Implementazione del modello Cisco QoS per gli utenti finali

8

Ho implementato il modello QoS di 4 classi come descritto in questo post precedente del 2013. Questa configurazione principale è implementata su una configurazione Cisco VSS 6509-E con versione software in esecuzione: software Cisco IOS, software s2t54 (s2t54-ADVENTERPRISEK9-M), versione 15.2 (1) SY3, SOFTWARE DI RILASCIO (fc3) Copyright (c) 1986-2016 di Cisco Systems, Inc.

Sui miei uplink al livello di accesso, la politica di servizio è stata configurata, ad esempio:

interface TenGigabitEthernet1/2/16
 switchport
 switchport mode trunk
 service-policy output WAN-EDGE-4-CLASS

Come posso assicurarmi che le impostazioni QoS siano implementate fino alle porte di accesso dell'utente? Non riesco a capire come taggare il traffico sui miei switch di accesso, attualmente sto eseguendo Cisco 2960X su IOS 15.2 (2) E6.

Di quale configurazione ho bisogno?

Global:
mls qos (obviously to activate QoS)

User Access configuration:
priority-queue out?
mls qos trust?

Spero che qualcuno sia in grado di far luce su questo. Grazie in anticipo.

Aggiornamento 17-01-2018: come abbinare e rilevare il traffico di input nelle classi dscp di tua scelta.

cisco  qos  class-map  policy-map  service-policy 
Stai cercando solo di preservare i contrassegni, o di allocare la larghezza di banda sulle porte di accesso o entrambi?
Ron Trunk,
@RonTrunk quali sono le migliori pratiche e cosa consiglieresti?
Dipende dai tuoi obiettivi. Cosa stai cercando di realizzare? Quali dispositivi sono presenti sulle porte di accesso?
Ron Trunk,
@RonTrunk normalmente un telefono IP Cisco, con configurazione Vlan vocale e un computer statico o laptop collegato al telefono IP. Voglio assicurarmi che il telefono IP abbia la priorità e che abbia la larghezza di banda allocata completamente dalla porta di accesso attraverso il livello Core alla destinazione tramite la nostra soluzione di telefono IP Asterisk.
1
@RonTrunk da quando ho aggiunto questa domanda, ho lavorato su una soluzione, che ho pubblicato di seguito. :-)

Risposte:

10

introduzione

Prima di tutto, lasciami scrivere che passo la maggior parte dell'estate cercando di trovare un modo corretto per farlo. Per di più ho dovuto assumere un CCIE a tempo pieno per una settimana circa per dare una mano e nel processo abbiamo avuto Cisco TAC che cercava di capire un errore sui nostri switch serie 6500.

Perché dovresti farlo?

Oggi c'è un'esplosione virtuale di applicazioni rich media sulla rete IP. Questa esplosione di contenuti e tipi di media, sia gestiti che non gestiti, richiede agli architetti di rete di rivedere i loro progetti di qualità del servizio (QoS).

Il primo passo può sembrare ovvio e superfluo, ma in realtà è cruciale: definire chiaramente gli obiettivi di business che le politiche di QoS devono consentire. Questi possono includere uno / tutti i seguenti:

  • Garantire la qualità della voce soddisfa gli standard aziendali.
  • Garantire un'alta qualità dell'esperienza (QoE) per i video.
  • Aumentare la produttività degli utenti aumentando i tempi di risposta della rete per le applicazioni interattive.
  • Gestione di applicazioni che sono "maiali di larghezza di banda".
  • Individuare e decentrare le applicazioni dei consumatori.
  • Miglioramento della disponibilità della rete.
  • Rafforzare l'infrastruttura di rete.

Con questi obiettivi in ​​mente, gli architetti di rete possono identificare chiaramente quali applicazioni sono rilevanti per la loro attività. Al contrario, questa esperienza renderà anche evidente quali applicazioni non sono rilevanti per il raggiungimento degli obiettivi aziendali. Tali applicazioni potrebbero essere orientate al consumatore e / o orientate all'intrattenimento. Alla fine dipende tutto da te.

La soluzione

Volevo renderlo il più semplice e libero possibile dalla configurazione. Tenendo presente ciò, unito al fatto che il QoS dovrebbe sempre essere elaborato in hardware, mi è stato consigliato di utilizzare la funzione Auto-QoS in Cisco da parte del CCIE che ho assunto.

Pertanto, invece di contrassegnare il traffico a livello di accesso, la marcatura può essere effettuata dagli utenti finali o dai server stessi. Auto-QoS fornisce quindi le classi corrette per il trasporto del traffico attraverso la rete. Ciò mi ha permesso di decidere quali applicazioni o servizi dovrebbero essere prioritari o declassati tramite criteri di gruppo di directory attive.

Per cominciare, volevo semplificarlo. Ciò significava dare la priorità alle applicazioni VoIP e video, che è già predefinito in Auto-QoS quando si utilizzano dispositivi IP Cisco / TelePresence / Telecamere ecc., Cosa che facciamo.

Panoramica della topologia

Utilizziamo le seguenti apparecchiature di accesso / core.

  1. Core: serie Cisco 897, serie Cisco 3650, serie Cisco 3850 e serie Cisco 6500
  2. Accesso: serie Cisco 3560CX Compact e serie Cisco 2960X

La nostra topologia si basa principalmente su una topologia a stella, osservare il seguente disegno di topologia (Usiamo BGP nel nostro WAN MPLS):

Topologia

QoS sul livello di accesso

La configurazione è molto semplice e diretta quando si utilizza Auto-QoS. Osservare il traffico e inviarlo all'ISP MPLS è un po 'più complicato, ma mostrerò degli esempi di seguito.

Tutti gli switch di accesso sono configurati con Auto-QoS, in cui tutte le porte sia di accesso che trunk / uplink sono affidabili con DSCP. Osservare la seguente tabella QoS, in cui tutti i valori per DSCP, CoS, ToS ecc. Sono impostati in una tabella. Questo offre una buona panoramica delle classi selezionate e della struttura in cui sto cercando di realizzare nel mio progetto:

inserisci qui la descrizione dell'immagine

Auto-QoS utilizza i valori AF (Assured Forwarding) per la marcatura DSCP.

Abilitazione di Auto-QoS sull'interruttore di accesso

Configurazione globale

mls qos (Activates QoS)
mls qos map cos-dscp 0 8 16 24 32 46 48 56 (Maps CoS to DSCP values, because CoS is a layer 2 marking, which cannot be routed)
auto qos srnd4 (Autogenerates all configuration in accordance to Cisco best practice SRND4 standard)

Configurazione della porta

auto qos trust dscp (Activates QoS and trusts DSCP on a port)
priority-queue out (Sends all traffic to the priority queues)

Ecco fatto, lo switch e le porte ora eseguiranno Auto-QoS.

Guida alla configurazione di Auto-QoS per la serie 2960X: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-0_2_EX/qos/configuration_guide/b_qos_152ex_2960-x_cg/ b_qos_152ex_2960-x_cg_chapter_011.html

Abilitazione di Auto-QoS sul livello Core

C'è una grande differenza nel modo in cui la QoS è gestita dagli switch Core. La serie Cisco 6500 non supporta Auto-QoS SRND4, pertanto sarà necessario configurare manualmente QoS e mapparlo alle classi corrette per preservare il design di Auto-QoS. Le serie Cisco 3650 e 3850 supportano Auto-QoS SRND4 e quindi è abbastanza semplice da configurare:

Abilitazione di Auto-QoS sulle serie 3650 e 3850

Configurazione globale

auto qos srnd4 (Activates and autogenerates the QoS configuration)

Configurazione della porta

auto qos trust dscp (Activates and autogenerates the QoS configuration)

Quando si collega il Core all'ISP MPLS, vogliamo rilevare il traffico in 5 classi (poiché questo è ciò che supporta il nostro ISP). Questo è così, che il traffico verrà assegnato la priorità attraverso il MPLS a tutte le posizioni nella topologia (vedi disegno per riferimento). Il tuo ISP potrebbe essere diverso e quindi il commento dovrebbe essere fatto in modo che si adatti al tuo design. L'esempio seguente mostra come osservare tutto il traffico in 5 classi.

È necessario copiare la mappa dei criteri "AutoQos-4.0-Output-Policy" Auto-QoS generata automaticamente e quindi crearne una nuova. DEVI utilizzare le stesse mappe di classe generate da Auto-QoS. Se provi a crearne uno tuo, questi verranno ignorati, quindi vengono utilizzate le stesse mappe di classe e il segno viene creato da quelle classi:

policy-map WAN-OUTPUT-QoS (The name can be whatever you like)
 class AutoQos-4.0-Output-Priority-Queue
  set dscp ef
  priority level 1 percent 10
 class AutoQos-4.0-Output-Control-Mgmt-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af21
 class AutoQos-4.0-Output-Multimedia-Conf-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af41
 class AutoQos-4.0-Output-Trans-Data-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af21
 class AutoQos-4.0-Output-Bulk-Data-Queue
  bandwidth remaining percent 2 
  queue-buffers ratio 10
  set dscp default
 class AutoQos-4.0-Output-Scavenger-Queue
  bandwidth remaining percent 1 
  queue-buffers ratio 10
  set dscp cs1
 class AutoQos-4.0-Output-Multimedia-Strm-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af41
 class class-default
  bandwidth remaining percent 25

Le 5 classi saranno di seguito priorizzate e inviate al MPLS come segue:

  • Valore AF DSCP: EF (VoIP)
  • Valore AF DSCP: af41 (Tutti i supporti video)
  • Valore AF DSCP: af21 (dati transazionali ecc.)
  • Valore AF DSCP: impostazione predefinita (AF = 0 e DSCP = 0 dati in blocco ad esempio)
  • Valore AF DSCP: cs1 (classe Scavenger per Bittorrent ecc.)

Le percentuali di larghezza di banda vengono utilizzate come rimanenti. Ciò significa che tutte le classi possono utilizzare il 100% della larghezza di banda e prendere in prestito dalle altre classi se la larghezza di banda non viene utilizzata. È come la condivisione della larghezza di banda, il che significa che qualunque classe abbia la priorità, la più alta sarà in grado di inviare traffico se il collegamento è congestionato.

Le classi e le percentuali della mappa delle politiche possono essere modificate in base alle esigenze individuali.

Sulla porta uplink all'ISP è necessario configurare quanto segue:

interface XXX
auto qos trust dscp
service-policy input AutoQos-4.0-Trust-Dscp-Input-Policy
service-policy output WAN-OUTPUT-QoS

Questo è tutto per le serie 3650 e 3850.

Abilitazione di QoS sulla serie 6500

La serie 6500 non supporta Auto-QoS SRND4. È molto semplice e comprende solo i valori CoS di livello 2 per VoIP. Ciò significa che è necessario configurare tutte le QoS da zero, per adattarsi all'infrastruttura Auto-QoS dal livello di accesso. QoS deve essere configurato in base al modulo installato sullo chassis. È inoltre necessario creare mappe delle politiche sia per l'ingresso che per l'uscita (input / output).

Il supervisore comprende solo CoS tra il modulo e l'ASIC nel telaio.

Per attivare Auto-QoS per CoS, è necessario utilizzare il seguente comando globale:

auto qos default

Ciò creerà una tabella-tabella di CoS su DSCP, ma i valori non sono tutti conformi allo standard Auto-QoS SRND4 (CoS 7 è mappato su 54, che dovrebbe essere 56). Pertanto dovrai rimuovere la tabella-tabella e sostituirla con la seguente:

no table-map cos-discard-class-map
table-map cos-discard-class-map
  map from  0 to 0
  map from  1 to 8
  map from  2 to 16
  map from  3 to 24
  map from  4 to 32
  map from  5 to 46
  map from  6 to 48
  map from  7 to 56

Per creare QoS e mappe delle politiche dobbiamo scoprire quale modello di accodamento sta utilizzando un modulo. Nell'esempio seguente la coda Ingress ed Egress è la stessa, ma su alcuni moduli le code Rx e Tx sono diverse e pertanto sarà necessario creare mappe delle politiche in base al modello di accodamento. Per scoprire quale modello di accodamento utilizza un'interfaccia, è necessario emettere il comando seguente. L'esempio seguente si basa sul modulo: C6800-16P10G

show queueing interface xxx | sec Transmit queues
Transmit queues [type = 1p7q4t]
show queueing interface xxx | sec Receive queues
Receive queues [type = 1p7q4t]

Come scritto, le code sono le stesse su questo modulo e quindi possiamo usare la stessa politica sia per l'input che per l'output.

1p7q4t significa sostanzialmente: 1 coda di priorità, 7 code normali, dove tutte e 7 le code normali hanno 4 soglie. Puoi ottenere maggiori informazioni cercando il nome del modulo e accodando. Questo modulo, il C6800-16P10G è spiegato in questo link: https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6800-series-switches/datasheet-c78-733662.html

Vedi tabella 1, Code.

Innanzitutto dobbiamo creare le mappe delle classi, che verranno utilizzate per tutte le mappe delle politiche. Ciò corrisponderà ai valori DSCP per le singole classi che corrispondono alle classi da Auto-QoS SRND4. Si noti che le mappe di classe vengono create come accodamento lan con l'istruzione match-all, che funziona come AND / OR nella programmazione. match-all = AND & match-any = OR.

Controlla la seguente guida alla configurazione; Design semplificato di Cisco Campus QoS, in cui sono forniti esempi di configurazione per diversi moduli nella parte inferiore della presentazione: http://honim.typepad.com/files/campus-qos-design-simplified-brkcrs-2501.pdf

225 pagine, il collegamento è lento.

Creazione di mappe di classe (configurazione globale):

class-map type lan-queuing match-all REALTIME-1P7Q4T
  match dscp cs4 cs5 ef
class-map type lan-queuing match-all CONTROL-1P7Q4T
  match dscp cs2 cs3 cs6 cs7
class-map type lan-queuing match-all MM_CONF-1P7Q4T
  match dscp af41 af42 af43
class-map type lan-queuing match-all MM_STREAM-1P7Q4T
  match dscp af31 af32 af33
class-map type lan-queuing match-all TRANS_DATA-1P7Q4T
  match dscp af21 af22 af23
class-map type lan-queuing match-all BULK_DATA-1P7Q4T
  match dscp af11 af12 af13
class-map type lan-queuing match-all SCAVENGER-1P7Q4T
  match dscp cs1

Puoi cambiare i nomi o modificarli come preferisci, in base alle tue esigenze.

Dopo aver creato le mappe delle classi, creerò la mappa delle politiche. Definisce la priorità del valore DSCP e imposta la larghezza di banda nelle diverse code, dopo che corrisponde a un valore DSCP.

policy-map type lan-queuing 1P7Q4T
 class REALTIME-1P7Q4T
  priority
 class CONTROL-1P7Q4T
  bandwidth remaining percent 10
 class MM_CONF-1P7Q4T
  bandwidth remaining percent 20
  random-detect dscp-based
  random-detect dscp af41 percent 80 100
  random-detect dscp af42 percent 70 100
  random-detect dscp af42 percent 60 100
 class MM_STREAM-1P7Q4T
  bandwidth remaining percent 15
  random-detect dscp-based
  random-detect dscp af31 percent 80 100
  random-detect dscp af32 percent 70 100
  random-detect dscp af33 percent 60 100
 class TRANS_DATA-1P7Q4T
  bandwidth remaining percent 15
  random-detect dscp-based
  random-detect dscp af21 percent 80 100
  random-detect dscp af22 percent 70 100
  random-detect dscp af23 percent 60 100
 class BULK_DATA-1P7Q4T
  bandwidth remaining percent 9
  random-detect dscp-based
  random-detect dscp af11 percent 80 100
  random-detect dscp af12 percent 70 100
  random-detect dscp af13 percent 60 100
 class SCAVENGER-1P7Q4T
  bandwidth remaining percent 1
 class class-default
  random-detect dscp-based
  random-detect dscp default percent 80 100

Dopo aver creato la mappa delle politiche è necessario applicarla a un'interfaccia:

interface xxx
  service-policy type lan-queuing input 1P7Q4T
  service-policy type lan-queuing output 1P7Q4T

Per verificare la configurazione e vedere che si sta eseguendo l'accodamento, è possibile utilizzare il comando seguente (potrebbe essere necessario chiudere / non chiudere l'interfaccia affinché abbia effetto):

show queueing interface xxx

Per rilevare il traffico sulla serie 6500 è necessario creare nuove mappe delle classi e una nuova mappa delle politiche. Le mappe delle classi non vengono create come code lan e l'istruzione match è match-any = OR invece di match-all in quanto vogliamo controllare più valori uno dopo l'altro. Pertanto, se il primo valore non corrisponde al pacchetto, verrà verificato il successivo e così via.

Voglio sottolineare che è qui che abbiamo dovuto coinvolgere Cisco TAC, perché è emerso il seguente bug: https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuz52151

Abbiamo invece dovuto modificare le mappe di classe dall'abbinamento dei valori AF ai valori DSCP grezzi (classe di scarto). Abbiamo anche dovuto aggiornare lo switch alla versione 152-1.SY5 (MD). Dopo aver seguito queste indicazioni da allora non abbiamo più avuto problemi.

La configurazione è la seguente:

class-map match-any WAN-HIGH
  match discard-class 32
  match discard-class 40
  match discard-class 46
class-map match-any WAN-GOLD
  match discard-class 26
  match discard-class 28
  match discard-class 30
  match discard-class 34
  match discard-class 36
  match discard-class 38
class-map match-any WAN-SILVER
  match discard-class 16
  match discard-class 18
  match discard-class 20
  match discard-class 22
  match discard-class 24
  match discard-class 48
  match discard-class 56
class-map match-any WAN-BEST_EFFORT
  match discard-class 0
  match discard-class 10
  match discard-class 12
  match discard-class 14
class-map match-any WAN-SCAVENGER
  match discard-class 8

Successivamente, creiamo la mappa delle politiche:

policy-map WAN-OUTPUT-QoS
 class WAN-HIGH
   set dscp ef
 class WAN-GOLD
  set dscp af41
 class WAN-SILVER
  set dscp af21
 class WAN-BEST_EFFORT
  set dscp default
 class WAN-SCAVENGER
  set dscp cs1

Quindi dobbiamo applicarlo a un'interfaccia:

interface xxx
 service-policy output WAN-OUTPUT-QoS
 service-policy type lan-queuing input 1P7Q4T

Questo è tutto. Spero che questa informazione ti sia utile. Capisco quando la gente dice che la QoS è complicata. Può essere fatto in vari modi e l'esempio sopra è solo uno spaccato di come può essere fatto. So che Cisco sta lavorando per diffondere lo standard Auto-QoS SRND4 su sempre più dispositivi per aiutare a creare una buona base per la qualità del servizio.

1
È un ottimo lavoro, grazie per aver scritto con tanta lunghezza e chiarezza.
jonathanjo,
Per i moderatori, questo post può essere dorato in qualche modo. Questa è un'ottima risposta che aiuterà la comunità.
user4565
2

Ho finito le righe dopo aver aggiunto alcuni contenuti alla mia risposta. Apparentemente 30000 linee è il limite. Questo è il motivo per cui ho aggiunto una risposta aggiuntiva:

Contrassegnare il traffico in entrata in base alla porta / al tipo

introduzione

Questa sezione illustrerà come contrassegnare il traffico in entrata utilizzando gli elenchi di accesso per verificare la porta o il tipo di origine. La differenza rispetto agli esempi precedenti è che, utilizzando gli elenchi di accesso, è possibile decidere in modo specifico quali priorità assegnare alla rete. Laddove AutoQoS dà la priorità ai protocolli e ai tipi di traffico "più comuni", questo esempio ti dà il controllo totale per progettare QoS come preferisci. L'idea è semplice: rilevare e rilevare il traffico proveniente dalla tua rete dagli host. Trasporta le classi contrassegnate in tutta la tua rete.

Prerequisiti

Prima di configurare QoS come spiegato di seguito, devi avere una conoscenza approfondita di come funziona e prendere nota di quanto segue:

  1. I tipi di applicazioni utilizzate e i modelli di traffico sulla tua rete.
  2. Caratteristiche del traffico e esigenze della tua rete. Il traffico è intenso? Devi riservare la larghezza di banda per i flussi vocali e video?
  3. Requisiti di larghezza di banda e velocità della rete.
  4. Posizione dei punti di congestione nella rete.
  5. AutoQoS sarebbe sufficiente per raggiungere i tuoi obiettivi?

considerazioni

L'esempio è testato SOLO sulla serie Cisco 2960X. Pertanto si prega di considerare:

  1. Le serie Cisco 2960 e 2960S o precedenti non supportano questo metodo. Ignorarlo può causare gravi tempi di inattività sulla rete. Solo l'hardware Cisco più recente ha la capacità di elaborare queste quantità di elenchi di accesso per porta.
  2. Il mio esempio funziona solo sul traffico in entrata. La serie Cisco 2960X non supporta i criteri QoS di output.
  3. Dovresti sapere che l'esempio è pesante dal punto di vista amministrativo per supportare continuamente se hai molte modifiche o schemi aggiuntivi da aggiungere. Si prega di notare che non ho testato con più di quanto mostrato di seguito. Potresti colpire un limite di ciò che è effettivamente in grado di cambiare.
  4. Nel mio ambiente di test non ho riscontrato alcun impatto sulle prestazioni. Potresti provare qualcosa di diverso. Il criterio è stato abilitato su tutte le 24 o 48 porte di accesso (WS-C2960X-24PS-L e WS-C2960X-48FPD-L).

Configurazioni MLS QOS

Questo sarà mantenuto semplice e copiato da AutoQoS. In questo modo sappiamo che i buffer saranno impostati correttamente secondo Cisco. Se vuoi saperne di più puoi consultare il precedente calcolatore dei valori QoS. Questo gestisce solo il modo in cui i buffer di output reagiscono al traffico segnalato e assicura che tutto sia correttamente prioritario quando si esce su un'interfaccia.

mls qos
mls qos map cos-dscp 0 8 16 24 32 46 48 56
mls qos srr-queue output cos-map queue 1 threshold 3 4 5
mls qos srr-queue output cos-map queue 2 threshold 1 2
mls qos srr-queue output cos-map queue 2 threshold 2 3
mls qos srr-queue output cos-map queue 2 threshold 3 6 7
mls qos srr-queue output cos-map queue 3 threshold 3 0
mls qos srr-queue output cos-map queue 4 threshold 3 1
mls qos srr-queue output dscp-map queue 1 threshold 3 32 33 40 41 42 43 44 45
mls qos srr-queue output dscp-map queue 1 threshold 3 46 47
mls qos srr-queue output dscp-map queue 2 threshold 1 16 17 18 19 20 21 22 23
mls qos srr-queue output dscp-map queue 2 threshold 1 26 27 28 29 30 31 34 35
mls qos srr-queue output dscp-map queue 2 threshold 1 36 37 38 39
mls qos srr-queue output dscp-map queue 2 threshold 2 24
mls qos srr-queue output dscp-map queue 2 threshold 3 48 49 50 51 52 53 54 55
mls qos srr-queue output dscp-map queue 2 threshold 3 56 57 58 59 60 61 62 63
mls qos srr-queue output dscp-map queue 3 threshold 3 0 1 2 3 4 5 6 7
mls qos srr-queue output dscp-map queue 4 threshold 1 8 9 11 13 15
mls qos srr-queue output dscp-map queue 4 threshold 2 10 12 14
mls qos queue-set output 1 threshold 1 100 100 50 200
mls qos queue-set output 1 threshold 2 125 125 100 400
mls qos queue-set output 1 threshold 3 100 100 100 400
mls qos queue-set output 1 threshold 4 60 150 50 200
mls qos queue-set output 1 buffers 15 25 40 20

Configurazioni degli elenchi di accesso

I seguenti elenchi di accesso sono realizzati esclusivamente in base a ciò che la maggior parte delle organizzazioni utilizza. Ovviamente ho cercato su Internet e ho chiesto agli sviluppatori, agli amministratori di sistema e ad alcuni utenti quale fosse la loro prospettiva. L'esempio si basa anche sul white paper sulla qualità del servizio Cisco per VoIP.

Fonte per white paper: https://www.cisco.com/c/en/us/td/docs/ios/solutions_docs/qos_solutions/QoSVoIP/QoSVoIP.html

Ricorda che l'elenco si basa sulle mie esigenze. Puoi aggiungere o eliminare quello che vuoi. Non è presente alcuna dichiarazione che rimuove l'ACL prima di aggiungerlo. Questo per facilitare la modifica / cancellazione di nuove righe nella LCA durante la copia / incolla.

Tutti gli ACL hanno un'osservazione per spiegare a cosa serve.

no ip access-list extended IP-ROUTING
ip access-list extended IP-ROUTING
 remark BGP
 permit tcp any eq 179 any
 permit tcp any any eq 179
 remark RIP
 permit udp any eq 520 any
 permit udp any any eq 520
 remark EIGRP
 permit eigrp any any
 remark OSPF
 permit ospf any any
 remark HSRP
 permit tcp any eq 1985 any
 permit tcp any any eq 1985
 permit udp any eq 1985 any
 permit udp any any eq 1985
 remark VRRP
 permit tcp any eq 112 any
 permit tcp any any eq 112
 permit 112 any any
!--------------------------IP ROUTING END

no ip access-list extended VOICE
ip access-list extended VOICE
 remark RTP - SRTP - Cisco UC & IP Phones
 permit udp any range 16384 32767 any range 16384 32767
 remark Asterisk IAX2
 permit udp any eq 4569 any
 permit udp any any eq 4569
 remark Cisco VCS RTP & RTCP media
 permit udp any eq 2776 any
 permit udp any any eq 2776
 permit udp any eq 2777 any
 permit udp any any eq 2777
!--------------------------VOICE END

no ip access-list extended VIDEO
ip access-list extended VIDEO
 remark PIM (Protocol Independent Multicast)
 permit pim any any
 permit tcp any any eq pim-auto-rp
 permit udp any any eq pim-auto-rp
 remark Real Time Streaming Protocol (RTSP)
 permit tcp any eq 554 any
 permit tcp any any eq 554
 permit udp any eq 554 any
 permit udp any any eq 554
 remark Camstreams Media Encoder
 permit udp any eq 5700 any
 permit udp any any eq 5700
 remark Cisco Unified Video
 permit udp any eq 5445 any
 permit udp any any eq 5445
 remark IGMP
 permit igmp any any
 remark Philips Video Conferencing
 permit tcp any eq 583 any
 permit tcp any any eq 583
 permit udp any eq 583 any
 permit udp any any eq 583
 remark H.263 Video Streaming
 permit tcp any eq 2979 any
 permit tcp any any eq 2979
 permit udp any eq 2979 any
 permit udp any any eq 2979
 remark Windows Media streaming (used by Cisco)
 permit tcp any eq 1755 any
 permit tcp any any eq 1755
 permit udp any eq 1755 any
 permit udp any any eq 1755
!--------------------------VIDEO END

no ip access-list extended MISSION-CRITICAL
ip access-list extended MISSION-CRITICAL
 remark GRE Tunneling
 permit gre any any
 remark IP in IP Tunneling
 permit ipinip any any
 remark IPsec ESP & AHP
 permit ahp any any
 permit esp any any
 remark LWAPP & CAPWAPP
 permit udp any any range 12222 12223
 permit udp any range 12222 12223 any
 permit udp any any range 5246 5247
 permit udp any range 5246 5247 any
 remark Cisco IP SLA
 permit tcp any eq 1167 any
 permit tcp any any eq 1167
 permit udp any eq 1167 any
 permit udp any any eq 1167
 permit udp any eq 1967 any
 permit udp any any eq 1967
 remark LDAP
 permit tcp any eq 389 any
 permit tcp any any eq 389
 permit udp any eq 389 any
 permit udp any any eq 389
 permit tcp any eq 636 any
 permit tcp any any eq 636
 permit udp any eq 636 any
 permit udp any any eq 636
 remark TACACS+
 permit tcp any eq 49 any
 permit udp any eq 49 any
 permit tcp any any eq 49
 permit udp any any eq 49
 remark SSH & SCTP
 permit tcp any eq 22 any
 permit udp any eq 22 any
 permit tcp any any eq 22
 permit udp any any eq 22
 remark Netop Remote Control
 permit tcp any eq 1970 any
 permit udp any eq 1970 any
 permit tcp any any eq 1970
 permit udp any any eq 1970
 remark RDP & Microsoft remote assistance
 permit tcp any eq 3389 any
 permit udp any eq 3389 any
 permit tcp any any eq 3389
 permit udp any any eq 3389
 remark WSUS HTTP & HTTPS
 permit tcp any any range 8530 8531
 permit tcp any range 8530 8531 any
 permit udp any any range 8530 8531
 permit udp any range 8530 8531 any
 remark Citrix ICA
 permit tcp any eq 1494 any
 permit udp any eq 1494 any
 permit tcp any any eq 1494
 permit udp any any eq 1494
 permit tcp any eq 2598 any
 permit tcp any any eq 2598
 remark DHCP
 permit udp any range 67 68 any
 permit udp any any range 67 68
 remark DNS
 permit tcp any eq 53 any
 permit udp any eq 53 any
 permit tcp any any eq 53
 permit udp any any eq 53
!--------------------------MISSION-CRITICAL END

no ip access-list extended CALL-SIGNALING
ip access-list extended CALL-SIGNALING
 remark SCCP / Skinny
 permit tcp any any range 2000 2002
 permit tcp any range 2000 2002 any
 remark SIP & SIP over TLS
 permit udp any any eq 5060
 permit tcp any any eq 5060
 permit tcp any any eq 5061
 remark H.323
 permit tcp any any range 1718 1719
 permit udp any any range 1718 1719
 permit tcp any any eq 1720
 permit udp any any eq 1720
 permit tcp any any eq 1300
 permit tcp any eq 1300 any
 permit udp any any eq 1300
 permit udp any eq 1300 any
 permit tcp any any eq 2517
 permit tcp any eq 2517 any
 permit udp any any eq 2517
 permit udp any eq 2517 any
 permit tcp any any eq 11720
 permit tcp any eq 11720 any
 permit udp any any eq 11720
 permit udp any eq 11720 any
 remark MGCP
 permit tcp any any eq 2428
 permit tcp any eq 2428 any
 permit udp any any eq 2427
 permit udp any eq 2427 any
 permit tcp any any eq 2727
 permit tcp any eq 2727 any
 permit udp any any eq 2727
 permit udp any eq 2727 any
 remark Cisco VCS call signaling
 permit tcp any any eq 2776
 permit tcp any eq 2776 any
 permit tcp any any eq 2777
 permit tcp any eq 2777 any
!--------------------------CALL-SIGNALING END

no ip access-list extended NET-MGMT
ip access-list extended NET-MGMT
 remark NTP
 permit udp any eq 123 any
 permit udp any any eq 123
 remark Time
 permit tcp any eq 37 any
 permit tcp any any eq 37
 permit udp any eq 37 any
 permit udp any any eq 37
 remark SNMP
 permit udp any eq 161 any
 permit udp any any range 161 162
 remark Syslog
 permit udp any any eq 514
 remark Telnet
 permit tcp any eq 23 any
 permit tcp any any eq 23
 remark ICMP
 permit icmp any any
 remark TFTP
 permit udp any eq 69 any
 permit udp any any eq 69
 remark Asterisk Manager interface
 permit tcp any any eq 5038
 permit tcp any eq 5038 any
!--------------------------NET MGMT END

no ip access-list extended BULK-DATA
ip access-list extended BULK-DATA
 remark FTP & Secure FTP
 permit tcp any any eq ftp
 permit tcp any any eq ftp-data
 permit tcp any eq ftp any
 permit tcp any eq ftp-data any
 permit tcp any any eq 989
 permit tcp any eq 989 any
 permit tcp any any eq 990
 permit tcp any eq 990 any
 remark IMAP
 permit tcp any any eq 143
 permit tcp any eq 143 any
 permit tcp any any eq 993
 permit tcp any eq 993 any
 remark POP2/3
 permit tcp any any eq 110
 permit tcp any eq 110 any
 permit tcp any any eq 109
 permit tcp any eq 109 any
 permit tcp any any eq 995
 permit tcp any eq 995 any
 remark SMTP
 permit tcp any any eq 25
 permit tcp any eq 25 any
 permit tcp any any eq 465
 permit tcp any eq 465 any
 remark HTTP & HTTPS
 permit tcp any any eq www
 permit tcp any eq www any
 permit tcp any any eq 8080
 permit tcp any eq 8080 any
 permit tcp any any eq 8008
 permit tcp any eq 8008 any
 permit tcp any any eq 443
 permit tcp any eq 443 any
 remark CIFS & SMB
 permit tcp any any eq 3020
 permit tcp any eq 3020 any
 permit udp any any eq 3020
 permit udp any eq 3020 any
 permit tcp any any eq 445
 permit tcp any eq 445 any
 permit udp any any eq 445
 permit udp any eq 445 any
 remark PRINTER
 permit tcp any any eq 515
 permit tcp any eq 515 any
 permit udp any any eq 515
 permit udp any eq 515 any
!--------------------------BULK DATA END

Qui è praticamente semplice se hai letto quanto sopra su AutoQoS.

Mappe delle classi e mappe delle politiche

Dobbiamo creare mappe delle classi in modo che corrispondano alle ACL. È necessario utilizzare l'istruzione match-any, altrimenti non funzionerà. Questo perché vogliamo controllare tutte le linee nell'ACL e abbinare il traffico. Se viene trovata una corrispondenza, il traffico verrà contrassegnato. Tutto il traffico non abbinato verrà impostato come predefinito.

class-map match-any IP-ROUTING
 match access-group name IP-ROUTING
class-map match-any VOICE
 match access-group name VOICE
class-map match-any VIDEO
 match access-group name VIDEO
class-map match-any MISSION-CRITICAL
 match access-group name MISSION-CRITICAL
class-map match-any CALL-SIGNALING
 match access-group name CALL-SIGNALING
class-map match-any NET-MGMT
 match access-group name NET-MGMT
class-map match-any BULK-DATA
 match access-group name BULK-DATA

Ora dobbiamo creare una mappa delle politiche e osservare il traffico se viene trovata una corrispondenza.

Puoi rinominare la mappa delle politiche come preferisci.

policy-map QoS-MARKING
 class IP-ROUTING
  set dscp cs6
 class VOICE
  set dscp ef
 class VIDEO
  set dscp af41
 class MISSION-CRITICAL
  set dscp af31
 class CALL-SIGNALING
  set dscp cs3
 class NET-MGMT
  set dscp cs2
 class BULK-DATA
  set dscp af11
 class class-default
  set dscp default

Controlla il calcolatore QoS in questo post. Puoi inserire qualsiasi valore o segno desiderato. La classe predefinita imposterà tutto il traffico non corrispondente.

Aggiunta della politica a un'interfaccia.

Oltre alla politica di servizio ho aggiunto i criteri di AutoQoS sui buffer. Ancora una volta per mantenere il design il più snello possibile. Dobbiamo anche fidarci di dscp. Esempio:

interface range gi1/0/1-48
 desc User Access
 mls qos trust dscp
 srr-queue bandwidth share 1 30 35 5
 priority-queue out
 service-policy input QoS-MARKING

Questo è fondamentalmente per lo Switch di accesso. La configurazione potrebbe cambiare in base ad altri modelli come Cisco 3650 o Cisco serie 3850 ecc.

-1

Ecco un esempio di come puoi facilmente fare la classificazione:

class-map match-all SERVER
 match access-group 1
class-map match-all SSH
 match access-group 100
class-map match-all SERVER-MAC
 match access-group name MAC
!
policy-map SET-DSCP-SSH
 class SSH
  set ip dscp cs6
policy-map SET-DSCP-SERVER
 class SERVER
  set ip dscp cs5
policy-map SET-DSCP-FOR-MAC
 class SERVER-MAC
  set ip dscp cs1
!
interface FastEthernet0/1
 service-policy input SET-DSCP-FOR-MAC
!
access-list 1 permit 192.168.1.1
access-list 100 permit tcp host 192.168.1.1 eq 22 any

Inoltre, avrai bisogno di mls qos trust sul trunk rivolto verso il SW, che sta facendo la classificazione e mls qos abilita sul SW stesso

Viktor Borisov
fonte
Non vedo la somiglianza con la mia configurazione e a cosa servono quegli elenchi di accesso? Sarebbe possibile inserire descrizioni per ciascun comando nell'esempio di codice? Quindi potrebbe essere più facile per me capire.
3
Ciò non sembra rispondere alla domanda del PO.
Ron Trunk,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.