Introduction
Fornecer o limite de taxa de downstream por usuário para usuários wireless é possível nos Controllers de LAN Wireless da Cisco, mas a adição de policiamento do IOS Microflow à solução permite um limite de taxa granular nos sentidos de upstream e downstream. A motivação para implementar a limitação de taxa por usuário varia da proteção "hog" da largura de banda é implementar modelos de largura de banda hierárquica para o acesso à rede do cliente e, em alguns casos, recursos específicos da lista branca que estão isentos da política de largura de banda como requisito. Além de limitar o tráfego IPv4 da geração atual, a solução é capaz de limitar a taxa de IPv6 por usuário. Isso oferece proteção ao investimento.
Prerequisites
Requirements
O policiamento de microfluxo requer o uso de um Supervisor 720 ou posterior que executa uma versão do Cisco IOS® Software Release 12.2(14)SX ou posterior.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
Convenções
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Configuração do Catalyst 6500
Configuração de vigilância de microfluxo
Conclua estes passos:
-
A utilização da vigilância de microfluxo primeiro exige que uma lista de controle de acesso (ACL) seja criada para identificar o tráfego a fim de aplicar uma política de limitação.
Observação: este exemplo de configuração usa a sub-rede 192.168.30.x/24 para clientes sem fio.
ip access-list extended acl-wireless-downstream
permit ip any 192.168.30.0 0.0.0.255
ip access-list extended acl-wireless-upstream
permit ip 192.168.30.0 0.0.0.255 any
-
Crie um mapa de classe para corresponder à ACL anterior.
class-map match-all class-wireless-downstream
match access-group name acl-wireless-downstream
class-map match-all class-wireless-upstream
match access-group name acl-wireless-upstream
-
A criação de um mapa de política vinculará a ACL e o mapa de classe criados anteriormente a uma ação distinta para aplicar ao tráfego. Nesse caso, o tráfego está sendo limitado a 1 Mbps em ambas as direções. Uma máscara de fluxo de origem é usada na direção de upstream (cliente para AP) e uma máscara de fluxo de destino é usada na direção de downstream (AP para cliente).
policy-map police-wireless-upstream
class class-wireless-upstream
police flow mask src-only 1m 187500 conform-action transmit exceed-action drop
policy-map police-wireless-downstream
class class-wireless-downstream
police flow mask dest-only 1m 187500 conform-action transmit exceed-action drop
Para obter mais informações sobre como configurar o policiamento de microfluxo, consulte Limitação de taxa baseada no usuário no Cisco Catalyst 6500.
Ajustando a política de política de largura de banda
A instrução de política no mapa de políticas é onde os parâmetros reais de largura de banda (configurados em bits) e de tamanho de intermitência (configurados em bytes) são configurados.
Uma boa regra para o tamanho da intermitência é:
Burst = (Bandwidth / 8) * 1.5
Exemplo:
Esta linha usa uma taxa de 1 Mbps (bits):
police flow mask dest-only 1m 187500 conform-action transmit exceed-action drop
Esta linha usa uma taxa de 5 Mbps (bits):
police flow mask dest-only 5mc 937500 conform-action transmit exceed-action drop
Recursos de lista branca de políticas de largura de banda
Em alguns casos, determinados recursos de rede devem estar isentos da política de largura de banda, como um servidor Windows Update ou dispositivo de correção de postura. Além dos hosts, o whitelisting também pode ser usado para isentar sub-redes inteiras da política de largura de banda.
Exemplo:
Este exemplo exclui o host 192.168.20.22 de qualquer limitação de largura de banda ao se comunicar com a rede 192.168.30.0/24.
ip access-list extended acl-wireless-downstream
deny ip host 192.168.20.22 192.168.30.0 0.0.0.255
permit ip any 192.168.30.0 0.0.0.255
ip access-list extended acl-wireless-upstream
deny ip 192.168.30.0 0.0.0.255 host 192.168.20.22
permit ip 192.168.30.0 0.0.0.255 any
Política de microfluxo IPv6
Conclua estes passos:
-
Adicione outra lista de acesso no Catalyst 6500 para identificar o tráfego IPv6 a ser limitado.
ipv6 access-list aclv6-wireless-downstream
permit ipv6 any 2001:DB8:0:30::/64
!
ipv6 access-list aclv6-wireless-upstream
permit ipv6 2001:DB8:0:30::/64 any
-
Modifique o mapa de classe para incluir a ACL IPv6.
class-map match-any class-wireless-downstream
match access-group name aclv6-wireless-downstream
match access-group name acl-wireless-downstream
class-map match-any class-wireless-upstream
match access-group name aclv6-wireless-upstream
match access-group name acl-wireless-upstream
Configuração do controlador baseado em dispositivo (2500, 4400, 5500)
Para fornecer a vigilância de microfluxo com um controlador baseado em dispositivo, como a série 5508, a configuração é simplista. A interface do controlador é configurada semelhante a qualquer outra VLAN, enquanto a política de serviço do Catalyst 6500 é aplicada à interface do controlador.
Conclua estes passos:
-
Aplique police-wireless-upstream na porta de entrada do controlador.
interface GigabitEthernet4/13
description WLC
switchport
switchport trunk allowed vlan 30
switchport mode trunk
service-policy input police-wireless-upstream
end
-
Aplique policy-wireless-downstream nas portas de LAN/WAN de uplink.
interface GigabitEthernet4/20
description WAN
switchport
switchport access vlan 20
switchport mode access
service-policy input police-wireless-downstream
end
Configuração da controladora baseada em módulo (WiSM, WiSM2)
Para aproveitar a vigilância de Microfluxo no Catalyst 6500 com o Wireless Service Module2 (WiSM2), a configuração deve ser ajustada para usar QoS (Quality of Service) baseada em VLAN. Isso significa que a política de policiamento de microfluxo não é aplicada diretamente à interface da porta (por exemplo, Gi1/0/1), mas é aplicada na interface da VLAN.
Conclua estes passos:
-
Configurar o WiSM para QoS baseada em VLAN:
wism service-vlan 800
wism module 1 controller 1 allowed-vlan 30
wism module 1 controller 1 qos vlan-based
-
Aplique a política sem fio-upstream na SVI da VLAN do cliente:
interface Vlan30
description Client-Limited
ip address 192.168.30.1 255.255.255.0
ipv6 address 2001:DB8:0:30::1/64
ipv6 enable
service-policy input police-wireless-upstream
end
-
Aplique policy-wireless-downstream nas portas de LAN/WAN de uplink.
interface GigabitEthernet4/20
description WAN
switchport
switchport access vlan 20
switchport mode access
service-policy input police-wireless-downstream
end
Verificação da solução
Um dos principais requisitos de limitação de taxa por usuário é a capacidade de limitar todos os fluxos provenientes e destinados a um usuário específico. Para verificar se a solução de policiamento de microfluxo atende a esse requisito, o IxChariot é usado para simular quatro sessões simultâneas de download e quatro sessões simultâneas de upload para um usuário específico. Isso pode representar alguém iniciando uma sessão FTP, navegando na Web e assistindo a um fluxo de vídeo enquanto envia um e-mail com um anexo grande, etc.
Neste teste, o IxChariot é configurado com o script "Throughput.scr" usando o tráfego TCP para medir a velocidade do link usando o tráfego limitado. A solução de policiamento de microfluxo é capaz de limitar todos os fluxos para um total de 1 Mbps downstream e 1 Mbps upstream para o usuário. Além disso, todos os fluxos usam aproximadamente 25% da largura de banda disponível (por exemplo, 250 kbps por fluxo x 4 = 1 Mbps).
Observação: como a ação de policiamento de microfluxo ocorre na Camada 3, o resultado final do throughput do tráfego TCP pode ser menor que a taxa configurada devido à sobrecarga do protocolo.
Informações Relacionadas