我有一个 IP 网络,该网络在任何时候都有大约 500 多个客户端。该网络使用 Cisco 1941 路由器作为网关,并有 5 个不同的子网。该网络还有 2 个 DC、一个 asterisk PBX 服务器和 5 个 Exchange 服务器群。路由器使用单个 WAN 和 100MB 互联网。
我只是想以一种防止任何客户端或设备占用整个带宽的方式来控制流量。例如,我不希望单个设备通过下载大型文件、应用程序或电影来占用带宽。
Cisco 1921 路由器(或类似路由器)上的配置是什么样的?这将仅用于调节出站流量。我假设我会制定一个监管策略,以确保每个客户端不超过确定的位数?
答案1
我在网络工程上创建了一个关于 QoS 的详尽答案,它是从那里复制/粘贴的:https://networkengineering.stackexchange.com/questions/42660/implementing-cisco-qos-model-to-end-users/45176
配置可能因设备而异,但命令通常在任何 Cisco 设备上都是相同的。答案二负责根据流量类型标记和确定流量的优先级。
介绍
首先,我要说的是,我花了整个夏天的时间试图找到正确的方法来完成这项工作。此外,我不得不聘请一位全职 CCIE 来帮忙一周左右,而在此过程中,我们让 Cisco TAC 试图找出我们 6500 系列交换机上的错误。
你为什么要这样做?
如今,IP 网络上的富媒体应用数量呈爆炸式增长。内容和媒体类型(无论是托管的还是非托管的)的激增要求网络架构师重新审视其服务质量 (QoS) 设计。
第一步可能看起来很明显而且多余,但实际上它至关重要:明确定义您的 QoS 策略要实现的业务目标。这些可能包括以下任何/全部:
- 保证语音质量符合企业标准。
- 确保视频的体验质量 (QoE)。
- 通过增加交互式应用程序的网络响应时间来提高用户的工作效率。
- 管理“占用带宽”的应用程序。
- 识别并降低消费者应用程序的优先级。
- 提高网络可用性。
- 强化网络基础设施。
牢记这些目标,网络架构师可以清楚地确定哪些应用程序与其业务相关。相反,这种经验也会使你清楚地知道哪些应用程序与实现业务目标无关。这些应用程序可能是面向消费者的应用程序和/或面向娱乐的应用程序。最终一切都取决于你。
解决方案
我希望尽可能简化这一过程并免去配置。考虑到这一点,再加上 QoS 应始终在硬件中处理这一事实,我聘请的 CCIE 建议我使用 Cisco 中的 Auto-QoS 功能。
因此,无需在访问级别标记流量,最终用户或服务器自己就可以进行标记。Auto-QoS 随后会为整个网络中的流量传输提供正确的类别。这使我能够通过 Active Directory 组策略决定哪些应用程序或服务应优先处理或降低优先级。
首先,我想让它变得简单。这意味着优先考虑 VoIP 和视频应用程序,当您使用 Cisco IP 设备/TelePresence/摄像头等时,这些已经在 Auto-QoS 中预定义,我们就是这样做的。
拓扑概述
我们使用以下接入/核心设备。
- 核心:Cisco 897系列、Cisco 3650系列、Cisco 3850系列和Cisco 6500系列
- 访问:Cisco 3560CX Compact 系列和 Cisco 2960X 系列
我们的拓扑主要基于星型拓扑,请观察以下拓扑图(我们在 WAN MPLS 中使用 BGP):
接入层的QoS
使用 Auto-QoS 时,配置非常简单直接。重新标记流量并将其发送到 MPLS ISP 有点复杂,但我将在下面展示示例。
所有接入交换机都设置了自动 QoS,其中所有端口(接入和中继/上行链路)都受 DSCP 信任。观察以下 QoS 表,其中 DSCP、CoS、ToS 等的所有值都设置在表中。这很好地概述了所选类别以及我试图在设计中实现的结构:
Auto-QoS 使用 AF(保证转发)值进行 DSCP 标记。
在接入交换机上启用自动 QoS
全局配置
mls qos (Activates QoS)
mls qos map cos-dscp 0 8 16 24 32 46 48 56 (Maps CoS to DSCP values, because CoS is a layer 2 marking, which cannot be routed)
auto qos srnd4 (Autogenerates all configuration in accordance to Cisco best practice SRND4 standard)
端口配置
auto qos trust dscp (Activates QoS and trusts DSCP on a port)
priority-queue out (Sends all traffic to the priority queues)
就是这样,交换机和端口现在将运行自动 QoS。
2960X 系列的自动 QoS 配置指南:https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-0_2_EX/qos/configuration_guide/b_qos_152ex_2960-x_cg/b_qos_152ex_2960-x_cg_chapter_011.html
在核心层启用自动 QoS
核心交换机处理 QoS 的方式有很大不同。Cisco 6500 系列不支持 Auto-QoS SRND4,因此我们需要手动配置 QoS 并将其映射到正确的类别,以保留 Auto-QoS 设计。Cisco 3650 和 3850 系列支持 Auto-QoS SRND4,因此配置起来非常简单:
在 3650 和 3850 系列上启用自动 QoS
全局配置
auto qos srnd4 (Activates and autogenerates the QoS configuration)
端口配置
auto qos trust dscp (Activates and autogenerates the QoS configuration)
当将核心连接到 MPLS ISP 时,我们希望将流量重新标记为 5 个类别(因为这是我们的 ISP 支持的)。这样,流量将优先通过 MPLS 到达拓扑中的所有位置(参见图纸)。您的 ISP 可能不同,因此重新标记应适合您的设计。以下示例是如何将所有流量重新标记为 5 个类别。
您需要复制自动生成的 Auto-QoS“AutoQos-4.0-Output-Policy”策略映射,然后创建一个新的。您必须使用与 Auto-QoS 生成的相同的类映射。如果您尝试创建自己的类映射,它们将被忽略,因此将使用相同的类映射,并根据以下类进行标记:
policy-map WAN-OUTPUT-QoS (The name can be whatever you like)
class AutoQos-4.0-Output-Priority-Queue
set dscp ef
priority level 1 percent 10
class AutoQos-4.0-Output-Control-Mgmt-Queue
bandwidth remaining percent 10
queue-buffers ratio 10
set dscp af21
class AutoQos-4.0-Output-Multimedia-Conf-Queue
bandwidth remaining percent 10
queue-buffers ratio 10
set dscp af41
class AutoQos-4.0-Output-Trans-Data-Queue
bandwidth remaining percent 10
queue-buffers ratio 10
set dscp af21
class AutoQos-4.0-Output-Bulk-Data-Queue
bandwidth remaining percent 2
queue-buffers ratio 10
set dscp default
class AutoQos-4.0-Output-Scavenger-Queue
bandwidth remaining percent 1
queue-buffers ratio 10
set dscp cs1
class AutoQos-4.0-Output-Multimedia-Strm-Queue
bandwidth remaining percent 10
queue-buffers ratio 10
set dscp af41
class class-default
bandwidth remaining percent 25
这 5 个类别今后将按优先级排序并发送到 MPLS,如下所示:
- DSCP AF 值:EF(VoIP)
- DSCP AF 值:af41(所有视频媒体)
- DSCP AF 值:af21(事务数据等)
- DSCP AF 值:默认(例如 AF=0 和 DSCP=0 批量数据)
- DSCP AF 值:cs1(Bittorrent 等的 Scavenger 类)
带宽百分比用作剩余带宽。这意味着所有类别都可以使用 100% 的带宽,如果未使用带宽,则从其他类别借用。这就像带宽共享,这意味着如果链路拥塞,优先级最高的类别将能够发送流量。
可以根据需要修改策略图类别和百分比以满足您的个人要求。
在至 ISP 的上行端口上需要进行以下配置:
interface XXX
auto qos trust dscp
service-policy input AutoQos-4.0-Trust-Dscp-Input-Policy
service-policy output WAN-OUTPUT-QoS
这就是 3650 和 3850 系列的全部内容。
在 6500 系列上启用 QoS
6500 系列不支持 Auto-QoS SRND4。它非常基础,并且仅理解 VoIP 的第 2 层 CoS 值。这意味着您需要从头开始配置所有 QoS,以适应来自接入层的 Auto-QoS 基础设施。需要根据机箱上安装的模块来配置 QoS。您还需要为入口和出口(输入/输出)创建策略映射。
主管只了解模块和机箱中的 ASIC 之间的 CoS。
要激活 CoS 的自动 QoS,您需要使用以下全局命令:
auto qos default
这将创建 CoS 到 DSCP 的表映射,但这些值并非全部符合 Auto-QoS SRND4 标准(CoS 7 映射到 54,而应为 56)。因此,您需要删除表映射并将其替换为以下内容:
no table-map cos-discard-class-map
table-map cos-discard-class-map
map from 0 to 0
map from 1 to 8
map from 2 to 16
map from 3 to 24
map from 4 to 32
map from 5 to 46
map from 6 to 48
map from 7 to 56
要创建 QoS 和策略映射,我们需要找出模块正在使用的排队模型。在下面的示例中,入口和出口队列是相同的,但在某些模块上,Rx 和 Tx 队列是不同的,因此您需要根据排队模型的方式创建策略映射。要找出接口正在使用的排队模型,您需要发出以下命令。以下示例基于模块:C6800-16P10G
show queueing interface xxx | sec Transmit queues
Transmit queues [type = 1p7q4t]
show queueing interface xxx | sec Receive queues
Receive queues [type = 1p7q4t]
如上所述,该模块上的队列是相同的,因此我们可以对输入和输出使用相同的策略。
1p7q4t 的基本含义是:1 个优先级队列,7 个普通队列,其中所有 7 个普通队列都有 4 个阈值。您可以通过搜索模块名称和队列来获取更多信息。此模块 C6800-16P10G 的说明见以下链接: https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6800-series-switches/datasheet-c78-733662.html
参见表 1,队列。
首先,我们需要创建将用于所有策略映射的类映射。这将匹配与 Auto-QoS SRND4 中的类相匹配的各个类的 DSCP 值。请注意,类映射是使用 match-all 语句作为 lan-queueing 创建的,该语句的功能类似于编程中的 AND/OR。match-all=AND & match-any=OR。
查看以下配置指南;思科校园 QoS 设计简化,其中演示文稿底部按不同模块提供了配置示例: http://honim.typepad.com/files/campus-qos-design-simplified-brkcrs-2501.pdf
225页,链接很慢。
创建类映射(全局配置):
class-map type lan-queuing match-all REALTIME-1P7Q4T
match dscp cs4 cs5 ef
class-map type lan-queuing match-all CONTROL-1P7Q4T
match dscp cs2 cs3 cs6 cs7
class-map type lan-queuing match-all MM_CONF-1P7Q4T
match dscp af41 af42 af43
class-map type lan-queuing match-all MM_STREAM-1P7Q4T
match dscp af31 af32 af33
class-map type lan-queuing match-all TRANS_DATA-1P7Q4T
match dscp af21 af22 af23
class-map type lan-queuing match-all BULK_DATA-1P7Q4T
match dscp af11 af12 af13
class-map type lan-queuing match-all SCAVENGER-1P7Q4T
match dscp cs1
您可以根据需要更改名称或进行编辑,以满足您的需要。
创建类映射后,我将创建策略映射。它定义 DSCP 值的优先级,并在匹配 DSCP 值后设置不同队列中的带宽。
policy-map type lan-queuing 1P7Q4T
class REALTIME-1P7Q4T
priority
class CONTROL-1P7Q4T
bandwidth remaining percent 10
class MM_CONF-1P7Q4T
bandwidth remaining percent 20
random-detect dscp-based
random-detect dscp af41 percent 80 100
random-detect dscp af42 percent 70 100
random-detect dscp af42 percent 60 100
class MM_STREAM-1P7Q4T
bandwidth remaining percent 15
random-detect dscp-based
random-detect dscp af31 percent 80 100
random-detect dscp af32 percent 70 100
random-detect dscp af33 percent 60 100
class TRANS_DATA-1P7Q4T
bandwidth remaining percent 15
random-detect dscp-based
random-detect dscp af21 percent 80 100
random-detect dscp af22 percent 70 100
random-detect dscp af23 percent 60 100
class BULK_DATA-1P7Q4T
bandwidth remaining percent 9
random-detect dscp-based
random-detect dscp af11 percent 80 100
random-detect dscp af12 percent 70 100
random-detect dscp af13 percent 60 100
class SCAVENGER-1P7Q4T
bandwidth remaining percent 1
class class-default
random-detect dscp-based
random-detect dscp default percent 80 100
创建策略图后,您需要将其应用到接口:
interface xxx
service-policy type lan-queuing input 1P7Q4T
service-policy type lan-queuing output 1P7Q4T
要验证您的配置并查看是否正在执行排队,您可以使用以下命令(您可能需要关闭/不关闭接口才能使其生效):
show queueing interface xxx
要标记 6500 系列上的流量,您需要创建新的类映射和新的策略映射。类映射不是作为 lan-queues 创建的,匹配语句是 match-any=OR 而不是 match-all,因为我们想逐个检查多个值。因此,如果第一个值与数据包不匹配,则将检查下一个值,依此类推。
我想指出的是,这是我们必须让思科 TAC 参与进来的地方,因为出现了以下错误: https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuz52151
我们必须将类映射从匹配 AF 值改为匹配原始 DSCP 值(丢弃类)。我们还必须将交换机升级到版本 152-1.SY5 (MD)。在我们遵循这些指示后,我们再也没有遇到任何问题。
配置如下:
class-map match-any WAN-HIGH
match discard-class 32
match discard-class 40
match discard-class 46
class-map match-any WAN-GOLD
match discard-class 26
match discard-class 28
match discard-class 30
match discard-class 34
match discard-class 36
match discard-class 38
class-map match-any WAN-SILVER
match discard-class 16
match discard-class 18
match discard-class 20
match discard-class 22
match discard-class 24
match discard-class 48
match discard-class 56
class-map match-any WAN-BEST_EFFORT
match discard-class 0
match discard-class 10
match discard-class 12
match discard-class 14
class-map match-any WAN-SCAVENGER
match discard-class 8
此后我们创建策略图:
policy-map WAN-OUTPUT-QoS
class WAN-HIGH
set dscp ef
class WAN-GOLD
set dscp af41
class WAN-SILVER
set dscp af21
class WAN-BEST_EFFORT
set dscp default
class WAN-SCAVENGER
set dscp cs1
然后我们需要将其应用到接口上:
interface xxx
service-policy output WAN-OUTPUT-QoS
service-policy type lan-queuing input 1P7Q4T
就是这样。我希望这些信息对您有所帮助。我理解人们说 QoS 很复杂。它可以以各种方式实现,上面的例子只是实现方式的一个小片段。我知道思科正在努力将 Auto-QoS SRND4 标准推广到越来越多的设备,以帮助为服务质量奠定良好的基础。
答案2
回答二(因为我的空间不够了)
根据端口/类型标记传入流量
介绍
本节将介绍如何使用访问列表标记传入流量以检查源端口或类型。与上述示例的不同之处在于,通过使用访问列表,您可以具体决定要通过网络优先处理哪些流量。AutoQoS 优先考虑“最常见”的协议和流量类型,而本示例让您完全控制设计 QoS。这个想法很简单:检测并重新标记从主机进入您网络的流量。在整个网络中传输标记的类别。
先决条件
在按照下面所述配置 QoS 之前,您必须彻底了解其工作原理并注意以下事项:
- 所使用的应用程序类型和网络上的流量模式。
- 您网络的流量特征和需求。流量是否具有突发性?您是否需要为语音和视频流预留带宽?
- 网络的带宽要求和速度。
- 网络中拥塞点的位置。
- AutoQoS 是否足以实现您的目标?
注意事项
该示例仅在 Cisco 2960X 系列上进行了测试。因此,请考虑:
- Cisco 2960 和 2960S 系列或更早版本不支持此方法。忽略此方法可能会导致您的网络严重停机。只有较新的 Cisco 硬件才有能力处理每个端口的这些访问列表数量。
- 我的示例仅适用于传入流量。Cisco 2960X 系列不支持输出 QoS 策略。
- 您应该知道,如果您有大量更改或需要添加其他模式,则示例在管理上很难持续支持。请注意,我没有测试过下面显示的内容以外的内容。您可能会达到交换机实际能力的极限。
- 在我的测试环境中,我没有看到对性能有任何影响。您可能会遇到不同的情况。该策略已在所有 24 个或 48 个接入端口(WS-C2960X-24PS-L 和 WS-C2960X-48FPD-L)上启用。
MLS QOS 配置
这将保持简单并从 AutoQoS 复制。这样我们就知道缓冲区将根据 Cisco 正确设置。如果您想了解更多信息,可以查看之前的 QoS 值计算器。这仅处理输出缓冲区如何对标记的流量做出反应,并确保在通过接口发出时所有内容都正确按优先级排序。
mls qos
mls qos map cos-dscp 0 8 16 24 32 46 48 56
mls qos srr-queue output cos-map queue 1 threshold 3 4 5
mls qos srr-queue output cos-map queue 2 threshold 1 2
mls qos srr-queue output cos-map queue 2 threshold 2 3
mls qos srr-queue output cos-map queue 2 threshold 3 6 7
mls qos srr-queue output cos-map queue 3 threshold 3 0
mls qos srr-queue output cos-map queue 4 threshold 3 1
mls qos srr-queue output dscp-map queue 1 threshold 3 32 33 40 41 42 43 44 45
mls qos srr-queue output dscp-map queue 1 threshold 3 46 47
mls qos srr-queue output dscp-map queue 2 threshold 1 16 17 18 19 20 21 22 23
mls qos srr-queue output dscp-map queue 2 threshold 1 26 27 28 29 30 31 34 35
mls qos srr-queue output dscp-map queue 2 threshold 1 36 37 38 39
mls qos srr-queue output dscp-map queue 2 threshold 2 24
mls qos srr-queue output dscp-map queue 2 threshold 3 48 49 50 51 52 53 54 55
mls qos srr-queue output dscp-map queue 2 threshold 3 56 57 58 59 60 61 62 63
mls qos srr-queue output dscp-map queue 3 threshold 3 0 1 2 3 4 5 6 7
mls qos srr-queue output dscp-map queue 4 threshold 1 8 9 11 13 15
mls qos srr-queue output dscp-map queue 4 threshold 2 10 12 14
mls qos queue-set output 1 threshold 1 100 100 50 200
mls qos queue-set output 1 threshold 2 125 125 100 400
mls qos queue-set output 1 threshold 3 100 100 100 400
mls qos queue-set output 1 threshold 4 60 150 50 200
mls qos queue-set output 1 buffers 15 25 40 20
访问列表配置
以下访问列表完全基于大多数组织使用的内容。当然,我已浏览整个互联网并询问开发人员、系统管理员和一些用户他们的看法。该示例还基于 Cisco 的 VoIP 服务质量白皮书。
白皮书来源:https://www.cisco.com/c/en/us/td/docs/ios/solutions_docs/qos_solutions/QoSVoIP/QoSVoIP.html
请记住,该列表是根据我的需要而定的。您可以添加或删除任何您喜欢的内容。添加之前没有删除 ACL 的语句。这是为了在复制/粘贴时更容易编辑/删除 ACL 中的新行。
所有 ACL 都有一个注释来解释它的用途。
no ip access-list extended IP-ROUTING
ip access-list extended IP-ROUTING
remark BGP
permit tcp any eq 179 any
permit tcp any any eq 179
remark RIP
permit udp any eq 520 any
permit udp any any eq 520
remark EIGRP
permit eigrp any any
remark OSPF
permit ospf any any
remark HSRP
permit tcp any eq 1985 any
permit tcp any any eq 1985
permit udp any eq 1985 any
permit udp any any eq 1985
remark VRRP
permit tcp any eq 112 any
permit tcp any any eq 112
permit 112 any any
!--------------------------IP ROUTING END
no ip access-list extended VOICE
ip access-list extended VOICE
remark RTP - SRTP - Cisco UC & IP Phones
permit udp any range 16384 32767 any range 16384 32767
remark Asterisk IAX2
permit udp any eq 4569 any
permit udp any any eq 4569
remark Cisco VCS RTP & RTCP media
permit udp any eq 2776 any
permit udp any any eq 2776
permit udp any eq 2777 any
permit udp any any eq 2777
!--------------------------VOICE END
no ip access-list extended VIDEO
ip access-list extended VIDEO
remark PIM (Protocol Independent Multicast)
permit pim any any
permit tcp any any eq pim-auto-rp
permit udp any any eq pim-auto-rp
remark Real Time Streaming Protocol (RTSP)
permit tcp any eq 554 any
permit tcp any any eq 554
permit udp any eq 554 any
permit udp any any eq 554
remark Camstreams Media Encoder
permit udp any eq 5700 any
permit udp any any eq 5700
remark Cisco Unified Video
permit udp any eq 5445 any
permit udp any any eq 5445
remark IGMP
permit igmp any any
remark Philips Video Conferencing
permit tcp any eq 583 any
permit tcp any any eq 583
permit udp any eq 583 any
permit udp any any eq 583
remark H.263 Video Streaming
permit tcp any eq 2979 any
permit tcp any any eq 2979
permit udp any eq 2979 any
permit udp any any eq 2979
remark Windows Media streaming (used by Cisco)
permit tcp any eq 1755 any
permit tcp any any eq 1755
permit udp any eq 1755 any
permit udp any any eq 1755
!--------------------------VIDEO END
no ip access-list extended MISSION-CRITICAL
ip access-list extended MISSION-CRITICAL
remark GRE Tunneling
permit gre any any
remark IP in IP Tunneling
permit ipinip any any
remark IPsec ESP & AHP
permit ahp any any
permit esp any any
remark LWAPP & CAPWAPP
permit udp any any range 12222 12223
permit udp any range 12222 12223 any
permit udp any any range 5246 5247
permit udp any range 5246 5247 any
remark Cisco IP SLA
permit tcp any eq 1167 any
permit tcp any any eq 1167
permit udp any eq 1167 any
permit udp any any eq 1167
permit udp any eq 1967 any
permit udp any any eq 1967
remark LDAP
permit tcp any eq 389 any
permit tcp any any eq 389
permit udp any eq 389 any
permit udp any any eq 389
permit tcp any eq 636 any
permit tcp any any eq 636
permit udp any eq 636 any
permit udp any any eq 636
remark TACACS+
permit tcp any eq 49 any
permit udp any eq 49 any
permit tcp any any eq 49
permit udp any any eq 49
remark SSH & SCTP
permit tcp any eq 22 any
permit udp any eq 22 any
permit tcp any any eq 22
permit udp any any eq 22
remark Netop Remote Control
permit tcp any eq 1970 any
permit udp any eq 1970 any
permit tcp any any eq 1970
permit udp any any eq 1970
remark RDP & Microsoft remote assistance
permit tcp any eq 3389 any
permit udp any eq 3389 any
permit tcp any any eq 3389
permit udp any any eq 3389
remark WSUS HTTP & HTTPS
permit tcp any any range 8530 8531
permit tcp any range 8530 8531 any
permit udp any any range 8530 8531
permit udp any range 8530 8531 any
remark Citrix ICA
permit tcp any eq 1494 any
permit udp any eq 1494 any
permit tcp any any eq 1494
permit udp any any eq 1494
permit tcp any eq 2598 any
permit tcp any any eq 2598
remark DHCP
permit udp any range 67 68 any
permit udp any any range 67 68
remark DNS
permit tcp any eq 53 any
permit udp any eq 53 any
permit tcp any any eq 53
permit udp any any eq 53
!--------------------------MISSION-CRITICAL END
no ip access-list extended CALL-SIGNALING
ip access-list extended CALL-SIGNALING
remark SCCP / Skinny
permit tcp any any range 2000 2002
permit tcp any range 2000 2002 any
remark SIP & SIP over TLS
permit udp any any eq 5060
permit tcp any any eq 5060
permit tcp any any eq 5061
remark H.323
permit tcp any any range 1718 1719
permit udp any any range 1718 1719
permit tcp any any eq 1720
permit udp any any eq 1720
permit tcp any any eq 1300
permit tcp any eq 1300 any
permit udp any any eq 1300
permit udp any eq 1300 any
permit tcp any any eq 2517
permit tcp any eq 2517 any
permit udp any any eq 2517
permit udp any eq 2517 any
permit tcp any any eq 11720
permit tcp any eq 11720 any
permit udp any any eq 11720
permit udp any eq 11720 any
remark MGCP
permit tcp any any eq 2428
permit tcp any eq 2428 any
permit udp any any eq 2427
permit udp any eq 2427 any
permit tcp any any eq 2727
permit tcp any eq 2727 any
permit udp any any eq 2727
permit udp any eq 2727 any
remark Cisco VCS call signaling
permit tcp any any eq 2776
permit tcp any eq 2776 any
permit tcp any any eq 2777
permit tcp any eq 2777 any
!--------------------------CALL-SIGNALING END
no ip access-list extended NET-MGMT
ip access-list extended NET-MGMT
remark NTP
permit udp any eq 123 any
permit udp any any eq 123
remark Time
permit tcp any eq 37 any
permit tcp any any eq 37
permit udp any eq 37 any
permit udp any any eq 37
remark SNMP
permit udp any eq 161 any
permit udp any any range 161 162
remark Syslog
permit udp any any eq 514
remark Telnet
permit tcp any eq 23 any
permit tcp any any eq 23
remark ICMP
permit icmp any any
remark TFTP
permit udp any eq 69 any
permit udp any any eq 69
remark Asterisk Manager interface
permit tcp any any eq 5038
permit tcp any eq 5038 any
!--------------------------NET MGMT END
no ip access-list extended BULK-DATA
ip access-list extended BULK-DATA
remark FTP & Secure FTP
permit tcp any any eq ftp
permit tcp any any eq ftp-data
permit tcp any eq ftp any
permit tcp any eq ftp-data any
permit tcp any any eq 989
permit tcp any eq 989 any
permit tcp any any eq 990
permit tcp any eq 990 any
remark IMAP
permit tcp any any eq 143
permit tcp any eq 143 any
permit tcp any any eq 993
permit tcp any eq 993 any
remark POP2/3
permit tcp any any eq 110
permit tcp any eq 110 any
permit tcp any any eq 109
permit tcp any eq 109 any
permit tcp any any eq 995
permit tcp any eq 995 any
remark SMTP
permit tcp any any eq 25
permit tcp any eq 25 any
permit tcp any any eq 465
permit tcp any eq 465 any
remark HTTP & HTTPS
permit tcp any any eq www
permit tcp any eq www any
permit tcp any any eq 8080
permit tcp any eq 8080 any
permit tcp any any eq 8008
permit tcp any eq 8008 any
permit tcp any any eq 443
permit tcp any eq 443 any
remark CIFS & SMB
permit tcp any any eq 3020
permit tcp any eq 3020 any
permit udp any any eq 3020
permit udp any eq 3020 any
permit tcp any any eq 445
permit tcp any eq 445 any
permit udp any any eq 445
permit udp any eq 445 any
remark PRINTER
permit tcp any any eq 515
permit tcp any eq 515 any
permit udp any any eq 515
permit udp any eq 515 any
!--------------------------BULK DATA END
如果您已经阅读过上面有关 AutoQoS 的内容,那么这里的一切就非常简单了。
类映射和策略映射
我们需要创建类映射来匹配 ACL。您需要使用 match-any 语句,否则它将不起作用。这是因为我们想要检查 ACL 中的所有行并匹配流量。如果找到匹配项,则将标记流量。所有不匹配的流量都将放入默认值。
class-map match-any IP-ROUTING
match access-group name IP-ROUTING
class-map match-any VOICE
match access-group name VOICE
class-map match-any VIDEO
match access-group name VIDEO
class-map match-any MISSION-CRITICAL
match access-group name MISSION-CRITICAL
class-map match-any CALL-SIGNALING
match access-group name CALL-SIGNALING
class-map match-any NET-MGMT
match access-group name NET-MGMT
class-map match-any BULK-DATA
match access-group name BULK-DATA
现在我们需要创建一个策略图,如果发现匹配,则重新标记流量。
您可以将策略图重命名为您喜欢的任何名称。
policy-map QoS-MARKING
class IP-ROUTING
set dscp cs6
class VOICE
set dscp ef
class VIDEO
set dscp af41
class MISSION-CRITICAL
set dscp af31
class CALL-SIGNALING
set dscp cs3
class NET-MGMT
set dscp cs2
class BULK-DATA
set dscp af11
class class-default
set dscp default
查看此文章中的 QoS 计算器。您可以输入任何您想要的值或标记。默认类将设置任何不匹配的流量。
将策略添加到接口。
除了服务策略之外,我还在缓冲区上添加了 AutoQoS 标准。同样,为了使设计尽可能精简。我们还需要信任 dscp。示例:
interface range gi1/0/1-48
desc User Access
mls qos trust dscp
srr-queue bandwidth share 1 30 35 5
priority-queue out
service-policy input QoS-MARKING
这基本上就是接入交换机。配置可能会根据其他型号(如 Cisco 3650 或 Cisco 3850 系列等)而改变。