Cisco 6500 Switchler ve 7600 Routerlar ile Kullanıcı Bazlı Bant Genişliği Yönetimi: Microflow Policing

Microflow Policing
Microflow Policy tekniği ile bir arayüzden erişim sağlayan bütün IP adresleri için ayrı ayrı bant genişliği yönetimi yapılabilir. Örneğin her kullanıcının için saniyede maksimum 1024Kbit erişim yapabileceği şekilde bir sınırlama konabilir. Bu sayede tek bir kullanıcının bütün bantgenişliğini kullanması engellenmiş olur. Ayrıca aynı arayüzde farklı kullanıcı profillerine göre tanımlanmış class-map ile farklı bant genişliği değerlerinin belirlenmesi de mümkün olmaktadır.
Microflow policy’de akış (flow) tanımlanması aşamasında sadece kaynak IP adresi(src-only), sadece hedef IP adresi(dest-only) ya da kaynak ve hedef IP ile birlikte kaynak ve hedef port numaraları(full-flow) seçilebilir. Eğer kullanıcı bazlı bir bant genişliği sınırlandırılması isteniyorsa src-only ya da dest-only seçeneği kullanılmalıdır. Full-flow seçilmesi durumunda bir kullanıcının kurduğu her bağlantı ayrı bir flow olarak tanımlanacağından herhangi bir kullanıcının kullanabileceği bant genişliği üst sınırını tanımlama imkanı olmaz. Bu şekilde sadece tek bir session(oturum) için sınırlandırma konulmuş olur.
Bunların yanı sıra istenirse aggregate ve microflow policy aynı anda kullanılabilir. Örnek olarak misafirlere kullanıcı bazında 512 Kb’lik sınırlandırma yapılmasının yanı sıra bütün misafirlerin toplamda da 50Mb’lik bant genişliğini aşmaları engellenebilir.

Microflow Policing Konfigürasyonu:
Bu teknik şu anda sadece supervisor 720’ye sahip Cisco 6500/7600 serisi cihazlarda uygulanabilmektedir. Öncelikle trafik tiplerinin gruplanması için kullanılacak class-map’ler oluşturulur. Class-Map’lerde trafiğin tanımlanması için erişim kontrol listeleri(ACL) kullanılır. Policy-map’ler ile farklı class-map’ler için farklı bant genişliği sınırlandırılması yapılabilir. Aşağıda örnek yapılandırma açıklamaları ile verilmiştir.

1. Farklı class-map’lerde kullanılacak erişim kontrol listeleri tanımlanır.

6500(config)# access-list 101 permit ip any 10.0.0.0 0.0.0.255
6500(config)# access-list 102 permit ip any 20.0.0.0 0.0.0.255

2. Class-map’ler tanımlanmalıdır.

! Personel sınıfının tanımlanması
6500(config)# class-map personel_sinifi
6500(config-cmap)# match access-group 101
6500(config-cmap)# exit
! Misafir sınıfının tanımlanması
6500(config)# class-map misafir_sinifi
6500(config-cmap)# match access-group 102
6500(config-cmap)# exit

3. Bu adımda policy-map oluşturulup cihazın uygun arayüzüne uygulanmalıdır. Policy-map ile her class-map için uygulanacak bant genişliği değerleri belirtilir. “police flow” sonrasında belirtilen ilk değer saniyedeki bit sayısını belirtir. İkinci değer ise her kullanıcı için bant genişliği sınırlandırması yapılmadan yaratabileceği trafiğin byte cinsinden miktarıdır(burst bytes).

6500(config)# policy-map Personel_Misafir_sinirla
6500(config-pmap)# class personel_sinifi
6500(config-pmap-c)# police flow mask dest-only 1024000 256000 conform-action transmit exceed-action drop
6500(config-pmap-c)# exit
6500(config-pmap)# class misafir_sinifi
6500(config-pmap-c)# police flow mask dest-only 512000 128000 conform-action transmit exceed-action drop
6500(config-pmap-c)# police 50000000
exit

4. Son adımda policy-map’in cihazın dış ağa bakan interface’ine giriş yönünde uygulanması ile kullanıcıların dış ağdan indirebilecekleri trafiğe sınırlandırma getirilmiş olacaktır. Bu sayede 101 nolu ACL’ye uyan kullanıcılar anlık 1Mb kullanabilirler. 102 nolu ACL’ye uyan misafir grubu ise anlık 512Kbit’lık erişim yapabilirler ve bütün misafirlerin toplam trafiği de 50Mb ile kısıtlanmıştır.

6500(config)# interface gigabitEthernet 1/1
6500(config-if)# service-policy input Personel_Misafir_sinirla

Bu gibi çözümler ile ne yazıkki ilgili IP”nin yarattığı bütün trafiğe kural uygulanmaktadır. Daha detaylı bantgenişliği yönetmek için pahalı çözümler (Allot, Ipoque vb.) gerekmektedir. Ama sonuç olarak Cisco ve benzeri büyük şase layer3 cihazınız varsa bu özelliğini kullanmamakta yanlış olacaktır.

Gökhan AKIN – Sınmaz KETENCİ

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir