目录
4、ip rate-control 功能与rate-limit功能有什么区别
5、ip rate-control 是否只能在NAT环境下使用
6、ip rate-control 把限速的ACL配置为permit any,那么是否是全部流量都限速
7、ip rate-control 功能应用在入接口和出接口的区别是什么,方向性是怎么决定的
8、RSR路由器policy-map里面关联的多个class-map之间acl定义的流量有重叠时,是如何匹配和进行带宽保障的
9、RSR路由器接口启用了policy-map 如何查看default队列匹配了多少流量
10、接口下配置的bandwidth在Qos以及HQOS的区别
12、RSR20-04/14/18/24和RSR10-02/01G是否支持traffic-shape group
Ⅰ IPSec Qos
功能介绍
IPSEC不能直接实施QoS的特殊性在于:软件处理层面,对于一个数据包处理,是先执行IPSEC封装动作,后执行QoS动作。IPSEC封装后,源目IP地址已经固定(IPSEC隧道的源目IP),QoS模块无法读取到原始数据的源目IP及端口信息,无法通过ACL来区分数据流,即使执行QoS也不会生效。
在IPSEC封装报文时,支持将IPSEC内层IP报文的DSCP值,自动复制到外层IP头中。支持的软件版本有:
RSR10/20 :10.3(5b6)版本以上;
RSR10-02E/RSR20-14EF:10.3(5b8)版本以上;
RSR30:10.4(3b11)版本以上;
RSR77:10.4(3b15)版本以上。
IPSEC下实施QoS的思路:
1)在内网口对不同业务进行流量分类和标记
2)在IPSEC出口利用标记进行QoS策略
一、组网需求
RSR-A作为某金融3G路由器,3G路由器上承载多种业务,其中现金业务优先级高需要得到保障
二、组网拓扑
三、配置要点
1、在内网口对不同业务进行流量分类和标记
2、在IPSEC出口利用标记进行QoS策略
四、配置步骤
1、在内网口对不同业务进行流量分类和标记
ip access-list extended 111
10 permit ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 //希望放到高优先级队列的流量
interface FastEthernet 0/0
ip ref
ip address 192.168.1.1 255.255.255.0
rate-limit input access-group 111 10000000 40000 40000 conform-action set-prec-transmit 7 exceed-action transmit
//通过rate-limit命令给高优先级的流量打上标记;注意,rate-limit功能在这里只是为了打标,不做限速。所以这里的限速要配的比实际流量大
在内网口IN方向,如果需要使用其他方式打标,可以参考”流量分类和标记“章节(典型配置--->QoS--->流量分类和打标)
2、在IPSEC出口利用标记进行QoS策略,这里以PQ为例
priority-list 1 protocol ip high list 100
!
ip access-list extended 100
10 permit ip any any dscp af11
interface Async 1
crypto map mymap
priority-group 1
说明:1)强调,接口配置IPSEC后,QoS就不能用ACL来区分感兴趣流。2)在3G场景,由于运营商3G线路带宽不可控,所以不推荐使用MQC的配置方式,推荐使用PQ。
五、配置验证
1、通过show queue interface async 1具体接口,确认接口是否调用PQ策略。
Ⅱ Qos 常见问题和故障排查
一、Qos常见问题
1、什么是QoS
QoS(Quality of Service)服务质量,是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下,如果网络只用于特定的无时间限制的应用系统,并不需要QoS,比如Web应用,或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时,QoS 能确保重要业务量不受延迟或丢弃,同时保证网络的高效运行。
2、什么是ip rate-control 功能
ip rate-control 功能可以对ACL匹配出来的ip段做基于每ip的限速,可以限制每ip的上传流量、下载流量及会话数。
3、什么是 rate-limit功能
rate-limit提供了两项功能:限制速率和设置优先级。rate-limit语句要求同时设置速率限制和IP优先级,它根据报文的ToS或CoS值(对于IP报文是指IP优先级或者DSCP等等)IP报文的五元组(指源地址目的地址协议端口号)等信息进行报文分类,完成报文的标记和流量限速。
4、ip rate-control 功能与rate-limit功能有什么区别
ip rate-control功能是对ACL匹配的流量,基于每ip进行限速,rate-limit功能是对ACL匹配出来的流量进行一个总体的限速。
5、ip rate-control 是否只能在NAT环境下使用
不是,只要设备上启用了流平台(如配置了ACL\PBR\NAT等)该功能就生效;RSR77不支持跨线卡的限速;理论上只要在接口下配置对应的ACL能够生效,那么该ACL对应的rate-control功能也能够生效。只要接口下能够通过ACL把对应流量抓出来,那么rate-control也能够把对应流量限速住。
6、ip rate-control 把限速的ACL配置为permit any,那么是否是全部流量都限速
是
7、ip rate-control 功能应用在入接口和出接口的区别是什么,方向性是怎么决定的
区别是:假如在入接口配置了限速1M,而它有2个出接口,那么这个用户在两个出接口的流量加起来不会超过1M。如果在两个出接口上分别配置限速1M,那它的总流量就会有1+1=2M
8、RSR路由器policy-map里面关联的多个class-map之间acl定义的流量有重叠时,是如何匹配和进行带宽保障的
按show run里面显示的class-map的顺序,从上往下匹配(当命中第一个class-map,即按第一个class-map的规则),进行带宽保障。如果是现网的部署,建议最好class-map之间acl定义的流量进行排除,最好不要重叠。
9、RSR路由器接口启用了policy-map 如何查看default队列匹配了多少流量
通过配置一个新的class-map,把剩余的流量全部匹配出来,通过查看这个新的class-map匹配了多少流量来查看默认队列走了多少流量。具体查看的命令如下:
Ruijie#show policy-map interface gigabitEthernet 0/0
10、接口下配置的bandwidth在Qos以及HQOS的区别
HQOS不受接口bandwidth的影响,而是由接口port-queue 1 shaping xx 来决定的
QOS会受接口配置的bandwidth来计算
11、RSR路由器是否可以支持MAC地址限速
不支持
12、RSR20-04/14/18/24和RSR10-02/01G是否支持traffic-shape group
不支持,配置后会报错
Ruijie(config-if-FastEthernet 0/1)#traffic-shape group 121 3900000<
This command doesn't take effect in ip ref mode.
Ruijie(config-if-FastEthernet 0/1)#no ip ref
解决方法:
1、建议客户使用 traffic-shape rate或者rate-limit
2、或者更换为RSR20-14E/F设备
13、RSR路由器QOS中car和gts的生效时间
rate-limit(CAR)是在队列之前生效的;traffic-shape(GTS)是在队列之后生效的。
二、Qos常见故障排查
1、ip rate-control 功能限速不准确
由于rate-control功能通过软件实现,因此无法达到非常高精度的限速效果,存在一定范围的误差。并且所限速率值越大,该误差相对于整体速率值就越小。比如,如果误差值为10KB/S(参考值),那么配置限速为10KB/S时,那么实际速率的波动范围为0KB/S~20KB/S。如果配置的限速为100KB/S,那么实际速率的波动范围为90KB/S~110KB/S。
因此通过该功能限速时,一般建议配置大于100KB/S的值,这样实际的测试效果与配置的速率值会比较贴近。
2、配置ip rate-control 功能后限速不生效
1)确认测试设备的源地址是否在acl定义的网段内;
2)限速的速率是否配置正确,命令中速率的单位为KiloBytes/s。