무선 LAN 사용자당 속도 제한 솔루션
목차
소개
Cisco Wireless LAN Controller에서는 다운스트림 사용자당 속도 제한을 제공할 수 있지만 솔루션에 IOS Microflow 폴리싱을 추가하면 업스트림 및 다운스트림 방향 모두에서 세분화된 속도 제한이 가능합니다.사용자당 속도 제한을 구현하는 동인은 대역폭 "과다" 보호에서 고객 네트워크 액세스를 위해 계층화된 대역폭 모델을 구현하는 것이며, 경우에 따라 대역폭 폴리싱에서 제외되는 특정 리소스를 화이트리스트에 추가합니다.이 솔루션은 현재 세대 IPv4 트래픽을 제한하는 것 외에도 사용자당 IPv6 속도 제한을 지원할 수 있습니다.이를 통해 투자를 보호할 수 있습니다.
사전 요구 사항
요구 사항
Microsoft Flow Policing에서는 Cisco IOS® Software Release 12.2(14)SX 이상 버전을 실행하는 Supervisor 720 이상을 사용해야 합니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
-
무선 LAN 컨트롤러
-
액세스 포인트(AP)
-
Cisco Catalyst Supervisor 720 이상
표기 규칙
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
Catalyst 6500 구성
Microsoft Flow Policing 컨피그레이션
다음 단계를 완료하십시오.
-
먼저 Microsoft Flow 폴리싱을 사용하려면 제한 정책을 적용하기 위해 트래픽을 식별하기 위해 ACL(Access Control List)을 생성해야 합니다.
참고: 이 컨피그레이션 예에서는 무선 클라이언트에 192.168.30.x/24 서브넷을 사용합니다.
ip access-list extended acl-wireless-downstream permit ip any 192.168.30.0 0.0.0.255 ip access-list extended acl-wireless-upstream permit ip 192.168.30.0 0.0.0.255 any
-
이전 ACL에서 매칭할 클래스 맵을 만듭니다.
class-map match-all class-wireless-downstream match access-group name acl-wireless-downstream class-map match-all class-wireless-upstream match access-group name acl-wireless-upstream
-
정책 맵을 만들면 이전에 생성한 ACL 및 클래스 맵을 트래픽에 적용할 개별 작업에 연결합니다.이 경우 트래픽은 양방향으로 1Mbps로 조절됩니다.소스 흐름 마스크는 업스트림 방향(클라이언트에서 AP로)에서 사용되고 목적지 흐름 마스크는 다운스트림 방향(AP-클라이언트)에서 사용됩니다.
policy-map police-wireless-upstream class class-wireless-upstream police flow mask src-only 1m 187500 conform-action transmit exceed-action drop policy-map police-wireless-downstream class class-wireless-downstream police flow mask dest-only 1m 187500 conform-action transmit exceed-action drop
Microsoft Flow 폴리싱을 구성하는 방법에 대한 자세한 내용은 Cisco Catalyst 6500의 사용자 기반 속도 제한을 참조하십시오.
대역폭 정책 조정
정책 맵 내의 정책 명령문은 실제 대역폭(비트로 구성) 및 버스트 크기(바이트 단위로 구성) 매개변수가 구성된 위치입니다.
버스트 크기에 대한 올바른 규칙:
Burst = (Bandwidth / 8) * 1.5
예:
이 회선은 1Mbps(비트)의 속도를 사용합니다.
police flow mask dest-only 1m 187500 conform-action transmit exceed-action drop
이 회선은 5Mbps(비트)의 속도를 사용합니다.
police flow mask dest-only 5mc 937500 conform-action transmit exceed-action drop
대역폭 폴리싱의 화이트리스트 리소스
경우에 따라 Windows Update 서버 또는 포스처 리미디에이션 어플라이언스와 같은 대역폭 폴리싱에서 특정 네트워크 리소스를 제외해야 합니다.호스트 외에도, 허용 목록을 사용하여 전체 서브넷을 대역폭 폴리싱에서 제외할 수 있습니다.
예:
이 예에서는 192.168.30.0/24 네트워크와 통신할 때 대역폭 제한에서 호스트 192.168.20.22을 제외합니다.
ip access-list extended acl-wireless-downstream deny ip host 192.168.20.22 192.168.30.0 0.0.0.255 permit ip any 192.168.30.0 0.0.0.255 ip access-list extended acl-wireless-upstream deny ip 192.168.30.0 0.0.0.255 host 192.168.20.22 permit ip 192.168.30.0 0.0.0.255 any
IPv6 마이크로플로우 폴리싱
다음 단계를 완료하십시오.
-
Catalyst 6500에 다른 액세스 목록을 추가하여 조절할 IPv6 트래픽을 식별합니다.
ipv6 access-list aclv6-wireless-downstream permit ipv6 any 2001:DB8:0:30::/64 ! ipv6 access-list aclv6-wireless-upstream permit ipv6 2001:DB8:0:30::/64 any
-
IPv6 ACL을 포함하도록 클래스 맵을 수정합니다.
class-map match-any class-wireless-downstream match access-group name aclv6-wireless-downstream match access-group name acl-wireless-downstream class-map match-any class-wireless-upstream match access-group name aclv6-wireless-upstream match access-group name acl-wireless-upstream
어플라이언스 기반(2500, 4400, 5500) 컨트롤러 구성
5508 시리즈와 같은 어플라이언스 기반 컨트롤러에 Microsoft Flow 폴리싱을 제공하기 위해 구성이 단순합니다.컨트롤러 인터페이스는 다른 VLAN과 유사하게 구성되며, Catalyst 6500 서비스 정책은 컨트롤러 인터페이스에 적용됩니다.
다음 단계를 완료하십시오.
-
컨트롤러에서 들어오는 포트에 police-wireless-upstream을 적용합니다.
interface GigabitEthernet4/13 description WLC switchport switchport trunk allowed vlan 30 switchport mode trunk service-policy input police-wireless-upstream end
-
업링크 LAN/WAN 포트에 정책-무선-다운스트림을 적용합니다.
interface GigabitEthernet4/20 description WAN switchport switchport access vlan 20 switchport mode access service-policy input police-wireless-downstream end
모듈 기반(WiSM, WiSM2) 컨트롤러 구성
WiSM2(Wireless Service Module2)를 사용하여 Catalyst 6500에서 Microsoft Flow 폴리싱을 활용하려면 VLAN 기반 QoS(Quality of Service)를 사용하도록 컨피그레이션을 조정해야 합니다. 즉, Microflow 폴리싱 정책은 포트 인터페이스(예: Gi1/0/1)에 직접 적용되지 않지만 VLAN 인터페이스에 적용됩니다.
다음 단계를 완료하십시오.
-
VLAN 기반 QoS에 대해 WiSM을 구성합니다.
wism service-vlan 800 wism module 1 controller 1 allowed-vlan 30 wism module 1 controller 1 qos vlan-based
-
클라이언트 VLAN SVI에 정책-무선 업스트림 적용:
interface Vlan30 description Client-Limited ip address 192.168.30.1 255.255.255.0 ipv6 address 2001:DB8:0:30::1/64 ipv6 enable service-policy input police-wireless-upstream end
-
업링크 LAN/WAN 포트에 정책-무선-다운스트림을 적용합니다.
interface GigabitEthernet4/20 description WAN switchport switchport access vlan 20 switchport mode access service-policy input police-wireless-downstream end
솔루션 확인
사용자당 속도 제한의 주요 요건 중 하나는 특정 사용자로부터 들어오고 특정 사용자로 향하는 모든 흐름을 제한할 수 있는 기능입니다.Microsoft Flow Policing 솔루션이 이 요구 사항을 충족하는지 확인하기 위해 IxChariot을 사용하여 특정 사용자에 대한 4개의 동시 다운로드 세션 및 4개의 동시 업로드 세션을 시뮬레이션합니다.이는 FTP 세션을 시작하고 웹을 탐색하고 비디오 스트림을 시청하는 한편 대용량 첨부 파일이 있는 이메일을 보내는 사용자를 나타낼 수 있습니다.
이 테스트에서 IxChariot은 제한된 트래픽을 사용하여 링크의 속도를 측정하기 위해 TCP 트래픽을 사용하여 "Throughput.scr" 스크립트로 구성됩니다.Microsoft Flow 폴리싱 솔루션은 모든 스트림을 총 1Mbps 다운스트림 및 1Mbps 업스트림으로 조절할 수 있습니다.또한 모든 스트림에서 사용 가능한 대역폭의 약 25%를 사용합니다(예: 스트림당 250kbps x 4 = 1Mbps).
참고: Microflow 폴리싱 작업은 레이어 3에서 발생하므로 TCP 트래픽 처리량의 최종 결과는 프로토콜 오버헤드로 인해 구성된 속도보다 작을 수 있습니다.
피드백