forum.opennet.ru - "Вопрос по QoS и VPN" (15)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Вопрос по QoS и VPN"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Вопрос по QoS и VPN"		+/–
Сообщение от plohish (??) on 12-Авг-09, 10:17
Здравствуйте. Имеется следующая схема: 192.168.60.0/24 ---- g0/0.1 CS2821 g0/1.1 ---IPSEC--- f0/1.1 CS1841 f0/0 ---- 10.0.10.0/24 Задача: сеть 10.0.10.0/24 качает из сети 192.168.60.0/24 на скорости 256 kbit/s. CS2821: access-list 170 permit ip host 92.242.xxx.yyy host 195.184.xxx.yyy class-map match-all CLASS1 match access-group 170 policy-map SHAPER_2048 class CLASS1 shape average 256000 class class-default shape average 2048000 interface GigabitEthernet0/1.1 ... ip address 92.242.xxx.yyy 255.255.255.252 crypto map VPN_MAP service-policy output SHAPER_2048 В целом задача решена, сеть 10.0.10.0/24 качает из сети 192.168.60.0/24 на скорости 256 kbit/s. Но что делать, в случае, если я вместо механизма shape average захочу использовать приоритезацию для разных классов траффика, или делить полосу не "в целом", а балансировать между 10.0.10.1 и 192.168.60.60 и всеми остальными, например? Я это к тому, что crypto map VPN_MAP применяется скорее чем service-policy output SHAPER_2048, т.е. service-policy output SHAPER_2048 работает уже с зашифрованными пакетами, ходящими между security gateway 92.242.xxx.yyy и 195.184.xxx.yyy, т.о. траффик классифицировать невозможно, ибо он зашифрован. Я ошибаюсь (надеюсь) ?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Вопрос по QoS и VPN, GolDi, 10:38 , 12-Авг-09, (1)
Вопрос по QoS и VPN, vnn, 10:44 , 12-Авг-09, (2)

Вопрос по QoS и VPN, plohish, 11:10 , 12-Авг-09, (3)
Вопрос по QoS и VPN, GolDi, 11:59 , 12-Авг-09, (4)

Вопрос по QoS и VPN, vnn, 12:01 , 12-Авг-09, (5)

Вопрос по QoS и VPN, plohish, 12:57 , 12-Авг-09, (6)

Вопрос по QoS и VPN, AlexDv, 14:11 , 12-Авг-09, (7)

Вопрос по QoS и VPN, plohish, 14:45 , 12-Авг-09, (8)

Вопрос по QoS и VPN, AlexDv, 15:06 , 12-Авг-09, (9)

Вопрос по QoS и VPN, plohish, 16:01 , 12-Авг-09, (10)

Вопрос по QoS и VPN, AlexDv, 16:24 , 12-Авг-09, (11)

Вопрос по QoS и VPN, plohish, 17:38 , 12-Авг-09, (12)

Вопрос по QoS и VPN, AlexDv, 17:59 , 12-Авг-09, (13)

Вопрос по QoS и VPN, plohish, 18:21 , 12-Авг-09, (14)
Вопрос по QoS и VPN, AlexDv, 18:31 , 12-Авг-09, (15)

Сообщения по теме [Сортировка по времени | RSS]

1. "Вопрос по QoS и VPN" +/–

Сообщение от GolDi (??) on 12-Авг-09, 10:38

>[оверквотинг удален]
> ...
> ip address 92.242.xxx.yyy 255.255.255.252
> crypto map VPN_MAP
> service-policy output SHAPER_2048
>
>В целом задача решена, сеть 10.0.10.0/24 качает из сети 192.168.60.0/24 на скорости
>256 kbit/s. Но что делать, в случае, если я вместо механизма
>shape average захочу использовать приоритезацию для разных классов траффика, или делить
>полосу не "в целом", а балансировать между 10.0.10.1 и 192.168.60.60 и
>всеми остальными, например?
Что-то можно повесить на g0/0.1 на input кроме shaper-а.
>Я это к тому, что crypto map VPN_MAP применяется скорее чем service-policy
>output SHAPER_2048, т.е. service-policy output SHAPER_2048 работает уже с зашифрованными пакетами,
>ходящими между security gateway 92.242.xxx.yyy и 195.184.xxx.yyy, т.о. траффик классифицировать невозможно,
>ибо он зашифрован.
>
>Я ошибаюсь (надеюсь) ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Вопрос по QoS и VPN" +/–

Сообщение от vnn (ok) on 12-Авг-09, 10:44

>Я это к тому, что crypto map VPN_MAP применяется скорее чем service-policy
>output SHAPER_2048, т.е. service-policy output SHAPER_2048 работает уже с зашифрованными пакетами,
>ходящими между security gateway 92.242.xxx.yyy и 195.184.xxx.yyy, т.о. траффик классифицировать невозможно,
>ибо он зашифрован.
>
>Я ошибаюсь (надеюсь) ?
Классифицировать туннельный трафик нельзя... иначе как по новому ip-заголовку. Кстати в ip-заголовке есть очень полезное поле ToS, в котом есть 6 бит под названием DSCP.
А по другим признакам (вплоть до исследования пакетов на уровне приложений средствами nbar) можно пакеты классифицировать заранее, например на входящем интерфейсе. Там же их промаркировать, то есть назначить особое значение DSCP, коих может быть 64, а на туннельном интерфейсе уже приоритезировать.
И самое главное забыл. Если ваш маршрутизатор поддерживает команду qos preclassify, то всё вообще просто. Выполняете её на внешнем интерфейсе, и трафик будет классифицироваться до зашифровки.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Вопрос по QoS и VPN" +/–

Сообщение от plohish (??) on 12-Авг-09, 11:10

>[оверквотинг удален]
>есть очень полезное поле ToS, в котом есть 6 бит под
>названием DSCP.
>А по другим признакам (вплоть до исследования пакетов на уровне приложений средствами
>nbar) можно пакеты классифицировать заранее, например на входящем интерфейсе. Там же
>их промаркировать, то есть назначить особое значение DSCP, коих может быть
>64, а на туннельном интерфейсе уже приоритезировать.
>
>И самое главное забыл. Если ваш маршрутизатор поддерживает команду qos preclassify, то
>всё вообще просто. Выполняете её на внешнем интерфейсе, и трафик будет
>классифицироваться до зашифровки.
Команды qos preclassify, видимо нету..
А вот по DSCP подскажите, как принято маркировать траффик, просто брать и выставлять на инсайде константу 0-63, а на аутсайде ловить по этой константе ?
Существуют ли классы траффика, которые у Cisco маркируются по умолчанию ?
Например, DSCP 26 - SIP, DSCP 46 - RTP/RTPC.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Вопрос по QoS и VPN" +/–

Сообщение от GolDi (??) on 12-Авг-09, 11:59

>>Я это к тому, что crypto map VPN_MAP применяется скорее чем service-policy
>>output SHAPER_2048, т.е. service-policy output SHAPER_2048 работает уже с зашифрованными пакетами,
>>ходящими между security gateway 92.242.xxx.yyy и 195.184.xxx.yyy, т.о. траффик классифицировать невозможно,
>>ибо он зашифрован.
>>
>>Я ошибаюсь (надеюсь) ?
>
>Классифицировать туннельный трафик нельзя... иначе как по новому ip-заголовку. Кстати в ip-заголовке
Если  IP заголовок новый, то какой смысл на входе маркировать пакеты  через DSCP?
>[оверквотинг удален]
>есть очень полезное поле ToS, в котом есть 6 бит под
>названием DSCP.
>А по другим признакам (вплоть до исследования пакетов на уровне приложений средствами
>nbar) можно пакеты классифицировать заранее, например на входящем интерфейсе. Там же
>их промаркировать, то есть назначить особое значение DSCP, коих может быть
>64, а на туннельном интерфейсе уже приоритезировать.
>
>И самое главное забыл. Если ваш маршрутизатор поддерживает команду qos preclassify, то
>всё вообще просто. Выполняете её на внешнем интерфейсе, и трафик будет
>классифицироваться до зашифровки.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Вопрос по QoS и VPN" +/–

Сообщение от vnn (ok) on 12-Авг-09, 12:01

>
>Если  IP заголовок новый, то какой смысл на входе маркировать пакеты
> через DSCP?
>
Смысл в том, что поле ToS всегда копируется из старого заголовка в новый при инкапсулировании пакета.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Вопрос по QoS и VPN" +/–

Сообщение от plohish (??) on 12-Авг-09, 12:57

>
>>
>>Если  IP заголовок новый, то какой смысл на входе маркировать пакеты
>> через DSCP?
>>
>
>Смысл в том, что поле ToS всегда копируется из старого заголовка в
>новый при инкапсулировании пакета.
Будьте любезны, верно ли я мыслю на примере RDP-траффика:
1. Определяем RDP-траффик
access-list 190 permit tcp any eq 3389 any
access-list 190 permit tcp any any eq 3389
2. Создаем для него класс, с целью промаркировать на INSIDE-интерфейсе.
class-map match-all RDP_INSIDE
match access-group 190
3. Маркируем
policy-map QOS_INSIDE_MARKING
class RDP_INSIDE
  set dscp af41
interface GigabitEthernet0/0.1
...
ip nbar protocol-discovery
service-policy input QOS_INSIDE_MARKING
4. Отбираем промаркированный трафик для OUTSIDE:
class-map match-all RDP_OUTSIDE
match  dscp af41
5. Выполняем, приоритезацию:
policy-map QOS_OUTSIDE_PRIORITY
class RDP_OUTSIDE
  priority 128
policy-map SHAPER_2048
class CLASS1
  shape average 256000
  service-policy QOS_OUTSIDE_PRIORITY
class class-default
  shape average 2048000
Здесь, CLASS1 классифицирует траффик между точками IPSEC, который жмется до 256 kbit/sec.
Вкладывая service-policy QOS_OUTSIDE_PRIORITY для данного класса, я расчитываю внутри CLASS1 гарантировать RDP-траффику 128 kbit/sec.
interface GigabitEthernet0/1.1
...
crypto map VPN_MAP
service-policy output SHAPER_2048
end

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Вопрос по QoS и VPN" +/–

Сообщение от AlexDv (??) on 12-Авг-09, 14:11

>>
>>>
>
>Вкладывая service-policy QOS_OUTSIDE_PRIORITY для данного класса, я расчитываю внутри CLASS1 гарантировать RDP-траффику
>128 kbit/sec.
>
>interface GigabitEthernet0/1.1
Здесь ошибка
service-policy output SHAPER_2048
вешаем на выходной интерфейс

> ...
> crypto map VPN_MAP
а тут
qos pre-classify
>end

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Вопрос по QoS и VPN" +/–

Сообщение от plohish (??) on 12-Авг-09, 14:45

>[оверквотинг удален]
>>>>
>>
>>Вкладывая service-policy QOS_OUTSIDE_PRIORITY для данного класса, я расчитываю внутри CLASS1 гарантировать RDP-траффику
>>128 kbit/sec.
>>
>>interface GigabitEthernet0/1.1
>
>Здесь ошибка
>service-policy output SHAPER_2048
>вешаем на выходной интерфейс
Которым g 0/1.1 и является.
>
>
>> ...
>> crypto map VPN_MAP
>
>а тут
>qos pre-classify
>
>>end
не поддерживается у меня такая команда..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Вопрос по QoS и VPN" +/–

Сообщение от AlexDv (??) on 12-Авг-09, 15:06

>[оверквотинг удален]
>>
>>> ...
>>> crypto map VPN_MAP
>>
>>а тут
>>qos pre-classify
>>
>>>end
>
>не поддерживается у меня такая команда..
На интерфейсе ее нет, она в crypto map.
sh ver покажите.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Вопрос по QoS и VPN" +/–

Сообщение от plohish (??) on 12-Авг-09, 16:01

>[оверквотинг удален]
>>>а тут
>>>qos pre-classify
>>>
>>>>end
>>
>>не поддерживается у меня такая команда..
>
>На интерфейсе ее нет, она в crypto map.
>
>sh ver покажите.
Да, обманул, на crypto map она вешается, а я думал на интерфейс..
Скажите, пакет промаркированный set dscp af41 обрабатывается на OUTSIDE как "срочная доставка" (assured forwarding) ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Вопрос по QoS и VPN" +/–

Сообщение от AlexDv (??) on 12-Авг-09, 16:24

>[оверквотинг удален]
>>>не поддерживается у меня такая команда..
>>
>>На интерфейсе ее нет, она в crypto map.
>>
>>sh ver покажите.
>
>Да, обманул, на crypto map она вешается, а я думал на интерфейс..
>
>Скажите, пакет промаркированный set dscp af41 обрабатывается на OUTSIDE как "срочная доставка"
>(assured forwarding) ?
Да

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Вопрос по QoS и VPN" +/–

Сообщение от plohish (??) on 12-Авг-09, 17:38

>[оверквотинг удален]
>>>На интерфейсе ее нет, она в crypto map.
>>>
>>>sh ver покажите.
>>
>>Да, обманул, на crypto map она вешается, а я думал на интерфейс..
>>
>>Скажите, пакет промаркированный set dscp af41 обрабатывается на OUTSIDE как "срочная доставка"
>>(assured forwarding) ?
>
>Да
Стало быть, пакеты af41 более приоритетны с т.з. отправки и уйдут скорее, нежели af33?
Я имею в виду конструкция такого вида обеспечит приоритетность rdp и голосового траффика
access-list 190 permit tcp any eq 3389 any
access-list 190 permit tcp any any eq 3389
class-map match-all RDP_TRAFFIC
match access-group 190
class-map match-all RTP_TRAFFIC
match protocol rtp
policy-map QOS
class RDP_TRAFFIC
  set dscp af41
class RTP_TRAFFIC
  set dscp ef
class class-default
  set dscp default
policy-map SHAPER_2048
class CLASS1
  shape average 256000
  service-policy QOS
class class-default
  shape average 2048000
interface GigabitEthernet0/1.1
...
ip nbar protocol-discovery
service-policy output SHAPER_2048

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Вопрос по QoS и VPN" +/–

Сообщение от AlexDv (??) on 12-Авг-09, 17:59

>[оверквотинг удален]
>class-map match-all RTP_TRAFFIC
> match protocol rtp
>
>policy-map QOS
> class RDP_TRAFFIC
>  set dscp af41
> class RTP_TRAFFIC
>  set dscp ef
> class class-default
>  set dscp default
Неправильно. Маркировать надо на входном интерфейсе, а на выходном обеспечивать приоретизацию на основе уже маркированных пакетов.
Примерно так:
policy-map QOS
class RDP_TRAFFIC
  priority percent 30
class RTP_TRAFFIC
  priority percent 20
class class-default
  set dscp default

>
>policy-map SHAPER_2048
> class CLASS1
>  shape average 256000
>  service-policy QOS
> class class-default
>  shape average 2048000
Насчет 2 шейпов в одной полиси-мапе я не знаю, может и не сработает или не даст ввести.
>
>interface GigabitEthernet0/1.1
> ...
> ip nbar protocol-discovery
> service-policy output SHAPER_2048

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Вопрос по QoS и VPN" +/–

Сообщение от plohish (??) on 12-Авг-09, 18:21

>[оверквотинг удален]
>
>policy-map QOS
> class RDP_TRAFFIC
>  priority percent 30
> class RTP_TRAFFIC
>  priority percent 20
> class class-default
>  set dscp default
>
>
Т.е. маркировка dscp сама по себе еще не приоритезация ?
А какой тогда смысл в afxx, ef ?
Если для канала, например, 256 kbps указать
policy-map QOS
class RDP_TRAFFIC
  priority 128
class RTP_TRAFFIC
  priority 64
class class-default
  priority 64
какая тогда разница, у кого afxx, у кого ef - rdp будет гарантированно получать 128 kbps, rtp 64 kbps, все остальное 64 kbps..
>>
>>policy-map SHAPER_2048
>> class CLASS1
>>  shape average 256000
>>  service-policy QOS
>> class class-default
>>  shape average 2048000
>
>Насчет 2 шейпов в одной полиси-мапе я не знаю, может и не
>сработает или не даст ввести.
ну, сами по себе шейпы работают, весь канал отдает 2 мегабита, а впн "внутри него" работает на скорости 256 kbps. Но внутри этих 256 kbps нужно еще настроить приоритезацию..
>
>>
>>interface GigabitEthernet0/1.1
>> ...
>> ip nbar protocol-discovery
>> service-policy output SHAPER_2048

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Вопрос по QoS и VPN" +/–

Сообщение от AlexDv (??) on 12-Авг-09, 18:31

>[оверквотинг удален]
>> class RDP_TRAFFIC
>>  priority percent 30
>> class RTP_TRAFFIC
>>  priority percent 20
>> class class-default
>>  set dscp default
>>
>>
>
>Т.е. маркировка dscp сама по себе еще не приоритезация ?
В вопросе уже есть ответ. Это маркировка.
>[оверквотинг удален]
> class RDP_TRAFFIC
>  priority 128
> class RTP_TRAFFIC
>  priority 64
> class class-default
>  priority 64
>
>какая тогда разница, у кого afxx, у кого ef - rdp будет
>гарантированно получать 128 kbps, rtp 64 kbps, все остальное 64 kbps..
>
Тут уже лучше теорию почитать.
>[оверквотинг удален]
>ну, сами по себе шейпы работают, весь канал отдает 2 мегабита, а
>впн "внутри него" работает на скорости 256 kbps. Но внутри этих
>256 kbps нужно еще настроить приоритезацию..
>
>>
>>>
>>>interface GigabitEthernet0/1.1
>>> ...
>>> ip nbar protocol-discovery
>>> service-policy output SHAPER_2048

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Вопрос по QoS и VPN"		+/–
Сообщение от GolDi (??) on 12-Авг-09, 10:38
>[оверквотинг удален] > ... > ip address 92.242.xxx.yyy 255.255.255.252 > crypto map VPN_MAP > service-policy output SHAPER_2048 > >В целом задача решена, сеть 10.0.10.0/24 качает из сети 192.168.60.0/24 на скорости >256 kbit/s. Но что делать, в случае, если я вместо механизма >shape average захочу использовать приоритезацию для разных классов траффика, или делить >полосу не "в целом", а балансировать между 10.0.10.1 и 192.168.60.60 и >всеми остальными, например? Что-то можно повесить на g0/0.1 на input кроме shaper-а. >Я это к тому, что crypto map VPN_MAP применяется скорее чем service-policy >output SHAPER_2048, т.е. service-policy output SHAPER_2048 работает уже с зашифрованными пакетами, >ходящими между security gateway 92.242.xxx.yyy и 195.184.xxx.yyy, т.о. траффик классифицировать невозможно, >ибо он зашифрован. > >Я ошибаюсь (надеюсь) ?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Вопрос по QoS и VPN"		+/–
Сообщение от vnn (ok) on 12-Авг-09, 10:44
>Я это к тому, что crypto map VPN_MAP применяется скорее чем service-policy >output SHAPER_2048, т.е. service-policy output SHAPER_2048 работает уже с зашифрованными пакетами, >ходящими между security gateway 92.242.xxx.yyy и 195.184.xxx.yyy, т.о. траффик классифицировать невозможно, >ибо он зашифрован. > >Я ошибаюсь (надеюсь) ? Классифицировать туннельный трафик нельзя... иначе как по новому ip-заголовку. Кстати в ip-заголовке есть очень полезное поле ToS, в котом есть 6 бит под названием DSCP. А по другим признакам (вплоть до исследования пакетов на уровне приложений средствами nbar) можно пакеты классифицировать заранее, например на входящем интерфейсе. Там же их промаркировать, то есть назначить особое значение DSCP, коих может быть 64, а на туннельном интерфейсе уже приоритезировать. И самое главное забыл. Если ваш маршрутизатор поддерживает команду qos preclassify, то всё вообще просто. Выполняете её на внешнем интерфейсе, и трафик будет классифицироваться до зашифровки.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Вопрос по QoS и VPN"		+/–
	Сообщение от plohish (??) on 12-Авг-09, 11:10
	>[оверквотинг удален] >есть очень полезное поле ToS, в котом есть 6 бит под >названием DSCP. >А по другим признакам (вплоть до исследования пакетов на уровне приложений средствами >nbar) можно пакеты классифицировать заранее, например на входящем интерфейсе. Там же >их промаркировать, то есть назначить особое значение DSCP, коих может быть >64, а на туннельном интерфейсе уже приоритезировать. > >И самое главное забыл. Если ваш маршрутизатор поддерживает команду qos preclassify, то >всё вообще просто. Выполняете её на внешнем интерфейсе, и трафик будет >классифицироваться до зашифровки. Команды qos preclassify, видимо нету.. А вот по DSCP подскажите, как принято маркировать траффик, просто брать и выставлять на инсайде константу 0-63, а на аутсайде ловить по этой константе ? Существуют ли классы траффика, которые у Cisco маркируются по умолчанию ? Например, DSCP 26 - SIP, DSCP 46 - RTP/RTPC.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Вопрос по QoS и VPN"		+/–
	Сообщение от GolDi (??) on 12-Авг-09, 11:59
	>>Я это к тому, что crypto map VPN_MAP применяется скорее чем service-policy >>output SHAPER_2048, т.е. service-policy output SHAPER_2048 работает уже с зашифрованными пакетами, >>ходящими между security gateway 92.242.xxx.yyy и 195.184.xxx.yyy, т.о. траффик классифицировать невозможно, >>ибо он зашифрован. >> >>Я ошибаюсь (надеюсь) ? > >Классифицировать туннельный трафик нельзя... иначе как по новому ip-заголовку. Кстати в ip-заголовке Если IP заголовок новый, то какой смысл на входе маркировать пакеты через DSCP? >[оверквотинг удален] >есть очень полезное поле ToS, в котом есть 6 бит под >названием DSCP. >А по другим признакам (вплоть до исследования пакетов на уровне приложений средствами >nbar) можно пакеты классифицировать заранее, например на входящем интерфейсе. Там же >их промаркировать, то есть назначить особое значение DSCP, коих может быть >64, а на туннельном интерфейсе уже приоритезировать. > >И самое главное забыл. Если ваш маршрутизатор поддерживает команду qos preclassify, то >всё вообще просто. Выполняете её на внешнем интерфейсе, и трафик будет >классифицироваться до зашифровки.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Вопрос по QoS и VPN"		+/–
	Сообщение от vnn (ok) on 12-Авг-09, 12:01
	> >Если IP заголовок новый, то какой смысл на входе маркировать пакеты > через DSCP? > Смысл в том, что поле ToS всегда копируется из старого заголовка в новый при инкапсулировании пакета.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Вопрос по QoS и VPN"		+/–
	Сообщение от plohish (??) on 12-Авг-09, 12:57
	> >> >>Если IP заголовок новый, то какой смысл на входе маркировать пакеты >> через DSCP? >> > >Смысл в том, что поле ToS всегда копируется из старого заголовка в >новый при инкапсулировании пакета. Будьте любезны, верно ли я мыслю на примере RDP-траффика: 1. Определяем RDP-траффик access-list 190 permit tcp any eq 3389 any access-list 190 permit tcp any any eq 3389 2. Создаем для него класс, с целью промаркировать на INSIDE-интерфейсе. class-map match-all RDP_INSIDE match access-group 190 3. Маркируем policy-map QOS_INSIDE_MARKING class RDP_INSIDE set dscp af41 interface GigabitEthernet0/0.1 ... ip nbar protocol-discovery service-policy input QOS_INSIDE_MARKING 4. Отбираем промаркированный трафик для OUTSIDE: class-map match-all RDP_OUTSIDE match dscp af41 5. Выполняем, приоритезацию: policy-map QOS_OUTSIDE_PRIORITY class RDP_OUTSIDE priority 128 policy-map SHAPER_2048 class CLASS1 shape average 256000 service-policy QOS_OUTSIDE_PRIORITY class class-default shape average 2048000 Здесь, CLASS1 классифицирует траффик между точками IPSEC, который жмется до 256 kbit/sec. Вкладывая service-policy QOS_OUTSIDE_PRIORITY для данного класса, я расчитываю внутри CLASS1 гарантировать RDP-траффику 128 kbit/sec. interface GigabitEthernet0/1.1 ... crypto map VPN_MAP service-policy output SHAPER_2048 end
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Вопрос по QoS и VPN"		+/–
	Сообщение от AlexDv (??) on 12-Авг-09, 14:11
	>> >>> > >Вкладывая service-policy QOS_OUTSIDE_PRIORITY для данного класса, я расчитываю внутри CLASS1 гарантировать RDP-траффику >128 kbit/sec. > >interface GigabitEthernet0/1.1 Здесь ошибка service-policy output SHAPER_2048 вешаем на выходной интерфейс > ... > crypto map VPN_MAP а тут qos pre-classify >end
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Вопрос по QoS и VPN"		+/–
	Сообщение от plohish (??) on 12-Авг-09, 14:45
	>[оверквотинг удален] >>>> >> >>Вкладывая service-policy QOS_OUTSIDE_PRIORITY для данного класса, я расчитываю внутри CLASS1 гарантировать RDP-траффику >>128 kbit/sec. >> >>interface GigabitEthernet0/1.1 > >Здесь ошибка >service-policy output SHAPER_2048 >вешаем на выходной интерфейс Которым g 0/1.1 и является. > > >> ... >> crypto map VPN_MAP > >а тут >qos pre-classify > >>end не поддерживается у меня такая команда..
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Вопрос по QoS и VPN"		+/–
	Сообщение от AlexDv (??) on 12-Авг-09, 15:06
	>[оверквотинг удален] >> >>> ... >>> crypto map VPN_MAP >> >>а тут >>qos pre-classify >> >>>end > >не поддерживается у меня такая команда.. На интерфейсе ее нет, она в crypto map. sh ver покажите.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Вопрос по QoS и VPN"		+/–
	Сообщение от plohish (??) on 12-Авг-09, 16:01
	>[оверквотинг удален] >>>а тут >>>qos pre-classify >>> >>>>end >> >>не поддерживается у меня такая команда.. > >На интерфейсе ее нет, она в crypto map. > >sh ver покажите. Да, обманул, на crypto map она вешается, а я думал на интерфейс.. Скажите, пакет промаркированный set dscp af41 обрабатывается на OUTSIDE как "срочная доставка" (assured forwarding) ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Вопрос по QoS и VPN"		+/–
	Сообщение от AlexDv (??) on 12-Авг-09, 16:24
	>[оверквотинг удален] >>>не поддерживается у меня такая команда.. >> >>На интерфейсе ее нет, она в crypto map. >> >>sh ver покажите. > >Да, обманул, на crypto map она вешается, а я думал на интерфейс.. > >Скажите, пакет промаркированный set dscp af41 обрабатывается на OUTSIDE как "срочная доставка" >(assured forwarding) ? Да
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Вопрос по QoS и VPN"		+/–
	Сообщение от plohish (??) on 12-Авг-09, 17:38
	>[оверквотинг удален] >>>На интерфейсе ее нет, она в crypto map. >>> >>>sh ver покажите. >> >>Да, обманул, на crypto map она вешается, а я думал на интерфейс.. >> >>Скажите, пакет промаркированный set dscp af41 обрабатывается на OUTSIDE как "срочная доставка" >>(assured forwarding) ? > >Да Стало быть, пакеты af41 более приоритетны с т.з. отправки и уйдут скорее, нежели af33? Я имею в виду конструкция такого вида обеспечит приоритетность rdp и голосового траффика access-list 190 permit tcp any eq 3389 any access-list 190 permit tcp any any eq 3389 class-map match-all RDP_TRAFFIC match access-group 190 class-map match-all RTP_TRAFFIC match protocol rtp policy-map QOS class RDP_TRAFFIC set dscp af41 class RTP_TRAFFIC set dscp ef class class-default set dscp default policy-map SHAPER_2048 class CLASS1 shape average 256000 service-policy QOS class class-default shape average 2048000 interface GigabitEthernet0/1.1 ... ip nbar protocol-discovery service-policy output SHAPER_2048
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Вопрос по QoS и VPN"		+/–
	Сообщение от AlexDv (??) on 12-Авг-09, 17:59
	>[оверквотинг удален] >class-map match-all RTP_TRAFFIC > match protocol rtp > >policy-map QOS > class RDP_TRAFFIC > set dscp af41 > class RTP_TRAFFIC > set dscp ef > class class-default > set dscp default Неправильно. Маркировать надо на входном интерфейсе, а на выходном обеспечивать приоретизацию на основе уже маркированных пакетов. Примерно так: policy-map QOS class RDP_TRAFFIC priority percent 30 class RTP_TRAFFIC priority percent 20 class class-default set dscp default > >policy-map SHAPER_2048 > class CLASS1 > shape average 256000 > service-policy QOS > class class-default > shape average 2048000 Насчет 2 шейпов в одной полиси-мапе я не знаю, может и не сработает или не даст ввести. > >interface GigabitEthernet0/1.1 > ... > ip nbar protocol-discovery > service-policy output SHAPER_2048
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Вопрос по QoS и VPN"		+/–
	Сообщение от plohish (??) on 12-Авг-09, 18:21
	>[оверквотинг удален] > >policy-map QOS > class RDP_TRAFFIC > priority percent 30 > class RTP_TRAFFIC > priority percent 20 > class class-default > set dscp default > > Т.е. маркировка dscp сама по себе еще не приоритезация ? А какой тогда смысл в afxx, ef ? Если для канала, например, 256 kbps указать policy-map QOS class RDP_TRAFFIC priority 128 class RTP_TRAFFIC priority 64 class class-default priority 64 какая тогда разница, у кого afxx, у кого ef - rdp будет гарантированно получать 128 kbps, rtp 64 kbps, все остальное 64 kbps.. >> >>policy-map SHAPER_2048 >> class CLASS1 >> shape average 256000 >> service-policy QOS >> class class-default >> shape average 2048000 > >Насчет 2 шейпов в одной полиси-мапе я не знаю, может и не >сработает или не даст ввести. ну, сами по себе шейпы работают, весь канал отдает 2 мегабита, а впн "внутри него" работает на скорости 256 kbps. Но внутри этих 256 kbps нужно еще настроить приоритезацию.. > >> >>interface GigabitEthernet0/1.1 >> ... >> ip nbar protocol-discovery >> service-policy output SHAPER_2048
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Вопрос по QoS и VPN"		+/–
	Сообщение от AlexDv (??) on 12-Авг-09, 18:31
	>[оверквотинг удален] >> class RDP_TRAFFIC >> priority percent 30 >> class RTP_TRAFFIC >> priority percent 20 >> class class-default >> set dscp default >> >> > >Т.е. маркировка dscp сама по себе еще не приоритезация ? В вопросе уже есть ответ. Это маркировка. >[оверквотинг удален] > class RDP_TRAFFIC > priority 128 > class RTP_TRAFFIC > priority 64 > class class-default > priority 64 > >какая тогда разница, у кого afxx, у кого ef - rdp будет >гарантированно получать 128 kbps, rtp 64 kbps, все остальное 64 kbps.. > Тут уже лучше теорию почитать. >[оверквотинг удален] >ну, сами по себе шейпы работают, весь канал отдает 2 мегабита, а >впн "внутри него" работает на скорости 256 kbps. Но внутри этих >256 kbps нужно еще настроить приоритезацию.. > >> >>> >>>interface GigabitEthernet0/1.1 >>> ... >>> ip nbar protocol-discovery >>> service-policy output SHAPER_2048
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору