對話QoS: QoS在IOS中的實現(xiàn)與應(yīng)用

Tsing清

我再貼一下關(guān)于令牌桶原理，看看能否給上述問題些啟發(fā)。

令牌桶的工作原理是這樣的：
令牌以一定的速率被放入令牌桶，而令牌桶本身是有容量的。如果令牌桶被令牌裝滿，后續(xù)到達的令牌就被丟棄。令牌桶本身是沒有丟棄數(shù)據(jù)策略的，它只是丟棄令牌。
每一個令牌都代表發(fā)送數(shù)據(jù)的許可，沒有令牌就不能發(fā)送數(shù)據(jù)。發(fā)送數(shù)據(jù)時，規(guī)整器（Policer 或Shaper）必須從桶內(nèi)移出與所發(fā)數(shù)據(jù)量等同的令牌。
如果桶內(nèi)沒有足夠的令牌數(shù)據(jù)就必須等待，待有足夠的令牌時再發(fā)送（這就是流量整形），或者數(shù)據(jù)被丟棄或降低優(yōu)先級（這就是流量整治）。
如果令牌桶已經(jīng)裝滿，后續(xù)來的令牌溢出，不能作為發(fā)送數(shù)據(jù)的許可。這樣，任何時候最大的突發(fā)數(shù)據(jù)量大約等于桶的容量。
令牌桶限制了數(shù)據(jù)流速既不能快也不能慢，始終在CIR上運行。如果數(shù)據(jù)流速太快，則導(dǎo)致令牌桶內(nèi)沒有令牌可用；如果數(shù)據(jù)流速太慢，則導(dǎo)致令牌桶溢出。

Tsing清

雙桶單速示例
Switch(config)# class-map class1
Switch(config-cmap)# match dscp 43
Switch(config-cmap)# exit
Switch(config)# class-map class2
Switch(config-cmap)# match dscp 53
Switch(config-cmap)# exit

Switch(config)# policy-map 2buckets
Switch(config-pmap)# class class1
Switch(config-pmap-c)# police 48000 8000 8000 conform-action transmit exceed-action set-dscp-transmit 20 violate-action drop
Switch(config-pmap-c)# exit
Switch(config-pmap)# class class2
Switch(config-pmap-c)# police 48000 8000 8000 conform-action transmit exceed-action policed-dscp-transmit violate-action drop

Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# service-policy input 2buckets

Tsing清

在本版（網(wǎng)絡(luò)技術(shù)）有一個帖子，標(biāo)題是 “Cisco 3750交換機QoS問題” ，是使用class-map、policy-map對數(shù)據(jù)分類、標(biāo)記，然后排隊的一個實際應(yīng)用案例。

Tsing清

CAR（Committed Access Rate）是實現(xiàn)QoS的工具之一，它在接口上提供限速的同時還可以對數(shù)據(jù)進行分類。通常使用在網(wǎng)絡(luò)邊界路由器接口上，用來限制進入或離開該網(wǎng)絡(luò)的流量速率。

CAR使用的匹配條件包括：
•        所有IP數(shù)據(jù)
•        IP優(yōu)先級（使用access-list rate-limit定義）
•        MAC地址（使用access-list rate-limit定義）
•        IP ACL
•        MPLS EXP（使用access-list rate-limit定義）

router(config-if)# rate-limit {input | output} [dscp dscp-value] [access-group [rate-limit] acl-index | qos-group qos-group-number ] bps burst-normal burst-max conform-action conform-action exceed-action exceed-action
語法解釋如下：
•        input －對進入接口的數(shù)據(jù)限速；
•        output －對離開接口的數(shù)據(jù)限速；
•        dscp dscp-value －根據(jù)DSCP值識別數(shù)據(jù)并對其限速。dscp-value代表DSCP值。
•        access-group acl-index － 根據(jù)訪問列表的定義對數(shù)據(jù)限速。acl-index代表ACL編號。
•        Access-group rate-limit acl-index － 根據(jù)限速訪問列表的定義對數(shù)據(jù)限速。 acl-index代表限速訪問列表編號。
•        qos-group qos-group-number － 根據(jù)qos組ID號對數(shù)據(jù)限速。 qos-group-number 代表組ID號。
•        bps － CIR值。
•        burst-normal － Bc值。
•        burst-max －Be值。

Tsing清

CAR中調(diào)用的限速訪問列表的寫法。
語法如下：
router(config)# access-list rate-limit acl-index {precedence | mac-address | exp | mask  mask}
語法解釋如下：
acl-index － 限速訪問列表編號。1～99區(qū)間分配給IP優(yōu)先級使用；100～199區(qū)間分配給MAC地址使用；200～299分配給MPLS 實驗字段（exp）使用。
precedence － IP優(yōu)先級。0～7區(qū)間的某個值。
mac-address － MAC地址。
Exp － MPLS的實驗字段。取值范圍是0～7中的某個值。
mask mask － 用來同時表達多個IP優(yōu)先級值或exp值時使用的掩碼。

Tsing清

限速訪問列表的使用方法：
在使用限速訪問列表根據(jù)IP優(yōu)先級或EXP字段分類數(shù)據(jù)時，一個訪問列表內(nèi)只能寫一個值，如果要在同一個訪問列表內(nèi)表示多個值，可以使用掩碼。掩碼的用法如下：
第一步，確定需要表達的IP優(yōu)先級值或EXP值。
第二步，把優(yōu)先級值或EXP值用一個8比特二進制數(shù)代表。它們的對應(yīng)關(guān)系是：
0 － 00000001
1 － 00000010
2 － 00000100
3 － 00001000
4 － 00010000
5 － 00100000
6 － 01000000
7 － 10000000
第三步，把需要表達的值對應(yīng)的二進制數(shù)值相加。例如，希望同時表達IP優(yōu)先級3和7，mask= 00001000 + 10000000 = 10001000
第四步，把相加后的二進制值轉(zhuǎn)換為十六進制值。例如，把第三步相加后的值轉(zhuǎn)換為十六進制后就是0x88。
第五步，用十六進制值寫入限速訪問列表中。FF表示匹配任意值，00表示不匹配任何值。

例：把攜帶EXP值為3和4的數(shù)據(jù)指派到限速訪問列表中。
access-list rate-limit 200 mask 18

Tsing清

使用CAR限制DOS攻擊流量的例子。
假設(shè)主機10.10.0.10正在被攻擊，攻擊流量從路由器的s0/0接口進入的。使用CAR把與該主機握手的TCP同步數(shù)據(jù)流量限制在8kbps，超出規(guī)定流量的TCP同步數(shù)據(jù)全部丟棄。
access-list 103 deny tcp any host 10.0.0.1 established
access-list 103 permit tcp any host 10.0.0.1

interface serial 0/0
rate-limit input access-group 103 8000 8000 8000 conform-action transmit  exceed-action drop
已經(jīng)建立起TCP會話的數(shù)據(jù)匹配了訪問列表中的第一個條件，這種數(shù)據(jù)流量是不被檢測的。如果是TCP初始握手的數(shù)據(jù)，不匹配第一個條件，但匹配第二個條件，這種數(shù)據(jù)的流量是需要檢測的，使其不能超過8kbps。

Tsing清

使用NBAR限制p2p。以BT為例：
Class-map deny-BT
Match protocol bittorrent

Policy-map drop-BT
Class deny-BT
police 8000 8000 8000 conform-action transmit exceed-action drop violate-action drop

Interface serial 0/0   (連接外網(wǎng)的接口)
Sevice-policy input drop-BT

Tsing清

使用NBAR限制p2p。以BT為例：
Class-map deny-BT
Match protocol bittorrent

Policy-map drop-BT
Cla ...
Tsing清 發(fā)表于 2010-12-03 10:22

使用NBAR之前，需要安裝PDLM。PDLM是一個單獨的文件，可以從思科網(wǎng)站上下載，它的功能就是擴展NBAR的識別能力，使其識別更多的尤其是新的協(xié)議和應(yīng)用。下載后的PDLM存放在Flash內(nèi)存中，然后再從Flash內(nèi)存中加載到RAM中。加載PDLM不需要重新加載IOS，更不需要重新啟動路由器。
下載PDLM的位置：
進入cisco.com → support →Download Software → 選擇router software →選擇路由器型號→選擇PDLM    （需要下載權(quán)限）
(已經(jīng)有edonkey,BT的PDLM）

quxiaosong

使用NBAR之前，需要安裝PDLM。PDLM是一個單獨的文件，可以從思科網(wǎng)站上下載，它的功能就是擴展NBAR的識 ...
Tsing清 發(fā)表于 2010-12-03 14:19

   
這個比較消耗路由器資源