Cisco 1712: Wie QoS einrichten ?

[Tobias]

So... nachdem ich mich vom ersten Schock erholt habe, wie komplex Cisco QoS-Services implementiert hat und auch die Tatsache verarbeitet habe, daß ich wohl die Hälfte davon nicht verstanden habe, bastelte ich mir eine Konfiguration zurecht. Ob die nun absolut korrekt, stark verbesserungswürdig oder gar völlig falsch ist, dürft Ihr beurteilen (ich tendiere der Erfahrung wegen eher zu letzterem

Zur Wiederholung: Hinter dem Router Cisco 1712 befinden sich zwei Server (je eine IP 149.88.100.91 und 149.88.100.92), sowie ein LAN (ebenfalls mit einer statischen IP). Die Basiskonfiguration des Routers steht hier: http://www.cisco-forum.net/component/option,com_smf/Itemid,38/topic,351.0/

Ziel des ganzen soll sein, dem ausgehenden Traffic der beiden Server eine höhere Priorität einzuräumen, ohne jedoch die vorhandene Bandbreite fest aufzuteilen. Das heißt, kommt von den Servern kein Traffic, dann soll das LAN die gesamte Bandbreite nutzen können.

Also... mit einigen Dokumenten unter cisco.com und dieser Anleitung (http://articles.techrepublic.com.com/5100-1035-6136216.html), habe ich mir folgendes gebastelt:

1. Als erstes lege ich eine ACL "server_priority" fest und binde sie an das Outside-Interface inbound:

ip access-list extended server_priority
permit tcp 149.88.100.91 any
permit tcp 149.88.100.92 any
permit udp 149.88.100.91 any
permit udp 149.88.100.92 any

So wie ich es verstanden habe, soll damit der zu priorisierende Traffic für die class-map "markiert" werden.

2. Class-map festlegen:

class-map match-any cm_server_priority
match access-group name server_priority

Der Traffic wird "markiert" und in einer class-map namens "cm_server_priority" zusammengefasst, wenn eine der folgenden Bedingungen übereinstimmt (gibt ja nur eine, nämlich der Traffic muß die ACL "server_priority" treffen).

3. Das eigentliche QoS:

policy-map qos_server_priority
class cm_server_priority
  priority percent 70
class class-default
  fair-queue

Der class "cm_server_priority" soll 70 % der Bandbreite eingeräumt werden, der restliche Traffic wird nach dem Prinzip "wer zuerst kommt, mahlt zuerst" verarbeitet.

Okay. Nehmen wir einmal an, daß das vom Konzept her so korrekt ist, drängen sich mir die folgenden Fragen/Probleme auf:

1. Warum so umständlich erst eine class-map festlegen ? Könnte ich nicht einfach eine ACL festlegen und dann folgendes tippen:

policy-map qos_server_priority
ip access-list server_priority
  priority percent 70
class class-default
  fair-queue

Welchen Zweck erfüllt die class-map ?

2. Wie binde ich die ACL korrekt an ? Muß ich da auf eine bestimmte Reihenfolge achten  ?

3. Wie oben schon erwähnt, sollte natürlich die Bandbreite der Server nicht auf 70 % beschränkt, sondern priorisiert werden. Das bedeutet für die Server soll ein Minimum an 70 % der Bandbreite zur Verfügung stehen, nicht maximal 70 %.

Den Wert habe ich übrigens willkürlich gewählt, könnte/sollte/darf man den auch auf 100 % setzen ?

4. Allgemein gefragt, wie stark belastet eine solche QoS-Konfiguration eigentlich den Router hinsichtlich CPU und Memory ?




EDIT von Zwerg#7:
War mal so frei den Titel von "Loadbalancing" auf "QoS" zu ändern -> Loadbalancing ist ganz was anderes! 

[Tobias]

Sorry, das mit dem "Loadbalancing" ist mir jetzt schon zum zweiten Mal passiert...

[Zwerg#7]

Also ich versuch mal ein paar Fragen zu beantworten, alles ist mir auf einmal zu viel 
Aber bis Mitternacht hab ich ja noch Zeit 

Das heißt, kommt von den Servern kein Traffic, dann soll das LAN die gesamte Bandbreite nutzen können.

Das ist von Haus aus so, Qality of Service resp. Queuing zieht nur wenn es zu Datenstau kommt.

1. Als erstes lege ich eine ACL "server_priority" fest und binde sie an das Outside-Interface inbound:

ip access-list extended server_priority
permit tcp 149.88.100.91 any
permit tcp 149.88.100.92 any
permit udp 149.88.100.91 any
permit udp 149.88.100.92 any

So wie ich es verstanden habe, soll damit der zu priorisierende Traffic für die class-map "markiert" werden.

ACL anlegen ist korrekt, diese irgendwo zu binden ist falsch!!!
Da ich zufällig deine Konfig recht gut kenne, kann ich dir jetzt schon sagen, dass dieses Vorgehen deinen Zugang aus dem Internet zum erleigen gebracht hätte 
Auf Outside inbound hast du schon ACL102 gebunden (für Kenner deiner Config *g*)

Die ACL die du für dein QoS Vorhaben brauchst, braucht nicht mehr tun als einen Match auf deine Server IPs zu machen
access-list 20 permit host 149.88.100.91
access-list 20 permit host 149.88.100.92

Das reicht zum Markieren!

2. Class-map festlegen:

class-map match-any cm_server_priority
match access-group name server_priority

Der Traffic wird "markiert" und in einer class-map namens "cm_server_priority" zusammengefasst, wenn eine der folgenden Bedingungen übereinstimmt (gibt ja nur eine, nämlich der Traffic muß die ACL "server_priority" treffen).

Richtig, hier legst du fest, dass alles aus der ACL der Class xxx angehört

Etwas später stellst du die Frage nach der Sinnhaftigkeit dieses Zwischenschrittes.
Du könntest hier match->set commands abgeben. Also zB "WENN(=match) Traffic von Server A DANN(=set) markiere als wichtig"
Oder du kannst mehrere ACLs hier zu einer Class vereinen
zB ACL "alle_server" + ACL "alle_clients" = Class "ganzes_lan"

3. Das eigentliche QoS:

policy-map qos_server_priority
class cm_server_priority
  priority percent 70
class class-default
  fair-queue

Der class "cm_server_priority" soll 70 % der Bandbreite eingeräumt werden, der restliche Traffic wird nach dem Prinzip "wer zuerst kommt, mahlt zuerst" verarbeitet.

Passt, diese Policy müsstes du dann halt noch auf ein Interface binden. In deinem Fall Outside, also Richtung Internet -> denn hier wird am ehesten Datenstau entstehen.
Normalen Server-Verkehr würde ich allerdings nicht in eine "Priority" Queu geben. Priority sollte nur Realtime-Traffic vorbehalten sein also Voice&Video!

Okay. Nehmen wir einmal an, daß das vom Konzept her so korrekt ist, drängen sich mir die folgenden Fragen/Probleme auf:

1. Warum so umständlich erst eine class-map festlegen ? Könnte ich nicht einfach eine ACL festlegen und dann folgendes tippen:
Welchen Zweck erfüllt die class-map ?

Denke das ist mit der Antwort von oben klargestellt, oder?

3. Wie oben schon erwähnt, sollte natürlich die Bandbreite der Server nicht auf 70 % beschränkt, sondern priorisiert werden. Das bedeutet für die Server soll ein Minimum an 70 % der Bandbreite zur Verfügung stehen, nicht maximal 70 %.

Passt schon so wie du es machst. Bandbreite beschränken kannst du mit "policing" und "shaping"

Den Wert habe ich übrigens willkürlich gewählt, könnte/sollte/darf man den auch auf 100 % setzen ?

Können vermutlich schon -> ob das sinnvoll ist, diese Frage kannst du dir selbst stellen... 

4. Allgemein gefragt, wie stark belastet eine solche QoS-Konfiguration eigentlich den Router hinsichtlich CPU und Memory ?

bei diesen Bandbreiten IMHO kaum




So, ich glaub das waren jetzt doch Antworten auf alle Fragen 

[Zwerg#7]

Sorry, das mit dem "Loadbalancing" ist mir jetzt schon zum zweiten Mal passiert...

Zur allgemeinen Klarstellung:
Loadbalancing ist das Aufteilen von Datenverkehr auf mehrere Leitungen/Geräte.

Hier geht es aber um Quality of Service d.h. die Priorisierung einer bestimmten Art von Datenverkehr gegenüber anderem Verkehr.

[Tobias]

Also ich versuch mal ein paar Fragen zu beantworten, alles ist mir auf einmal zu viel 
Aber bis Mitternacht hab ich ja noch Zeit 

Du hast doch eigentlich alles beantwortet. Nochmal danke an dieser Stelle

Aber ich muß mich auch mal selbst loben, ganz so falsch lag ich ja dieses Mal nicht (gut, abgesehen von dem faux-pas mit der Anbindung der ACL).

ACL anlegen ist korrekt, diese irgendwo zu binden ist falsch!!!
Da ich zufällig deine Konfig recht gut kenne, kann ich dir jetzt schon sagen, dass dieses Vorgehen deinen Zugang aus dem Internet zum erleigen gebracht hätte 
Auf Outside inbound hast du schon ACL102 gebunden (für Kenner deiner Config *g*)

Das ergibt natürlich Sinn, wenn man das implizierte "deny" berücksichtigt. Denn diese ACL hätte mir den restlichen Datenverkehr (besonders den vom LAN) blockiert.

Die ACL die du für dein QoS Vorhaben brauchst, braucht nicht mehr tun als einen Match auf deine Server IPs zu machen
access-list 20 permit host 149.88.100.91
access-list 20 permit host 149.88.100.92

Spielt es für meine Konfiguration eine Rolle, ob es eine Standard-ACL oder eine extended ist ?

3. Das eigentliche QoS:

policy-map qos_server_priority
class cm_server_priority
  priority percent 70
class class-default
  fair-queue

Der class "cm_server_priority" soll 70 % der Bandbreite eingeräumt werden, der restliche Traffic wird nach dem Prinzip "wer zuerst kommt, mahlt zuerst" verarbeitet.

Passt, diese Policy müsstes du dann halt noch auf ein Interface binden. In deinem Fall Outside, also Richtung Internet -> denn hier wird am ehesten Datenstau entstehen.
Normalen Server-Verkehr würde ich allerdings nicht in eine "Priority" Queu geben. Priority sollte nur Realtime-Traffic vorbehalten sein also Voice&Video!

Die Policy auf ein Interface binden... das bringt mich zu meiner wichtigsten Frage, wie wird das ganze auf dem Router konfiguriert. Den Wizard für QoS unter SDM will ich für die Einrichtung nicht benutzen, da der mehr auf VoIP ausgelegt ist.

Die ACL würde ich im SDM erstellen und die policy-map via CLI: "enable", "config terminal", dann einfach diesen Text abtippen:

policy-map qos_server_priority
class cm_server_priority
priority percent 70
class class-default
fair-queue

und mit "exit" den global configuration mode verlassen.
Über die CLI habe ich noch nie an einer Interface-Konfiguration was geändert. Wäre da die folgende Vorgehensweise korrekt:


enable
conf t
interface dialer1
bandwidth 1024
service-policy output qos_server_priority
exit
exit

?

Ist die Angabe "bandwidth" so korrekt ? Muß man die überhaupt angeben oder erkennt der Router die verfügbare Bandbreite auch selbständig ?

Oder müsste ich als interface "ethernet0" verwenden ? Kannst Du kurz umreißen, wie "dialer1" und "ethernet0" zusammenspielen ? Im SDM erscheint ja meist "Dialer1{FastEthernet0}". Kann ich mir "Dialer1" als eine Art Einwahlscript vorstellen und "Ethernet0" als die physikalisch vorhandene "Steckdose" für das Netzwerkkabel ?

[Zwerg#7]

Du hast doch eigentlich alles beantwortet. Nochmal danke an dieser Stelle

Keine Ursache 

Aber ich muß mich auch mal selbst loben, ganz so falsch lag ich ja dieses Mal nicht

Ja, das hast du echt schnell heraus gehabt... das Thema ist nicht ganz ohne.

ACL anlegen ist korrekt, diese irgendwo zu binden ist falsch!!!
Auf Outside inbound hast du schon ACL102 gebunden (für Kenner deiner Config *g*)

Das ergibt natürlich Sinn, wenn man das implizierte "deny" berücksichtigt. Denn diese ACL hätte mir den restlichen Datenverkehr (besonders den vom LAN) blockiert.

Es hätte dir sogar sämtlichen Rücktraffic geblockt weil die ACL nur deine Server als Source zulassen und Outside inbound wird natürlich nie ein entsprechendes Paket kommen.

Spielt es für meine Konfiguration eine Rolle, ob es eine Standard-ACL oder eine extended ist ?

Für deine Konfiguration (alles von den Servern) spielt es keine Rolle d.h. eine Standard ACL reicht
Mithilfe eine Extended-ACL könntest du noch weiter ins Detail gehn -> zB HTTP von Server1 priorisieren (aber nicht FTP)

Die Policy auf ein Interface binden... das bringt mich zu meiner wichtigsten Frage, wie wird das ganze auf dem Router konfiguriert. Den Wizard für QoS unter SDM will ich für die Einrichtung nicht benutzen, da der mehr auf VoIP ausgelegt ist.

Mal generell; Du kannst ja Configs vom SDM machen lassen und dir danach in der CLI ansehen wie das funktioniert hat. So kann man auch einiges lernen.
Aber wie's funktioniert hast du dir ja schon selbst beantwortet 

enable
conf t
interface dialer1
bandwidth 1024
service-policy output qos_server_priority
exit
exit

[Tobias]

Mal generell; Du kannst ja Configs vom SDM machen lassen und dir danach in der CLI ansehen wie das funktioniert hat. So kann man auch einiges lernen.
Aber wie's funktioniert hast du dir ja schon selbst beantwortet 

Naja fast. Mir ist die Auswahl des Interfaces noch nicht ganz klar: Muß ich nun Dialer1, Ethernet0 oder Dialer1{Ethernet0} benutzen und spielen die beiden so zusammen wie ich mir das in meiner vorigen Antwort zurechtgelegt habe ?

[Zwerg#7]

Muss zugeben, ich hab so eine Konfig noch nie gebraucht (also auch noch nie gemacht).
Deine IP-Konfiguration hast du jedenfalls am Dialer Interface daher sollte IMHO auch die Policy dort gebunden werden.

Am besten einfach ausprobieren, kann ja nichts passieren...

[Tobias]

Am besten einfach ausprobieren, kann ja nichts passieren...

Ich hoffe einfach mal das beste. Werde mich dann heute abend darum kümmern und laß es Dir/Euch dann wissen.

Wie kann ich denn überprüfen, ob QoS wirklich arbeitet ? Im SDM erscheint sicherlich die Konfiguration, vielleicht gibt es ja da auch Statistiken...

[Zwerg#7]

Wie kann ich denn überprüfen, ob QoS wirklich arbeitet ? Im SDM erscheint sicherlich die Konfiguration, vielleicht gibt es ja da auch Statistiken...

In der CLI kannst du schauen ob Pakets matchen und wie die Policy aussieht:

ROUTER#show policy-map
  Policy Map MAP_VOICE
    Class CLASS_VOICE
      Strict Priority
      Bandwidth 1000 (kbps) Burst 30000 (Bytes)

  Policy Map MAP_VOICE
    Class CLASS_VOICE
      Bandwidth 3 (%) Max Threshold 64 (packets)

ROUTER#

ROUTER#show policy-map interface Fa0


  Service-policy output: MAP_VOICE

    Class-map: CLASS_VOICE (match-all)
      304283 packets, 273274616 bytes
      30 second offered rate 0 bps, drop rate 0 bps
      Match: access-group 20
      Queueing
        Strict Priority
        Output Queue: Conversation 264
        Bandwidth 1000 (kbps) Burst 30000 (Bytes)
        (pkts matched/bytes matched) 3215830/228520034
        (total drops/bytes drops) 0/0

    Class-map: class-default (match-any)
      14371766 packets, 6747358615 bytes
      30 second offered rate 32000 bps, drop rate 0 bps
      Match: any
ROUTER#

Nehme an, dass der SDM auch was anzubieten hat. Das weiß ich aber nicht genau, nehm den nie her...

[Tobias]

Tja, also ich habe das eingerichtet. Soweit läuft alles gut. Der Router sagt mir

router#show policy-map interface dialer1
 Dialer1

  Service-policy output: pm_qos

    Class-map: cm_qos (match-any)
      105084 packets, 15545230 bytes
      5 minute offered rate 25000 bps, drop rate 0 bps
      Match: access-group name qos
        105084 packets, 15545230 bytes
        5 minute rate 25000 bps
      Queueing
        Strict Priority
        Output Queue: Conversation 264
        Bandwidth 70 (%)
        Bandwidth 716 (kbps) Burst 17900 (Bytes)
        (pkts matched/bytes matched) 0/0
        (total drops/bytes drops) 0/0

    Class-map: class-default (match-any)
      1640 packets, 203431 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: any
      Queueing
        Flow Based Fair Queueing
        Maximum Number of Hashed Queues 256
        (total queued/total drops/no-buffer drops) 0/0/0

Also scheint doch zu funktionieren, oder wie siehst Du das ?

Von der Statistik im SDM hatte ich mir mehr erhofft:




Irgendwie kann ich daraus wenig ablesen, ob nun QoS arbeitet oder nicht.

[Tobias]

Mir ist aufgefallen, daß ich im SDM in der QoS-Konfiguration keinen Eintrag unter "Policy details" habe, siehe:



Deshalb hier nochmal meine Konfiguration (um es etwas übersichtlicher zu halten, nur meine letzten Änderungen und die beiden Interfaces):


...
class-map match-any cm_qos_server
 match access-group name qos_server
...
policy-map pm_qos_server
 class cm_qos_server
  priority percent 70
 class class-default
  fair-queue
...
interface BRI0
 description Alternatives ISDN-Interface
 bandwidth 64
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip ips sdm_ips_rule in
 ip ips sdm_ips_rule out
 ip virtual-reassembly
 service-policy output pm_qos_server
 ip route-cache flow
 shutdown
 isdn switch-type basic-net3
 no cdp enable
...
interface Dialer1
 description T-DSL dialer$FW_OUTSIDE$
 bandwidth 1024
 ip address negotiated
 ip access-group 102 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip nbar protocol-discovery
 ip ips sdm_ips_rule in
 ip ips sdm_ips_rule out
 ip virtual-reassembly
 service-policy output pm_qos_server
 encapsulation ppp
 ip route-cache flow
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer-group 1
 ppp chap refuse
 ppp pap sent-username ***** password *****
...
ip access-list extended qos_server
 remark Priority to server traffic
 remark SDM_ACL Category=1
 permit ip host 149.88.100.91 any
 permit ip host 149.88.100.92 any
 deny   ip any any
...


Gut, das ISDN-Interface hätte ich mir wohl sparen können, aber es wird so oder so nicht verwendet (mangels ISDN-Anschluß

Ach, eine Frage noch: Im obigen Screenshot von SDM mit den Statistiken, das grüne Balkendiagramm "unknown" - zu welcher Art von Traffic kann das gehören ? Sind das Datenpakete, die durch QoS nicht beeinflusst werden (also z.B. das LAN) ?

[Zwerg#7]

router#show policy-map interface dialer1
 Dialer1

  Service-policy output: pm_qos

    Class-map: cm_qos (match-any)
      105084 packets, 15545230 bytes
      5 minute offered rate 25000 bps, drop rate 0 bps
      Match: access-group name qos
        105084 packets, 15545230 bytes
        5 minute rate 25000 bps
      Queueing
        Strict Priority
        Output Queue: Conversation 264
        Bandwidth 70 (%)
        Bandwidth 716 (kbps) Burst 17900 (Bytes)
        (pkts matched/bytes matched) 0/0
        (total drops/bytes drops) 0/0

    Class-map: class-default (match-any)
      1640 packets, 203431 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: any
      Queueing
        Flow Based Fair Queueing
        Maximum Number of Hashed Queues 256
        (total queued/total drops/no-buffer drops) 0/0/0

Also scheint doch zu funktionieren, oder wie siehst Du das ?

Die Zeile "(pkts matched/bytes matched) 0/0" gefällt mir nicht. Dort sollte eigentlich angezeigt werden, dass einige Pakete der Klasse entsprache und priorisiert behandelt wurden 

[Zwerg#7]

Mir ist aufgefallen, daß ich im SDM in der QoS-Konfiguration keinen Eintrag unter "Policy details" habe, siehe:

Wie schon gesagt kenne ich mich mit dem SDM nicht aus aber könnte es sein, dass er die Policy nicht im Detail anzeigen kann/will weil du sie manuell erstellt hast?
Hast du schon mal versucht eine Policy mit SDM zu erstellen, sieht das dann anders aus?

Ach, eine Frage noch: Im obigen Screenshot von SDM mit den Statistiken, das grüne Balkendiagramm "unknown" - zu welcher Art von Traffic kann das gehören ? Sind das Datenpakete, die durch QoS nicht beeinflusst werden (also z.B. das LAN) ?

Nein, ich würde sagen das sind vor allem Programme/Protokolle die nicht auf den well-known Ports (1-1024) arbeiten und somit nicht mit Sicherheit gesagt werden kann was das war. z.B. das ganze Filesharing Zeugs, ICQ, Skype... die (können) auf den unterschiedlichsten Ports 1025 aufwärts arbeiten.

[Tobias]

Also ich habe es jetzt noch einmal versucht:

Code:

router1#show policy-map interface dialer1
 Dialer1

  Service-policy output: pm_qos_server

    Class-map: cm_qos_server (match-any)
      1076076 packets, 285732312 bytes
      5 minute offered rate 4000 bps, drop rate 0 bps
      Match: access-group name qos_server
        1076076 packets, 285732312 bytes
        5 minute rate 4000 bps
      Queueing
        Strict Priority
        Output Queue: Conversation 264
        Bandwidth 70 (%)
        Bandwidth 716 (kbps) Burst 17900 (Bytes)
        (pkts matched/bytes matched) 0/0
        (total drops/bytes drops) 0/0

    Class-map: class-default (match-any)
      62578 packets, 10439096 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: any
      Queueing
        Flow Based Fair Queueing
        Maximum Number of Hashed Queues 256
        (total queued/total drops/no-buffer drops) 0/0/0
router1#

Könnte es sein, daß die Bandbreite einfach bisher noch nicht ausgenutzt wurde, also QoS noch gar nicht erst in Aktion treten musste ?

Könnte der Fehler an der Bindung des Interfaces Dialer1 liegen ? Vielleicht doch Ethernet0 ? Aber wie Du schon sagtest, die restliche Konfiguration wurde ja auch an Dialer1 gebunden. Mir ist sowieso der Unterschied zwischen Dialer1 und Ethernet0 nicht ganz klar...

Hast du schon mal versucht eine Policy mit SDM zu erstellen, sieht das dann anders aus?

Da bin ich ein kleiner Feigling... SDM bietet nur die Nutzung des Wizards an, und der will eben eine Policy für VoIP erstellen und läßt mir nur noch die Wahl, die Bandbreite zu verteilen. Die Buttons zum Anlegen von Policies sind alle grau.