所有设备/客户端的基本 QoS 带宽

所有设备/客户端的基本 QoS 带宽

我有一个 IP 网络,该网络在任何时候都有大约 500 多个客户端。该网络使用 Cisco 1941 路由器作为网关,并有 5 个不同的子网。该网络还有 2 个 DC、一个 asterisk PBX 服务器和 5 个 Exchange 服务器群。路由器使用单个 WAN 和 100MB 互联网。

我只是想以一种防止任何客户端或设备占用整个带宽的方式来控制流量。例如,我不希望单个设备通过下载大型文件、应用程序或电影来占用带宽。

Cisco 1921 路由器(或类似路由器)上的配置是什么样的?这将仅用于调节出站流量。我假设我会制定一个监管策略,以确保每个客户端不超过确定的位数?

答案1

我在网络工程上创建了一个关于 QoS 的详尽答案,它是从那里复制/粘贴的:https://networkengineering.stackexchange.com/questions/42660/implementing-cisco-qos-model-to-end-users/45176

配置可能因设备而异,但命令通常在任何 Cisco 设备上都是相同的。答案二负责根据流量类型标记和确定流量的优先级。

介绍

首先,我要说的是,我花了整个夏天的时间试图找到正确的方法来完成这项工作。此外,我不得不聘请一位全职 CCIE 来帮忙一周左右,而在此过程中,我们让 Cisco TAC 试图找出我们 6500 系列交换机上的错误。

你为什么要这样做?

如今,IP 网络上的富媒体应用数量呈爆炸式增长。内容和媒体类型(无论是托管的还是非托管的)的激增要求网络架构师重新审视其服务质量 (QoS) 设计。

第一步可能看起来很明显而且多余,但实际上它至关重要:明确定义您的 QoS 策略要实现的业务目标。这些可能包括以下任何/全部:

  • 保证语音质量符合企业标准。
  • 确保视频的体验质量 (QoE)。
  • 通过增加交互式应用程序的网络响应时间来提高用户的工作效率。
  • 管理“占用带宽”的应用程序。
  • 识别并降低消费者应用程序的优先级。
  • 提高网络可用性。
  • 强化网络基础设施。

牢记这些目标,网络架构师可以清楚地确定哪些应用程序与其业务相关。相反,这种经验也会使你清楚地知道哪些应用程序与实现业务目标无关。这些应用程序可能是面向消费者的应用程序和/或面向娱乐的应用程序。最终一切都取决于你。

解决方案

我希望尽可能简化这一过程并免去配置。考虑到这一点,再加上 QoS 应始终在硬件中处理这一事实,我聘请的 CCIE 建议我使用 Cisco 中的 Auto-QoS 功能。

因此,无需在访问级别标记流量,最终用户或服务器自己就可以进行标记。Auto-QoS 随后会为整个网络中的流量传输提供正确的类别。这使我能够通过 Active Directory 组策略决定哪些应用程序或服务应优先处理或降低优先级。

首先,我想让它变得简单。这意味着优先考虑 VoIP 和视频应用程序,当您使用 Cisco IP 设备/TelePresence/摄像头等时,这些已经在 Auto-QoS 中预定义,我们就是这样做的。

拓扑概述

我们使用以下接入/核心设备。

  1. 核心:Cisco 897系列、Cisco 3650系列、Cisco 3850系列和Cisco 6500系列
  2. 访问:Cisco 3560CX Compact 系列和 Cisco 2960X 系列

我们的拓扑主要基于星型拓扑,请观察以下拓扑图(我们在 WAN MPLS 中使用 BGP):


拓扑


接入层的QoS

使用 Auto-QoS 时,配置非常简单直接。重新标记流量并将其发送到 MPLS ISP 有点复杂,但我将在下面展示示例。

所有接入交换机都设置了自动 QoS,其中所有端口(接入和中继/上行链路)都受 DSCP 信任。观察以下 QoS 表,其中 DSCP、CoS、ToS 等的所有值都设置在表中。这很好地概述了所选类别以及我试图在设计中实现的结构:


在此处输入图片描述


Auto-QoS 使用 AF(保证转发)值进行 DSCP 标记。

在接入交换机上启用自动 QoS

全局配置

mls qos (Activates QoS)
mls qos map cos-dscp 0 8 16 24 32 46 48 56 (Maps CoS to DSCP values, because CoS is a layer 2 marking, which cannot be routed)
auto qos srnd4 (Autogenerates all configuration in accordance to Cisco best practice SRND4 standard)

端口配置

auto qos trust dscp (Activates QoS and trusts DSCP on a port)
priority-queue out (Sends all traffic to the priority queues)

就是这样,交换机和端口现在将运行自动 QoS。

2960X 系列的自动 QoS 配置指南:https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960x/software/15-0_2_EX/qos/configuration_guide/b_qos_152ex_2960-x_cg/b_qos_152ex_2960-x_cg_chapter_011.html

在核心层启用自动 QoS

核心交换机处理 QoS 的方式有很大不同。Cisco 6500 系列不支持 Auto-QoS SRND4,因此我们需要手动配置 QoS 并将其映射到正确的类别,以保留 Auto-QoS 设计。Cisco 3650 和 3850 系列支持 Auto-QoS SRND4,因此配置起来非常简单:

在 3650 和 3850 系列上启用自动 QoS

全局配置

auto qos srnd4 (Activates and autogenerates the QoS configuration)

端口配置

auto qos trust dscp (Activates and autogenerates the QoS configuration)

当将核心连接到 MPLS ISP 时,我们希望将流量重新标记为 5 个类别(因为这是我们的 ISP 支持的)。这样,流量将优先通过 MPLS 到达拓扑中的所有位置(参见图纸)。您的 ISP 可能不同,因此重新标记应适合您的设计。以下示例是如何将所有流量重新标记为 5 个类别。

您需要复制自动生成的 Auto-QoS“AutoQos-4.0-Output-Policy”策略映射,然后创建一个新的。您必须使用与 Auto-QoS 生成的相同的类映射。如果您尝试创建自己的类映射,它们将被忽略,因此将使用相同的类映射,并根据以下类进行标记:

policy-map WAN-OUTPUT-QoS (The name can be whatever you like)
 class AutoQos-4.0-Output-Priority-Queue
  set dscp ef
  priority level 1 percent 10
 class AutoQos-4.0-Output-Control-Mgmt-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af21
 class AutoQos-4.0-Output-Multimedia-Conf-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af41
 class AutoQos-4.0-Output-Trans-Data-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af21
 class AutoQos-4.0-Output-Bulk-Data-Queue
  bandwidth remaining percent 2 
  queue-buffers ratio 10
  set dscp default
 class AutoQos-4.0-Output-Scavenger-Queue
  bandwidth remaining percent 1 
  queue-buffers ratio 10
  set dscp cs1
 class AutoQos-4.0-Output-Multimedia-Strm-Queue
  bandwidth remaining percent 10 
  queue-buffers ratio 10
  set dscp af41
 class class-default
  bandwidth remaining percent 25

这 5 个类别今后将按优先级排序并发送到 MPLS,如下所示:

  • DSCP AF 值:EF(VoIP)
  • DSCP AF 值:af41(所有视频媒体)
  • DSCP AF 值:af21(事务数据等)
  • DSCP AF 值:默认(例如 AF=0 和 DSCP=0 批量数据)
  • DSCP AF 值:cs1(Bittorrent 等的 Scavenger 类)

带宽百分比用作剩余带宽。这意味着所有类别都可以使用 100% 的带宽,如果未使用带宽,则从其他类别借用。这就像带宽共享,这意味着如果链路拥塞,优先级最高的类别将能够发送流量。

可以根据需要修改策略图类别和百分比以满足您的个人要求。

在至 ISP 的上行端口上需要进行以下配置:

interface XXX
auto qos trust dscp
service-policy input AutoQos-4.0-Trust-Dscp-Input-Policy
service-policy output WAN-OUTPUT-QoS

这就是 3650 和 3850 系列的全部内容。

在 6500 系列上启用 QoS

6500 系列不支持 Auto-QoS SRND4。它非常基础,并且仅理解 VoIP 的第 2 层 CoS 值。这意味着您需要从头开始配置所有 QoS,以适应来自接入层的 Auto-QoS 基础设施。需要根据机箱上安装的模块来配置 QoS。您还需要为入口和出口(输入/输出)创建策略映射。

主管只了解模块和机箱中的 ASIC 之间的 CoS。

要激活 CoS 的自动 QoS,您需要使用以下全局命令:

auto qos default

这将创建 CoS 到 DSCP 的表映射,但这些值并非全部符合 Auto-QoS SRND4 标准(CoS 7 映射到 54,而应为 56)。因此,您需要删除表映射并将其替换为以下内容:

no table-map cos-discard-class-map
table-map cos-discard-class-map
  map from  0 to 0
  map from  1 to 8
  map from  2 to 16
  map from  3 to 24
  map from  4 to 32
  map from  5 to 46
  map from  6 to 48
  map from  7 to 56

要创建 QoS 和策略映射,我们需要找出模块正在使用的排队模型。在下面的示例中,入口和出口队列是相同的,但在某些模块上,Rx 和 Tx 队列是不同的,因此您需要根据排队模型的方式创建策略映射。要找出接口正在使用的排队模型,您需要发出以下命令。以下示例基于模块:C6800-16P10G

show queueing interface xxx | sec Transmit queues
Transmit queues [type = 1p7q4t]
show queueing interface xxx | sec Receive queues
Receive queues [type = 1p7q4t]

如上所述,该模块上的队列是相同的,因此我们可以对输入和输出使用相同的策略。

1p7q4t 的基本含义是:1 个优先级队列,7 个普通队列,其中所有 7 个普通队列都有 4 个阈值。您可以通过搜索模块名称和队列来获取更多信息。此模块 C6800-16P10G 的说明见以下链接: https://www.cisco.com/c/en/us/products/collat​​eral/switches/catalyst-6800-series-switches/datasheet-c78-733662.html

参见表 1,队列。

首先,我们需要创建将用于所有策略映射的类映射。这将匹配与 Auto-QoS SRND4 中的类相匹配的各个类的 DSCP 值。请注意,类映射是使用 match-all 语句作为 lan-queueing 创建的,该语句的功能类似于编程中的 AND/OR。match-all=AND & match-any=OR。

查看以下配置指南;思科校园 QoS 设计简化,其中演示文稿底部按不同模块提供了配置示例: http://honim.typepad.com/files/campus-qos-design-simplified-brkcrs-2501.pdf

225页,链接很慢。

创建类映射(全局配置):

class-map type lan-queuing match-all REALTIME-1P7Q4T
  match dscp cs4 cs5 ef
class-map type lan-queuing match-all CONTROL-1P7Q4T
  match dscp cs2 cs3 cs6 cs7
class-map type lan-queuing match-all MM_CONF-1P7Q4T
  match dscp af41 af42 af43
class-map type lan-queuing match-all MM_STREAM-1P7Q4T
  match dscp af31 af32 af33
class-map type lan-queuing match-all TRANS_DATA-1P7Q4T
  match dscp af21 af22 af23
class-map type lan-queuing match-all BULK_DATA-1P7Q4T
  match dscp af11 af12 af13
class-map type lan-queuing match-all SCAVENGER-1P7Q4T
  match dscp cs1

您可以根据需要更改名称或进行编辑,以满足您的需要。

创建类映射后,我将创建策略映射。它定义 DSCP 值的优先级,并在匹配 DSCP 值后设置不同队列中的带宽。

policy-map type lan-queuing 1P7Q4T
 class REALTIME-1P7Q4T
  priority
 class CONTROL-1P7Q4T
  bandwidth remaining percent 10
 class MM_CONF-1P7Q4T
  bandwidth remaining percent 20
  random-detect dscp-based
  random-detect dscp af41 percent 80 100
  random-detect dscp af42 percent 70 100
  random-detect dscp af42 percent 60 100
 class MM_STREAM-1P7Q4T
  bandwidth remaining percent 15
  random-detect dscp-based
  random-detect dscp af31 percent 80 100
  random-detect dscp af32 percent 70 100
  random-detect dscp af33 percent 60 100
 class TRANS_DATA-1P7Q4T
  bandwidth remaining percent 15
  random-detect dscp-based
  random-detect dscp af21 percent 80 100
  random-detect dscp af22 percent 70 100
  random-detect dscp af23 percent 60 100
 class BULK_DATA-1P7Q4T
  bandwidth remaining percent 9
  random-detect dscp-based
  random-detect dscp af11 percent 80 100
  random-detect dscp af12 percent 70 100
  random-detect dscp af13 percent 60 100
 class SCAVENGER-1P7Q4T
  bandwidth remaining percent 1
 class class-default
  random-detect dscp-based
  random-detect dscp default percent 80 100

创建策略图后,您需要将其应用到接口:

interface xxx
  service-policy type lan-queuing input 1P7Q4T
  service-policy type lan-queuing output 1P7Q4T

要验证您的配置并查看是否正在执行排队,您可以使用以下命令(您可能需要关闭/不关闭接口才能使其生效):

show queueing interface xxx

要标记 6500 系列上的流量,您需要创建新的类映射和新的策略映射。类映射不是作为 lan-queues 创建的,匹配语句是 match-any=OR 而不是 match-all,因为我们想逐个检查多个值。因此,如果第一个值与数据包不匹配,则将检查下一个值,依此类推。

我想指出的是,这是我们必须让思科 TAC 参与进来的地方,因为出现了以下错误: https://bst.cloudapps.cisco.com/bugsearch/bug/CSCuz52151

我们必须将类映射从匹配 AF 值改为匹配原始 DSCP 值(丢弃类)。我们还必须将交换机升级到版本 152-1.SY5 (MD)。在我们遵循这些指示后,我们再也没有遇到任何问题。

配置如下:

class-map match-any WAN-HIGH
  match discard-class 32
  match discard-class 40
  match discard-class 46
class-map match-any WAN-GOLD
  match discard-class 26
  match discard-class 28
  match discard-class 30
  match discard-class 34
  match discard-class 36
  match discard-class 38
class-map match-any WAN-SILVER
  match discard-class 16
  match discard-class 18
  match discard-class 20
  match discard-class 22
  match discard-class 24
  match discard-class 48
  match discard-class 56
class-map match-any WAN-BEST_EFFORT
  match discard-class 0
  match discard-class 10
  match discard-class 12
  match discard-class 14
class-map match-any WAN-SCAVENGER
  match discard-class 8

此后我们创建策略图:

policy-map WAN-OUTPUT-QoS
 class WAN-HIGH
   set dscp ef
 class WAN-GOLD
  set dscp af41
 class WAN-SILVER
  set dscp af21
 class WAN-BEST_EFFORT
  set dscp default
 class WAN-SCAVENGER
  set dscp cs1

然后我们需要将其应用到接口上:

interface xxx
 service-policy output WAN-OUTPUT-QoS
 service-policy type lan-queuing input 1P7Q4T

就是这样。我希望这些信息对您有所帮助。我理解人们说 QoS 很复杂。它可以以各种方式实现,上面的例子只是实现方式的一个小片段。我知道思科正在努力将 Auto-QoS SRND4 标准推广到越来越多的设备,以帮助为服务质量奠定良好的基础。

答案2

回答二(因为我的空间不够了)

根据端口/类型标记传入流量

介绍

本节将介绍如何使用访问列表标记传入流量以检查源端口或类型。与上述示例的不同之处在于,通过使用访问列表,您可以具体决定要通过网络优先处理哪些流量。AutoQoS 优先考虑“最常见”的协议和流量类型,而本示例让您完全控制设计 QoS。这个想法很简单:检测并重新标记从主机进入您网络的流量。在整个网络中传输标记的类别。

先决条件

在按照下面所述配置 QoS 之前,您必须彻底了解其工作原理并注意以下事项:

  1. 所使用的应用程序类型和网络上的流量模式。
  2. 您网络的流量特征和需求。流量是否具有突发性?您是否需要为语音和视频流预留带宽?
  3. 网络的带宽要求和速度。
  4. 网络中拥塞点的位置。
  5. AutoQoS 是否足以实现您的目标?

注意事项

该示例仅在 Cisco 2960X 系列上进行了测试。因此,请考虑:

  1. Cisco 2960 和 2960S 系列或更早版本不支持此方法。忽略此方法可能会导致您的网络严重停机。只有较新的 Cisco 硬件才有能力处理每个端口的这些访问列表数量。
  2. 我的示例仅适用于传入流量。Cisco 2960X 系列不支持输出 QoS 策略。
  3. 您应该知道,如果您有大量更改或需要添加其他模式,则示例在管理上很难持续支持。请注意,我没有测试过下面显示的内容以外的内容。您可能会达到交换机实际能力的极限。
  4. 在我的测试环境中,我没有看到对性能有任何影响。您可能会遇到不同的情况。该策略已在所有 24 个或 48 个接入端口(WS-C2960X-24PS-L 和 WS-C2960X-48FPD-L)上启用。

MLS QOS 配置

这将保持简单并从 AutoQoS 复制。这样我们就知道缓冲区将根据 Cisco 正确设置。如果您想了解更多信息,可以查看之前的 QoS 值计算器。这仅处理输出缓冲区如何对标记的流量做出反应,并确保在通过接口发出时所有内容都正确按优先级排序。

mls qos
mls qos map cos-dscp 0 8 16 24 32 46 48 56
mls qos srr-queue output cos-map queue 1 threshold 3 4 5
mls qos srr-queue output cos-map queue 2 threshold 1 2
mls qos srr-queue output cos-map queue 2 threshold 2 3
mls qos srr-queue output cos-map queue 2 threshold 3 6 7
mls qos srr-queue output cos-map queue 3 threshold 3 0
mls qos srr-queue output cos-map queue 4 threshold 3 1
mls qos srr-queue output dscp-map queue 1 threshold 3 32 33 40 41 42 43 44 45
mls qos srr-queue output dscp-map queue 1 threshold 3 46 47
mls qos srr-queue output dscp-map queue 2 threshold 1 16 17 18 19 20 21 22 23
mls qos srr-queue output dscp-map queue 2 threshold 1 26 27 28 29 30 31 34 35
mls qos srr-queue output dscp-map queue 2 threshold 1 36 37 38 39
mls qos srr-queue output dscp-map queue 2 threshold 2 24
mls qos srr-queue output dscp-map queue 2 threshold 3 48 49 50 51 52 53 54 55
mls qos srr-queue output dscp-map queue 2 threshold 3 56 57 58 59 60 61 62 63
mls qos srr-queue output dscp-map queue 3 threshold 3 0 1 2 3 4 5 6 7
mls qos srr-queue output dscp-map queue 4 threshold 1 8 9 11 13 15
mls qos srr-queue output dscp-map queue 4 threshold 2 10 12 14
mls qos queue-set output 1 threshold 1 100 100 50 200
mls qos queue-set output 1 threshold 2 125 125 100 400
mls qos queue-set output 1 threshold 3 100 100 100 400
mls qos queue-set output 1 threshold 4 60 150 50 200
mls qos queue-set output 1 buffers 15 25 40 20

访问列表配置

以下访问列表完全基于大多数组织使用的内容。当然,我已浏览整个互联网并询问开发人员、系统管理员和一些用户他们的看法。该示例还基于 Cisco 的 VoIP 服务质量白皮书。

白皮书来源:https://www.cisco.com/c/en/us/td/docs/ios/solutions_docs/qos_solutions/QoSVoIP/QoSVoIP.html

请记住,该列表是根据我的需要而定的。您可以添加或删除任何您喜欢的内容。添加之前没有删除 ACL 的语句。这是为了在复制/粘贴时更容易编辑/删除 ACL 中的新行。

所有 ACL 都有一个注释来解释它的用途。

no ip access-list extended IP-ROUTING
ip access-list extended IP-ROUTING
 remark BGP
 permit tcp any eq 179 any
 permit tcp any any eq 179
 remark RIP
 permit udp any eq 520 any
 permit udp any any eq 520
 remark EIGRP
 permit eigrp any any
 remark OSPF
 permit ospf any any
 remark HSRP
 permit tcp any eq 1985 any
 permit tcp any any eq 1985
 permit udp any eq 1985 any
 permit udp any any eq 1985
 remark VRRP
 permit tcp any eq 112 any
 permit tcp any any eq 112
 permit 112 any any
!--------------------------IP ROUTING END

no ip access-list extended VOICE
ip access-list extended VOICE
 remark RTP - SRTP - Cisco UC & IP Phones
 permit udp any range 16384 32767 any range 16384 32767
 remark Asterisk IAX2
 permit udp any eq 4569 any
 permit udp any any eq 4569
 remark Cisco VCS RTP & RTCP media
 permit udp any eq 2776 any
 permit udp any any eq 2776
 permit udp any eq 2777 any
 permit udp any any eq 2777
!--------------------------VOICE END

no ip access-list extended VIDEO
ip access-list extended VIDEO
 remark PIM (Protocol Independent Multicast)
 permit pim any any
 permit tcp any any eq pim-auto-rp
 permit udp any any eq pim-auto-rp
 remark Real Time Streaming Protocol (RTSP)
 permit tcp any eq 554 any
 permit tcp any any eq 554
 permit udp any eq 554 any
 permit udp any any eq 554
 remark Camstreams Media Encoder
 permit udp any eq 5700 any
 permit udp any any eq 5700
 remark Cisco Unified Video
 permit udp any eq 5445 any
 permit udp any any eq 5445
 remark IGMP
 permit igmp any any
 remark Philips Video Conferencing
 permit tcp any eq 583 any
 permit tcp any any eq 583
 permit udp any eq 583 any
 permit udp any any eq 583
 remark H.263 Video Streaming
 permit tcp any eq 2979 any
 permit tcp any any eq 2979
 permit udp any eq 2979 any
 permit udp any any eq 2979
 remark Windows Media streaming (used by Cisco)
 permit tcp any eq 1755 any
 permit tcp any any eq 1755
 permit udp any eq 1755 any
 permit udp any any eq 1755
!--------------------------VIDEO END

no ip access-list extended MISSION-CRITICAL
ip access-list extended MISSION-CRITICAL
 remark GRE Tunneling
 permit gre any any
 remark IP in IP Tunneling
 permit ipinip any any
 remark IPsec ESP & AHP
 permit ahp any any
 permit esp any any
 remark LWAPP & CAPWAPP
 permit udp any any range 12222 12223
 permit udp any range 12222 12223 any
 permit udp any any range 5246 5247
 permit udp any range 5246 5247 any
 remark Cisco IP SLA
 permit tcp any eq 1167 any
 permit tcp any any eq 1167
 permit udp any eq 1167 any
 permit udp any any eq 1167
 permit udp any eq 1967 any
 permit udp any any eq 1967
 remark LDAP
 permit tcp any eq 389 any
 permit tcp any any eq 389
 permit udp any eq 389 any
 permit udp any any eq 389
 permit tcp any eq 636 any
 permit tcp any any eq 636
 permit udp any eq 636 any
 permit udp any any eq 636
 remark TACACS+
 permit tcp any eq 49 any
 permit udp any eq 49 any
 permit tcp any any eq 49
 permit udp any any eq 49
 remark SSH & SCTP
 permit tcp any eq 22 any
 permit udp any eq 22 any
 permit tcp any any eq 22
 permit udp any any eq 22
 remark Netop Remote Control
 permit tcp any eq 1970 any
 permit udp any eq 1970 any
 permit tcp any any eq 1970
 permit udp any any eq 1970
 remark RDP & Microsoft remote assistance
 permit tcp any eq 3389 any
 permit udp any eq 3389 any
 permit tcp any any eq 3389
 permit udp any any eq 3389
 remark WSUS HTTP & HTTPS
 permit tcp any any range 8530 8531
 permit tcp any range 8530 8531 any
 permit udp any any range 8530 8531
 permit udp any range 8530 8531 any
 remark Citrix ICA
 permit tcp any eq 1494 any
 permit udp any eq 1494 any
 permit tcp any any eq 1494
 permit udp any any eq 1494
 permit tcp any eq 2598 any
 permit tcp any any eq 2598
 remark DHCP
 permit udp any range 67 68 any
 permit udp any any range 67 68
 remark DNS
 permit tcp any eq 53 any
 permit udp any eq 53 any
 permit tcp any any eq 53
 permit udp any any eq 53
!--------------------------MISSION-CRITICAL END

no ip access-list extended CALL-SIGNALING
ip access-list extended CALL-SIGNALING
 remark SCCP / Skinny
 permit tcp any any range 2000 2002
 permit tcp any range 2000 2002 any
 remark SIP & SIP over TLS
 permit udp any any eq 5060
 permit tcp any any eq 5060
 permit tcp any any eq 5061
 remark H.323
 permit tcp any any range 1718 1719
 permit udp any any range 1718 1719
 permit tcp any any eq 1720
 permit udp any any eq 1720
 permit tcp any any eq 1300
 permit tcp any eq 1300 any
 permit udp any any eq 1300
 permit udp any eq 1300 any
 permit tcp any any eq 2517
 permit tcp any eq 2517 any
 permit udp any any eq 2517
 permit udp any eq 2517 any
 permit tcp any any eq 11720
 permit tcp any eq 11720 any
 permit udp any any eq 11720
 permit udp any eq 11720 any
 remark MGCP
 permit tcp any any eq 2428
 permit tcp any eq 2428 any
 permit udp any any eq 2427
 permit udp any eq 2427 any
 permit tcp any any eq 2727
 permit tcp any eq 2727 any
 permit udp any any eq 2727
 permit udp any eq 2727 any
 remark Cisco VCS call signaling
 permit tcp any any eq 2776
 permit tcp any eq 2776 any
 permit tcp any any eq 2777
 permit tcp any eq 2777 any
!--------------------------CALL-SIGNALING END

no ip access-list extended NET-MGMT
ip access-list extended NET-MGMT
 remark NTP
 permit udp any eq 123 any
 permit udp any any eq 123
 remark Time
 permit tcp any eq 37 any
 permit tcp any any eq 37
 permit udp any eq 37 any
 permit udp any any eq 37
 remark SNMP
 permit udp any eq 161 any
 permit udp any any range 161 162
 remark Syslog
 permit udp any any eq 514
 remark Telnet
 permit tcp any eq 23 any
 permit tcp any any eq 23
 remark ICMP
 permit icmp any any
 remark TFTP
 permit udp any eq 69 any
 permit udp any any eq 69
 remark Asterisk Manager interface
 permit tcp any any eq 5038
 permit tcp any eq 5038 any
!--------------------------NET MGMT END

no ip access-list extended BULK-DATA
ip access-list extended BULK-DATA
 remark FTP & Secure FTP
 permit tcp any any eq ftp
 permit tcp any any eq ftp-data
 permit tcp any eq ftp any
 permit tcp any eq ftp-data any
 permit tcp any any eq 989
 permit tcp any eq 989 any
 permit tcp any any eq 990
 permit tcp any eq 990 any
 remark IMAP
 permit tcp any any eq 143
 permit tcp any eq 143 any
 permit tcp any any eq 993
 permit tcp any eq 993 any
 remark POP2/3
 permit tcp any any eq 110
 permit tcp any eq 110 any
 permit tcp any any eq 109
 permit tcp any eq 109 any
 permit tcp any any eq 995
 permit tcp any eq 995 any
 remark SMTP
 permit tcp any any eq 25
 permit tcp any eq 25 any
 permit tcp any any eq 465
 permit tcp any eq 465 any
 remark HTTP & HTTPS
 permit tcp any any eq www
 permit tcp any eq www any
 permit tcp any any eq 8080
 permit tcp any eq 8080 any
 permit tcp any any eq 8008
 permit tcp any eq 8008 any
 permit tcp any any eq 443
 permit tcp any eq 443 any
 remark CIFS & SMB
 permit tcp any any eq 3020
 permit tcp any eq 3020 any
 permit udp any any eq 3020
 permit udp any eq 3020 any
 permit tcp any any eq 445
 permit tcp any eq 445 any
 permit udp any any eq 445
 permit udp any eq 445 any
 remark PRINTER
 permit tcp any any eq 515
 permit tcp any eq 515 any
 permit udp any any eq 515
 permit udp any eq 515 any
!--------------------------BULK DATA END

如果您已经阅读过上面有关 AutoQoS 的内容,那么这里的一切就非常简单了。

类映射和策略映射

我们需要创建类映射来匹配 ACL。您需要使用 match-any 语句,否则它将不起作用。这是因为我们想要检查 ACL 中的所有行并匹配流量。如果找到匹配项,则将标记流量。所有不匹配的流量都将放入默认值。

class-map match-any IP-ROUTING
 match access-group name IP-ROUTING
class-map match-any VOICE
 match access-group name VOICE
class-map match-any VIDEO
 match access-group name VIDEO
class-map match-any MISSION-CRITICAL
 match access-group name MISSION-CRITICAL
class-map match-any CALL-SIGNALING
 match access-group name CALL-SIGNALING
class-map match-any NET-MGMT
 match access-group name NET-MGMT
class-map match-any BULK-DATA
 match access-group name BULK-DATA

现在我们需要创建一个策略图,如果发现匹配,则重新标记流量。

您可以将策略图重命名为您喜欢的任何名称。

policy-map QoS-MARKING
 class IP-ROUTING
  set dscp cs6
 class VOICE
  set dscp ef
 class VIDEO
  set dscp af41
 class MISSION-CRITICAL
  set dscp af31
 class CALL-SIGNALING
  set dscp cs3
 class NET-MGMT
  set dscp cs2
 class BULK-DATA
  set dscp af11
 class class-default
  set dscp default

查看此文章中的 QoS 计算器。您可以输入任何您想要的值或标记。默认类将设置任何不匹配的流量。

将策略添加到接口。

除了服务策略之外,我还在缓冲区上添加了 AutoQoS 标准。同样,为了使设计尽可能精简。我们还需要信任 dscp。示例:

interface range gi1/0/1-48
 desc User Access
 mls qos trust dscp
 srr-queue bandwidth share 1 30 35 5
 priority-queue out
 service-policy input QoS-MARKING

这基本上就是接入交换机。配置可能会根据其他型号(如 Cisco 3650 或 Cisco 3850 系列等)而改变。

相关内容