Habilitar MLS QoS en una producción 7600

Estoy mirando un 7609-S con un RSP720-3CXL con 12.2 (33) SRE3.

Se me ha pedido que ayude a limitar la velocidad de algunos servidores conectados a un par de puertos que se ejecutan como puertos L2 ( switchport mode access), por lo que esto requiere que aplique un mapa de políticas al L3 SVI que es la puerta de enlace predeterminada en esta VLAN. Al habilitar la política de servicio bajo la configuración de la interfaz SVI, recibí el siguiente error;

router(config-if)#service-policy input PM-LIMIT-100M
Warning (QoS): MLS QoS is disabled, marking/policing will be done after 
enabling MLS QoS globally

He revisado la configuración y, efectivamente, no hay "mls qos" en la configuración global. ¿Qué problemas potenciales pueden ocurrir al habilitar este comando de configuración global en este dispositivo de producción? Obviamente, puedo realizar esto durante el período de mantenimiento programado por seguridad, pero ¿debería incluso intentarlo?

Si hay alguna diferencia, no hubo mapas de clase o mapas de políticas definidos en este enrutador hasta que inicié sesión, para hacer que uno limite los puertos del servidor mencionados anteriormente (todos los puertos son Gig, se me ha encomendado la tarea de limitar este SVI a 100Mps por un corto período de tiempo). Estoy tratando de usar la siguiente configuración;

class-map match-any CM-LIMIT-100M
  match access-group name ACL-SERVERS
!
policy-map PM-LIMIT-100M
  class CM-LIMIT-100M
    police 100000000 18750000 31250000 conform-action transmit exceed-action drop violate-action drop
!
int vlan 123
service-policy input PM-LIMIT-100M
service-policy output PM-LIMIT-100M

Me gustaría pensar que no habrá problemas potenciales que ocurrirán si habilito esto, pero nunca se sabe, ¡así que soy todo oídos!

Definitivamente debe habilitar MLS QoS. También es un requisito previo para CoPP, que debe agregar en su lista TODO para implementar.

Habilitar 'mls qos' sin otra configuración es una idea extremadamente mala en gatos de gama baja, como 3560/3750, debido a una programación predeterminada inesperada y debido a que los búferes muy reducidos causan más microbursting.

En 7600/6500 es relativamente seguro habilitarlo, pero, por supuesto, puede bloquear su enrutador con 'show run'. Me sentiría lo suficientemente cómodo como para habilitarlo durante las horas de producción.

Debe monitorear 'mostrar la interfaz de cola X' después de habilitar para ver que no está soltando nada. A largo plazo, debe diseñar una política de QoS e implementarla. Recomiendo usar la menor cantidad de colas posible (y asignar el 100% del búfer a esas pocas colas). Ejemplo de una posible política de QoS en WS-X6704-10GE:

interface TenGigabitEthernet4/1
 wrr-queue bandwidth percent 30 40 30 0 0 0 0  ## allocate 3 queues (+implied strictpriority) share buffer 30% 40% 30% on thos three queues
 wrr-queue cos-map 1 1 0 7 # map cos values to queues
 wrr-queue cos-map 2 2 3 
 wrr-queue cos-map 3 1 4 
 wrr-queue cos-map 3 2 6 

Para la configuración avanzada, es posible que desee complementar eso con 'wrr-queue random-detect' con curva ROJA por cola + umbral. Asegúrese de marcar su tráfico correctamente cuando ingrese a su red.

7600 QoS no es sencillo.

Si habilita mls qos por sí solo, cambiará la forma en que se asignan los búferes en todos los puertos, es posible que esto le brinde resultados inesperados.

Las diferentes tarjetas de línea tendrán diferentes capacidades de colas, investigue los siguientes comandos para modificar el búfer y la configuración de colas. Algunas tarjetas de línea son por puerto y algunas están agrupadas alrededor del asic

 wrr-queue bandwidth 
 wrr-queue queue-limit
 wrr-queue cos-map

También tenga en cuenta que si tiene tarjetas habilitadas para DFC, se aplicarán los policías por DFC de ingreso, por lo que es posible que no obtenga los resultados que desea.

7600 QoS no es sencillo.

Hay un eufemismo ...

@ytti y @Steve tienen excelentes respuestas, solo tenga en cuenta que el 7600 también tiene rcv-queuecomandos de interfaz. Al igual que el wrr-queue, querrá asegurarse de que sus mutaciones sean correctas o que pueda ver gotas. Quemado por eso, solo asegúrese de generar suficiente tráfico de prueba para validar que todo funciona correctamente ya que los problemas con QoS y las colas de hardware realmente no aparecen hasta que hay carga.

Una cosa a tener en cuenta es que, debido a la forma en que el 6500/7600 cambia de manera distribuida si tiene más de un puerto en el Vlan que desea limitar la distribución en diferentes tarjetas de línea, tendrá dificultades para limitarlas. a 100 mbits ya que el límite se aplicará en cada tarjeta de línea.