Solucionado: Re: QOS APLICADA EN ROUTER C881- K9

Giancarlos Sosa Lescano · ‎07-31-2018

Buenas tardes comunidad.

Por favor su acostumbrado apoyo con la validación de una configuración aplicada en un Router Cisco 881 - K9. Dicha configuración viene siendo aplicada para limitar el ancho de banda de una determinada red la cual excede el tráfico (2MB) subida y bajada.

Mi consulta es si está bien configurado la access-list 120 la cual en teoría viene limitando el tráfico a través del Rate-limit.

Muy agradecido de antemano con su apoyo.

Saludos.

Diana Karolina Rojas · ‎07-31-2018

Hola nuevamente Giancarlos,

Te comento que tus configuraciones son muy pero muy viejas jeje sin embargo la verdad es que no están mal, la primera y la segunda sentencias de la ACL son redundantes ya que la primera esta intrínseca en la segunda. Las ACL en el caso de rate-limit funcionan de forma muy sencilla si es "permit" simplemente se tomará en consideración ese tráfico para ser limitado y el "deny" es para que ese tráfico no sea tomado en cuenta. En el caso de la politica "input" el rate va a tomar en cuenta todo el tráfico que va a chocar con la segunda sentencia de la ACL y en el caso de la output va a tomar en cuenta el tráfico que va a chocar con la tercera sentencia, esto se puede hacer en dos ACL separadas pero por la lógica que tiene la configuración no esta mal.

Por favor no olvides calificar las respuestas útiles.

Saludos,

Ver la solución en mensaje original publicado

Julio E. Moisa · ‎08-01-2018

Hola Giancarlos,

Con gusto, por lo menos para mi la mejor manera de limitar el trafico es utilizando MQC, utilizas:

- 1 ACL donde se especifica el origen (una unica IP), el destino y el puerto (o cualquier puerto).

- Luego creas un class-map donde aplicaras la ACL a traves de un match.

- Creas un policy-map y dentro de el aplicas la clase previamiente creada, una vez incluido aplicas shape o police para limitar el trafico en bits. No te preocupes por el resto del trafico ya que ese coincidira con el default-class que esta implicito.

- Una vez has creado el policy-map, lo aplicas a la interface, shape solo soporta output, pero police soporta ambas direcciones.

:-)

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Ver la solución en mensaje original publicado

Julio E. Moisa · ‎07-31-2018

Hola Giancarlos,

Para el input deberia ser otra otra ACL, porque el trafico de origen es desde las redes 10.120.71.0/25 y 10.120.72.192/27. Para output esta bien la ACL 120.

Adicional te comparto un enlace que puede ser de utilidad si deseas aplicar MQC (o si lo soporta tu router).

https://www.yournexthop.com/b-traffic-shaping.php

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Giancarlos Sosa Lescano · ‎08-01-2018

Julio buenos días.
Muchas gracias por el link lo estoy revisando. Pero quizás me puedas orientar con la mejor manera de limitar un tráfico de una determinada IP o segmento de red en estos equipos que tengo en su mayoría instalados.

Muchas gracias por el apoyo.

Julio E. Moisa · ‎08-01-2018

Hola Giancarlos,

Con gusto, por lo menos para mi la mejor manera de limitar el trafico es utilizando MQC, utilizas:

- 1 ACL donde se especifica el origen (una unica IP), el destino y el puerto (o cualquier puerto).

- Luego creas un class-map donde aplicaras la ACL a traves de un match.

- Creas un policy-map y dentro de el aplicas la clase previamiente creada, una vez incluido aplicas shape o police para limitar el trafico en bits. No te preocupes por el resto del trafico ya que ese coincidira con el default-class que esta implicito.

- Una vez has creado el policy-map, lo aplicas a la interface, shape solo soporta output, pero police soporta ambas direcciones.

:-)

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Giancarlos Sosa Lescano · ‎08-01-2018

Hola Julio.
Te comento que lo acabo de entender mucho mejor con el post que hiciste en https://www.yournexthop.com/b-traffic-shaping.php
Muy bueno y sobre todo bien explicado, me está ayudando entender otros temas.
Agradezco a ti y a diana por el valioso tiempo que se toman en contestar. Ambas recomendaciones me están ayudando a poder entenderlo mucho mejor.

Saludos.

Julio E. Moisa · ‎08-01-2018

Muchas gracias Giancarlos por la retroalimentacion, y en serio nos alegra saber que hemos sido útiles.

Cualquier consulta estoy a tus órdenes.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Diana Karolina Rojas · ‎08-02-2018

Un placer poder darte un mano Giancarlos, te agradezco por tus comentarios y por tomarte el tiempo de calificarnos.

Que tengas un excelente día.

Diana Karolina Rojas · ‎07-31-2018

Hola nuevamente Giancarlos,

Te comento que tus configuraciones son muy pero muy viejas jeje sin embargo la verdad es que no están mal, la primera y la segunda sentencias de la ACL son redundantes ya que la primera esta intrínseca en la segunda. Las ACL en el caso de rate-limit funcionan de forma muy sencilla si es "permit" simplemente se tomará en consideración ese tráfico para ser limitado y el "deny" es para que ese tráfico no sea tomado en cuenta. En el caso de la politica "input" el rate va a tomar en cuenta todo el tráfico que va a chocar con la segunda sentencia de la ACL y en el caso de la output va a tomar en cuenta el tráfico que va a chocar con la tercera sentencia, esto se puede hacer en dos ACL separadas pero por la lógica que tiene la configuración no esta mal.

Por favor no olvides calificar las respuestas útiles.

Saludos,

Diana Karolina Rojas · ‎07-31-2018

Ya va, me perdí jeje ¿estas limitando el tráfico de un usuario dentro de una red? o la red entera? porque entendía que era a una sola IP en ambas direcciones.

Saludos,

Giancarlos Sosa Lescano · ‎08-01-2018

Hola Diana.

En primera instancia fue para todo el segmento 10.120.64.0/24 pero como no estuve seguro que esté bien aplicada lo hice para cada una sola IP del segmento en mención.

La idea es que esa IP o cualquier otra en otro escenario no sature el ancho de banda, ojo solo en estos equipos 881 del cual como le comenté a julio, están en la mayoría de la planta que tiene actualmente la empresa que gestiono.

Saludos.

Giancarlos Sosa Lescano · ‎08-01-2018

Hola Diana buenos días.
Muchas gracias por el apoyo brindado. Pero tengo una duda osea si las configuraciones son muy viejitas :v cuales serían las correctas?

Por otro lado pues estoy intentando limitar el tráfico de una determinada IP'S si fuese posible pues de todo el segmento pero me queda la duda en que no fuese correcta a pesar de las validaciones del comando show access-list 120 y como resultado me da que sí están haciendo matches.

Por último lo que indica Julio Moisa es correcto? debería tener otra ACL para el tráfico de entrada?

Muchas gracias por todo el apoyo que recibo de ustedes dos.

Saludos,