spm ang qos på cisco router

[lohelle]

har en cisco router på jobb som jeg ønsker å tweake litt (qos). Dette er en Cisco 2610XM med 48 MB flash og 192MB DRAM.

utdrag av config..

 

ip inspect name fwin ftp audit-trail on

ip inspect name fwout ftp audit-trail on

 

class-map match-all ftp

description Prioritet for ftp

match access-group 101

!

!

policy-map ftp

class ftp

set ip dscp cs1

 

interface fastethernet 0/0.2

ip inspect fwin in

ip inspect fwout out

service-policy output ftp

service-policy input ftp

ip access-group dmzout out

 

....

 

ip access-list extended dmzout

permit tcp any any eq 21

osv

osv

 

access-list 101 permit tcp any gt 1023 any eq 21

access-list 101 permit tcp any eq 21 any gt 1023

 

 

---------------------------------

ble litt skrevet om her så kan være et par glipper..

 

med ip inspect så vil router åpne for nødvendige porter for tjenesten (returporter osv)

Dette løser problemet vanlige ACL's har med for eks ftp ,der klient/server plutselig kan begynne å bruke høye porter som både source og destination.. Dette løses gjerne med permit tcp ..... gt 1023, men dette åpner FOR MYE porter syns jeg.

 

Da er mitt spørsmål:

Hvordan kan jeg prioritere (eller nedprioritere) ALL trafikk av for eks type ftp? Problemet er at man kun matcher ACL's (for eks match access-group 101). Dette vil ikke prioritere riktig når source OG destination er "random"

Går det ann å matche "resultatet" av en inspect (eller tilsvarende) i steden for? da vil ALL ftp-trafikk (eller andre typer) bli prioritert.

 

håper dette var noenlunde forståelig og håper at noen har tips.

Endret 7. august 2006 av lohelle

[lohelle]

OK! da fant jeg ut av dette likevel (selv om jeg har fundert en stund)

 

trikset er at alle (tror jeg) applikasjonene som kan matches under ip inspect også kan matches under class-map. Navnet på kommanoen (protocol) forvirret meg litt bare..

 

class-map ftp

description nedprioritere ftp trafikk

match protocol ftp

 

class-map VOIP

description prioritere sip trafikk

match protocol sip

 

osv

[lohelle]

fortsetter å prate med meg selv jeg i håp om at noen kan ha nytte av dette..

 

class-maps:

class-map match-all snmp

match protocol snmp

class-map match-all pptp

match protocol pptp

class-map match-all imap

match protocol imap

class-map match-all http

match protocol http

class-map match-all smtp

match protocol smtp

class-map match-all syslog

match protocol syslog

class-map match-all ftp

match protocol ftp

class-map match-all rdp

match access-group 101

class-map match-all sip

match protocol sip

class-map match-all pop

match protocol pop3

class-map match-all gre

match protocol gre

 

policy-map priority

class ftp

set ip dscp 1

class sip

set ip dscp 61

class pptp

set ip dscp 30

class gre

set ip dscp 30

class http

set ip dscp 1

class rdp

set ip dscp 40

class pop

set ip dscp 25

class smtp

set ip dscp 25

class imap

set ip dscp 25

class snmp

set ip dscp 60

class syslog

set ip dscp 60

 

interface fastethernet 0/0.2

service-policy input priority

service-policy output priority

 

nå blir MASSE pakker tagget med ny prioritet i hvert fall!

noe jeg fant irriterende var at man tydligvis ikke kan matche mange protokoller samtidig i en class-map (eller ACL og protocol samtidig)

Endret 7. august 2006 av lohelle

[lohelle]

Ok! da fortsetter jeg med min monolog..

 

har endret "set ip dscp xx" til "set ip precedence x"

 

se bilde under for statistikk (show ip policymap interface fastethernet 0/0.2 + excel)

litt under 20% blir ikke matchet av mine class-maps og blir fanget opp av default class-map

 

 

er det noe GRATIS program som kan hente ut denne statistikken raskt og smertefritt? helst ikke via netflow (har en tendens til å få min router til å henge merkelig nok)

[lohelle]

noe jeg fant irriterende var at man tydligvis ikke kan matche mange protokoller samtidig i en class-map (eller ACL og protocol samtidig)

 

fant ut det også.. svaret lå som vanlig rett fremfor meg...

 

class-map match-any voip

match protocol sip

match acl 101

osv...

 

match-ANY

[tyldum]

Just in case: takk for at du fyller ut videre, noen vil helt sikkert ha nytten av det en gang.