Введение
Ограничение скорости нисходящего трафика для каждого пользователя для беспроводной сети может быть реализовано средствами контроллеров Cisco WLAN. В то же время, дооснащение решения функциями контроля микропотоков IOS обеспечивает более детальный механизм ограничения скорости как во входящем, так и в исходящем направлении. Мотивация для того, чтобы внедрить диапазоны ограничения скорости для каждого пользователя от защиты "пожирателя ресурсов" пропускной способности должна внедрить разделенные на уровни модели пропускной способности для доступа сети заказчика, и в некоторых случаях, конкретные ресурсы белого списка, которые освобождены от пропускной способности, определяющей политику как требование. В дополнение к удушению трафика IPv4 текущего поколения решение способно к ограничению скорости IPv6 для каждого пользователя. Это предоставляет защиту инвестиций. Если обслуживание компьютеров выполняет квалифицированными инженерами, то они легко справятся с этими задачами.
Предварительные условия
Требования
Управление микропотоком требует использования модуля управления Supervisor 720 или позже который выполняет версию Cisco IOS® Software Release 12.2 (14) SX или позже.
Используемые компоненты
Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:
· Контроллеры беспроводных LAN
· Точки доступа (AP)
· Модуль управления Supervisor 720 Cisco Catalyst или позже
Условные обозначения
Конфигурация Catalyst 6500
Конфигурация управления микропотоком
Выполните следующие действия:
1. Использование Управления микропотоком сначала требует, чтобы список управления доступом (ACL) был создан для определения трафика, чтобы применить политику удушения.
Примечание. Этот пример конфигурации использует 192.168.30.x/24 подсеть для беспроводных клиентов.
ip access-list extended acl-wireless-downstream
permit ip any 192.168.30.0 0.0.0.255
ip access-list extended acl-wireless-upstream
permit ip 192.168.30.0 0.0.0.255 any
2. Создайте class-map для соответствия на предыдущем ACL.
3. class-map match-all class-wireless-downstream
4. match access-group name acl-wireless-downstream
5. class-map match-all class-wireless-upstream
match access-group name acl-wireless-upstream
6. Создание policy-map свяжет ранее созданный ACL и class-map к отдельному действию для применения к трафику. В этом случае трафик душат к 1 Мбит/с в обоих направлениях. Исходная маска потока используется в восходящем направлении (клиент к AP), и маска потока назначения используется в нижележащем направлении (AP клиенту).
7. policy-map police-wireless-upstream
8. class class-wireless-upstream
9. police flow mask src-only 1m 187500 conform-action transmit exceed-action drop
10. policy-map police-wireless-downstream
11. class class-wireless-downstream
police flow mask dest-only 1m 187500 conform-action transmit exceed-action drop
Для получения дополнительной информации по настройке Управления микропотоком обратитесь к Основанному на пользователе Ограничению скорости в Cisco Catalyst 6500.
Регулировка политика ограничения скорости пропускной способности
Программное заявление в policy-map - то, где настроена реальная пропускная способность (настроенный в битах) и Размер пакета (настроенный в байтах) параметры.
Хорошее эмпирическое правило для размера пакета:
Burst = (Bandwidth / 8) * 1.5
Пример:
Это использования линии скорость 1 Мбит/с (биты):
police flow mask dest-only 1m 187500 conform-action transmit exceed-action drop
Это использования линии скорость 5 Мбит/с (биты):
police flow mask dest-only 5mc 937500 conform-action transmit exceed-action drop
Ресурсы Whitelisting от применения политик пропускной способности
В некоторых случаях определенные, некоторый сетевые ресурсы должны быть освобождены от пропускной способности, определяющей политику, такой как сервер Windows Update или устройство исправления положения. В дополнение к хостам whitelisting может также использоваться для освобождения всех подсетей от применения политик пропускной способности. IT Аудит поможет оценить эффективность, надёжность, безопасность и уровень автоматизации ваших бизнес процессов.
Пример:
Данный пример исключает хост 192.168.20.22 из любого ограничения пропускной способности при передаче с 192.168.30.0/24 сетью.
ip access-list extended acl-wireless-downstream
deny ip host 192.168.20.22 192.168.30.0 0.0.0.255
permit ip any 192.168.30.0 0.0.0.255
ip access-list extended acl-wireless-upstream
deny ip 192.168.30.0 0.0.0.255 host 192.168.20.22
permit ip 192.168.30.0 0.0.0.255 any
Управление микропотоком IPv6
Выполните следующие действия:
1. Добавьте другой список доступа на Catalyst 6500 для определения трафика IPv6, который задушат.
2. ipv6 access-list aclv6-wireless-downstream
3. permit ipv6 any 2001:DB8:0:30::/64
4. !
5. ipv6 access-list aclv6-wireless-upstream
6. permit ipv6 2001:DB8:0:30::/64 any
7. Модифицируйте class-map для включения ACL IPv6.
8. class-map match-any class-wireless-downstream
9. match access-group name aclv6-wireless-downstream
10. match access-group name acl-wireless-downstream
11. class-map match-any class-wireless-upstream
12. match access-group name aclv6-wireless-upstream
match access-group name acl-wireless-upstream