Cisco Yönlendirici QoS ile Rapidshare Kısıtlama
December 15th, 2009 | 
Author: 
Bilindiği gibi DDoS ve benzeri saldırılardan korunmanın en etkili yollarından biri de sahip olduğumuz Internet kapasitesini efektif bir şekilde kullanmaktadır. Herhangi bir benzeri tehdit durumlarında Internet kapasitemizin boş olması ve erişilebilir olması gerekmektedir. Diğer taraftan hattı yoğun kullanan protokollerin meydana getirdiği yavaşlığın iş kalitesine etkisi de büyüktür. Bu makalede yoğun kullanılan dosya paylaşım ortamlarından Rapidshare’in oluşturduğu trafiğin Cisco yönlendirici üzerinde QoS uygulayarak nasıl kısıtlanabileceği ele alınacaktır.
Bilindiği gibi, tüm dünyada Rapidshare ve benzeri HTTP download trafiği inanılmaz boyutlarda ve bu yogun trafikte bizim iç ağımızda oluştuğu anda zaman zaman yavaşlıklara yol açmaktadır. Dünya genelinde ölçme ve değerlendirme konusunda lider firmalardan birisi olan Comscore’ un Nisan 2009 tarihinde yapmış olduğu araştırmanın sonucuna göre Türkiye’ deki kullanıcıların Rapidshare servisine sıklıkla ulaştığını görebiliriz. (Bknz :Comscore )
Öncelikle yapmamız gereken kısıtlama uygulayacağımız adresin tüm IP adreslerini bulmamızdır. Biz bu ornekte Rapidshare adresinden bahsedeceğimiz için bu IP adresleri üzerinden gideceğiz. Örnek olması acısından Rapidshare’ e ait olan sadece 3 adet C Class IP adresi kullanacağız.
IP adreslerini aldıktan sonra Cisco yönlendiricimiz üzerinde aşağıdaki şekilde bir access-list oluşturuyoruz
access-list 11 permit 195.122.131.0 0.0.0.255 access-list 11 permit 195.122.149.0 0.0.0.255 access-list 11 permit 195.122.151.0 0.0.0.255
Bu access-list’ i oluşturduktan sonra Cisco yönlendiricimiz üzerinde bir tane class-map yarattıktan sonra access-list’ imizi bu class-map’ in içine gömüyoruz
class-map match-any Rapidshare match access-group 11
Daha sonra tekrar Cisco yönlendiricimiz üzerinde policy-map yaratarak, class-map’ imizi içine yerleştiriyoruz ve bize gerekli olan konfigurasyonu giriyoruz.
policy-map Rapidshare class Rapidshare police cir 1536000 bc 512000 be 512000 conform-action transmit exceed-action drop violate-action drop
Burada önemli olan, 1536000 değerinin bit değeri olduğu ve bu interface üzerinde bulunan tüm kullanıcıların 1536000/saniye oranında hıza izin vermesidir. Ayrıca, belirttiğimiz 512000 değeri byte cinsinden bir değer olup bunu bir havuz olarak düşünebiliriz. Eğer, havuzumuzun değeri olan 512000 byte değeri dolarsa, yeni gelecek paketlerde bu sayının artmasına neden oluyorsa havuzun dışında kalan, yada taşmasını sağlayan paketler drop edilecektir.
Bu işlemide yaptıktan sonra konfigurasyonumuzu istedigimiz bir interface üzerine uygulamalıyız.
interface GigabitEthernet1 service-policy input Rapidshare
Bu konfigurasyonun sonunda belirtilen interface üzerinde bulunan tüm kullanıcılar toplamda yaklaşık 200K/sec bir hızla Rapidshare’ den download yapacaklardır. Ve download yapan kişi sayısı arttıkça bu değer ona gore düşecek ve her kullanıcı için ortalama bir değer haline gelecektir.
Ayrıca interface’ in durumunu da aşağıdaki komut yardımı ile görebiliriz.
show policy-map interface gigabitEthernet 1
Bilindiği gibi DDoS ve benzeri saldırılardan korunmanın en etkili yollarından biri de sahip olduğumuz Internet kapasitesini efektif bir şekilde kullanmaktadır. Herhangi bir benzeri tehdit durumlarında Internet kapasitemizin boş olması ve erişilebilir olması gerekmektedir. Diğer taraftan hattı yoğun kullanan protokollerin meydana getirdiği yavaşlığın iş kalitesine etkisi de büyüktür. Bu makalede yoğun kullanılan dosya paylaşım ortamlarından Rapidshare’in oluşturduğu trafiğin Cisco yönlendirici üzerinde QoS uygulayarak nasıl kısıtlanabileceği ele alınacaktır.
Bilindiği gibi, tüm dünyada Rapidshare ve benzeri HTTP download trafiği inanılmaz boyutlarda ve bu yogun trafikte bizim iç ağımızda oluştuğu anda zaman zaman yavaşlıklara yol açmaktadır. Dünya genelinde ölçme ve değerlendirme konusunda lider firmalardan birisi olan Comscore’ un Nisan 2009 tarihinde yapmış olduğu araştırmanın sonucuna göre Türkiye’ deki kullanıcıların Rapidshare servisine sıklıkla ulaştığını görebiliriz. (Bknz :Comscore )
Öncelikle yapmamız gereken kısıtlama uygulayacağımız adresin tüm IP adreslerini bulmamızdır. Biz bu ornekte Rapidshare adresinden bahsedeceğimiz için bu IP adresleri üzerinden gideceğiz. Örnek olması acısından Rapidshare’ e ait olan sadece 3 adet C Class IP adresi kullanacağız.
access-list 11 permit 195.122.131.0 0.0.0.255 access-list 11 permit 195.122.149.0 0.0.0.255 access-list 11 permit 195.122.151.0 0.0.0.255
Bu access-list’ i oluşturduktan sonra Cisco yönlendiricimiz üzerinde bir tane class-map yarattıktan sonra access-list’ imizi bu class-map’ in içine gömüyoruz
class-map match-any Rapidshare match access-group 11
Daha sonra tekrar Cisco yönlendiricimiz üzerinde policy-map yaratarak, class-map’ imizi içine yerleştiriyoruz ve bize gerekli olan konfigurasyonu giriyoruz.
policy-map Rapidshare class Rapidshare police cir 1536000 bc 512000 be 512000 conform-action transmit exceed-action drop violate-action drop
Burada önemli olan, 1536000 değerinin bit değeri olduğu ve bu interface üzerinde bulunan tüm kullanıcıların 1536000/saniye oranında hıza izin vermesidir. Ayrıca, belirttiğimiz 512000 değeri byte cinsinden bir değer olup bunu bir havuz olarak düşünebiliriz. Eğer, havuzumuzun değeri olan 512000 byte değeri dolarsa, yeni gelecek paketlerde bu sayının artmasına neden oluyorsa havuzun dışında kalan, yada taşmasını sağlayan paketler drop edilecektir.
Bu işlemide yaptıktan sonra konfigurasyonumuzu istedigimiz bir interface üzerine uygulamalıyız
interface GigabitEthernet1 service-policy input Rapidshare
Bu konfigurasyonun sonunda belirtilen interface üzerinde bulunan tüm kullanıcılar toplamda yaklaşık 200K/sec bir hızla Rapidshare’ den download yapacaklardır. Ve download yapan kişi sayısı arttıkça bu değer ona gore düşecek ve her kullanıcı için ortalama bir değer haline gelecektir.
Ayrıca interface’ in durumunu da aşağıdaki komut yardımı ile görebiliriz.
show policy-map interface gigabitEthernet 1
Posted in 
Tags: