Implementación del modelo Cisco QoS para usuarios finales

8

Implementé el modelo QoS de 4 clases como se describe en esta publicación anterior de 2013. Esta configuración básica se implementa en una configuración de Cisco VSS 6509-E que ejecuta la versión de software: Cisco IOS Software, s2t54 Software (s2t54-ADVENTERPRISEK9-M), Versión 15.2 (1) SY3, SOFTWARE DE LIBERACIÓN (fc3) Copyright (c) 1986-2016 de Cisco Systems, Inc.

En mis enlaces ascendentes a la capa de acceso, se ha configurado la política de servicio, por ejemplo:

interface TenGigabitEthernet1/2/16
 switchport
 switchport mode trunk
 service-policy output WAN-EDGE-4-CLASS

¿Cómo me aseguro de que la configuración de QoS se implemente hasta los puertos de acceso del usuario? No puedo entender cómo etiquetar el tráfico en mis conmutadores de acceso, actualmente estoy ejecutando Cisco 2960X en IOS 15.2 (2) E6.

¿Qué configuración necesito?

Global:
mls qos (obviously to activate QoS)

User Access configuration:
priority-queue out?
mls qos trust?

Espero que alguien pueda arrojar algo de luz sobre esto. Gracias por adelantado.

Actualización 17-01-2018: Cómo hacer coincidir y comentar el tráfico de entrada en las clases dscp que elija.

cisco  qos  class-map  policy-map  service-policy 
¿Está buscando preservar las marcas, o asignar ancho de banda en los puertos de acceso, o ambos?
Ron Trunk
@RonTrunk, ¿cuál es la mejor práctica y qué recomendarías?
Depende de tus objetivos. ¿Qué está tratando de lograr? ¿Qué dispositivos hay en sus puertos de acceso?
Ron Trunk
@RonTrunk normalmente es un teléfono Cisco IP, con configuración de voz vlan y una computadora o laptop estática conectada al teléfono IP. Quiero asegurarme de que el teléfono IP tenga prioridad y tener el ancho de banda asignado desde el puerto de acceso a través de la capa Core hasta su destino a través de nuestra solución de teléfono IP Asterisk.
1
@RonTrunk desde que agregué esta pregunta, he estado trabajando en una solución, que publiqué a continuación. :-)

Respuestas:

10

Introducción

En primer lugar, permítanme escribir que paso la mayor parte del verano tratando de encontrar la manera correcta de hacer esto. Además, tuve que contratar un CCIE a tiempo completo durante una semana más o menos para ayudar y en el proceso tuvimos Cisco TAC tratando de descubrir un error en nuestros conmutadores de la serie 6500.

¿Por qué harías esto?

Hoy hay una explosión virtual de aplicaciones de medios enriquecidos en la red IP. Esta explosión de contenido y tipos de medios, tanto administrados como no administrados, requiere que los arquitectos de redes revisen sus diseños de calidad de servicio (QoS).

El primer paso puede parecer obvio y superfluo, pero en realidad es crucial: defina claramente los objetivos comerciales que sus políticas de QoS deben permitir. Estos pueden incluir cualquiera / todos de los siguientes:

  • Garantizar la calidad de voz cumple con los estándares empresariales.
  • Garantizar una alta calidad de experiencia (QoE) para video.
  • Aumento de la productividad del usuario al aumentar los tiempos de respuesta de la red para aplicaciones interactivas.
  • Administrar aplicaciones que son "cerdos de ancho de banda".
  • Identificación y eliminación de prioridades de aplicaciones de consumo.
  • Mejora de la disponibilidad de la red.
  • Fortalecimiento de la infraestructura de red.

Con estos objetivos en mente, los arquitectos de redes pueden identificar claramente qué aplicaciones son relevantes para su negocio. Por el contrario, esta experiencia también hará evidente qué aplicaciones no son relevantes para lograr los objetivos comerciales. Dichas aplicaciones podrían ser aplicaciones orientadas al consumidor y / o entretenimiento. Al final todo depende de ti.

La solución

Quería hacer esto lo más fácil y libre de configuración posible. Con eso en mente, combinado con el hecho de que QoS siempre debe procesarse en hardware, el CCIE que contraté me recomendó utilizar la función Auto-QoS en Cisco.

Por lo tanto, en lugar de marcar el tráfico en el nivel de acceso, los usuarios finales o los servidores pueden realizar el marcado. Auto-QoS proporciona las clases correctas para el transporte del tráfico a través de la red. Esto me permitió decidir qué aplicaciones o servicios deberían priorizarse o no priorizarse a través de las políticas de grupo de directorio activo.

Para empezar, quería hacerlo simple. Esto significaba priorizar las aplicaciones de VoIP y Video, que ya está predefinida en Auto-QoS cuando está utilizando dispositivos IP de Cisco / TelePresence / Cameras, etc., lo cual hacemos.

Resumen de topología

Hacemos uso de los siguientes equipos de acceso / núcleo.

  1. Núcleo: Cisco 897 series, Cisco 3650 Series, Cisco 3850 Series y Cisco 6500 Series
  2. Acceso: Cisco 3560CX Compact series y Cisco 2960X Series

Nuestra topología se basa principalmente en una topología en estrella, observe el siguiente dibujo de topología (Utilizamos BGP en nuestra WAN MPLS):

Topología

QoS en la capa de acceso

La configuración es muy simple y directa, cuando se utiliza Auto-QoS. Remarcar el tráfico y enviarlo al MPLS ISP es un poco más complicado, pero mostraré ejemplos a continuación.

Todos los conmutadores de acceso están configurados con Auto-QoS, donde todos los puertos de acceso y troncales / enlaces ascendentes son confiables con DSCP. Observe la siguiente tabla de QoS, donde todos los valores para DSCP, CoS, ToS, etc. se configuran en una tabla. Esto proporciona una buena visión general de las clases seleccionadas y la estructura en la que estoy tratando de lograr en mi diseño:

ingrese la descripción de la imagen aquí

Auto-QoS utiliza los valores de AF (reenvío asegurado) para el marcado DSCP.

Habilitar Auto-QoS en el interruptor de acceso

Configuración global

mls qos (Activates QoS)
mls qos map cos-dscp 0 8 16 24 32 46 48 56 (Maps CoS to DSCP values, because CoS is a layer 2 marking, which cannot be routed)
auto qos srnd4 (Autogenerates all configuration in accordance to Cisco best practice SRND4 standard)

Configuración del puerto

auto qos trust dscp (Activates QoS and trusts DSCP on a port)
priority-queue out (Sends all traffic to the priority queues)

Eso es todo, el conmutador y los puertos ahora ejecutarán Auto-QoS.

Guía de configuración de Auto-QoS para la serie 2960X: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-0_2_EX/qos/configuration_guide/b_qos_152ex_2960-x_cg/ b_qos_152ex_2960-x_cg_chapter_011.html

Habilitar Auto-QoS en la capa Core

Hay una gran diferencia en la forma en que QoS es manejado por los conmutadores Core. Cisco 6500 Series no es compatible con Auto-QoS SRND4, por lo tanto, tendremos que configurar manualmente QoS y asignarlo a las clases correctas para preservar el diseño de Auto-QoS. Las series Cisco 3650 y 3850 admiten Auto-QoS SRND4 y, por lo tanto, es bastante simple de configurar:

Habilitar Auto-QoS en las series 3650 y 3850

Configuración global

auto qos srnd4 (Activates and autogenerates the QoS configuration)

Configuración del puerto

auto qos trust dscp (Activates and autogenerates the QoS configuration)

Al conectar el Core al MPLS ISP, queremos comentar el tráfico en 5 clases (porque esto es lo que admite nuestro ISP). Esto es así, que el tráfico se priorizará a través del MPLS a todas las ubicaciones en la topología (consulte el dibujo como referencia). Su ISP puede ser diferente y, por lo tanto, el comentario debe hacerse para que se ajuste a su diseño. El siguiente ejemplo es cómo comenta todo el tráfico en 5 clases.

Debe copiar el mapa de políticas "AutoQos-4.0-Output-Policy" de Auto-QoS generado automáticamente y luego crear uno nuevo. DEBE utilizar los mismos mapas de clase generados por Auto-QoS. Si intenta crear el suyo propio, se ignorarán, por lo tanto, se utilizan los mismos mapas de clase y el marcado se realiza a partir de esas clases:

policy-map WAN-OUTPUT-QoS (The name can be whatever you like)
 class AutoQos-4.0-Output-Priority-Queue
  set dscp ef
  priority level 1 percent 10
 class AutoQos-4.0-Output-Control-Mgmt-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af21
 class AutoQos-4.0-Output-Multimedia-Conf-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af41
 class AutoQos-4.0-Output-Trans-Data-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af21
 class AutoQos-4.0-Output-Bulk-Data-Queue
  bandwidth remaining percent 2 
  queue-buffers ratio 10
  set dscp default
 class AutoQos-4.0-Output-Scavenger-Queue
  bandwidth remaining percent 1 
  queue-buffers ratio 10
  set dscp cs1
 class AutoQos-4.0-Output-Multimedia-Strm-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af41
 class class-default
  bandwidth remaining percent 25

Las 5 clases se priorizarán en adelante y se enviarán al MPLS de la siguiente manera:

  • Valor DSCP AF: EF (VoIP)
  • Valor DSCP AF: af41 (Todos los medios de video)
  • Valor DSCP AF: af21 (datos transaccionales, etc.)
  • Valor DSCP AF: predeterminado (AF = 0 y DSCP = 0 Datos masivos, por ejemplo)
  • Valor DSCP AF: cs1 (clase Scavenger para Bittorrent, etc.)

Los porcentajes de ancho de banda se usan como restantes. Esto significa que todas las clases pueden usar el 100% del ancho de banda y el préstamo de las otras clases si no se usa el ancho de banda. Es como compartir el ancho de banda, lo que significa que cualquiera que sea la clase con prioridad más alta podrá enviar tráfico si el enlace está congestionado.

Las clases y los porcentajes del mapa de políticas se pueden modificar según sea necesario para satisfacer sus requisitos individuales.

En el enlace ascendente del puerto al ISP, se debe configurar lo siguiente:

interface XXX
auto qos trust dscp
service-policy input AutoQos-4.0-Trust-Dscp-Input-Policy
service-policy output WAN-OUTPUT-QoS

Eso es todo para las series 3650 y 3850.

Habilitación de QoS en la serie 6500

La serie 6500 no es compatible con Auto-QoS SRND4. Es muy básico y solo comprende los valores de CoS de capa 2 para VoIP. Esto significa que debe configurar todas las QoS desde cero, para adaptarse a la infraestructura de Auto-QoS desde la capa de acceso. La QoS debe configurarse según el módulo que esté instalado en el chasis. También debe crear mapas de políticas para la entrada y la salida (entrada / salida).

El Supervisor solo entiende CoS entre el módulo y el ASIC en el chasis.

Para activar Auto-QoS para CoS, debe utilizar el siguiente comando global:

auto qos default

Esto creará un mapa de tabla de CoS a DSCP, pero no todos los valores cumplen con el estándar Auto-QoS SRND4 (CoS 7 se asigna a 54, que debería ser 56). Por lo tanto, deberá eliminar el mapa de tabla y reemplazarlo con lo siguiente:

no table-map cos-discard-class-map
table-map cos-discard-class-map
  map from  0 to 0
  map from  1 to 8
  map from  2 to 16
  map from  3 to 24
  map from  4 to 32
  map from  5 to 46
  map from  6 to 48
  map from  7 to 56

Para crear QoS y mapas de políticas, necesitamos averiguar qué modelo de colas está utilizando un módulo. En el siguiente ejemplo, la cola Ingress y Egress es la misma, pero en algunos módulos las colas Rx y Tx son diferentes y, por lo tanto, deberá crear mapas de políticas de acuerdo con el modelo de colas. Para averiguar qué modelo de colas está utilizando una interfaz, debe emitir el siguiente comando. El siguiente ejemplo se basa en el módulo: C6800-16P10G

show queueing interface xxx | sec Transmit queues
Transmit queues [type = 1p7q4t]
show queueing interface xxx | sec Receive queues
Receive queues [type = 1p7q4t]

Tal como están escritas, las colas son las mismas en este módulo y, por lo tanto, podemos usar la misma política para entrada y salida.

1p7q4t básicamente significa: 1 cola prioritaria, 7 colas normales, donde las 7 colas normales tienen 4 umbrales. Puede obtener más información buscando el nombre del módulo y haciendo cola. Este módulo, el C6800-16P10G, se explica en este enlace: https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6800-series-switches/datasheet-c78-733662.html

Ver tabla 1, Colas.

En primer lugar, necesitamos crear los mapas de clase, que se utilizarán para todos los mapas de políticas. Esto coincidirá con los valores de DSCP para las clases individuales que coinciden con las clases de Auto-QoS SRND4. Tenga en cuenta que los mapas de clase se crean como colas lan con la instrucción match-all, que funciona como AND / OR en la programación. match-all = AND & match-any = OR.

Consulte la siguiente guía de configuración; Diseño de Cisco Campus QoS simplificado, donde se proporcionan ejemplos de configuración para diferentes módulos en la parte inferior de la presentación: http://honim.typepad.com/files/campus-qos-design-simplified-brkcrs-2501.pdf

225 páginas, el enlace es lento.

Creación de mapas de clase (configuración global):

class-map type lan-queuing match-all REALTIME-1P7Q4T
  match dscp cs4 cs5 ef
class-map type lan-queuing match-all CONTROL-1P7Q4T
  match dscp cs2 cs3 cs6 cs7
class-map type lan-queuing match-all MM_CONF-1P7Q4T
  match dscp af41 af42 af43
class-map type lan-queuing match-all MM_STREAM-1P7Q4T
  match dscp af31 af32 af33
class-map type lan-queuing match-all TRANS_DATA-1P7Q4T
  match dscp af21 af22 af23
class-map type lan-queuing match-all BULK_DATA-1P7Q4T
  match dscp af11 af12 af13
class-map type lan-queuing match-all SCAVENGER-1P7Q4T
  match dscp cs1

Puede cambiar los nombres o editar a su gusto, para satisfacer sus necesidades.

Después de crear los mapas de clase, crearé el mapa de políticas. Define la prioridad del valor DSCP y establece el ancho de banda en las diferentes colas, después de que coincida con un valor DSCP.

policy-map type lan-queuing 1P7Q4T
 class REALTIME-1P7Q4T
  priority
 class CONTROL-1P7Q4T
  bandwidth remaining percent 10
 class MM_CONF-1P7Q4T
  bandwidth remaining percent 20
  random-detect dscp-based
  random-detect dscp af41 percent 80 100
  random-detect dscp af42 percent 70 100
  random-detect dscp af42 percent 60 100
 class MM_STREAM-1P7Q4T
  bandwidth remaining percent 15
  random-detect dscp-based
  random-detect dscp af31 percent 80 100
  random-detect dscp af32 percent 70 100
  random-detect dscp af33 percent 60 100
 class TRANS_DATA-1P7Q4T
  bandwidth remaining percent 15
  random-detect dscp-based
  random-detect dscp af21 percent 80 100
  random-detect dscp af22 percent 70 100
  random-detect dscp af23 percent 60 100
 class BULK_DATA-1P7Q4T
  bandwidth remaining percent 9
  random-detect dscp-based
  random-detect dscp af11 percent 80 100
  random-detect dscp af12 percent 70 100
  random-detect dscp af13 percent 60 100
 class SCAVENGER-1P7Q4T
  bandwidth remaining percent 1
 class class-default
  random-detect dscp-based
  random-detect dscp default percent 80 100

Después de crear el mapa de políticas, debe aplicarlo a una interfaz:

interface xxx
  service-policy type lan-queuing input 1P7Q4T
  service-policy type lan-queuing output 1P7Q4T

Para verificar su configuración y ver que se está haciendo cola, puede usar el siguiente comando (puede que necesite cerrar / no cerrar la interfaz para que surta efecto):

show queueing interface xxx

Para comentar el tráfico en la serie 6500, debe crear nuevos mapas de clase y un nuevo mapa de políticas. Los mapas de clase no se crean como colas lan y la declaración de coincidencia es match-any = OR en lugar de match-all, ya que queremos verificar múltiples valores uno tras otro. Entonces, si el primer valor no coincide con el paquete, se comprobará el siguiente y así sucesivamente.

Quiero señalar que aquí es donde tuvimos que involucrar a Cisco TAC, porque surgió el siguiente error: https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuz52151

En su lugar, tuvimos que cambiar los mapas de clase para que no coincidan con los valores de AF a los valores DSCP sin procesar (clase de descarte). También tuvimos que actualizar el switch a la versión 152-1.SY5 (MD). Después de seguir estas instrucciones no hemos tenido ningún problema desde entonces.

La configuración es la siguiente:

class-map match-any WAN-HIGH
  match discard-class 32
  match discard-class 40
  match discard-class 46
class-map match-any WAN-GOLD
  match discard-class 26
  match discard-class 28
  match discard-class 30
  match discard-class 34
  match discard-class 36
  match discard-class 38
class-map match-any WAN-SILVER
  match discard-class 16
  match discard-class 18
  match discard-class 20
  match discard-class 22
  match discard-class 24
  match discard-class 48
  match discard-class 56
class-map match-any WAN-BEST_EFFORT
  match discard-class 0
  match discard-class 10
  match discard-class 12
  match discard-class 14
class-map match-any WAN-SCAVENGER
  match discard-class 8

Después de esto creamos el mapa de políticas:

policy-map WAN-OUTPUT-QoS
 class WAN-HIGH
   set dscp ef
 class WAN-GOLD
  set dscp af41
 class WAN-SILVER
  set dscp af21
 class WAN-BEST_EFFORT
  set dscp default
 class WAN-SCAVENGER
  set dscp cs1

Luego necesitamos aplicarlo a una interfaz:

interface xxx
 service-policy output WAN-OUTPUT-QoS
 service-policy type lan-queuing input 1P7Q4T

Eso es. Espero que esta información te ayude. Entiendo cuando la gente dice que QoS es complicado. Se puede hacer de varias maneras y el ejemplo anterior es solo una muestra de cómo se puede hacer. Sé que Cisco está trabajando para difundir el estándar Auto-QoS SRND4 a más y más dispositivos para ayudar a crear una buena base para la Calidad de Servicio.

1
Es un gran trabajo, gracias por escribir con tanta extensión y claridad.
jonathanjo
Para los moderadores, ¿puede esta publicación ser dorada de alguna manera? Esta es una gran respuesta que ayudará a la comunidad.
user4565
2

Me he quedado sin líneas después de agregar algo de contenido a mi respuesta. Aparentemente 30000 líneas es el límite. Es por eso que agregué una respuesta adicional:

Marcar el tráfico entrante según el puerto / tipo

Introducción

Esta sección cubrirá cómo marcar el tráfico entrante usando listas de acceso para verificar el puerto o tipo de origen. La diferencia con los ejemplos anteriores es que al usar listas de acceso puede decidir específicamente qué desea priorizar a través de su red. Cuando AutoQoS da prioridad a los protocolos y tipos de tráfico 'más comunes', este ejemplo le brinda control total para diseñar QoS a su gusto. La idea es simple: detectar y comentar el tráfico que ingresa a su red desde los hosts. Transporte las clases marcadas a través de su red.

Prerrequisitos

Antes de configurar QoS como se explica a continuación, debe tener un conocimiento profundo de cómo funciona y tener en cuenta lo siguiente:

  1. Los tipos de aplicaciones utilizadas y los patrones de tráfico en su red.
  2. Características del tráfico y necesidades de su red. ¿El tráfico estalla? ¿Necesita reservar ancho de banda para transmisiones de voz y video?
  3. Requisitos de ancho de banda y velocidad de la red.
  4. Ubicación de los puntos de congestión en la red.
  5. ¿Sería suficiente AutoQoS para lograr tus objetivos?

Consideraciones

El ejemplo SOLO se prueba en la serie Cisco 2960X. Por lo tanto, considere:

  1. Las series Cisco 2960 y 2960S o versiones anteriores NO admiten este método. Ignorar esto puede causar un tiempo de inactividad severo en su red. Solo el hardware más nuevo de Cisco tiene la capacidad de procesar estas cantidades de listas de acceso por puerto.
  2. Mi ejemplo solo funciona en tráfico entrante. La serie Cisco 2960X no admite políticas de QoS de salida.
  3. Debe saber que el ejemplo es administrativamente pesado para soportar continuamente si tiene muchos cambios o patrones adicionales para agregar. Tenga en cuenta que no he probado con más de lo que se muestra a continuación. Puede llegar a un límite de lo que es realmente capaz para el cambio.
  4. En mi entorno de prueba no he visto ningún impacto en el rendimiento. Puede experimentar algo diferente. La política se habilitó en todos los 24 o 48 puertos de acceso (WS-C2960X-24PS-L y WS-C2960X-48FPD-L).

Configuraciones MLS QOS

Esto se mantendrá simple y copiado de AutoQoS. De esta manera, sabemos que los búferes se configurarán correctamente de acuerdo con Cisco. Si desea saber más, puede consultar la Calculadora de valores de QoS anterior. Esto solo maneja cómo reaccionan los búferes de salida al tráfico marcado y asegura que todo se priorice correctamente al salir en una interfaz.

mls qos
mls qos map cos-dscp 0 8 16 24 32 46 48 56
mls qos srr-queue output cos-map queue 1 threshold 3 4 5
mls qos srr-queue output cos-map queue 2 threshold 1 2
mls qos srr-queue output cos-map queue 2 threshold 2 3
mls qos srr-queue output cos-map queue 2 threshold 3 6 7
mls qos srr-queue output cos-map queue 3 threshold 3 0
mls qos srr-queue output cos-map queue 4 threshold 3 1
mls qos srr-queue output dscp-map queue 1 threshold 3 32 33 40 41 42 43 44 45
mls qos srr-queue output dscp-map queue 1 threshold 3 46 47
mls qos srr-queue output dscp-map queue 2 threshold 1 16 17 18 19 20 21 22 23
mls qos srr-queue output dscp-map queue 2 threshold 1 26 27 28 29 30 31 34 35
mls qos srr-queue output dscp-map queue 2 threshold 1 36 37 38 39
mls qos srr-queue output dscp-map queue 2 threshold 2 24
mls qos srr-queue output dscp-map queue 2 threshold 3 48 49 50 51 52 53 54 55
mls qos srr-queue output dscp-map queue 2 threshold 3 56 57 58 59 60 61 62 63
mls qos srr-queue output dscp-map queue 3 threshold 3 0 1 2 3 4 5 6 7
mls qos srr-queue output dscp-map queue 4 threshold 1 8 9 11 13 15
mls qos srr-queue output dscp-map queue 4 threshold 2 10 12 14
mls qos queue-set output 1 threshold 1 100 100 50 200
mls qos queue-set output 1 threshold 2 125 125 100 400
mls qos queue-set output 1 threshold 3 100 100 100 400
mls qos queue-set output 1 threshold 4 60 150 50 200
mls qos queue-set output 1 buffers 15 25 40 20

Configuraciones de listas de acceso

Las siguientes listas de acceso se basan únicamente en lo que usan la mayoría de las organizaciones. Por supuesto, busqué en Internet y pregunté a los desarrolladores, administradores de sistemas y algunos usuarios sobre cuál es su perspectiva. El ejemplo también se basa en el documento técnico de calidad de servicio de Cisco para VoIP.

Fuente del documento técnico: https://www.cisco.com/c/en/us/td/docs/ios/solutions_docs/qos_solutions/QoSVoIP/QoSVoIP.html

Recuerda que la lista se basa en mis necesidades. Puedes agregar o eliminar lo que quieras. No hay una declaración que elimine la ACL antes de agregar. Esto es para facilitar la edición / eliminación de nuevas filas en la ACL al copiar / pegar.

Todos los ACL tienen un comentario para explicar para qué se utiliza.

no ip access-list extended IP-ROUTING
ip access-list extended IP-ROUTING
 remark BGP
 permit tcp any eq 179 any
 permit tcp any any eq 179
 remark RIP
 permit udp any eq 520 any
 permit udp any any eq 520
 remark EIGRP
 permit eigrp any any
 remark OSPF
 permit ospf any any
 remark HSRP
 permit tcp any eq 1985 any
 permit tcp any any eq 1985
 permit udp any eq 1985 any
 permit udp any any eq 1985
 remark VRRP
 permit tcp any eq 112 any
 permit tcp any any eq 112
 permit 112 any any
!--------------------------IP ROUTING END

no ip access-list extended VOICE
ip access-list extended VOICE
 remark RTP - SRTP - Cisco UC & IP Phones
 permit udp any range 16384 32767 any range 16384 32767
 remark Asterisk IAX2
 permit udp any eq 4569 any
 permit udp any any eq 4569
 remark Cisco VCS RTP & RTCP media
 permit udp any eq 2776 any
 permit udp any any eq 2776
 permit udp any eq 2777 any
 permit udp any any eq 2777
!--------------------------VOICE END

no ip access-list extended VIDEO
ip access-list extended VIDEO
 remark PIM (Protocol Independent Multicast)
 permit pim any any
 permit tcp any any eq pim-auto-rp
 permit udp any any eq pim-auto-rp
 remark Real Time Streaming Protocol (RTSP)
 permit tcp any eq 554 any
 permit tcp any any eq 554
 permit udp any eq 554 any
 permit udp any any eq 554
 remark Camstreams Media Encoder
 permit udp any eq 5700 any
 permit udp any any eq 5700
 remark Cisco Unified Video
 permit udp any eq 5445 any
 permit udp any any eq 5445
 remark IGMP
 permit igmp any any
 remark Philips Video Conferencing
 permit tcp any eq 583 any
 permit tcp any any eq 583
 permit udp any eq 583 any
 permit udp any any eq 583
 remark H.263 Video Streaming
 permit tcp any eq 2979 any
 permit tcp any any eq 2979
 permit udp any eq 2979 any
 permit udp any any eq 2979
 remark Windows Media streaming (used by Cisco)
 permit tcp any eq 1755 any
 permit tcp any any eq 1755
 permit udp any eq 1755 any
 permit udp any any eq 1755
!--------------------------VIDEO END

no ip access-list extended MISSION-CRITICAL
ip access-list extended MISSION-CRITICAL
 remark GRE Tunneling
 permit gre any any
 remark IP in IP Tunneling
 permit ipinip any any
 remark IPsec ESP & AHP
 permit ahp any any
 permit esp any any
 remark LWAPP & CAPWAPP
 permit udp any any range 12222 12223
 permit udp any range 12222 12223 any
 permit udp any any range 5246 5247
 permit udp any range 5246 5247 any
 remark Cisco IP SLA
 permit tcp any eq 1167 any
 permit tcp any any eq 1167
 permit udp any eq 1167 any
 permit udp any any eq 1167
 permit udp any eq 1967 any
 permit udp any any eq 1967
 remark LDAP
 permit tcp any eq 389 any
 permit tcp any any eq 389
 permit udp any eq 389 any
 permit udp any any eq 389
 permit tcp any eq 636 any
 permit tcp any any eq 636
 permit udp any eq 636 any
 permit udp any any eq 636
 remark TACACS+
 permit tcp any eq 49 any
 permit udp any eq 49 any
 permit tcp any any eq 49
 permit udp any any eq 49
 remark SSH & SCTP
 permit tcp any eq 22 any
 permit udp any eq 22 any
 permit tcp any any eq 22
 permit udp any any eq 22
 remark Netop Remote Control
 permit tcp any eq 1970 any
 permit udp any eq 1970 any
 permit tcp any any eq 1970
 permit udp any any eq 1970
 remark RDP & Microsoft remote assistance
 permit tcp any eq 3389 any
 permit udp any eq 3389 any
 permit tcp any any eq 3389
 permit udp any any eq 3389
 remark WSUS HTTP & HTTPS
 permit tcp any any range 8530 8531
 permit tcp any range 8530 8531 any
 permit udp any any range 8530 8531
 permit udp any range 8530 8531 any
 remark Citrix ICA
 permit tcp any eq 1494 any
 permit udp any eq 1494 any
 permit tcp any any eq 1494
 permit udp any any eq 1494
 permit tcp any eq 2598 any
 permit tcp any any eq 2598
 remark DHCP
 permit udp any range 67 68 any
 permit udp any any range 67 68
 remark DNS
 permit tcp any eq 53 any
 permit udp any eq 53 any
 permit tcp any any eq 53
 permit udp any any eq 53
!--------------------------MISSION-CRITICAL END

no ip access-list extended CALL-SIGNALING
ip access-list extended CALL-SIGNALING
 remark SCCP / Skinny
 permit tcp any any range 2000 2002
 permit tcp any range 2000 2002 any
 remark SIP & SIP over TLS
 permit udp any any eq 5060
 permit tcp any any eq 5060
 permit tcp any any eq 5061
 remark H.323
 permit tcp any any range 1718 1719
 permit udp any any range 1718 1719
 permit tcp any any eq 1720
 permit udp any any eq 1720
 permit tcp any any eq 1300
 permit tcp any eq 1300 any
 permit udp any any eq 1300
 permit udp any eq 1300 any
 permit tcp any any eq 2517
 permit tcp any eq 2517 any
 permit udp any any eq 2517
 permit udp any eq 2517 any
 permit tcp any any eq 11720
 permit tcp any eq 11720 any
 permit udp any any eq 11720
 permit udp any eq 11720 any
 remark MGCP
 permit tcp any any eq 2428
 permit tcp any eq 2428 any
 permit udp any any eq 2427
 permit udp any eq 2427 any
 permit tcp any any eq 2727
 permit tcp any eq 2727 any
 permit udp any any eq 2727
 permit udp any eq 2727 any
 remark Cisco VCS call signaling
 permit tcp any any eq 2776
 permit tcp any eq 2776 any
 permit tcp any any eq 2777
 permit tcp any eq 2777 any
!--------------------------CALL-SIGNALING END

no ip access-list extended NET-MGMT
ip access-list extended NET-MGMT
 remark NTP
 permit udp any eq 123 any
 permit udp any any eq 123
 remark Time
 permit tcp any eq 37 any
 permit tcp any any eq 37
 permit udp any eq 37 any
 permit udp any any eq 37
 remark SNMP
 permit udp any eq 161 any
 permit udp any any range 161 162
 remark Syslog
 permit udp any any eq 514
 remark Telnet
 permit tcp any eq 23 any
 permit tcp any any eq 23
 remark ICMP
 permit icmp any any
 remark TFTP
 permit udp any eq 69 any
 permit udp any any eq 69
 remark Asterisk Manager interface
 permit tcp any any eq 5038
 permit tcp any eq 5038 any
!--------------------------NET MGMT END

no ip access-list extended BULK-DATA
ip access-list extended BULK-DATA
 remark FTP & Secure FTP
 permit tcp any any eq ftp
 permit tcp any any eq ftp-data
 permit tcp any eq ftp any
 permit tcp any eq ftp-data any
 permit tcp any any eq 989
 permit tcp any eq 989 any
 permit tcp any any eq 990
 permit tcp any eq 990 any
 remark IMAP
 permit tcp any any eq 143
 permit tcp any eq 143 any
 permit tcp any any eq 993
 permit tcp any eq 993 any
 remark POP2/3
 permit tcp any any eq 110
 permit tcp any eq 110 any
 permit tcp any any eq 109
 permit tcp any eq 109 any
 permit tcp any any eq 995
 permit tcp any eq 995 any
 remark SMTP
 permit tcp any any eq 25
 permit tcp any eq 25 any
 permit tcp any any eq 465
 permit tcp any eq 465 any
 remark HTTP & HTTPS
 permit tcp any any eq www
 permit tcp any eq www any
 permit tcp any any eq 8080
 permit tcp any eq 8080 any
 permit tcp any any eq 8008
 permit tcp any eq 8008 any
 permit tcp any any eq 443
 permit tcp any eq 443 any
 remark CIFS & SMB
 permit tcp any any eq 3020
 permit tcp any eq 3020 any
 permit udp any any eq 3020
 permit udp any eq 3020 any
 permit tcp any any eq 445
 permit tcp any eq 445 any
 permit udp any any eq 445
 permit udp any eq 445 any
 remark PRINTER
 permit tcp any any eq 515
 permit tcp any eq 515 any
 permit udp any any eq 515
 permit udp any eq 515 any
!--------------------------BULK DATA END

Aquí es bastante sencillo si has leído lo anterior en AutoQoS.

Mapas de clase y mapas de políticas

Necesitamos crear mapas de clase para que coincidan con los de ACL. Debe usar la declaración match-any; de lo contrario, no funcionará. Esto se debe a que queremos verificar todas las líneas en la ACL y hacer coincidir el tráfico. Si se encuentra una coincidencia, se marcará el tráfico. Todo el tráfico que no coincida se pondrá por defecto.

class-map match-any IP-ROUTING
 match access-group name IP-ROUTING
class-map match-any VOICE
 match access-group name VOICE
class-map match-any VIDEO
 match access-group name VIDEO
class-map match-any MISSION-CRITICAL
 match access-group name MISSION-CRITICAL
class-map match-any CALL-SIGNALING
 match access-group name CALL-SIGNALING
class-map match-any NET-MGMT
 match access-group name NET-MGMT
class-map match-any BULK-DATA
 match access-group name BULK-DATA

Ahora necesitamos crear un mapa de políticas y comentar el tráfico si se encuentra una coincidencia.

Puede cambiar el nombre del mapa de políticas a lo que desee.

policy-map QoS-MARKING
 class IP-ROUTING
  set dscp cs6
 class VOICE
  set dscp ef
 class VIDEO
  set dscp af41
 class MISSION-CRITICAL
  set dscp af31
 class CALL-SIGNALING
  set dscp cs3
 class NET-MGMT
  set dscp cs2
 class BULK-DATA
  set dscp af11
 class class-default
  set dscp default

Verifique la calculadora de QoS en esta publicación. Puede poner cualquier valor o marca que desee. La clase predeterminada establecerá cualquier tráfico no coincidente.

Agregar la política a una interfaz.

Además de la política de servicio, he agregado los criterios de AutoQoS en los buffers. Nuevamente para mantener el diseño lo más ágil posible. También necesitamos confiar en dscp. Ejemplo:

interface range gi1/0/1-48
 desc User Access
 mls qos trust dscp
 srr-queue bandwidth share 1 30 35 5
 priority-queue out
 service-policy input QoS-MARKING

Esto es básicamente para el interruptor de acceso. La configuración puede cambiar dependiendo de otros modelos como Cisco 3650 o Cisco 3850 Series, etc.

-1

Aquí tienes un ejemplo de cómo puedes hacer fácilmente la clasificación:

class-map match-all SERVER
 match access-group 1
class-map match-all SSH
 match access-group 100
class-map match-all SERVER-MAC
 match access-group name MAC
!
policy-map SET-DSCP-SSH
 class SSH
  set ip dscp cs6
policy-map SET-DSCP-SERVER
 class SERVER
  set ip dscp cs5
policy-map SET-DSCP-FOR-MAC
 class SERVER-MAC
  set ip dscp cs1
!
interface FastEthernet0/1
 service-policy input SET-DSCP-FOR-MAC
!
access-list 1 permit 192.168.1.1
access-list 100 permit tcp host 192.168.1.1 eq 22 any

Además de eso, necesitará mls qos confianza en el tronco frente al SW, que está haciendo la clasificación y mls qos enable en el propio SW

Viktor Borisov
fuente
No veo el parecido con mi configuración y para qué sirven esas listas de acceso. ¿Sería posible que inserte descripciones para cada comando en su ejemplo de código? Entonces podría ser más fácil para mí entender.
3
Esto no parece responder a la pregunta del OP.
Ron Trunk
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.