QOS su 3750

Rizio · gio 13 giu , 2013 2:41 pm

Qualcuno può aiutarmi a capire perchè il qos settato su un 3560 (funzionante) portato su un 3750 non funziona?
Non ricevo errori nè altro, semplicemente non mi tagga il traffico voip come prima faceva il 3560.
Tutte e due gli switch hanno l'ios IPSERVICE, la conf è questa:

Codice: Seleziona tutto

class-map match-any GOLD
 match access-group name ACL_GOLD
class-map match-any PLATINUM
 match access-group name ACL_PLATINUM
class-map match-any SILVER
 match access-group name ACL_SILVER
!
!
policy-map SET_QOS
 class PLATINUM
  set dscp af41
 class GOLD
  set dscp af31
 class SILVER
  set dscp af21
!
interface Vlan100
 description VOIP
 ip address 10.17.6.1 255.255.240.0
 service-policy input SET_QOS
!
ip access-list extended ACL_GOLD
 permit tcp any any eq 2000
 permit tcp any any eq 1720
ip access-list extended ACL_PLATINUM
 permit udp any any range 16684 32767
ip access-list extended ACL_SILVER
 permit ip any any

Ho già notato che senza il comando

Codice: Seleziona tutto

mls qos

sul 3750 mi diceva che il qos non era abilitato a differenza del 3560, ma anche dando il comando non ottengo la marcatura dei pacchetti.

Codice: Seleziona tutto

SW_3750#sh policy-map int vlan 100
 Vlan100 

  Service-policy input: SET_QOS

    Class-map: PLATINUM (match-any)
      0 packets, 0 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: access-group name ACL_PLATINUM
        0 packets, 0 bytes
        5 minute rate 0 bps

    Class-map: GOLD (match-any)
      0 packets, 0 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: access-group name ACL_GOLD
        0 packets, 0 bytes
        5 minute rate 0 bps

    Class-map: SILVER (match-any)
      0 packets, 0 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: access-group name ACL_SILVER
        0 packets, 0 bytes
        5 minute rate 0 bps

    Class-map: class-default (match-any)
      0 packets, 0 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: any 
        0 packets, 0 bytes
        5 minute rate 0 bps

Perchè? Dove stò sbagliando?

Grazie in anticipo.
Rizio

scolpi · gio 13 giu , 2013 4:11 pm

Io ho testato della qos su un 2950 e i vari show non mi davano nulla, però il router a valle vedeva la marcatura.

La spiegazione è che siccome lo switch fa tutto in hardware l'acl non mostrava i match e gli altri show nemmeno. Non vorrei che il tutto funzioni, ma i comandi non lo mostrano. Hai la possibilità di inserire un router a monte e vedere se metcha i parametri che lo switch marca?

Crei una policy-map (che poi la metterai in input all'interfaccia del router) che contiene una class-map che non fa altro che fare il match dei vari dscp che hai settato sul 3750.

se gli show sul router ti mostrano i match la classificazione sul 3750 funziona.

Rizio · ven 14 giu , 2013 10:15 am

Oppero.... grazie mille dell'hint!

Stamattina provo a vedere cosa riesco a strolgare tra un router o una porta in monitoring per vedere il traffico in transito.

Grazie ancora, ti faccio sapere il risultato,
Rizio

paolomat75 · ven 14 giu , 2013 10:57 am

Bravo. Informaci. (sono curioso anch'io

)

Rizio · mar 18 giu , 2013 10:15 am

Come promesso ecchemi, vi allego un'immagine esplicativa e che avvalora la tesi di Scolpi

Grazie ancora
Rizio

paolomat75 · mar 18 giu , 2013 10:21 am

Meglio così

.

Grazie per la condivisione

Paolo

Rizio · mar 18 giu , 2013 10:48 am

Era il minimo figurati

Alla prossima
Rizio

Rizio · mer 19 giu , 2013 11:20 am

Ragazzi scusate ma riapro il post perchè ho dei dubbi sul matching delle acl di selezione e anche provando non riesco a chiarirmeli.

La configurazione come sopra funziona, però adesso vorrei abbassare la priorità di un determinato tipo di traffico (smb/cifs/backup) perciò subito avevo creato una deny nell'acl ACL_SILVER per fare in modo che il traffico negato (smb/cifs/backup) NON venisse marcato con l'af21 e rimanesse con il tagging di default (0). Il problema è che non sembra matchare il deny, o quantomeno, mi viene tutto taggato come traffico af21.
L'acl di cui stò parlando era fatta così:

Codice: Seleziona tutto

ip access-list extended ACL_SILVER
 deny   tcp any any eq 139
 deny   tcp any any eq 445
 deny   udp any any eq netbios-ns
 deny   udp any any eq netbios-dgm
 deny   tcp any any eq 5555
 permit ip any any

e ricadeva nella classe SILVER così

Codice: Seleziona tutto

class-map match-any SILVER
  match access-group name ACL_SILVER
!
policy-map SET_QOS
 class PLATINUM
   set dscp af41
 class GOLD
   set dscp af31
 class SILVER
   set dscp af21

a questo punto ho provato ad aggiungere la classe BRONZE così:

Codice: Seleziona tutto

class-map match-any GOLD
 match access-group name ACL_GOLD
class-map match-any BRONZE
 match access-group name ACL_BRONZE
class-map match-any PLATINUM
 match access-group name ACL_PLATINUM
class-map match-any SILVER
 match access-group name ACL_SILVER
!
!
policy-map SET_QOS
 class PLATINUM
  set dscp af41
 class GOLD
  set dscp af31
 class SILVER
  set dscp af21
 class BRONZE
  set dscp default
!
!
ip access-list extended ACL_BRONZE
 permit tcp any any eq 22
 permit tcp any any eq 139
 permit tcp any any eq 445
 permit udp any any eq netbios-ns
 permit udp any any eq netbios-dgm
 permit tcp any any eq 5555
 permit ip any any
ip access-list extended ACL_GOLD
 permit tcp any any eq 2000
 permit tcp any any eq 1720
ip access-list extended ACL_PLATINUM
 permit udp any any range 16684 32767
ip access-list extended ACL_SILVER
 deny   tcp any any eq 139
 deny   tcp any any eq 445
 deny   udp any any eq netbios-ns
 deny   udp any any eq netbios-dgm
 deny   tcp any any eq 22
 deny   tcp any any eq 5555
 permit ip any any

però mi sembra tutto troppo ridondante inutilmente e comunque non sembra funzionare.

Il deny nell'acl di selezione mi confermate che evita il tagging del traffico (o quanto meno dovrebbe farlo)?!
C'è un altro modo in cui potrei farlo?

Grazie
Rizio

P.S. Lasciate perdere la ridondanza delle permit nell'acl BRONZE perchè spreravo di vedere il matching degli hit ma il 3750 non li mostra comunque

scolpi · mer 19 giu , 2013 1:48 pm

Quando usi le acl per selezionare il traffico, ti servono solo i permit, tutto il resto del traffico viene ignorato, non ci vanno i deny, sono semplicemente inutili.
Nella policy map che fa riferimento alla classe a cui hai attribuito il compito di matchare il traffico selezionato dalla acl, il traffico che non è intercettato dalla acl sarà sempre intercettato da un'altra classe nella stessa policy-map al limite, se tu non hai definito tale classe, cade nella classe di default che è sempre presente nelle policy map.

In sostanza tutto il traffico che entra nell'interfraccia verrà "catturato" da una class-map, al mite quella di default.

Codice: Seleziona tutto

policy-map SET_QOS
class PLATINUM
  set dscp af41
class GOLD
  set dscp af31
class SILVER
  set dscp af21
class BRONZE
  set dscp default
!

l'acl che hai impostato, ha un permit ip any any che intercetterà tutto il traffico nella classe SILVER di conseguenza, nessun pacchetto sarà marcato con dscp 0 (default) e tutto il traffico non matchato dalle classi precedenti sarà marcato come af21 e nella classe BRONZE non arriverà nessun traffico.

Ciao

Rizio · gio 20 giu , 2013 7:55 am

Grazie mille ancora Scolpi, spiegazione chiara e compresa

Però ora mi sorge un dubbio; per fare quello che vorrei fare io (marcare tutto il traffico come SILVER e solo il traffico SMB/CIFS/BACKUP come default) devo per forza esplicitare nell'acl silver tutto il traffico che voglio marcare protocollo per protocollo, giusto?
Perchè io speravo di poter generalizzare nell'acl SILVER con la permit any any ed evitare di dover scrivere ogni singolo protocollo/porta

Rizio

paolomat75 · gio 20 giu , 2013 10:39 am

Rizio ha scritto:Grazie mille ancora Scolpi, spiegazione chiara e compresa

Però ora mi sorge un dubbio; per fare quello che vorrei fare io (marcare tutto il traffico come SILVER e solo il traffico SMB/CIFS/BACKUP come default) devo per forza esplicitare nell'acl silver tutto il traffico che voglio marcare protocollo per protocollo, giusto?
Perchè io speravo di poter generalizzare nell'acl SILVER con la permit any any ed evitare di dover scrivere ogni singolo protocollo/porta

Rizio

Scusa ma non fai prima a marcare il traffico con priorità bassa e alzare quello di default?

Paolo

scolpi · gio 20 giu , 2013 11:11 am

Io farei così:

ip access-list extended ACL_NORMAL
permit tcp any any eq 139
permit tcp any any eq 445
permit udp any any eq netbios-ns
permit udp any any eq netbios-dgm
permit tcp any any eq 5555

class-map NORMAL
match access-group name ACL_NORMAL

policy-map SET_QOS
class NORMAL
set dscp af21
class class-default
set dscp default

e la applichi in ingresso.

Quindi tutto ciò che entra e che sarà intercerraro dalla acl normal verrà marcato con af21 il resto con 0

Rizio · gio 20 giu , 2013 11:15 am

paolomat75 ha scritto:Scusa ma non fai prima a marcare il traffico con priorità bassa e alzare quello di default?

L'intento sarebbe quello: dare a tutto il traffico priorità silver tranne ai 3 protocolli di cui ho raccontato.
Tu come faresti senza riscrivere tutti i protocolli da mettere in silver? Mi stò forse perdendo in un bicchiere d'acqua? Può essere ehh che ormai stia considerando il problema solo dal punto di vista più complesso.

Rizio

Rizio · gio 20 giu , 2013 11:18 am

scolpi ha scritto:Io farei così:

ip access-list extended ACL_NORMAL
permit tcp any any eq 139
permit tcp any any eq 445
permit udp any any eq netbios-ns
permit udp any any eq netbios-dgm
permit tcp any any eq 5555

class-map NORMAL
match access-group name ACL_NORMAL

policy-map SET_QOS
class NORMAL
set dscp af21
class class-default
set dscp default

e la applichi in ingresso.

Quindi tutto ciò che entra e che sarà intercerraro dalla acl normal verrà marcato con af21 il resto con 0

Ma io vorrei il contrario, vorrei che tutto il traffico "normale" (ossia tutto ciò che non ho espressamente dichiarato) fosse taggato con af21 e solo i protocolli della tua acl_normal vengano marcato con 0.
Il problema è che se nell'acl_silver metto permit ip any any e non posso fare deny non c'è verso di fargli fare il matching di traffico con priorità più bassa.

In pratica immaginatevi di avere tutto il traffico taggato con af21 tranne i 3 protocolli che dovrebbero essere in default.

Rizio

P.S. Quando il traffico viene taggato CS6 cosa significa?

paolomat75 · gio 20 giu , 2013 11:21 am

Rizio ha scritto:
paolomat75 ha scritto:Scusa ma non fai prima a marcare il traffico con priorità bassa e alzare quello di default?
L'intento sarebbe quello: dare a tutto il traffico priorità silver tranne ai 3 protocolli di cui ho raccontato.
Tu come faresti senza riscrivere tutti i protocolli da mettere in silver? Mi stò forse perdendo in un bicchiere d'acqua? Può essere ehh che ormai stia considerando il problema solo dal punto di vista più complesso.

Rizio

Ti ha risposto scolpi, solo che se ho capito bene ha invertito i 2 set.

Codice: Seleziona tutto

policy-map SET_QOS
class NORMAL
set dscp default
class class-default
set dscp af21

Paolo

QOS su 3750

Login • Iscriviti