Classification, Marking, Policing PDF

Classification, marking, Policing.
1- Cisco Catalyst 3650 Switch without QoS.

Paquetes pasan sin ser alterados. Por ejemplo, si un frame con CoS 5 y el paquete dentro del
frame con valor EF en DSCP ingresa al switch, las Labels CoS y DSCP no son cambiadas. El tráfico
deja con los mismos valores CoS y DSCP como ingresaron.
Switch#show mls qos

QoS is disabled
QoS ip packet dscp rewrite is enabled
!--- Even though it says QoS ip packet dscp rewrite is enabled, !--- the switch does not alter the
DSCP label on the packets when !--- the QoS is disabled.
2- Cisco Catalyst 3650 Switch QoS Features

Cuando se habilita QoS hay pocos Features QoS de ingreso y egreso habilitados por default.
Cuando comienza a funcionar QoS la arquitectura es la siguiente:
3- Ingress QoS Features
Existen las siguientes posibles configuraciones de QoS para ingreso:
3.1- Default Ingress QoS Configuration

3.2- Classification and Marking
3.3- Policing
3.4- Congestion Management and Avoidance
3.1- Default Ingress QoS Configuration.

Esto es como el switch trata a los frames por default después que QoS es habilitado:
- Un frame que ingresa a un puerto del switch no tiene taggeado el frame (esto significa que
el puerto es un Access port y por lo tanto el frame ingresa al switch y no tiene
encapsulación ISL o dot1q)
- El switch lo encapsulará con dot1q (ignora ISL porque dot1q es el default en todos los
switches más recientes)
- Dentro del tag del frame dot1q, hay 3 bits llamados 802.1p priority bits disponibles los
cuales también son llamados CoS. Estos bits son seteados a CERO. (0)
- Luego el swith calcula los valores DSCP basados en el "CoS-DCP map table". ya que la tabla
lo indica, el switch lo se setea a un valor DSCP de CERO (0). El valor se copia en el campo
DSCP de la cabecera IP del paquete.
CONCLUSIÓN HASTA AQUI
Valore CoS y DSCP del frame que entran al switch son seteados a 0 por default, cuando el QoS está
habilitado en el switch.
3.2- Classification and Marking

A diferencia de los routers, la clasificación y marcado actúan diferente en los switches catalyst
Cisco. En los routers cisco, se puede clasificar paquetes usando MQC:
a- basado en el valor DSCP del paquete entrante.

b- basado en una access list ACL.
En los switches esto depende en si tu confías o NO en la QoS LABEL del paquete entrante.
En el cisco catalyst 3650, se puede clasificar los frames basado en:
3.2.1- Valores CoS/DSCP del paquete entrante.
3.2.2- basado en una access list ACL.

La configuración a aplicar para realizar Classification and Marking basado en el punto 3.2.1, se
Puede hacer de 3 formas.
3.2.1.1 Port based configuration using the mls qos interface based
commands.
3.2.1.2 MQC based configuration using class-map and policy-map.
3.2.1.3 VLAN based configuration.

Se puede usar cualquiera de estos 3 métodos. No se puede usar más de un método en un puerto.
por ejemplo, si usted tiene configurado 3.2.1.1 es decir en la interfaz el comando "mls os trust cos"
y luego configura "service-policy input <policy-map-name>" el IOS removerá el comando "mls qos
trust cos" automáticamente.
3.2.1.1 Classification and Marking - Port Based.

Esta sección explica la clasificación basada en la configuración especifica de interfaz. Una pregunta
puede surgir con el título "Classification and Marking". Ya que en los switches cisco catalyst 3650,
los valores CoS o DSCP de los frames (paquete dentro del frame) son REMARCADOS usando map
tables. Map tables no están disponibles en los routers
Esta sección discute estas dos configuraciones: (no significa que es una de las dos, son ambas)
3.2.1.1.1 Classification - Port Trust Configuration
Un paquete entrante o frame puede ya tener una QoS LABEL. Surgen 2 preguntas:
1- Confiamos en la QoS LABEL que está entrando?

2- Si un IP phone y PC están conectados a un puerto, confiamos en la
2.1- QoS LABEL del teléfono.

2.2- QoS LABEL del PC.
2.3- Ambos
si no confío en las QoS LABELS de los paquetes entrantes, se necesita clasificar el paquete. Esto
puede ser realizado con dos acciones:
1- ACCESS-LIST
2- MARK QoS LABEL
Si confiamos en las marcas de los paquetes que están entrando, surge las siguientes preguntas:
1- Confiamos en los valores de CoS

2- Confiamos en los valores de DSCP
Esto dependerá del escenario. A continuación, analizaremos diferentes escenarios con varios
ejemplos explicativos:
Las opciones de confiar basado en puerto son:
Switch(config-if)#mls qos trust ?

cos cos keyword
device trusted device class
dscp dscp keyword
ip-precedence ip-precedence keyword
<cr>
A continuación, se presentarán los siguientes escenarios: hay 6 escenarios:
EJEMPLO 1:
Si el puerto es un access port o layer 3 port, se necesita configurar el comando “mls qos trust
dscp”. No se puede usar el comando “mls qos trust cos” porque el frame desde el puerto de
acceso NO contiene tag ISL o dot1q. Los bits CoS están presente en el frame dot1q o ISL
solamente.
interface GigabitEthernet1/0/1
description **** Layer 3 Port ****
no switchport
ip address 192.168.10.1 255.255.255.0
mls qos trust dscp
end
description **** Access Port ****
switchport access vlan 10
switchport mode access
mls qos trust dscp
end
EJEMPLO 2:
Si el puerto es un puerto trunk, se puede configurar cualquier comando
Mls qos trust qos

o
Mls qos trust dscp
La tabla dscp-cos map es usado para calcular el valor CoS, si el puerto es configurado para confiar
DSCP. Similarmente, la tabla cos-dscp es usada para calcular el valor DSCP si el puerto está
configurado para confiar en CoS.
description **** Trunk Port ****
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk native vlan 5
switchport trunk allowed vlan 5,10,20,30,40,50
mls qos trust cos
end
description **** Cisco IP Phone ****
switchport voice vlan 20
mls qos trust cos
spanning-tree portfast
end
!--- The Cisco IP Phone uses IEEE 802.1Q frames for Voice !--- VLAN traffic.
EJEMPLO 3:
Si el puerto es un puerto troncal dot1q y el puerto está configurado con el comando “mls qos trust
cos”, los frames con la vlan nativa tendrán valores CoS y DSCP a CERO. Porque los frames de la
vlan nativa son NO tageados y el frame es tageado después que ingresa al switch, el switch seteará
el valor CoS default a CERO y la tabla CoS-to-DSCP setea el valor DSPC a CERO.
Nota: El valor DSCP del paquete llegando desde la vlan nativa será reseteado a CERO.
Se puede también configurar el puerto del switch para cambiar el valor CoS default de los frames
no tageados desde 0 a cualquier valor entre 0-7, usando el comando “mls qos cos <0-7>”. Este
comando no cambia el valor CoS de los frame tageados.
Por ejemplo, el puerto Gigabitethernet1/0/12 es configurado con access vlan 10 y voice vlan 20.
mls qos trust cos
!--- The Cisco IP Phone uses IEEE 802.1Q frames for Voice !--- VLAN traffic.
Voice VLAN is only supported on access ports and not !--- on trunk ports,
even though the configuration is allowed.
end
Por default, el PC envía la data no tageada. Trafico no tageado desde el dispositivo conectado al
cisco ip phone pasa a través del teléfono sin cambios, independientemente del estado de
confianza del puerto de acceso en el teléfono. El teléfono envía frames tageados dot1q con el vlan
de voice ID 20. Por lo tanto, si configuras el puerto con el comando “mls qos trust cos”, el confía
en el valor CoS de los frames desde el phone (tagged frames) y setea el valor CoS de los frames
(untagged) desde el PC a CERO. Después de eso, la map table CoS-DSCP setea el valor DSCP del
paquete dentro del frame a 0 porque la CoS-DSCP map table tiene el valor DSCP 0 para el valor
CoS 0. Si el paquete desde el PC tiene cualquier valor DSCP especifico, ese valor será reseteado a 0.
Si configuras el comando “mls qos cos 3” en el puerto, el setea el valor CoS de todos los frames
desde el PC a 3 y no altera el valor CoS de los frames desde el teléfono.
mls qos trust cos
mls qos cos 3
end
Si se configura el puerto con el comando “mls qos cos 3 override”, el setea el valor CoS de todos
los frames (ambos los tageados y no tageados) a 3. El sobre escribe los valores de confianza
configurados previamente.
mls qos trust cos
mls qos cos 3 override
!--- Overrides the mls qos trust cos.
!--- Applies CoS value 3 on all the incoming packets on both !--- the vlan 10 and 20.
end
EJEMPLO 4:
Por ejemplo, mire la configuración de la puerta gi1/0/12
mls qos trust cos
end
Si el PC tagea su frame con la vlan 20, también setea el valor CoS a 5. El switch procesa el tráfico
de datos tageado (tráfico en IEEE 802.1Q o IEEE 802.1p) desde el dispositivo atachado al puerto de
acceso en el cisco ip phone. Porque la interfaz es configurada para confiar en el valor CoS, todo el
tráfico recibido a través del puerto de acceso en el cisco ip phone pasa a través del phone sin
cambios. El switch también confía y permite el tráfico desde el PC, y le entrega la misma prioridad
como el tráfico del IP phone. Esto no es un resultado deseado que se quiere ver. Esto puede ser
evitado usando el comando “switchport priority extend cos <cos-value>
mls qos trust cos
switchport priority extend cos 0
!--- Overrides the CoS value of PC traffic to 0.
end
El comando “switchport priority extende cos <cos-value>” configura el phone tal que el ip phone
cambia el valor CoS del tráfico del PC a 0.
EJEMPLO 5:
Por ejemplo, en la misma interfaz, alguien conecta el PC directamente al switch y t tagea la data
del PC con frame dot1q con un valor más alto de CoS. Esto puede ser evitado usando el comando
mls qos trust device cisco-phone.
mls qos trust cos
switchport priority extend cos 0
mls qos trust device cisco-phone
!--- Specify that the Cisco IP Phone is a trusted device.
end
EJEMPLO 6:
Por ejemplo, en la interfaz GigabitEthernet 1/0/12, se tiene que confiar en la QoS LABEL desde el
PC. También, el PC está conectado a la vlan nativa VLAN 10. En este caso, el comando mls qos
trust cos No ayuda porque el paquete del PC no tagea el valor CoS. El tageará solamente el valor
DSCP. Por lo tanto, el switch agrega el frame dot1q y configura el valor default CoS a CERO. Luego,
la tabla CoS-DSCP calcula y resetea el valor DSCP a CERO.
Para arreglar este problema, se tiene dos opciones. Una es configurar classification y marking
usando MQC. Se puede crear una ACL para matchear tu tráfico de PC basado en la dirección IP
fuente, destino, y numero de puertos fuente y destino. Luego, se matchea esta ACL en un class-
map. Se puede crear un “policy-map” para confiar en este tráfico. Esta solución es discutida más
adelante. Este párrafo discute el segundo método. El segundo método es confiar en la DSCP LABEL
en vez de la CoS LABEL. Luego el DSCP-CoS map calcula y setea el valor CoS que corresponde a el
valor DSCP.
mls qos trust dscp
end
El primer método es el preferido de los 6 porque no es recomendado confiar en todas las QoS
Labels del tráfico de PCs.
Marking – QoS Map Tables Configuration.
Después que QoS está habilitado, las map tables son creadas con los valores default y son
habilitadas.
Distribution1#show mls qos maps cos-dscp

Cos-dscp map:
cos: 0 1 2 3 4 5 6 7
--------------------------------
dscp: 0 8 16 24 32 40 48 56
Distribution1#show mls qos maps dscp-cos

Dscp-cos map:
d1 : d2 0 1 2 3 4 5 6 7 8 9
---------------------------------------
0: 00 00 00 00 00 00 00 00 01 01
1: 01 01 01 01 01 01 02 02 02 02
2: 02 02 02 02 03 03 03 03 03 03
3: 03 03 04 04 04 04 04 04 04 04
4: 05 05 05 05 05 05 05 05 06 06
5: 06 06 06 06 06 06 07 07 07 07
6: 07 07 07 07
hay 3 ejemplos prácticos:
EJEMPLO 1
Si el puerto es configurado para confiar en CoS, todos los valores CoS entrantes son confiables y
los valores DSCP son los que serán REMARCADOS según la CoS-DSCP table
CONCLUSION se confía en CoS en la tabla CoS-DSCP

|
|
|
manda
Debido a la configuración default CoS-DSCP los valores son mapeados así:
CoS DSCP (decimal) DSCP

0 0 Default
1 8 CS1
2 16 CS2
3 24 CS3
4 32 CS4
5 40 CS5
6 48 CS6
7 56 CS7
un valor importante que se necesita tener en cuenta es el valor que corresponde a CoS valor 5. Él
es CS5.
EJEMPLO 2
Por ejemplo, la interfaz Giga1/0/12 está configurada para confiar en CoS.
mls qos trust cos
end
El cisco ip phone marca el payload de voz con CoS 5 y DSCP EF cuando el envía el trafico al switch,
el trafico entra al puerto Gi1/0/12, el switch confía en el valor CoS. Entonces el SW saca el valor
DSCP CS5 (40) para el valor 5 del CoS desde la tabla CoS-DSCP. Todos los payloads con CoS 5 son
marcados con el valor DSCP CS5 y esto no es el valor deseado. El valor DSCP requerido para el
payload de voz es DSCP EF. Por default, los otros valores CoS a valores DSCP son mapeados
correctamente como lo establece el RFC.
La siguiente configuración ayuda a configurar la map table CoS-DSCP, para cambiar el valor DSCP
EF que corresponde al CoS 5.
Distribution1(config)# mls qos map cos-dscp 0 8 16 24 32 46 48 56
!--- DSCP 46 is EF
Después de esta configuración, los valores son mapeados como se muestra a continuación:
CoS DSCP (decimal) DSCP

0 0 Default
1 8 CS1
2 16 CS2
3 24 CS3
4 32 CS4
5 46 EF
6 48 CS6
7 56 CS7
EJEMPLO 3
Si el puerto es configurado para confiar en DSCP, todos los valores DSCP entrantes son confiables y
los valores CoS son remarcados según la tabla DSCP-CoS.
CONCLUSION se confía en DSCP en la tabla DSCP-CoS
|
|
manda
la configuración default DSCP-CoS son mapeados de la siguiente forma:
DSCP DSCP (decimal) CoS

Default 0-7 0
CS1 AF11 AF12 AF13 8-15 1
CS2 AF21 AF22 AF23 16-23 2
CS3 AF31 AF32 AF33 24-31 3
CS4 AF41 AF42 AF43 32-39 4
CS5 EF 40-47 5
CS6 48-55 6
CS7 56-63 7
No se necesita cambiar estos valores default.
Distribution1#show mls qos maps dscp-cos

Dscp-cos map:
d1 : d2 0 1 2 3 4 5 6 7 8 9
---------------------------------------
0: 00 00 00 00 00 00 00 00 01 01
1: 01 01 01 01 01 01 02 02 02 02
2: 02 02 02 02 03 03 03 03 03 03
3: 03 03 04 04 04 04 04 04 04 04
4: 05 05 05 05 05 05 05 05 06 06
5: 06 06 06 06 06 06 07 07 07 07
6: 07 07 07 07
La siguiente tabla resumen los valores DSCP y CoS para referencia:
DSCP (Decimal) DSCP CoS

0 Default 0
8 CS1 1
10 AF11 1
12 AF12 1
14 AF13 1
16 CS2 2
18 AF21 2
20 AF22 2
22 AF23 2
24 CS3 3
26 AF31 3
28 AF32 3
30 AF33 3
32 CS4 4
34 AF41 4
36 AF42 4
38 AF43 4
40 CS5 5
42 5
44 5
46 EF 5
48 CS6 6
56 CS7 7
Nota: En una red, todos los switches Cisco Catalyst deberían tener idénticas map tables. Valores
diferentes en las map tables de los diversos switches causaría un comportamiento QoS indeseado.
Classification and Marking – MQC based.
3.2.1.2 MQC based configuration using class-map and policy-map
3.2.1.3 VLAN based configuration
3.2.1.2 MQC based configuration using class-map and policy-map
Como se explicó en la sección classification and marking, tu puedes usar MQC para clasificar y
marcar el paquete. se puede usar MQC en vez de la configuración de puerto especifico.
usted también puede marcar los paquetes entrantes con el policy-map
los requerimientos en este ejemplo son:
- Confiar el valor CoS del tráfico ip phone.

- Marcar el valor DSCP de la aplicación softphone desde el PC el cual está conectado al IP
Phone.
- No confiar en todo el otro tráfico que viene desde el PC.
Este diagrama muestra que un policy-map atachado a la entrada de una interfaz. No se puede
aplicar un policy-map a la salida de cualquier interfaz en un catalyst switch.
La próxima configuración representa el diagrama. Esta sección no se enfoca en la porción de
encolamiento del feature QoS. Esta sección solo se enfoca en el MQC aplicado a la interfaz.
Se asume que la vlan de data es la 10 y su subred es 172.16.10.0/24. La vlan de voz es la vlan 100 y
su dirección de red es la 192.16.100.0/14.
Sección A.
Distribution1(config)#ip access-list extended voice-traffic

Distribution1(config-std-nacl)#permit ip 192.168.100.0 0.0.0.255 any
Distribution1(config-std-nacl)#ip access-list extended database-application

Distribution1(config-ext-nacl)#permit tcp any any eq 1521
Distribution1(config-ext-nacl)#exit
Distribution1(config)#class-map Class-A
Distribution1(config-cmap)#match access-group name voice-traffic
Distribution1(config-cmap)#exit
Distribution1(config)#class-map Class-B
Distribution1(config-cmap)#match access-group name database-application
Sección B.
Distribution1(config)#policy-map sample-policy1
Distribution1(config-pmap)#class Class-A
Distribution1(config-pmap-c)#trust cos
Distribution1(config-pmap-c)#exit
Distribution1(config-pmap)#class Class-B
Distribution1(config-pmap-c)#set dscp af21
Distribution1(config-pmap)#exit
Sección C.
Distribution1(config)#interface gigabitEthernet 1/0/13

Distribution1(config-if)#switchport access vlan 10
Distribution1(config-if)#switchport mode access
Distribution1(config-if)#switchport voice vlan 100
Distribution1(config-if)#spanning-tree portfast
Distribution1(config-if)#service-policy input sample-policy1
Distribution1(config-if)#exit
Explicación Sección A.
- Clasifica el tráfico del ip phone a la class-A. El IP phone pertenece a la vlan de voz y tiene
una dirección IP en la subred 192.168.100.0.
- Clasifica el tráfico de la aplicación database a la Class-B. El tráfico del PC (en realidad
cualquier tráfico según la configuración) destinada a cualquier destino con los números de
puerto 1521, 1810, 2481, 7781 son clasificados dentro del class map Class-B.
Explicación Sección B.
- El tráfico que matchea Class-A están configurados para confiar en la CoS LABEL. Esto
significa que los valores CoS de todo el tráfico desde el ip phone son confiables. Como se
muestra en el diagrama, el valor DSCP es derivado desde la CoS-DSCP map para el tráfico
Class-A.
- El tráfico que matchea Class-B son configurados para Setear el valor DSCP a AF21. Como se
muestra en el diagrama, el valor CoS es derivado desde el DSCP-CoS map table para el
tráfico de la Class-B.
- Las configuraciones bajo cada clase del policy-map son llamadas acciones PHB. Marking,
Queueing, Policing, shaping y congestion avoidance son las acciones soportadas PHB en
los routers cisco. Las únicas acciones PHB soportadas en los switches catalyst son Marking
and Policing.
Distribution1(config)#policy-map test
Distribution1(config-pmap)#class test
Distribution1(config-pmap-c)#?
QoS policy-map class configuration commands:
exit Exit from QoS class action configuration mode
no Negate or set default values of a command
police Police
service-policy Configure QoS Service Policy
set Set QoS values
trust Set trust value for the class
<cr>
Los comandos set y trust son acciones PHB Marking. Se puede configurar cualquier acción PHB set
o trust.
No se puede configurar ambas acciones en un class de policy-map. Sin embargo, puede configurar
set en una class y trust en otra class en el mismo policy-map.
El comando police es la acción PHB Policing. Se discute en detalle en la próxima sección.
Shaping no es soportado en los switches catalyst 3650. Queueing y congestion avoidance son
soportados en este switch, pero no son configurables usando MQC.
Explicación Sección C.
- El policy-map puede ser aplicado solamente en la entrada de la interfaz. Cuando se aplica

a la interfaz de salida, recibirá un mensaje de error.
Distribution1(config)#int gi 1/0/3
Distribution1(config-if)#service-policy output test
Warning: Assigning a policy map to the output side of an
interface not supported
Service Policy attachment failed

interface not supported
- Si cualquiera de los otros métodos de clasificación, tales como port based o vlan based,
son configurados en la puerta Giga1/0/3, estas configuraciones son removidas cuando
aplica el policy-map. Por ejemplo, el puerto Gi1/0/13 está configurado para confiar en el
CoS como se muestra a continuación:
mls qos cos 3
mls qos trust cos
- Cuando aplica policy-map a ña interfaz, el remueve el comando trust.
Distribution1(config-if)#do show run int gi 1/0/13
Building configuration...
Current configuration : 228 bytes

!
service-policy input sample-policy1
!--- It replaces the mls qos trust or mls qos !--- vlan-based command.
mls qos cos 3

!--- This command is not removed.
end
Se puede ver que el service-policy de entrada reemplaza solamente al comando “mls qos trust” o
“mls qos vlan-based”. El no cambia los otros comandos, tales como mls qos cos o mls qos dscp-
mutation. En resumen, el reemplaza el comando de clasificación QoS y no reemplaza los
comandos Marking QoS.
En el policy-map, se ve solamente 2 class-maps. Class-A que matchea el trafico IP phone y Class-B

que matchea el tráfico dela aplicación de base de datos que viene desde el PC. Todo el otro tráfico
del PC (excepto la aplicación BD definida en la access-list) es clasificada bajo la clase “class-default”
del policy-map. Esto es agarrar todo el tráfico el cual no cae o no hace match con las clases
definidas y que están atachadas al policy-map. Por lo tanto, este tráfico que pertenece a la class-
default no es confiable por el puerto, y estos paquetes son seteados con el CoS default y DSCP
label como Cero. Se puede configurar y Setear cualquier valor CoS o DSCP a este tráfico class-
default. Se puede Setear el valor default DSCP usando MQC. El valor CoS es derivado desde el
DSCP-CoS map table.
Distribution1(config)#policy-map sample-policy1
Distribution1(config-pmap)#class class-default
Distribution1(config-pmap-c)#set dscp af13
Se puede Setear el valor CoS default como se muestra aquí. El valor DSCP es derivado desde la
CoS-DSCP map table.
Distribution1(config-if)#mls qos cos 3
Distribution1(config-if)#do show run int gi 1/0/13
Building configuration...
Current configuration : 228 bytes

!
service-policy input sample-policy1
mls qos cos 3
Setear la prioridad más alta al tráfico. En este ejemplo la configuración es usada para Setear la
prioridad más alta al tráfico desde el puerto TCP 1494.
Trafico VOIP necesita ser asignado al valor DSCP EF.
!--- Classifying all traffic coming with dscp value of EF !--- under this class-map.
Switch(config)# class-map match-all AutoQoS-VoIP-RTP-Trust

Switch(config-cmap)# match ip dscp ef
Switch(config)# policy-map AutoQoS-Police-CiscoPhone

Switch(config-pmap)# class AutoQoS-VoIP-RTP-Trust
!--- Again setting the dscp value back to EF.
Switch(config-pmap-c)# set dscp ef

Switch(config-pmap-c)# police 320000 8000 exceed-action
policed-dscp-transmit
Trafico desde TCP 1494 necesita ser asignado al valor DSCP de CS4.
Switch(config)# access-list 100 permit tcp <source source-wildcard> <destination destination-

wildcard> eq 1494
Switch(config)# class-map tcp

Switch(config-cmap)# match access-group 100

Switch(config-pmap)# class tcp
Switch(config-pmap-c)# set dscp cs4
Todo el otro tráfico necesita ser asignado a CS3:
Switch(config)# access-list 200 permit ip any any

Switch(config)# class-map default
Switch(config-cmap)# match access-group 200
Switch(config-pmap)# class default
Switch(config-pmap-c)# set dscp cs3
Aplicarlo bajo las interfaces relevantes:
Switch(config)# interface <interface-type><interface number>

Switch(config-if)# service-policy <policy-map-name>
Policing.
En los switches cisco catalyst, Policing puede solamente ser configurado en puerto de ingreso.
Policing puede solamente ser configurado a través de MQC. Esto significa que no hay comando
especifico de interfaz para policer el tráfico. Se puede configurar Policing en el policy-map y luego
aplicar el policy-map usando solamente l comando “service-policy input <policy-name>”. No se
puede aplicar cualquier policy-map a la salida de una interfaz.
Distribution1(config-if)#service-policy output test

police command is not supported for this interface
Configuration failed!
interface not supported.
Esta sección discute estos tópicos:
Classification, Marking and Policing (exceed action - drop)

Esta sección explica la configuración de Policing que dropea el tráfico en exceso. Policing mide el
tráfico entrante y mantiene la taza entrante a los bits configurados por segundo. El switch catalyst
soporta solamente una única taza, single bucket Policing. Esto significa que el switch mide
solamente 1 taza y puede generar un perfil al tráfico en dos colores con las acciones conform y
exceed. El diagrama muestra un policy-map simple-policy2 con 3 class-maps.
Los requerimientos de este ejemplo son:
Police ftp, pop3, imap tráfico a 10 Mbps.

Confiar el valor DSCP de los paquetes de la aplicación IP Communicator, desde el PC el cual está
conectado al IP phone. También, el requerimiento es policear este tráfico a 1 Mbps.
Esta configuración representa el policy-map mencionado en el diagrama.
!--- Create Access-list and Class map Class-A
Distribution1(config)#ip access-list extended BULK-DATA

Distribution1(config-ext-nacl)#permit tcp any any eq ftp
Distribution1(config-ext-nacl)#permit tcp any any eq ftp-data
Distribution1(config-ext-nacl)#permit tcp any any eq pop3
Distribution1(config-cmap)#match access-group name BULK-DATA
!--- Create Access-list and Class map Class-B
Distribution1(config)#ip access-list extended IP-Communicator

Distribution1(config-ext-nacl)#remark *** Voice Payload ***
Distribution1(config-ext-nacl)#permit udp any any range 16384 32767
Distribution1(config-ext-nacl)#remark *** Voice Signalling ***
Distribution1(config-ext-nacl)#permit tcp any any range 2000 2002
Distribution1(config-cmap)#match access-group name IP-Communicator
!--- Create Access-list and Class map Class-C
Distribution1(config)#ip access-list extended application

Distribution1(config-ext-nacl)#remark *** Application for example ***
Distribution1(config-ext-nacl)#permit udp any any eq 32768
Distribution1(config)#class-map Class-C
Distribution1(config-cmap)#match access-group name application
!--- Create Policy map
Distribution1(config-cmap)#policy-map sample-policy2
Distribution1(config-pmap)#class Class-A
Distribution1(config-pmap-c)#police 10000000 8000 exceed-action drop
Distribution1(config-pmap-c)#class Class-B
Distribution1(config-pmap-c)#trust dscp
Distribution1(config-pmap-c)#class Class-C
Distribution1(config-pmap-c)#set dscp CS2
!--- Apply Policy map to the interface
Distribution1(config)#interface GigabitEthernet1/0/20
La configuración se explica a continuación:
Class-A: El tráfico matcheando Class A es policeado a la taza de 10 Mbps. Las QoS Labels en el
tráfico de la Class A No es confiable. Los valores CoS y DSCP son marcados a CERO (0). Los
paquetes excesivos son dropeados por el policer.
Class-B: Hay dos acciones PHB realizadas en el tráfico matcheando la Class B. Uno esconfiar y el
segundo es Policing. El valor DSCP para el tráfico de la Class-B es confiable. El valor CoS será
derivado de la tabla DSCP-CoS. Luego, el tráfico de la Class B es policeado a lataza de 256 Kbps. Los
paquetes excesivos son dropeados por el policer.
Class-C: Hay 2 acciones PHB realizados en el tráfico matcheando Class B. Uno es marking y el
segundo es Policing. Los paquetes entrantes que matchean la Class C son marcados con el valor
DSCP de CS2, y el valor CoS es derivado desde la tabla DSCP-CoS la cual es 2. Luego, el tráfico de la
Class C es policeado a la taza de 25 Mbps. Los paquetes excesivos son dropeados por el policer.
Classification, Marking and Policing (exceed action -

policed-dscp-transmit)
Esta sección explica la configuración de Policing que marca y transmite el tráfico excesivo. Este
diagrama muestra un policy-map simple-policy3 con 2 class-map:
El switch marca el tráfico que excede la taza del policing configurado basado en los valores de la
tabla policed-DSCP map. El map policd-DSCP es usado solamente cuando es configurado en la
configuración del Policing. La tabla default policed-DSCP map se muestra a continuación:
Distribution1(config)#do show mls qos map policed-dscp
Policed-dscp map:
d1 : d2 0 1 2 3 4 5 6 7 8 9
---------------------------------------
0: 00 01 02 03 04 05 06 07 08 09
1: 10 11 12 13 14 15 16 17 18 19
2: 20 21 22 23 24 25 26 27 28 29
3: 30 31 32 33 34 35 36 37 38 39
4: 40 41 42 43 44 45 46 47 48 49
5: 50 51 52 53 54 55 56 57 58 59
6: 60 61 62 63
Desde esta tabla, se puede ver los mismos valores DSCP son matcheados. Por ejemplo, DSCP 34 es
mapeado a DSCP 34. El tráfico que conforma a la taza del policer es transmitida sin alterar el valor
DSCP. El tráfico que excede la taza del policer puede ser transmitida con un diferente valor DSCP.
Por ejemplo, él puede ser marcado con el valor DSCP que tiene más probabilidad de ser Dropeado.
Si usted usa los valores default para policed-DSCP, no hace sentido usar Policing. Por ejemplo, se
tiene configurado policear el tráfico a la taza de 10 Mbps. El paquete entrante tiene l valor DSCP
de CS4. Si mantiene el valor default DSCP, el tráfico que conforma los 10 Mbps es transmitido con
el valor DSCP de CS2. También, el tráfico que excede los 10 Mbps es transmitido con el valor DSCP
con valor de CS2. Esto se debe a que los valores predeterminados del mapa policed-DSCP asignan
los mismos valores. Por lo tanto, se recomienda configurar la tabla de mapa policed-DSCP
apropiadamente para diferenciar los valores de DSCP.
Los requerimientos de este ejemplo son:
Configure the policed-DSCP map table to map:

EF to AF31
CS3 to AF13
CS2 to AF11
Confiar los valores DSCP de los paquetes del IP Communicator y policearlo a 256 kbps. Si el tráfico
excede los 256 Kbps, remarca los valores DSCP usando la tabla policed-DSCP map.
Esta configuración representa el policy-map mencionado en el diagrama:

!--- Policed DSCP table Configuration
Distribution1(config)#mls qos map policed-dscp 46 to 26

!--- Create Access-list and Class map Class-A
Distribution1(config)#ip access-list extended IP-Communicator

Distribution1(config-ext-nacl)#remark *** Voice Payload ***
Distribution1(config-ext-nacl)#permit udp any any range 16384 32767
Distribution1(config-ext-nacl)#remark *** Voice Signalling ***
Distribution1(config-ext-nacl)#permit tcp any any range 2000 2002
Distribution1(config-cmap)#match access-group name IP-Communicator
!--- Create Access-list and Class map Class-C
Distribution1(config)#ip access-list extended application

Distribution1(config-ext-nacl)#remark *** Application for example ***
Distribution1(config-cmap)#match access-group name application
!--- Create Policy map
Distribution1(config-cmap)#policy-map sample-policy3
Distribution1(config-pmap-c)#class Class-A
Distribution1(config-pmap-c)#trust dscp
Distribution1(config-pmap-c)#police 256000 8000 exceed-action
Distribution1(config-pmap-c)#class Class-B
Distribution1(config-pmap-c)#set dscp CS2
Distribution1(config-pmap-c)#police 25000000 8000 exceed-action
!--- Apply Policy map to the interface
Distribution1(config)#interface GigabitEthernet1/0/21
La configuración en el policy-map es explicada ahora:
Policed-DSCP: Hay 3 valores modificados en el policed-DSCP map table.
EF to AF31
CS3 to AF13
CS2 to AF11
Los primeros dos valores son modificados basados en los tipos de tráfico en los maps de Class-A y
Class-B.
Clase A: La payload de voz y el control de voz desde el softphone se clasifican en el mapa de clases
Clase A. El tráfico de la payload de voz tiene el valor DSCP de EF y el control de voz tiene el valor
DSCP de CS3. De acuerdo con la configuración policy-map, estos valores DSCP son de confianza. El
tráfico se controla a una velocidad de 256 Kbps. El tráfico que conforma esta velocidad se enviará
con el valor DSCP entrante. El tráfico que excede esta tasa será remarcado por la tabla policed-
DSCP y transmitido. La tabla policed-DSCP remarcará la EF a AF31 y la CS3 a AF13 según los valores
configurados. A continuación, los valores CoS que correspondan serán sacados desde la tabla
DSCP-CoS.
Clase B: Los paquetes entrantes que coinciden con la Clase B están marcados con el valor DSCP de
CS2. El tráfico de clase B se controla a una velocidad de 25 Mbps. El tráfico que conforma esta
velocidad se enviará con el valor de DSCP de 2 y el valor de CoS se deriva de la tabla DSCP-CoS que
es 2. El tráfico que excede esta tasa será remarcado por la tabla policed-DSCP y transmitido. La
tabla policed-DSCP remarcará la EF a AF31 y la CS3 a AF13 según los valores configurados. A
continuación, los valores CoS que corresponden se derivarán de la tabla DSCP-CoS.

Classification, Marking, Policing PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Classification, Marking, Policing PDF

Hochgeladen von

Copyright:

Verfügbare Formate

Classification, marking, Policing.

1- Cisco Catalyst 3650 Switch without QoS.

Switch#show mls qos

2- Cisco Catalyst 3650 Switch QoS Features

3.1- Default Ingress QoS Configuration

3.1- Default Ingress QoS Configuration.

CONCLUSIÓN HASTA AQUI

3.2- Classification and Marking

a- basado en el valor DSCP del paquete entrante.

3.2.2- basado en una access list ACL.

3.2.1.2 MQC based configuration using class-map and policy-map.

3.2.1.3 VLAN based configuration.

3.2.1.1 Classification and Marking - Port Based.

1- Confiamos en la QoS LABEL que está entrando?

2.1- QoS LABEL del teléfono.

1- Confiamos en los valores de CoS

Las opciones de confiar basado en puerto son:

Switch(config-if)#mls qos trust ?

A continuación, se presentarán los siguientes escenarios: hay 6 escenarios:

Si el puerto es un puerto trunk, se puede configurar cualquier comando

Mls qos trust qos

!--- Overrides the mls qos trust cos.

Por ejemplo, mire la configuración de la puerta gi1/0/12

!--- Overrides the CoS value of PC traffic to 0.

!--- Specify that the Cisco IP Phone is a trusted device.

Distribution1#show mls qos maps cos-dscp

Distribution1#show mls qos maps dscp-cos

hay 3 ejemplos prácticos:

CONCLUSION se confía en CoS en la tabla CoS-DSCP

CoS DSCP (decimal) DSCP

Por ejemplo, la interfaz Giga1/0/12 está configurada para confiar en CoS.

Distribution1(config)# mls qos map cos-dscp 0 8 16 24 32 46 48 56

CoS DSCP (decimal) DSCP

la configuración default DSCP-CoS son mapeados de la siguiente forma:

DSCP DSCP (decimal) CoS

No se necesita cambiar estos valores default.

Distribution1#show mls qos maps dscp-cos

DSCP (Decimal) DSCP CoS

los requerimientos en este ejemplo son:

- Confiar el valor CoS del tráfico ip phone.

Distribution1(config)#ip access-list extended voice-traffic

Distribution1(config-std-nacl)#ip access-list extended database-application

Distribution1(config)#interface gigabitEthernet 1/0/13

- El policy-map puede ser aplicado solamente en la entrada de la interfaz. Cuando se aplica

Service Policy attachment failed

- Cuando aplica policy-map a ña interfaz, el remueve el comando trust.

Current configuration : 228 bytes

mls qos cos 3

En el policy-map, se ve solamente 2 class-maps. Class-A que matchea el trafico IP phone y Class-B

Current configuration : 228 bytes

Trafico VOIP necesita ser asignado al valor DSCP EF.

Switch(config)# class-map match-all AutoQoS-VoIP-RTP-Trust

Switch(config)# policy-map AutoQoS-Police-CiscoPhone

!--- Again setting the dscp value back to EF.

Switch(config-pmap-c)# set dscp ef

Switch(config)# access-list 100 permit tcp <source source-wildcard> <destination destination-

Switch(config)# class-map tcp

Switch(config)# policy-map AutoQoS-Police-CiscoPhone

Todo el otro tráfico necesita ser asignado a CS3:

Switch(config)# access-list 200 permit ip any any

Switch(config)# interface <interface-type><interface number>

Distribution1(config-if)#service-policy output test

Esta sección discute estos tópicos: