert.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Conventies
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Catalyst 6500 configuratie
Configuratie van Microflow-toezicht
Voer de volgende stappen uit:
-
Het gebruik van Microflow-toezicht vereist eerst dat een toegangscontrolelijst (ACL) wordt gemaakt om verkeer te identificeren teneinde een verstikkingsbeleid toe te passen.
Opmerking: in dit configuratievoorbeeld wordt het 192.168.30.x/24-subnetnummer voor draadloze clients gebruikt.
ip access-list extended acl-wireless-downstream
permit ip any 192.168.30.0 0.0.0.255
ip access-list extended acl-wireless-upstream
permit ip 192.168.30.0 0.0.0.255 any
-
Maak een class-map om aan te passen op de vorige ACL.
class-map match-all class-wireless-downstream
match access-group name acl-wireless-downstream
class-map match-all class-wireless-upstream
match access-group name acl-wireless-upstream
-
Het creëren van een beleid-kaart zal eerder tot stand gebrachte ACL en klasse-kaart met een verschillende actie verbinden om op het verkeer van toepassing te zijn. In dit geval wordt het verkeer in beide richtingen naar 1 Mbps gedraaid. Er wordt een bronstroommasker gebruikt in de stroomopwaartse richting (client naar AP) en er wordt een doelstroommasker gebruikt in de stroomafwaartse richting (AP naar client).
policy-map police-wireless-upstream
class class-wireless-upstream
police flow mask src-only 1m 187500 conform-action transmit exceed-action drop
policy-map police-wireless-downstream
class class-wireless-downstream
police flow mask dest-only 1m 187500 conform-action transmit exceed-action drop
Raadpleeg voor meer informatie over het configureren van Microflow-toezicht de op de gebruiker gebaseerde snelheidsbeperking in Cisco Catalyst 6500.
Het beleid voor bandbreedtecontrole aanpassen
De beleidsverklaring binnen de beleidskaart is waar de daadwerkelijke bandbreedte (in bits geconfigureerd) en burst size (in bytes geconfigureerd) parameters zijn geconfigureerd.
Een goede vuistregel voor de barstgrootte is:
Burst = (Bandwidth / 8) * 1.5
Voorbeeld:
Deze lijn gebruikt een snelheid van 1 Mbps (bits):
police flow mask dest-only 1m 187500 conform-action transmit exceed-action drop
Deze lijn gebruikt een snelheid van 5 Mbps (bits):
police flow mask dest-only 5mc 937500 conform-action transmit exceed-action drop
Whitelisting-bronnen van bandbreedtetoezicht
In bepaalde gevallen moeten bepaalde netwerkbronnen worden vrijgesteld van bandbreedtebewaking, zoals een Windows Update-server of een posteringstoestel. Naast hosts kan whitelisting ook worden gebruikt om hele subnetten vrij te stellen van bandbreedtetoezicht.
Voorbeeld:
Dit voorbeeld sluit de host 192.168.20.22 uit van elke bandbreedtebeperking bij communicatie met het 192.168.30.0/24-netwerk.
ip access-list extended acl-wireless-downstream
deny ip host 192.168.20.22 192.168.30.0 0.0.0.255
permit ip any 192.168.30.0 0.0.0.255
ip access-list extended acl-wireless-upstream
deny ip 192.168.30.0 0.0.0.255 host 192.168.20.22
permit ip 192.168.30.0 0.0.0.255 any
IPv6 Microflow-toezicht
Voer de volgende stappen uit:
-
Voeg een andere toegangslijst toe op Catalyst 6500 om IPv6-verkeer te identificeren dat moet worden gethrotteld.
ipv6 access-list aclv6-wireless-downstream
permit ipv6 any 2001:DB8:0:30::/64
!
ipv6 access-list aclv6-wireless-upstream
permit ipv6 2001:DB8:0:30::/64 any
-
Wijzig de class-map om de IPv6 ACL op te nemen.
class-map match-any class-wireless-downstream
match access-group name aclv6-wireless-downstream
match access-group name acl-wireless-downstream
class-map match-any class-wireless-upstream
match access-group name aclv6-wireless-upstream
match access-group name acl-wireless-upstream
Op applicatie gebaseerde controllerconfiguratie (2500, 4400, 5500)
Om Microflow-toezicht te voorzien van een op een apparaat gebaseerde controller, zoals de 5508-serie, is de configuratie simplistisch. De controller-interface is geconfigureerd zoals elk ander VLAN, terwijl Catalyst 6500-servicebeleid wordt toegepast op de controller-interface.
Voer de volgende stappen uit:
-
Politie-draadloos-upstream toepassen op de inkomende poort van de controller.
interface GigabitEthernet4/13
description WLC
switchport
switchport trunk allowed vlan 30
switchport mode trunk
service-policy input police-wireless-upstream
end
-
Pas beleid-draadloos-downstream toe op de uplink LAN/WAN-poorten.
interface GigabitEthernet4/20
description WAN
switchport
switchport access vlan 20
switchport mode access
service-policy input police-wireless-downstream
end
Configuratie van controller op basis van module (WiSM, WiSM2)
Om gebruik te maken van het toezicht van Microflow op Catalyst 6500 met de draadloze servicemodule2 (WiSM2), moet de configuratie worden aangepast om op VLAN gebaseerde Quality of Service (QoS) te gebruiken. Dit betekent dat het beleid van het Toezicht van Microflow niet direct op de poortinterface wordt toegepast (bijvoorbeeld, Gi1/0/1), maar op de interface van VLAN wordt toegepast.
Voer de volgende stappen uit:
-
WiSM voor op VLAN gebaseerde QoS configureren:
wism service-vlan 800
wism module 1 controller 1 allowed-vlan 30
wism module 1 controller 1 qos vlan-based
-
Toepassen beleid-draadloos-upstream op client-VLAN SVI:
interface Vlan30
description Client-Limited
ip address 192.168.30.1 255.255.255.0
ipv6 address 2001:DB8:0:30::1/64
ipv6 enable
service-policy input police-wireless-upstream
end
-
Pas beleid-draadloos-downstream toe op de uplink LAN/WAN-poorten.
interface GigabitEthernet4/20
description WAN
switchport
switchport access vlan 20
switchport mode access
service-policy input police-wireless-downstream
end
Verificatie van oplossing
Een van de belangrijkste vereisten voor tariefbeperking per gebruiker is de mogelijkheid om alle stromen te beperken die afkomstig zijn van en bestemd zijn voor een bepaalde gebruiker. Om te verifiëren dat de Microflow-oplossing aan deze eis voldoet, wordt IxChariot gebruikt om vier gelijktijdige downloadsessies en vier gelijktijdige uploadsessies voor een bepaalde gebruiker te simuleren. Dit kan iemand voorstellen die een FTP-sessie start, op het web surft en een videostream bekijkt terwijl hij een e-mail met een grote bijlage verstuurt, etc.
In deze test is IxChariot geconfigureerd met het "Throughput.scr" script met behulp van TCP traffic om de snelheid van de link te meten met behulp van throttled traffic. De Microflow-controleoplossing kan alle stromen tot een totaal van 1 Mbps downstream en 1 Mbps upstream voor de gebruiker verstikken. Bovendien gebruiken alle stromen ruwweg 25% van de beschikbare bandbreedte (bijvoorbeeld 250 kbps per stream x 4 = 1 Mbps).
Opmerking: omdat de Microflow-politieactie op Layer 3 plaatsvindt, kan het eindresultaat voor de doorvoersnelheid van TCP-verkeer kleiner zijn dan de ingestelde snelheid vanwege protocoloverhead.
Gerelateerde informatie