Abilitazione di MLS QoS su una produzione 7600

Sto guardando un 7609-S con un RSP720-3CXL che esegue 12.2 (33) SRE3.

Mi è stato chiesto di aiutare con la limitazione della velocità di alcuni server collegati a un paio di porte in esecuzione come porte L2 ( switchport mode access), quindi questo mi richiede di applicare una mappa delle politiche alla SVI L3 che è il gateway predefinito in questa VLAN. Quando ho abilitato la politica di servizio nella configurazione dell'interfaccia SVI ho ricevuto il seguente errore;

router(config-if)#service-policy input PM-LIMIT-100M
Warning (QoS): MLS QoS is disabled, marking/policing will be done after 
enabling MLS QoS globally

Ho esaminato la configurazione e abbastanza sicuro, non ci sono "mls qos" nella configurazione globale. Quali potenziali problemi possono derivare dall'abilitazione di questo comando di configurazione globale su questo dispositivo di produzione? Posso ovviamente eseguirlo durante il periodo di manutenzione programmata per motivi di sicurezza, ma dovrebbe essere tentato del tutto?

Se questo fa la differenza, non ci sono state mappe di classe o mappe delle politiche definite su questo router fino a quando non ho effettuato l'accesso, per fare uno per limitare le porte del server menzionate in precedenza (tutte le porte sono Gig, mi è stato assegnato il compito di limitare questa SVI a 100 Mbps per un breve periodo). Sto cercando di utilizzare la seguente configurazione;

class-map match-any CM-LIMIT-100M
  match access-group name ACL-SERVERS
!
policy-map PM-LIMIT-100M
  class CM-LIMIT-100M
    police 100000000 18750000 31250000 conform-action transmit exceed-action drop violate-action drop
!
int vlan 123
service-policy input PM-LIMIT-100M
service-policy output PM-LIMIT-100M

Mi piacerebbe pensare che non ci saranno potenziali problemi che accadranno se lo abilito, ma non lo sai mai, quindi sono tutto orecchi!

Dovresti assolutamente abilitare MLS QoS. È anche un prerequisito per CoPP, che è necessario aggiungere nell'elenco TODO per l'implementazione.

Abilitare 'mls qos' senza altre configurazioni è una pessima idea nei gatti di fascia bassa, come 3560/3750, a causa di una programmazione predefinita inaspettata e di buffer fortemente ridotti che causano più microbursting.

Su 7600/6500 è relativamente sicuro da abilitare, ma ovviamente puoi bloccare il router con 'show run'. Mi sentirei abbastanza a mio agio da permetterlo durante le ore di produzione.

Dovresti monitorare "mostra l'interfaccia di accodamento X" dopo aver abilitato per vedere che non stai lasciando cadere nulla. A lungo termine, è necessario progettare la politica QoS e implementarla, si consiglia di utilizzare il minor numero di code possibile (e assegnare il 100% del buffer a quelle poche code). Esempio di possibile politica QoS in WS-X6704-10GE:

interface TenGigabitEthernet4/1
 wrr-queue bandwidth percent 30 40 30 0 0 0 0  ## allocate 3 queues (+implied strictpriority) share buffer 30% 40% 30% on thos three queues
 wrr-queue cos-map 1 1 0 7 # map cos values to queues
 wrr-queue cos-map 2 2 3 
 wrr-queue cos-map 3 1 4 
 wrr-queue cos-map 3 2 6 

Per la configurazione avanzata, potresti voler integrare questo con 'wrr-queue random-detect' con curva ROSSA per coda + soglia. Assicurati di contrassegnare correttamente il tuo traffico quando entra nella tua rete.

7600 QoS non è semplice.

Se abiliti mls qos da solo, cambierai il modo in cui i buffer sono allocati su tutte le porte, potresti scoprire che questo ti dà risultati inaspettati.

Schede di linea diverse avranno capacità di accodamento diverse, ricercare i seguenti comandi per modificare il buffer e la configurazione dell'accodamento. Alcune carte di linea sono per porta e alcune sono raggruppate attorno all'asic

 wrr-queue bandwidth 
 wrr-queue queue-limit
 wrr-queue cos-map

Si noti inoltre che se si dispone di schede DFC abilitate, per ogni ingresso DFC verranno applicati dei poliziotti, pertanto è possibile che non si ottengano i risultati desiderati.

7600 QoS non è semplice.

C'è un eufemismo ...

@ytti e @Steve hanno ottime risposte, basta anche essere consapevoli del fatto che il 7600 ha anche rcv-queuecomandi di interfaccia. Come il wrr-queue, vorrai assicurarti che le tue mutazioni siano corrette o puoi vedere le gocce. Sei stato bruciato da quello, assicurati di generare abbastanza traffico di prova per convalidare che tutto funzioni correttamente poiché i problemi con QoS e le code hardware non compaiono fino a quando non viene caricato.

Una cosa da tenere presente è che a causa del modo in cui il 6500/7600 commuta in modo distribuito se si dispone di più di una porta nel Vlan che si desidera limitare la diffusione su schede di linea diverse, sarà difficile limitarle a 100mbit in quanto il limite verrà applicato su ogni carta di linea.