Implémentation du modèle Cisco QoS aux utilisateurs finaux

8

J'ai implémenté le modèle de QoS à 4 classes comme décrit dans cet article précédent de 2013. Cette configuration de base est implémentée sur une configuration de logiciel Cisco VSS 6509-E exécutant la version logicielle: Logiciel Cisco IOS, Logiciel s2t54 (s2t54-ADVENTERPRISEK9-M), Version 15.2 (1) SY3, LOGICIEL DE VERSION (fc3) Copyright (c) 1986-2016 par Cisco Systems, Inc.

Sur mes liaisons montantes vers la couche d'accès, la politique de service a été configurée, exemple:

interface TenGigabitEthernet1/2/16
 switchport
 switchport mode trunk
 service-policy output WAN-EDGE-4-CLASS

Comment puis-je m'assurer que les paramètres de QoS sont implémentés jusqu'aux ports d'accès utilisateur? Je ne peux pas comprendre, comment étiqueter le trafic sur mes commutateurs d'accès, j'exécute actuellement Cisco 2960X sur IOS 15.2 (2) E6.

De quelle configuration ai-je besoin?

Global:
mls qos (obviously to activate QoS)

User Access configuration:
priority-queue out?
mls qos trust?

J'espère que quelqu'un pourra faire la lumière sur ce sujet. Merci d'avance.

Mise à jour 17-01-2018: comment faire correspondre et remarquer le trafic d'entrée dans les classes dscp de votre choix.


la source
Cherchez-vous simplement à conserver les marquages, ou à allouer de la bande passante sur les ports d'accès, ou les deux?
Ron Trunk
@RonTrunk quelle est la meilleure pratique et que recommanderiez-vous?
Cela dépend de vos objectifs. Qu'est-ce que vous essayez d'accomplir? Quels appareils se trouvent sur vos ports d'accès?
Ron Trunk
@RonTrunk est normalement un téléphone IP Cisco, avec une configuration VLAN voix et un ordinateur statique ou un ordinateur portable connecté au téléphone IP. Je veux m'assurer que le téléphone IP est prioritaire et avoir la bande passante allouée du port d'accès à travers la couche Core jusqu'à sa destination via notre solution téléphonique IP Asterisk.
1
@RonTrunk depuis l'ajout de cette question, je travaille sur une solution que j'ai publiée ci-dessous. :-)

Réponses:

10

introduction

Tout d'abord, permettez-moi d'écrire que je passe la majeure partie de l'été à essayer de trouver un moyen correct de le faire. Plus encore, j'ai dû embaucher un CCIE à temps plein pendant une semaine environ pour aider et dans le processus, nous avons eu Cisco TAC essayant de trouver une erreur sur nos commutateurs de la série 6500.

Pourquoi voudriez-vous faire cela?

Aujourd'hui, il y a une explosion virtuelle d'applications multimédias riches sur le réseau IP. Cette explosion de types de contenu et de médias, gérés et non gérés, oblige les architectes réseau à revoir leur conception de la qualité de service (QoS).

La première étape peut sembler évidente et superflue, mais en réalité elle est cruciale: définissez clairement les objectifs commerciaux que vos politiques de QoS doivent permettre. Ceux-ci peuvent inclure tout ou partie des éléments suivants:

  • Garantir la qualité de la voix répond aux normes de l'entreprise.
  • Assurer une haute qualité d'expérience (QoE) pour la vidéo.
  • Augmenter la productivité des utilisateurs en augmentant les temps de réponse du réseau pour les applications interactives.
  • Gestion des applications qui sont des «porcs de bande passante».
  • Identifier et dé-prioriser les applications grand public.
  • Amélioration de la disponibilité du réseau.
  • Renforcement de l'infrastructure réseau.

Avec ces objectifs à l'esprit, les architectes de réseau peuvent clairement identifier les applications pertinentes pour leur entreprise. À l'inverse, cette expérience montrera également quelles applications ne sont pas pertinentes pour atteindre les objectifs commerciaux. De telles applications pourraient être des applications orientées consommateur et / ou divertissement. En fin de compte, tout dépend de vous.

La solution

Je voulais rendre cela aussi simple et sans configuration que possible. Dans cet esprit combiné avec le fait que la QoS doit toujours être traitée dans le matériel, il m'a été recommandé d'utiliser la fonctionnalité Auto-QoS de Cisco par le CCIE que j'ai embauché.

Ainsi, au lieu de marquer le trafic au niveau de l'accès, le marquage peut être effectué par les utilisateurs finaux ou les serveurs eux-mêmes. Auto-QoS fournit ensuite les classes correctes pour le transport du trafic à travers le réseau. Cela m'a permis de décider quelles applications ou services qui devraient être priorisés ou déclassifiés via des stratégies de groupe Active Directory.

Pour commencer, je voulais le faire simpel. Cela signifiait la priorité des applications VoIP et vidéo, qui est déjà prédéfinie dans Auto-QoS lorsque vous utilisez des périphériques IP Cisco / TelePresence / Caméras, etc., ce que nous faisons.

Présentation de la topologie

Nous utilisons l'équipement d'accès / de base suivant.

  1. Cœur: gamme Cisco 897, gamme Cisco 3650, gamme Cisco 3850 et gamme Cisco 6500
  2. Accès: Cisco 3560CX Compact series et Cisco 2960X Series

Notre topologie est principalement basée sur une topologie en étoile, observez le schéma de topologie suivant (nous utilisons BGP dans notre MPLS WAN):


Topologie


QoS sur la couche d'accès

La configuration est très simple et simple, lors de l'utilisation d'Auto-QoS. Remarquer le trafic et l'envoyer au FAI MPLS est un peu plus compliqué, mais je vais montrer des exemples ci-dessous.

Tous les commutateurs d'accès sont configurés avec Auto-QoS, où tous les ports d'accès et de jonction / liaisons montantes sont approuvés avec DSCP. Observez le tableau QoS suivant, où toutes les valeurs pour DSCP, CoS, ToS, etc. sont configurées dans un tableau. Cela donne un bon aperçu des classes sélectionnées et de la structure dans laquelle j'essaie d'accomplir dans ma conception:


entrez la description de l'image ici


Auto-QoS utilise les valeurs AF (Assured Forwarding) pour le marquage DSCP.

Activation de l'Auto-QoS sur le commutateur d'accès

Configuration globale

mls qos (Activates QoS)
mls qos map cos-dscp 0 8 16 24 32 46 48 56 (Maps CoS to DSCP values, because CoS is a layer 2 marking, which cannot be routed)
auto qos srnd4 (Autogenerates all configuration in accordance to Cisco best practice SRND4 standard)

Configuration du port

auto qos trust dscp (Activates QoS and trusts DSCP on a port)
priority-queue out (Sends all traffic to the priority queues)

Voilà, le commutateur et les ports exécuteront désormais Auto-QoS.

Guide de configuration Auto-QoS pour la série 2960X: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-0_2_EX/qos/configuration_guide/b_qos_152ex_2960-x_cg/ b_qos_152ex_2960-x_cg_chapter_011.html

Activation d'Auto-QoS sur la couche Core

Il y a une grande différence dans la façon dont la QoS est gérée par les commutateurs Core. La gamme Cisco 6500 ne prend pas en charge Auto-QoS SRND4, par conséquent, nous devrons configurer manuellement la QoS et la mapper aux classes correctes afin de préserver la conception Auto-QoS. Les gammes Cisco 3650 et 3850 prennent en charge Auto-QoS SRND4 et il est donc assez simple à configurer:

Activation de l'Auto-QoS sur les séries 3650 et 3850

Configuration globale

auto qos srnd4 (Activates and autogenerates the QoS configuration)

Configuration du port

auto qos trust dscp (Activates and autogenerates the QoS configuration)

Lors de la connexion du Core au FAI MPLS, nous voulons remarquer le trafic en 5 classes (car c'est ce que notre FAI prend en charge). C'est ainsi que le trafic sera priorisé via le MPLS à tous les emplacements de la topologie (voir dessin pour référence). Votre FAI peut être différent et, par conséquent, le remarquage doit être effectué de manière à ce qu'il corresponde à votre conception. L'exemple suivant montre comment vous remarquez tout le trafic en 5 classes.

Vous devez copier la carte de stratégie Auto-QoS "AutoQos-4.0-Output-Policy" générée automatiquement, puis en créer une nouvelle. Vous DEVEZ utiliser les mêmes class-maps que ceux générés par Auto-QoS. Si vous essayez de créer les vôtres, ils seront ignorés, donc les mêmes class-maps sont utilisés et le marquage est fait à partir de ces classes:

policy-map WAN-OUTPUT-QoS (The name can be whatever you like)
 class AutoQos-4.0-Output-Priority-Queue
  set dscp ef
  priority level 1 percent 10
 class AutoQos-4.0-Output-Control-Mgmt-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af21
 class AutoQos-4.0-Output-Multimedia-Conf-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af41
 class AutoQos-4.0-Output-Trans-Data-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af21
 class AutoQos-4.0-Output-Bulk-Data-Queue
  bandwidth remaining percent 2 
  queue-buffers ratio 10
  set dscp default
 class AutoQos-4.0-Output-Scavenger-Queue
  bandwidth remaining percent 1 
  queue-buffers ratio 10
  set dscp cs1
 class AutoQos-4.0-Output-Multimedia-Strm-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af41
 class class-default
  bandwidth remaining percent 25

Les 5 classes seront par la suite hiérarchisées et envoyées au MPLS comme suit:

  • Valeur AF DSCP: EF (VoIP)
  • Valeur AF DSCP: af41 (tous les supports vidéo)
  • Valeur AF DSCP: af21 (données transactionnelles, etc.)
  • Valeur DSCP AF: par défaut (AF = 0 et DSCP = 0 données en masse par exemple)
  • Valeur DSCP AF: cs1 (classe de récupération pour Bittorrent, etc.)

Les pourcentages de bande passante sont utilisés comme restant. Cela signifie que toutes les classes sont autorisées à utiliser 100% de la bande passante et à emprunter aux autres classes si la bande passante n'est pas utilisée. C'est comme le partage de bande passante, ce qui signifie que quelle que soit la classe priorisée, la plus élevée pourra envoyer du trafic si le lien est encombré.

Les classes et pourcentages de carte de stratégie peuvent être modifiés au besoin pour répondre à vos besoins individuels.

Sur la liaison montante du port vers le FAI, les éléments suivants doivent être configurés:

interface XXX
auto qos trust dscp
service-policy input AutoQos-4.0-Trust-Dscp-Input-Policy
service-policy output WAN-OUTPUT-QoS

C'est tout pour les séries 3650 et 3850.

Activation de la QoS sur la série 6500

La série 6500 ne prend pas en charge Auto-QoS SRND4. Il est très basique et ne comprend que les valeurs CoS de couche 2 pour la VoIP. Cela signifie que vous devez configurer toutes les QoS à partir de zéro, pour s'adapter à l'infrastructure Auto-QoS à partir de la couche d'accès. La QoS doit être configurée en fonction du module installé sur le châssis. Vous devez également créer des cartes de stratégie pour l'entrée et la sortie (entrée / sortie).

Le superviseur ne comprend que CoS entre le module et l'ASIC dans le châssis.

Pour activer Auto-QoS for CoS, vous devez utiliser la commande globale suivante:

auto qos default

Cela créera une table-carte de CoS à DSCP, mais les valeurs ne sont pas toutes conformes à la norme Auto-QoS SRND4 (CoS 7 est mappé à 54, qui devrait être 56). Par conséquent, vous devrez supprimer la table-map et la remplacer par ce qui suit:

no table-map cos-discard-class-map
table-map cos-discard-class-map
  map from  0 to 0
  map from  1 to 8
  map from  2 to 16
  map from  3 to 24
  map from  4 to 32
  map from  5 to 46
  map from  6 to 48
  map from  7 to 56

Pour créer la QoS et les cartes de politique, nous devons découvrir quel modèle de mise en file d'attente un module utilise. Dans l'exemple ci-dessous, la file d'attente d'entrée et de sortie est la même, mais sur certains modules, les files d'attente Rx et Tx sont différentes et vous devrez donc créer des mappes de stratégie en fonction de la façon dont le modèle de file d'attente est. Pour savoir quel modèle de mise en file d'attente une interface utilise, vous devez exécuter la commande suivante. L'exemple ci-dessous est basé sur le module: C6800-16P10G

show queueing interface xxx | sec Transmit queues
Transmit queues [type = 1p7q4t]
show queueing interface xxx | sec Receive queues
Receive queues [type = 1p7q4t]

Comme écrit, les files d'attente sont les mêmes sur ce module et nous pouvons donc utiliser la même politique pour les entrées et les sorties.

1p7q4t signifie essentiellement: 1 file d'attente prioritaire, 7 files d'attente normales, où les 7 files d'attente normales ont 4 seuils. Vous pouvez obtenir plus d'informations en recherchant le nom du module et la file d'attente. Ce module, le C6800-16P10G est expliqué dans ce lien: https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6800-series-switches/datasheet-c78-733662.html

Voir le tableau 1, Files d'attente.

Premièrement, nous devons créer les class-maps, qui seront utilisés pour tous les policy-maps. Cela correspondra aux valeurs DSCP pour les classes individuelles qui correspondent aux classes d'Auto-QoS SRND4. Notez que les class-maps sont créés comme lan-queue avec l'instruction match-all, qui fonctionne comme AND / OR en programmation. match-tout = ET & match-tout = OU.

Consultez le guide de configuration suivant; Conception de Cisco Campus QoS simplifiée, où des exemples de configuration sont fournis pour différents modules au bas de la présentation: http://honim.typepad.com/files/campus-qos-design-simplified-brkcrs-2501.pdf

225 pages, le lien est lent.

Création de class-maps (configuration globale):

class-map type lan-queuing match-all REALTIME-1P7Q4T
  match dscp cs4 cs5 ef
class-map type lan-queuing match-all CONTROL-1P7Q4T
  match dscp cs2 cs3 cs6 cs7
class-map type lan-queuing match-all MM_CONF-1P7Q4T
  match dscp af41 af42 af43
class-map type lan-queuing match-all MM_STREAM-1P7Q4T
  match dscp af31 af32 af33
class-map type lan-queuing match-all TRANS_DATA-1P7Q4T
  match dscp af21 af22 af23
class-map type lan-queuing match-all BULK_DATA-1P7Q4T
  match dscp af11 af12 af13
class-map type lan-queuing match-all SCAVENGER-1P7Q4T
  match dscp cs1

Vous pouvez changer les noms ou les éditer à votre guise, selon vos besoins.

Après avoir créé les class-maps, je vais créer le policy-map. Il définit la priorité de la valeur DSCP et définit la bande passante dans les différentes files d'attente, une fois qu'il correspond à une valeur DSCP.

policy-map type lan-queuing 1P7Q4T
 class REALTIME-1P7Q4T
  priority
 class CONTROL-1P7Q4T
  bandwidth remaining percent 10
 class MM_CONF-1P7Q4T
  bandwidth remaining percent 20
  random-detect dscp-based
  random-detect dscp af41 percent 80 100
  random-detect dscp af42 percent 70 100
  random-detect dscp af42 percent 60 100
 class MM_STREAM-1P7Q4T
  bandwidth remaining percent 15
  random-detect dscp-based
  random-detect dscp af31 percent 80 100
  random-detect dscp af32 percent 70 100
  random-detect dscp af33 percent 60 100
 class TRANS_DATA-1P7Q4T
  bandwidth remaining percent 15
  random-detect dscp-based
  random-detect dscp af21 percent 80 100
  random-detect dscp af22 percent 70 100
  random-detect dscp af23 percent 60 100
 class BULK_DATA-1P7Q4T
  bandwidth remaining percent 9
  random-detect dscp-based
  random-detect dscp af11 percent 80 100
  random-detect dscp af12 percent 70 100
  random-detect dscp af13 percent 60 100
 class SCAVENGER-1P7Q4T
  bandwidth remaining percent 1
 class class-default
  random-detect dscp-based
  random-detect dscp default percent 80 100

Après avoir créé le policy-map, vous devez l'appliquer à une interface:

interface xxx
  service-policy type lan-queuing input 1P7Q4T
  service-policy type lan-queuing output 1P7Q4T

Pour vérifier votre configuration et voir que la mise en file d'attente est en cours, vous pouvez utiliser la commande suivante (vous devrez peut-être fermer / ne pas fermer l'interface pour qu'elle prenne effet):

show queueing interface xxx

Pour remarquer le trafic sur la série 6500, vous devez créer de nouveaux class-maps et un nouveau policy-map. Les class-maps ne sont pas créés en tant que files d'attente LAN et l'instruction match est match-any = OR au lieu de match-all car nous voulons vérifier plusieurs valeurs l'une après l'autre. Donc, si la première valeur ne correspond pas au paquet, la suivante sera vérifiée et ainsi de suite.

Je tiens à souligner que c'est là que nous avons dû impliquer Cisco TAC, car le bogue suivant est survenu: https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuz52151

Nous avons dû changer les class-maps de la correspondance sur les valeurs AF en valeurs DSCP brutes (classe de rejet) à la place. Nous avons également dû mettre à niveau le commutateur vers la version 152-1.SY5 (MD). Après avoir suivi ces instructions, nous n'avons eu aucun problème depuis.

La configuration est la suivante:

class-map match-any WAN-HIGH
  match discard-class 32
  match discard-class 40
  match discard-class 46
class-map match-any WAN-GOLD
  match discard-class 26
  match discard-class 28
  match discard-class 30
  match discard-class 34
  match discard-class 36
  match discard-class 38
class-map match-any WAN-SILVER
  match discard-class 16
  match discard-class 18
  match discard-class 20
  match discard-class 22
  match discard-class 24
  match discard-class 48
  match discard-class 56
class-map match-any WAN-BEST_EFFORT
  match discard-class 0
  match discard-class 10
  match discard-class 12
  match discard-class 14
class-map match-any WAN-SCAVENGER
  match discard-class 8

Après cela, nous créons le policy-map:

policy-map WAN-OUTPUT-QoS
 class WAN-HIGH
   set dscp ef
 class WAN-GOLD
  set dscp af41
 class WAN-SILVER
  set dscp af21
 class WAN-BEST_EFFORT
  set dscp default
 class WAN-SCAVENGER
  set dscp cs1

Ensuite, nous devons l'appliquer à une interface:

interface xxx
 service-policy output WAN-OUTPUT-QoS
 service-policy type lan-queuing input 1P7Q4T

C'est ça. J'espère que ces informations vous aideront. Je comprends quand les gens disent que la QoS est compliquée. Cela peut être fait de différentes manières et l'exemple ci-dessus n'est qu'un aperçu de la façon dont cela peut être fait. Je sais que Cisco travaille à la diffusion de la norme Auto-QoS SRND4 à de plus en plus d'appareils pour aider à créer une bonne base pour la qualité de service.


la source
1
C'est un excellent travail, merci d'avoir écrit avec autant de longueur et de clarté.
jonathanjo
Pour les modérateurs, ce message peut-il être doré d'une manière ou d'une autre. C'est une excellente réponse qui aidera la communauté.
user4565
2

J'ai manqué de lignes après avoir ajouté du contenu à ma réponse. Apparemment, 30000 lignes est la limite. C'est pourquoi j'ai ajouté une réponse supplémentaire:

Marquage du trafic entrant en fonction du port / type

introduction

Cette section couvrira comment marquer le trafic entrant à l'aide de listes d'accès pour vérifier le port ou le type source. La différence avec les exemples ci-dessus est qu'en utilisant des listes d'accès, vous pouvez décider précisément ce que vous souhaitez hiérarchiser via votre réseau. Lorsque AutoQoS donne la priorité aux protocoles et types de trafic les plus courants, cet exemple vous donne un contrôle total pour concevoir la QoS à votre guise. L'idée est simple: détecter et remarquer le trafic entrant dans votre réseau à partir d'hôtes. Transportez les classes marquées à travers votre réseau.

Conditions préalables

Avant de configurer la qualité de service comme expliqué ci-dessous, vous devez avoir une compréhension approfondie de son fonctionnement et prendre en compte les éléments suivants:

  1. Les types d'applications utilisées et les modèles de trafic sur votre réseau.
  2. Caractéristiques du trafic et besoins de votre réseau. Le trafic est-il bruyant? Avez-vous besoin de réserver de la bande passante pour les flux voix et vidéo?
  3. Besoins en bande passante et vitesse du réseau.
  4. Localisation des points de congestion dans le réseau.
  5. AutoQoS serait-il suffisant pour atteindre vos objectifs?

Considérations

L'exemple est UNIQUEMENT testé sur la gamme Cisco 2960X. Veuillez donc considérer:

  1. Les séries Cisco 2960 et 2960S ou les versions antérieures ne prennent PAS en charge cette méthode. Ignorer cela peut entraîner des temps d'arrêt graves sur votre réseau. Seul le matériel Cisco plus récent a la capacité de traiter ces quantités de listes d'accès par port.
  2. Mon exemple ne fonctionne que sur le trafic entrant. La gamme Cisco 2960X ne prend pas en charge les politiques de QoS de sortie.
  3. Vous devez savoir que l'exemple est lourd sur le plan administratif à prendre en charge en continu si vous avez beaucoup de modifications ou de modèles supplémentaires à ajouter. Veuillez noter que je n'ai pas testé plus que ce qui est indiqué ci-dessous. Vous pourriez atteindre une limite de ce qui est réellement capable pour le commutateur.
  4. Dans mon environnement de test, je n'ai vu aucun impact sur les performances. Vous pourriez vivre quelque chose de différent. La stratégie a été activée sur tous les 24 ou 48 ports d'accès (WS-C2960X-24PS-L et WS-C2960X-48FPD-L).

Configurations MLS QOS

Cela restera simple et copié à partir de l'AutoQoS. De cette façon, nous savons que les tampons seront correctement configurés selon Cisco. Si vous voulez en savoir plus, vous pouvez consulter le précédent calculateur de valeurs de QoS. Cela ne gère que la façon dont les tampons de sortie réagissent au trafic marqué et s'assure que tout est correctement hiérarchisé lors de la sortie sur une interface.

mls qos
mls qos map cos-dscp 0 8 16 24 32 46 48 56
mls qos srr-queue output cos-map queue 1 threshold 3 4 5
mls qos srr-queue output cos-map queue 2 threshold 1 2
mls qos srr-queue output cos-map queue 2 threshold 2 3
mls qos srr-queue output cos-map queue 2 threshold 3 6 7
mls qos srr-queue output cos-map queue 3 threshold 3 0
mls qos srr-queue output cos-map queue 4 threshold 3 1
mls qos srr-queue output dscp-map queue 1 threshold 3 32 33 40 41 42 43 44 45
mls qos srr-queue output dscp-map queue 1 threshold 3 46 47
mls qos srr-queue output dscp-map queue 2 threshold 1 16 17 18 19 20 21 22 23
mls qos srr-queue output dscp-map queue 2 threshold 1 26 27 28 29 30 31 34 35
mls qos srr-queue output dscp-map queue 2 threshold 1 36 37 38 39
mls qos srr-queue output dscp-map queue 2 threshold 2 24
mls qos srr-queue output dscp-map queue 2 threshold 3 48 49 50 51 52 53 54 55
mls qos srr-queue output dscp-map queue 2 threshold 3 56 57 58 59 60 61 62 63
mls qos srr-queue output dscp-map queue 3 threshold 3 0 1 2 3 4 5 6 7
mls qos srr-queue output dscp-map queue 4 threshold 1 8 9 11 13 15
mls qos srr-queue output dscp-map queue 4 threshold 2 10 12 14
mls qos queue-set output 1 threshold 1 100 100 50 200
mls qos queue-set output 1 threshold 2 125 125 100 400
mls qos queue-set output 1 threshold 3 100 100 100 400
mls qos queue-set output 1 threshold 4 60 150 50 200
mls qos queue-set output 1 buffers 15 25 40 20

Configurations des listes d'accès

Les listes d'accès suivantes sont établies uniquement en fonction de ce que la plupart des organisations utilisent. J'ai, bien sûr, parcouru Internet et demandé aux développeurs, aux administrateurs système et à certains utilisateurs quelle était leur perspective. L'exemple est également basé sur le livre blanc de Cisco sur la qualité de service pour la VoIP.

Source pour livre blanc: https://www.cisco.com/c/en/us/td/docs/ios/solutions_docs/qos_solutions/QoSVoIP/QoSVoIP.html

N'oubliez pas que la liste est basée sur mes besoins. Vous pouvez ajouter ou supprimer ce que vous voulez. Il n'y a pas de déclaration supprimant l'ACL avant de l'ajouter. C'est pour faciliter la modification / suppression de nouvelles lignes dans l'ACL lors du copier / coller.

Tous les ACL ont une remarque pour expliquer à quoi il sert.

no ip access-list extended IP-ROUTING
ip access-list extended IP-ROUTING
 remark BGP
 permit tcp any eq 179 any
 permit tcp any any eq 179
 remark RIP
 permit udp any eq 520 any
 permit udp any any eq 520
 remark EIGRP
 permit eigrp any any
 remark OSPF
 permit ospf any any
 remark HSRP
 permit tcp any eq 1985 any
 permit tcp any any eq 1985
 permit udp any eq 1985 any
 permit udp any any eq 1985
 remark VRRP
 permit tcp any eq 112 any
 permit tcp any any eq 112
 permit 112 any any
!--------------------------IP ROUTING END

no ip access-list extended VOICE
ip access-list extended VOICE
 remark RTP - SRTP - Cisco UC & IP Phones
 permit udp any range 16384 32767 any range 16384 32767
 remark Asterisk IAX2
 permit udp any eq 4569 any
 permit udp any any eq 4569
 remark Cisco VCS RTP & RTCP media
 permit udp any eq 2776 any
 permit udp any any eq 2776
 permit udp any eq 2777 any
 permit udp any any eq 2777
!--------------------------VOICE END

no ip access-list extended VIDEO
ip access-list extended VIDEO
 remark PIM (Protocol Independent Multicast)
 permit pim any any
 permit tcp any any eq pim-auto-rp
 permit udp any any eq pim-auto-rp
 remark Real Time Streaming Protocol (RTSP)
 permit tcp any eq 554 any
 permit tcp any any eq 554
 permit udp any eq 554 any
 permit udp any any eq 554
 remark Camstreams Media Encoder
 permit udp any eq 5700 any
 permit udp any any eq 5700
 remark Cisco Unified Video
 permit udp any eq 5445 any
 permit udp any any eq 5445
 remark IGMP
 permit igmp any any
 remark Philips Video Conferencing
 permit tcp any eq 583 any
 permit tcp any any eq 583
 permit udp any eq 583 any
 permit udp any any eq 583
 remark H.263 Video Streaming
 permit tcp any eq 2979 any
 permit tcp any any eq 2979
 permit udp any eq 2979 any
 permit udp any any eq 2979
 remark Windows Media streaming (used by Cisco)
 permit tcp any eq 1755 any
 permit tcp any any eq 1755
 permit udp any eq 1755 any
 permit udp any any eq 1755
!--------------------------VIDEO END

no ip access-list extended MISSION-CRITICAL
ip access-list extended MISSION-CRITICAL
 remark GRE Tunneling
 permit gre any any
 remark IP in IP Tunneling
 permit ipinip any any
 remark IPsec ESP & AHP
 permit ahp any any
 permit esp any any
 remark LWAPP & CAPWAPP
 permit udp any any range 12222 12223
 permit udp any range 12222 12223 any
 permit udp any any range 5246 5247
 permit udp any range 5246 5247 any
 remark Cisco IP SLA
 permit tcp any eq 1167 any
 permit tcp any any eq 1167
 permit udp any eq 1167 any
 permit udp any any eq 1167
 permit udp any eq 1967 any
 permit udp any any eq 1967
 remark LDAP
 permit tcp any eq 389 any
 permit tcp any any eq 389
 permit udp any eq 389 any
 permit udp any any eq 389
 permit tcp any eq 636 any
 permit tcp any any eq 636
 permit udp any eq 636 any
 permit udp any any eq 636
 remark TACACS+
 permit tcp any eq 49 any
 permit udp any eq 49 any
 permit tcp any any eq 49
 permit udp any any eq 49
 remark SSH & SCTP
 permit tcp any eq 22 any
 permit udp any eq 22 any
 permit tcp any any eq 22
 permit udp any any eq 22
 remark Netop Remote Control
 permit tcp any eq 1970 any
 permit udp any eq 1970 any
 permit tcp any any eq 1970
 permit udp any any eq 1970
 remark RDP & Microsoft remote assistance
 permit tcp any eq 3389 any
 permit udp any eq 3389 any
 permit tcp any any eq 3389
 permit udp any any eq 3389
 remark WSUS HTTP & HTTPS
 permit tcp any any range 8530 8531
 permit tcp any range 8530 8531 any
 permit udp any any range 8530 8531
 permit udp any range 8530 8531 any
 remark Citrix ICA
 permit tcp any eq 1494 any
 permit udp any eq 1494 any
 permit tcp any any eq 1494
 permit udp any any eq 1494
 permit tcp any eq 2598 any
 permit tcp any any eq 2598
 remark DHCP
 permit udp any range 67 68 any
 permit udp any any range 67 68
 remark DNS
 permit tcp any eq 53 any
 permit udp any eq 53 any
 permit tcp any any eq 53
 permit udp any any eq 53
!--------------------------MISSION-CRITICAL END

no ip access-list extended CALL-SIGNALING
ip access-list extended CALL-SIGNALING
 remark SCCP / Skinny
 permit tcp any any range 2000 2002
 permit tcp any range 2000 2002 any
 remark SIP & SIP over TLS
 permit udp any any eq 5060
 permit tcp any any eq 5060
 permit tcp any any eq 5061
 remark H.323
 permit tcp any any range 1718 1719
 permit udp any any range 1718 1719
 permit tcp any any eq 1720
 permit udp any any eq 1720
 permit tcp any any eq 1300
 permit tcp any eq 1300 any
 permit udp any any eq 1300
 permit udp any eq 1300 any
 permit tcp any any eq 2517
 permit tcp any eq 2517 any
 permit udp any any eq 2517
 permit udp any eq 2517 any
 permit tcp any any eq 11720
 permit tcp any eq 11720 any
 permit udp any any eq 11720
 permit udp any eq 11720 any
 remark MGCP
 permit tcp any any eq 2428
 permit tcp any eq 2428 any
 permit udp any any eq 2427
 permit udp any eq 2427 any
 permit tcp any any eq 2727
 permit tcp any eq 2727 any
 permit udp any any eq 2727
 permit udp any eq 2727 any
 remark Cisco VCS call signaling
 permit tcp any any eq 2776
 permit tcp any eq 2776 any
 permit tcp any any eq 2777
 permit tcp any eq 2777 any
!--------------------------CALL-SIGNALING END

no ip access-list extended NET-MGMT
ip access-list extended NET-MGMT
 remark NTP
 permit udp any eq 123 any
 permit udp any any eq 123
 remark Time
 permit tcp any eq 37 any
 permit tcp any any eq 37
 permit udp any eq 37 any
 permit udp any any eq 37
 remark SNMP
 permit udp any eq 161 any
 permit udp any any range 161 162
 remark Syslog
 permit udp any any eq 514
 remark Telnet
 permit tcp any eq 23 any
 permit tcp any any eq 23
 remark ICMP
 permit icmp any any
 remark TFTP
 permit udp any eq 69 any
 permit udp any any eq 69
 remark Asterisk Manager interface
 permit tcp any any eq 5038
 permit tcp any eq 5038 any
!--------------------------NET MGMT END

no ip access-list extended BULK-DATA
ip access-list extended BULK-DATA
 remark FTP & Secure FTP
 permit tcp any any eq ftp
 permit tcp any any eq ftp-data
 permit tcp any eq ftp any
 permit tcp any eq ftp-data any
 permit tcp any any eq 989
 permit tcp any eq 989 any
 permit tcp any any eq 990
 permit tcp any eq 990 any
 remark IMAP
 permit tcp any any eq 143
 permit tcp any eq 143 any
 permit tcp any any eq 993
 permit tcp any eq 993 any
 remark POP2/3
 permit tcp any any eq 110
 permit tcp any eq 110 any
 permit tcp any any eq 109
 permit tcp any eq 109 any
 permit tcp any any eq 995
 permit tcp any eq 995 any
 remark SMTP
 permit tcp any any eq 25
 permit tcp any eq 25 any
 permit tcp any any eq 465
 permit tcp any eq 465 any
 remark HTTP & HTTPS
 permit tcp any any eq www
 permit tcp any eq www any
 permit tcp any any eq 8080
 permit tcp any eq 8080 any
 permit tcp any any eq 8008
 permit tcp any eq 8008 any
 permit tcp any any eq 443
 permit tcp any eq 443 any
 remark CIFS & SMB
 permit tcp any any eq 3020
 permit tcp any eq 3020 any
 permit udp any any eq 3020
 permit udp any eq 3020 any
 permit tcp any any eq 445
 permit tcp any eq 445 any
 permit udp any any eq 445
 permit udp any eq 445 any
 remark PRINTER
 permit tcp any any eq 515
 permit tcp any eq 515 any
 permit udp any any eq 515
 permit udp any eq 515 any
!--------------------------BULK DATA END

Ici, c'est assez simple si vous avez lu ce qui précède sur AutoQoS.

Cartes de classe et cartes de politique

Nous devons créer des cartes de classe pour correspondre aux ACL. Vous devez utiliser l'instruction match-any sinon cela ne fonctionnera pas. C'est parce que nous voulons vérifier toutes les lignes de l'ACL et faire correspondre le trafic. Si une correspondance est trouvée, le trafic sera marqué. Tout le trafic qui ne correspond pas sera mis par défaut.

class-map match-any IP-ROUTING
 match access-group name IP-ROUTING
class-map match-any VOICE
 match access-group name VOICE
class-map match-any VIDEO
 match access-group name VIDEO
class-map match-any MISSION-CRITICAL
 match access-group name MISSION-CRITICAL
class-map match-any CALL-SIGNALING
 match access-group name CALL-SIGNALING
class-map match-any NET-MGMT
 match access-group name NET-MGMT
class-map match-any BULK-DATA
 match access-group name BULK-DATA

Nous devons maintenant créer une carte de stratégie et remarquer le trafic si une correspondance est trouvée.

Vous pouvez renommer le mappage de stratégie comme vous le souhaitez.

policy-map QoS-MARKING
 class IP-ROUTING
  set dscp cs6
 class VOICE
  set dscp ef
 class VIDEO
  set dscp af41
 class MISSION-CRITICAL
  set dscp af31
 class CALL-SIGNALING
  set dscp cs3
 class NET-MGMT
  set dscp cs2
 class BULK-DATA
  set dscp af11
 class class-default
  set dscp default

Vérifiez la calculatrice QoS dans cet article. Vous pouvez mettre n'importe quelle valeur ou marquage que vous voulez. La classe par défaut définira tout trafic non apparié.

Ajout de la stratégie à une interface.

Outre la politique de service, j'ai ajouté les critères d'AutoQoS sur les tampons. Encore une fois pour garder le design aussi simple que possible. Nous devons également faire confiance à dscp. Exemple:

interface range gi1/0/1-48
 desc User Access
 mls qos trust dscp
 srr-queue bandwidth share 1 30 35 5
 priority-queue out
 service-policy input QoS-MARKING

C'est tout pour le commutateur d'accès. La configuration peut changer en fonction d'autres modèles comme Cisco 3650 ou Cisco 3850 Series, etc.


la source
-1

Voici un exemple de la façon dont vous pouvez facilement faire la classification:

class-map match-all SERVER
 match access-group 1
class-map match-all SSH
 match access-group 100
class-map match-all SERVER-MAC
 match access-group name MAC
!
policy-map SET-DSCP-SSH
 class SSH
  set ip dscp cs6
policy-map SET-DSCP-SERVER
 class SERVER
  set ip dscp cs5
policy-map SET-DSCP-FOR-MAC
 class SERVER-MAC
  set ip dscp cs1
!
interface FastEthernet0/1
 service-policy input SET-DSCP-FOR-MAC
!
access-list 1 permit 192.168.1.1
access-list 100 permit tcp host 192.168.1.1 eq 22 any

En plus de cela, vous aurez besoin de mls qos trust sur le tronc face au SW, qui fait la classification et mls qos enable sur le SW lui-même

Viktor Borisov
la source
Je ne vois pas la ressemblance avec ma configuration et à quoi servent ces listes d'accès? Serait-il possible pour vous d'insérer des descriptions pour chaque commande dans votre exemple de code? Ensuite, il pourrait être plus facile pour moi de comprendre.
3
Cela ne semble pas répondre à la question du PO.
Ron Trunk