Implementando o modelo de QoS da Cisco para usuários finais


8

Eu implementei o modelo de QoS de 4 classes, conforme descrito neste post anterior, de 2013. Essa configuração principal é implementada em uma instalação do Cisco VSS 6509-E executando a versão do software: Cisco IOS Software, s2t54 Software (s2t54-ADVENTERPRISEK9-M), versão 15.2 (1) SY3, SOFTWARE DE LANÇAMENTO (fc3) Copyright (c) 1986-2016 da Cisco Systems, Inc.

Nos meus uplinks para a camada de acesso, a política de serviço foi configurada, por exemplo:

interface TenGigabitEthernet1/2/16
 switchport
 switchport mode trunk
 service-policy output WAN-EDGE-4-CLASS

Como garantir que as configurações de QoS sejam implementadas até as portas de acesso do usuário? Não consigo descobrir, como marcar o tráfego nos meus switches de acesso, atualmente estou executando o Cisco 2960X no IOS 15.2 (2) E6.

De que configuração eu preciso?

Global:
mls qos (obviously to activate QoS)

User Access configuration:
priority-queue out?
mls qos trust?

Espero que alguém possa lançar alguma luz sobre isso. Desde já, obrigado.

Atualização 17-01-2018: Como corresponder e observar o tráfego de entrada nas classes dscp de sua escolha.


Você está procurando apenas preservar as marcações ou alocar largura de banda nas portas de acesso, ou ambas?
Ron Tronco de

@RonTrunk, quais são as melhores práticas e o que você recomendaria?

Depende de seus objetivos. O que você está tentando realizar? Quais dispositivos estão em suas portas de acesso?
Ron Tronco

O @RonTrunk normalmente é um telefone IP da Cisco, com configuração de voz vlan e um computador ou laptop estático conectado ao telefone IP. Quero garantir que o telefone IP seja priorizado e tenha a largura de banda alocada desde a porta de acesso até a camada Core até o destino através da nossa solução de telefone IP Asterisk.

11
@RonTrunk desde que adicionei esta pergunta, estou trabalhando em uma solução, que publiquei abaixo. :-)

Respostas:


10

Introdução

Primeiro, deixe-me escrever que passo a maior parte do verão tentando descobrir uma maneira correta de fazer isso. Além disso, tive que contratar um CCIE em período integral por uma semana para ajudar e, no processo, tivemos o Cisco TAC tentando descobrir um erro em nossos comutadores da série 6500.

Por que você faria isso?

Hoje há uma explosão virtual de aplicativos rich media na rede IP. Essa explosão de tipos de conteúdo e mídia, gerenciados e não gerenciados, requer que os arquitetos de rede dêem uma nova olhada em seus projetos de Qualidade de Serviço (QoS).

A primeira etapa pode parecer óbvia e supérflua, mas na realidade é crucial: defina claramente os objetivos de negócios que suas políticas de QoS devem habilitar. Isso pode incluir qualquer um dos seguintes itens:

  • Garantir a qualidade da voz atende aos padrões da empresa.
  • Garantir uma alta qualidade de experiência (QoE) para vídeo.
  • Aumentando a produtividade do usuário, aumentando os tempos de resposta da rede para aplicativos interativos.
  • Gerenciando aplicativos que são "porcos de largura de banda".
  • Identificando e priorizando aplicativos de consumidor.
  • Melhorando a disponibilidade da rede.
  • Endurecendo a infraestrutura de rede.

Com esses objetivos em mente, os arquitetos de rede podem identificar claramente quais aplicativos são relevantes para seus negócios. Por outro lado, essa experiência também tornará claro quais aplicativos não são relevantes para alcançar os objetivos de negócios. Tais aplicativos podem ser aplicativos orientados ao consumidor e / ou entretenimento. No final, tudo depende de você.

A solução

Eu queria tornar isso o mais fácil e livre de configurações possível. Com isso em mente, combinado com o fato de que a QoS sempre deve ser processada em hardware, fui recomendado a usar o recurso Auto-QoS na Cisco pela CCIE que eu contratei.

Portanto, em vez de marcar o tráfego no nível de acesso, a marcação pode ser feita pelos próprios usuários finais ou servidores. O Auto-QoS fornece as classes corretas para o transporte do tráfego pela rede. Isso me permitiu decidir quais aplicativos ou serviços devem ser priorizados ou não priorizados por meio de políticas de grupo do Active Directory.

Para iniciantes, eu queria torná-lo simples. Isso significava priorizar aplicativos de VoIP e vídeo, que já são predefinidos no Auto-QoS quando você usa dispositivos IP / TelePresença / Câmeras etc. da Cisco, o que fazemos.

Visão geral da topologia

Utilizamos os seguintes equipamentos de acesso / núcleo.

  1. Núcleo: Cisco 897 series, Cisco 3650 Series, Cisco 3850 Series e Cisco 6500 Series
  2. Acesso: Cisco 3560CX Compact series e Cisco 2960X Series

Nossa topologia é baseada principalmente em uma topologia em estrela, observe o seguinte desenho de topologia (Usamos BGP em nosso WAN MPLS):


Topologia


QoS na camada de acesso

A configuração é muito simples e direta ao usar o Auto-QoS. Observar o tráfego e enviá-lo para o MPLS ISP é um pouco mais complicado, mas mostrarei exemplos abaixo.

Todos os comutadores de acesso são configurados com o Auto-QoS, onde todas as portas de acesso e de tronco / uplinks são confiáveis ​​com o DSCP. Observe a tabela de QoS a seguir, onde todos os valores para DSCP, CoS, ToS etc. estão configurados em uma tabela. Isso fornece uma boa visão geral das classes selecionadas e da estrutura na qual estou tentando realizar no meu design:


insira a descrição da imagem aqui


O Auto-QoS usa os valores AF (Assured Forwarding) para marcação DSCP.

Ativando a QoS automática no comutador de acesso

Configuração global

mls qos (Activates QoS)
mls qos map cos-dscp 0 8 16 24 32 46 48 56 (Maps CoS to DSCP values, because CoS is a layer 2 marking, which cannot be routed)
auto qos srnd4 (Autogenerates all configuration in accordance to Cisco best practice SRND4 standard)

Configuração de porta

auto qos trust dscp (Activates QoS and trusts DSCP on a port)
priority-queue out (Sends all traffic to the priority queues)

É isso aí, o switch e as portas agora executarão o Auto-QoS.

Guia de configuração do Auto-QoS para a série 2960X: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-0_2_EX/qos/configuration_guide/b_qos_152ex_2960-x_cg/ b_qos_152ex_2960-x_cg_chapter_011.html

Ativando a QoS automática na camada Core

Há uma grande diferença na maneira como a QoS é tratada pelos switches Core. O Cisco 6500 Series não suporta Auto-QoS SRND4, portanto, precisaremos configurar manualmente a QoS e mapeá-la para as classes corretas, a fim de preservar o design da Auto-QoS. O Cisco 3650 e 3850 Series suporta Auto-QoS SRND4 e, portanto, é bastante simples de configurar:

Ativando a QoS automática nas séries 3650 e 3850

Configuração global

auto qos srnd4 (Activates and autogenerates the QoS configuration)

Configuração de porta

auto qos trust dscp (Activates and autogenerates the QoS configuration)

Ao conectar o Core ao MPLS ISP, queremos observar o tráfego em 5 classes (porque é isso que o nosso ISP suporta). Assim, o tráfego será priorizado através do MPLS para todos os locais na topologia (consulte o desenho para referência). Seu ISP pode ser diferente e, portanto, a observação deve ser feita para que se ajuste ao seu design. O exemplo a seguir é como você observa todo o tráfego em 5 classes.

Você precisa copiar o mapa de políticas de Auto-QoS "AutoQos-4.0-Output-Policy" gerado automaticamente e depois criar um novo. É necessário usar os mesmos mapas de classe gerados pelo Auto-QoS. Se você tentar criar o seu próprio, eles serão ignorados; portanto, os mesmos mapas de classe são usados ​​e a marcação é feita a partir dessas classes:

policy-map WAN-OUTPUT-QoS (The name can be whatever you like)
 class AutoQos-4.0-Output-Priority-Queue
  set dscp ef
  priority level 1 percent 10
 class AutoQos-4.0-Output-Control-Mgmt-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af21
 class AutoQos-4.0-Output-Multimedia-Conf-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af41
 class AutoQos-4.0-Output-Trans-Data-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af21
 class AutoQos-4.0-Output-Bulk-Data-Queue
  bandwidth remaining percent 2 
  queue-buffers ratio 10
  set dscp default
 class AutoQos-4.0-Output-Scavenger-Queue
  bandwidth remaining percent 1 
  queue-buffers ratio 10
  set dscp cs1
 class AutoQos-4.0-Output-Multimedia-Strm-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af41
 class class-default
  bandwidth remaining percent 25

A seguir, as 5 classes serão priorizadas e enviadas ao MPLS da seguinte maneira:

  • Valor AF DSCP: EF (VoIP)
  • Valor AF de DSCP: af41 (toda a mídia de vídeo)
  • Valor AF do DSCP: af21 (dados transacionais etc.)
  • Valor de AF do DSCP: padrão (AF = 0 e DSCP = 0 dados em massa, por exemplo)
  • Valor de AF DSCP: cs1 (classe Scavenger para Bittorrent etc.)

As porcentagens de largura de banda são usadas como restantes. Isso significa que todas as classes têm permissão para usar 100% da largura de banda e emprestar das outras classes se a largura de banda não for usada. É como o compartilhamento de largura de banda, o que significa que, independentemente da classe que for priorizada, a mais alta poderá enviar tráfego se o link estiver congestionado.

As classes e porcentagens do mapa de políticas podem ser modificadas conforme necessário para atender aos seus requisitos individuais.

Na ligação ascendente da porta ao ISP, é necessário configurar o seguinte:

interface XXX
auto qos trust dscp
service-policy input AutoQos-4.0-Trust-Dscp-Input-Policy
service-policy output WAN-OUTPUT-QoS

É isso para as séries 3650 e 3850.

Habilitando a QoS na série 6500

A série 6500 não suporta Auto-QoS SRND4. É muito básico e entende apenas os valores CoS da camada 2 para VoIP. Isso significa que você precisa configurar toda a QoS desde o início, para ajustar a infraestrutura de Auto-QoS a partir da camada de acesso. A QoS precisa ser configurada com base em qual módulo está instalado no chassi. Você também precisa criar mapas de políticas para entrada e saída (entrada / saída).

O supervisor entende apenas o CoS entre o módulo e o ASIC no chassi.

Para ativar o Auto-QoS for CoS, você precisa utilizar o seguinte comando global:

auto qos default

Isso criará um mapa de tabela de CoS para DSCP, mas nem todos os valores estão de acordo com o padrão Auto-QoS SRND4 (o CoS 7 é mapeado para 54, que deve ser 56). Portanto, você precisará remover o mapa da tabela e substituí-lo pelo seguinte:

no table-map cos-discard-class-map
table-map cos-discard-class-map
  map from  0 to 0
  map from  1 to 8
  map from  2 to 16
  map from  3 to 24
  map from  4 to 32
  map from  5 to 46
  map from  6 to 48
  map from  7 to 56

Para criar QoS e mapas de políticas, precisamos descobrir qual modelo de fila um módulo está usando. No exemplo abaixo, a fila de entrada e saída é a mesma, mas em alguns módulos as filas Rx e Tx são diferentes e, portanto, você precisará criar mapas de políticas de acordo com o modelo de filas. Para descobrir qual modelo de fila uma interface está usando, você precisa emitir o seguinte comando. O exemplo abaixo é baseado no módulo: C6800-16P10G

show queueing interface xxx | sec Transmit queues
Transmit queues [type = 1p7q4t]
show queueing interface xxx | sec Receive queues
Receive queues [type = 1p7q4t]

Conforme escrito, as filas são iguais neste módulo e, portanto, podemos usar a mesma política para entrada e saída.

1p7q4t significa basicamente: 1 fila de prioridade, 7 filas normais, onde todas as 7 filas normais têm 4 limites. Você pode obter mais informações pesquisando o nome e a fila do módulo. Este módulo, o C6800-16P10G, é explicado neste link: https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6800-series-switches/datasheet-c78-733662.html

Veja a tabela 1, Filas.

Primeiro, precisamos criar os mapas de classe, que serão usados ​​para todos os mapas de políticas. Isso corresponderá aos valores DSCP para as classes individuais que correspondem às classes do Auto-QoS SRND4. Observe que os mapas de classe são criados como fila de espera com a instrução match-all, que funciona como AND / OR na programação. match-all = AND & match-any = OU.

Verifique o seguinte guia de configuração; Projeto de QoS do Cisco Campus simplificado, onde exemplos de configuração são fornecidos por diferentes módulos na parte inferior da apresentação: http://honim.typepad.com/files/campus-qos-design-simplified-brkcrs-2501.pdf

225 páginas, o link está lento.

Criando mapas de classe (configuração global):

class-map type lan-queuing match-all REALTIME-1P7Q4T
  match dscp cs4 cs5 ef
class-map type lan-queuing match-all CONTROL-1P7Q4T
  match dscp cs2 cs3 cs6 cs7
class-map type lan-queuing match-all MM_CONF-1P7Q4T
  match dscp af41 af42 af43
class-map type lan-queuing match-all MM_STREAM-1P7Q4T
  match dscp af31 af32 af33
class-map type lan-queuing match-all TRANS_DATA-1P7Q4T
  match dscp af21 af22 af23
class-map type lan-queuing match-all BULK_DATA-1P7Q4T
  match dscp af11 af12 af13
class-map type lan-queuing match-all SCAVENGER-1P7Q4T
  match dscp cs1

Você pode alterar os nomes ou editar conforme desejar, para atender às suas necessidades.

Depois de criar os mapas de classe, criarei o mapa de políticas. Ele define a prioridade do valor DSCP e define a largura de banda nas diferentes filas, após corresponder a um valor DSCP.

policy-map type lan-queuing 1P7Q4T
 class REALTIME-1P7Q4T
  priority
 class CONTROL-1P7Q4T
  bandwidth remaining percent 10
 class MM_CONF-1P7Q4T
  bandwidth remaining percent 20
  random-detect dscp-based
  random-detect dscp af41 percent 80 100
  random-detect dscp af42 percent 70 100
  random-detect dscp af42 percent 60 100
 class MM_STREAM-1P7Q4T
  bandwidth remaining percent 15
  random-detect dscp-based
  random-detect dscp af31 percent 80 100
  random-detect dscp af32 percent 70 100
  random-detect dscp af33 percent 60 100
 class TRANS_DATA-1P7Q4T
  bandwidth remaining percent 15
  random-detect dscp-based
  random-detect dscp af21 percent 80 100
  random-detect dscp af22 percent 70 100
  random-detect dscp af23 percent 60 100
 class BULK_DATA-1P7Q4T
  bandwidth remaining percent 9
  random-detect dscp-based
  random-detect dscp af11 percent 80 100
  random-detect dscp af12 percent 70 100
  random-detect dscp af13 percent 60 100
 class SCAVENGER-1P7Q4T
  bandwidth remaining percent 1
 class class-default
  random-detect dscp-based
  random-detect dscp default percent 80 100

Após criar o mapa de políticas, você precisa aplicá-lo a uma interface:

interface xxx
  service-policy type lan-queuing input 1P7Q4T
  service-policy type lan-queuing output 1P7Q4T

Para verificar sua configuração e verificar se o enfileiramento está sendo executado, você pode usar o seguinte comando (pode ser necessário fechar / não fechar a interface para que ela entre em vigor):

show queueing interface xxx

Para observar o tráfego na série 6500, você precisa criar novos mapas de classe e um novo mapa de políticas. Os mapas de classe não são criados como filas de lan e a instrução match é match-any = OR em vez de match-all, pois queremos verificar vários valores um após um. Portanto, se o primeiro valor não corresponder ao pacote, o próximo será verificado e assim por diante.

Quero ressaltar que foi aqui que tivemos que envolver o Cisco TAC, porque o seguinte bug surgiu: https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuz52151

Tivemos que mudar os mapas de classe da correspondência nos valores de AF para os valores brutos do DSCP (classe de descarte). Também tivemos que atualizar o switch para a versão 152-1.SY5 (MD). Depois de seguirmos essas instruções, não tivemos mais problemas desde então.

A configuração é a seguinte:

class-map match-any WAN-HIGH
  match discard-class 32
  match discard-class 40
  match discard-class 46
class-map match-any WAN-GOLD
  match discard-class 26
  match discard-class 28
  match discard-class 30
  match discard-class 34
  match discard-class 36
  match discard-class 38
class-map match-any WAN-SILVER
  match discard-class 16
  match discard-class 18
  match discard-class 20
  match discard-class 22
  match discard-class 24
  match discard-class 48
  match discard-class 56
class-map match-any WAN-BEST_EFFORT
  match discard-class 0
  match discard-class 10
  match discard-class 12
  match discard-class 14
class-map match-any WAN-SCAVENGER
  match discard-class 8

Depois disso, criamos o mapa de políticas:

policy-map WAN-OUTPUT-QoS
 class WAN-HIGH
   set dscp ef
 class WAN-GOLD
  set dscp af41
 class WAN-SILVER
  set dscp af21
 class WAN-BEST_EFFORT
  set dscp default
 class WAN-SCAVENGER
  set dscp cs1

Então precisamos aplicá-lo a uma interface:

interface xxx
 service-policy output WAN-OUTPUT-QoS
 service-policy type lan-queuing input 1P7Q4T

É isso aí. Espero que esta informação o ajude. Eu entendo quando as pessoas dizem que QoS é complicado. Isso pode ser feito de várias maneiras e o exemplo acima é apenas um exemplo de como isso pode ser feito. Sei que a Cisco está trabalhando na difusão do padrão Auto-QoS SRND4 para mais e mais dispositivos, para ajudar a criar uma boa base para a Qualidade de Serviço.


11
É um ótimo trabalho, obrigado por escrever com tanto tamanho e clareza.
jonathanjo

Para os moderadores, este post pode ser dourado de alguma forma. Esta é uma ótima resposta que ajudará a comunidade.
user4565

2

Eu fiquei sem linhas depois de adicionar algum conteúdo à minha resposta. Aparentemente, 30000 linhas é o limite. É por isso que adicionei uma resposta adicional:

Marcando o tráfego recebido com base na porta / tipo

Introdução

Esta seção abordará como marcar o tráfego recebido usando listas de acesso para verificar a porta ou o tipo de origem. A diferença dos exemplos acima é que, usando as listas de acesso, você pode decidir especificamente o que deseja priorizar através da sua rede. Onde o AutoQoS prioriza os protocolos e os tipos de tráfego 'mais comuns', este exemplo oferece controle total para projetar a QoS como desejar. A idéia é simples: detectar e observar o tráfego que entra na sua rede a partir de hosts. Transporte as classes marcadas por toda a sua rede.

Pré-requisitos

Antes de configurar a QoS, conforme explicado abaixo, você deve ter um entendimento completo de como ela funciona e observar o seguinte:

  1. Os tipos de aplicativos usados ​​e os padrões de tráfego na sua rede.
  2. Características de tráfego e necessidades da sua rede. O tráfego está cheio? Você precisa reservar largura de banda para fluxos de voz e vídeo?
  3. Requisitos de largura de banda e velocidade da rede.
  4. Localização dos pontos de congestionamento na rede.
  5. O AutoQoS seria suficiente para atingir seus objetivos?

Considerações

O exemplo é testado SOMENTE no Cisco 2960X Series. Portanto, considere:

  1. As séries Cisco 2960 e 2960S ou versões anteriores NÃO suportam este método. Ignorar isso pode causar um tempo de inatividade grave na sua rede. Somente o hardware Cisco mais recente tem a capacidade de processar essas quantidades de listas de acesso por porta.
  2. Meu exemplo funciona apenas no tráfego recebido. O Cisco 2960X Series não suporta políticas de QoS de saída.
  3. Você deve saber que o exemplo é administrativo demais para oferecer suporte contínuo se você tiver muitas alterações ou padrões adicionais a serem adicionados. Observe que eu não testei com mais do que o mostrado abaixo. Você pode atingir um limite do que é realmente capaz para o switch.
  4. No meu ambiente de teste, não vi nenhum impacto no desempenho. Você pode experimentar algo diferente. A política foi ativada em todas as 24 ou 48 portas de acesso (WS-C2960X-24PS-L e WS-C2960X-48FPD-L).

Configurações do QS do MLS

Isso será mantido simples e copiado do AutoQoS. Dessa forma, sabemos que os buffers serão configurados corretamente de acordo com a Cisco. Se você quiser saber mais, consulte a Calculadora de valores de QoS anterior. Isso lida apenas com a maneira como os buffers de saída reagem ao tráfego marcado e garante que tudo seja priorizado corretamente ao sair em uma interface.

mls qos
mls qos map cos-dscp 0 8 16 24 32 46 48 56
mls qos srr-queue output cos-map queue 1 threshold 3 4 5
mls qos srr-queue output cos-map queue 2 threshold 1 2
mls qos srr-queue output cos-map queue 2 threshold 2 3
mls qos srr-queue output cos-map queue 2 threshold 3 6 7
mls qos srr-queue output cos-map queue 3 threshold 3 0
mls qos srr-queue output cos-map queue 4 threshold 3 1
mls qos srr-queue output dscp-map queue 1 threshold 3 32 33 40 41 42 43 44 45
mls qos srr-queue output dscp-map queue 1 threshold 3 46 47
mls qos srr-queue output dscp-map queue 2 threshold 1 16 17 18 19 20 21 22 23
mls qos srr-queue output dscp-map queue 2 threshold 1 26 27 28 29 30 31 34 35
mls qos srr-queue output dscp-map queue 2 threshold 1 36 37 38 39
mls qos srr-queue output dscp-map queue 2 threshold 2 24
mls qos srr-queue output dscp-map queue 2 threshold 3 48 49 50 51 52 53 54 55
mls qos srr-queue output dscp-map queue 2 threshold 3 56 57 58 59 60 61 62 63
mls qos srr-queue output dscp-map queue 3 threshold 3 0 1 2 3 4 5 6 7
mls qos srr-queue output dscp-map queue 4 threshold 1 8 9 11 13 15
mls qos srr-queue output dscp-map queue 4 threshold 2 10 12 14
mls qos queue-set output 1 threshold 1 100 100 50 200
mls qos queue-set output 1 threshold 2 125 125 100 400
mls qos queue-set output 1 threshold 3 100 100 100 400
mls qos queue-set output 1 threshold 4 60 150 50 200
mls qos queue-set output 1 buffers 15 25 40 20

Configurações de listas de acesso

As seguintes listas de acesso são feitas exclusivamente com base no que a maioria das organizações usa. Obviamente, procurei na Internet e perguntei aos desenvolvedores, administradores de sistema e alguns usuários sobre qual é a perspectiva deles. O exemplo também se baseia no white paper Qualidade de serviço da Cisco para VoIP.

Fonte do whitepaper: https://www.cisco.com/c/en/us/td/docs/ios/solutions_docs/qos_solutions/QoSVoIP/QoSVoIP.html

Lembre-se de que a lista é baseada nas minhas necessidades. Você pode adicionar ou excluir o que quiser. Não há uma declaração removendo a ACL antes de adicionar. Isso facilita a edição / exclusão de novas linhas na ACL ao copiar / colar.

Todas as ACLs têm uma observação para explicar para que é usada.

no ip access-list extended IP-ROUTING
ip access-list extended IP-ROUTING
 remark BGP
 permit tcp any eq 179 any
 permit tcp any any eq 179
 remark RIP
 permit udp any eq 520 any
 permit udp any any eq 520
 remark EIGRP
 permit eigrp any any
 remark OSPF
 permit ospf any any
 remark HSRP
 permit tcp any eq 1985 any
 permit tcp any any eq 1985
 permit udp any eq 1985 any
 permit udp any any eq 1985
 remark VRRP
 permit tcp any eq 112 any
 permit tcp any any eq 112
 permit 112 any any
!--------------------------IP ROUTING END

no ip access-list extended VOICE
ip access-list extended VOICE
 remark RTP - SRTP - Cisco UC & IP Phones
 permit udp any range 16384 32767 any range 16384 32767
 remark Asterisk IAX2
 permit udp any eq 4569 any
 permit udp any any eq 4569
 remark Cisco VCS RTP & RTCP media
 permit udp any eq 2776 any
 permit udp any any eq 2776
 permit udp any eq 2777 any
 permit udp any any eq 2777
!--------------------------VOICE END

no ip access-list extended VIDEO
ip access-list extended VIDEO
 remark PIM (Protocol Independent Multicast)
 permit pim any any
 permit tcp any any eq pim-auto-rp
 permit udp any any eq pim-auto-rp
 remark Real Time Streaming Protocol (RTSP)
 permit tcp any eq 554 any
 permit tcp any any eq 554
 permit udp any eq 554 any
 permit udp any any eq 554
 remark Camstreams Media Encoder
 permit udp any eq 5700 any
 permit udp any any eq 5700
 remark Cisco Unified Video
 permit udp any eq 5445 any
 permit udp any any eq 5445
 remark IGMP
 permit igmp any any
 remark Philips Video Conferencing
 permit tcp any eq 583 any
 permit tcp any any eq 583
 permit udp any eq 583 any
 permit udp any any eq 583
 remark H.263 Video Streaming
 permit tcp any eq 2979 any
 permit tcp any any eq 2979
 permit udp any eq 2979 any
 permit udp any any eq 2979
 remark Windows Media streaming (used by Cisco)
 permit tcp any eq 1755 any
 permit tcp any any eq 1755
 permit udp any eq 1755 any
 permit udp any any eq 1755
!--------------------------VIDEO END

no ip access-list extended MISSION-CRITICAL
ip access-list extended MISSION-CRITICAL
 remark GRE Tunneling
 permit gre any any
 remark IP in IP Tunneling
 permit ipinip any any
 remark IPsec ESP & AHP
 permit ahp any any
 permit esp any any
 remark LWAPP & CAPWAPP
 permit udp any any range 12222 12223
 permit udp any range 12222 12223 any
 permit udp any any range 5246 5247
 permit udp any range 5246 5247 any
 remark Cisco IP SLA
 permit tcp any eq 1167 any
 permit tcp any any eq 1167
 permit udp any eq 1167 any
 permit udp any any eq 1167
 permit udp any eq 1967 any
 permit udp any any eq 1967
 remark LDAP
 permit tcp any eq 389 any
 permit tcp any any eq 389
 permit udp any eq 389 any
 permit udp any any eq 389
 permit tcp any eq 636 any
 permit tcp any any eq 636
 permit udp any eq 636 any
 permit udp any any eq 636
 remark TACACS+
 permit tcp any eq 49 any
 permit udp any eq 49 any
 permit tcp any any eq 49
 permit udp any any eq 49
 remark SSH & SCTP
 permit tcp any eq 22 any
 permit udp any eq 22 any
 permit tcp any any eq 22
 permit udp any any eq 22
 remark Netop Remote Control
 permit tcp any eq 1970 any
 permit udp any eq 1970 any
 permit tcp any any eq 1970
 permit udp any any eq 1970
 remark RDP & Microsoft remote assistance
 permit tcp any eq 3389 any
 permit udp any eq 3389 any
 permit tcp any any eq 3389
 permit udp any any eq 3389
 remark WSUS HTTP & HTTPS
 permit tcp any any range 8530 8531
 permit tcp any range 8530 8531 any
 permit udp any any range 8530 8531
 permit udp any range 8530 8531 any
 remark Citrix ICA
 permit tcp any eq 1494 any
 permit udp any eq 1494 any
 permit tcp any any eq 1494
 permit udp any any eq 1494
 permit tcp any eq 2598 any
 permit tcp any any eq 2598
 remark DHCP
 permit udp any range 67 68 any
 permit udp any any range 67 68
 remark DNS
 permit tcp any eq 53 any
 permit udp any eq 53 any
 permit tcp any any eq 53
 permit udp any any eq 53
!--------------------------MISSION-CRITICAL END

no ip access-list extended CALL-SIGNALING
ip access-list extended CALL-SIGNALING
 remark SCCP / Skinny
 permit tcp any any range 2000 2002
 permit tcp any range 2000 2002 any
 remark SIP & SIP over TLS
 permit udp any any eq 5060
 permit tcp any any eq 5060
 permit tcp any any eq 5061
 remark H.323
 permit tcp any any range 1718 1719
 permit udp any any range 1718 1719
 permit tcp any any eq 1720
 permit udp any any eq 1720
 permit tcp any any eq 1300
 permit tcp any eq 1300 any
 permit udp any any eq 1300
 permit udp any eq 1300 any
 permit tcp any any eq 2517
 permit tcp any eq 2517 any
 permit udp any any eq 2517
 permit udp any eq 2517 any
 permit tcp any any eq 11720
 permit tcp any eq 11720 any
 permit udp any any eq 11720
 permit udp any eq 11720 any
 remark MGCP
 permit tcp any any eq 2428
 permit tcp any eq 2428 any
 permit udp any any eq 2427
 permit udp any eq 2427 any
 permit tcp any any eq 2727
 permit tcp any eq 2727 any
 permit udp any any eq 2727
 permit udp any eq 2727 any
 remark Cisco VCS call signaling
 permit tcp any any eq 2776
 permit tcp any eq 2776 any
 permit tcp any any eq 2777
 permit tcp any eq 2777 any
!--------------------------CALL-SIGNALING END

no ip access-list extended NET-MGMT
ip access-list extended NET-MGMT
 remark NTP
 permit udp any eq 123 any
 permit udp any any eq 123
 remark Time
 permit tcp any eq 37 any
 permit tcp any any eq 37
 permit udp any eq 37 any
 permit udp any any eq 37
 remark SNMP
 permit udp any eq 161 any
 permit udp any any range 161 162
 remark Syslog
 permit udp any any eq 514
 remark Telnet
 permit tcp any eq 23 any
 permit tcp any any eq 23
 remark ICMP
 permit icmp any any
 remark TFTP
 permit udp any eq 69 any
 permit udp any any eq 69
 remark Asterisk Manager interface
 permit tcp any any eq 5038
 permit tcp any eq 5038 any
!--------------------------NET MGMT END

no ip access-list extended BULK-DATA
ip access-list extended BULK-DATA
 remark FTP & Secure FTP
 permit tcp any any eq ftp
 permit tcp any any eq ftp-data
 permit tcp any eq ftp any
 permit tcp any eq ftp-data any
 permit tcp any any eq 989
 permit tcp any eq 989 any
 permit tcp any any eq 990
 permit tcp any eq 990 any
 remark IMAP
 permit tcp any any eq 143
 permit tcp any eq 143 any
 permit tcp any any eq 993
 permit tcp any eq 993 any
 remark POP2/3
 permit tcp any any eq 110
 permit tcp any eq 110 any
 permit tcp any any eq 109
 permit tcp any eq 109 any
 permit tcp any any eq 995
 permit tcp any eq 995 any
 remark SMTP
 permit tcp any any eq 25
 permit tcp any eq 25 any
 permit tcp any any eq 465
 permit tcp any eq 465 any
 remark HTTP & HTTPS
 permit tcp any any eq www
 permit tcp any eq www any
 permit tcp any any eq 8080
 permit tcp any eq 8080 any
 permit tcp any any eq 8008
 permit tcp any eq 8008 any
 permit tcp any any eq 443
 permit tcp any eq 443 any
 remark CIFS & SMB
 permit tcp any any eq 3020
 permit tcp any eq 3020 any
 permit udp any any eq 3020
 permit udp any eq 3020 any
 permit tcp any any eq 445
 permit tcp any eq 445 any
 permit udp any any eq 445
 permit udp any eq 445 any
 remark PRINTER
 permit tcp any any eq 515
 permit tcp any eq 515 any
 permit udp any any eq 515
 permit udp any eq 515 any
!--------------------------BULK DATA END

Aqui, é bastante simples se você leu o acima no AutoQoS.

Mapas de classe e mapas de política

Precisamos criar mapas de classe para corresponder às ACLs. Você precisa usar a instrução match-any, caso contrário ela não funcionará. Isso ocorre porque queremos verificar todas as linhas na ACL e corresponder ao tráfego. Se uma correspondência for encontrada, o tráfego será marcado. Todo o tráfego que não corresponder será colocado no padrão.

class-map match-any IP-ROUTING
 match access-group name IP-ROUTING
class-map match-any VOICE
 match access-group name VOICE
class-map match-any VIDEO
 match access-group name VIDEO
class-map match-any MISSION-CRITICAL
 match access-group name MISSION-CRITICAL
class-map match-any CALL-SIGNALING
 match access-group name CALL-SIGNALING
class-map match-any NET-MGMT
 match access-group name NET-MGMT
class-map match-any BULK-DATA
 match access-group name BULK-DATA

Agora, precisamos criar um mapa de políticas e observar o tráfego se uma correspondência for encontrada.

Você pode renomear o mapa de políticas para o que quiser.

policy-map QoS-MARKING
 class IP-ROUTING
  set dscp cs6
 class VOICE
  set dscp ef
 class VIDEO
  set dscp af41
 class MISSION-CRITICAL
  set dscp af31
 class CALL-SIGNALING
  set dscp cs3
 class NET-MGMT
  set dscp cs2
 class BULK-DATA
  set dscp af11
 class class-default
  set dscp default

Verifique a calculadora de QoS nesta postagem. Você pode colocar qualquer valor ou marcação que desejar. A classe padrão definirá qualquer tráfego que não corresponda.

Adicionando a política a uma interface.

Além da política de serviço, adicionei os critérios do AutoQoS nos buffers. Novamente, para manter o design o mais simplificado possível. Também precisamos confiar no dscp. Exemplo:

interface range gi1/0/1-48
 desc User Access
 mls qos trust dscp
 srr-queue bandwidth share 1 30 35 5
 priority-queue out
 service-policy input QoS-MARKING

É basicamente isso para o switch de acesso. A configuração pode mudar dependendo de outros modelos, como Cisco 3650 ou Cisco 3850 Series etc.


-1

Aqui está um exemplo de como você pode facilmente fazer a classificação:

class-map match-all SERVER
 match access-group 1
class-map match-all SSH
 match access-group 100
class-map match-all SERVER-MAC
 match access-group name MAC
!
policy-map SET-DSCP-SSH
 class SSH
  set ip dscp cs6
policy-map SET-DSCP-SERVER
 class SERVER
  set ip dscp cs5
policy-map SET-DSCP-FOR-MAC
 class SERVER-MAC
  set ip dscp cs1
!
interface FastEthernet0/1
 service-policy input SET-DSCP-FOR-MAC
!
access-list 1 permit 192.168.1.1
access-list 100 permit tcp host 192.168.1.1 eq 22 any

Além disso, você precisará de mls qos trust no tronco voltado para o SW, que está fazendo a classificação e mls qos habilitado no próprio SW


Não vejo a semelhança com minha configuração e para que servem essas listas de acesso? Seria possível inserir descrições para cada comando no seu exemplo de código? Então pode ser mais fácil para mim entender.

3
Isso não parece responder à pergunta do OP.
21817 Ron
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.