Catalyst 6000上的QoS策略功能

1、Catalyst 6000上的QoS策略功能简介网络中的服务质量（QoS）策略可以决定网络流量性能是否符合配置文件规定的 要求（合同），是否将不符合要求的流量丢弃或者标记一个不同的差分服务代码 点（DSCP）值来执行约定的服务水平（DSCP是对帧的QoS水平进行度量的标准）。我们不能将策略和流量整形混为一谈。尽管策略和整形都需要确认流量是否按照 配置文件（合同）规定运行，但是策略并不对流量采取缓存措施，因而发送时延 不会受到影响。策略不对超出配置文件的数据包进行缓存处理，而是直接将这些 流量丢弃或者将其标记为较低的 QoS 水平（ DSCP 降级标记）。与之相反，流量 整形对超出档案标准的流量

2、采取缓存处理，使得突发流量能够平缓，不过这会影 响到时延和抖动。整形只能应用于输出流量接口，而策略则可同时应用于输入和 输出接口。在现有的 Catalyst 6000 硬件上，策略只能应用于入局接口。 Catalyst 6000 线 路卡并不支持流量整形。要获得Cisco 7600上线路卡光交换模块（OSM）以及 FlexWan端口适配器上的流量整形支持信息，请参阅Cisco 7600互联网路由器 介绍。QoS 策略参数策略的设置通过定义策略器将它们应用于端口（基于端口的QoS）或者VLAN （基 于VLAN的QoS）。每个策略器都为要求内和要求外的流量定义名称、类型、速 率、突发速率以及采取

3、的行动等。Supervisor Engine II上的策略还支持超额 速率参数。有两种类型的策略器：微流（microflow）和集合（aggregate）。Microflow微流策略器按数据流分别监控每个相应端口/VLAN上的流量。Aggregate集合策略器监控所有相应的端口/VLAN上的流量。每种策略器都可应用于数个端口或者VLAN。数据流可以采用下述参数定义：源 IP地址、目的IP地址、第4层协议（如UDP）、源端口号码以及目的端口号码 等。与一套已定义参数相匹配的数据包都被视为属于相同的流（这里的流概念同 Net flow交换技术中所采用的相同）。例如，如果我们配置一个microflo

4、w微流策略器来将VLAN 1和VLAN 3上的TFTP 流量限制在1 Mbps内，它就只允许VLAN 1和VLAN 3上每条数据流的速率为1 Mbps。换言之，如果在VLAN 1上有3条数据流，而在VLAN 3上有4条数据流， 则这样每一条数据流允许的速率都是 1 Mbps。 如果我们配置一个 aggregate 集合策略器，它就会将VLAN 1 （全部数据流）和VLAN 3 （全部数据流）的总体 TFTP 流量速率限制为 1 Mbps。如果同时应用集合和微流策略器，则QoS就会总是执行策略器所制定的最严重的 行为。例如，如果一个策略器要求丢弃数据包，而另外一个策略器则指示数据包 降级，那么数

5、据包将会被丢弃。默认状态下，微流策略器仅对被路由的（第 3 层）流量起作用。如果要对桥接的（第2层）流量也起作用，则需要启用桥接微流策略。在Supervisor Engine II 上，即使针对于第 3 层的微流策略，也需要启动桥接微流策略。策略是感知协议的，因此QoS访问控制表（ACL）或者带MAC地址ACL的策略映 射永远不能对IP流量进行策略。所有的流量都被划分为3种类型：IP、IPX和 其它。Catalyst 6000 中的策略可以根据“漏桶”概念来实施：与入局流量数据包对应 的令牌都被置入一个桶中（每个令牌代表1位，从而大数据包比小数据包对应更 多的令牌）。在正常时间间隔内，一定数量

6、的令牌数将从桶中取出并被发送。如 果桶中没有更多空间容纳输入的数据包，则数据包被视为超出配置文件范围而被 丢弃或者根据配置的策略操作实行降级处理。值得注意的是，从图中可以看到，流量在桶中并不会缓冲。实际流量根本不通过 桶，桶只能用来决定数据包在配置文件内（in profile）还是在配置文件外（out ofprofile）。计算参数多种参数控制令牌桶的行为：速率 定义在每个时间间隔内将有多少令牌取出。这样就能够有效地设置策略速率。 低于速率的所有流量都被视为是符合配置要求的。时间间隔 定义令牌隔多长时间从桶内取出一次。间隔固定在0.00025秒，从而令牌 每秒钟将从桶中取出 4000 次。时间

7、间隔不能更改。突发速率定义在任何一个时段内桶能够容纳的最大令牌数。为了维持规定的流量速 率，突发速率的大小不应该低于速率与时间间隔的乘积。另外一种考虑就是最大尺 寸的数据包也必须能够置入桶内。因而您可以用以下公式来确定突发速率参数：突发速率=（速率（bps） 丢弃数据包（在配置中采用 drop 参数）将数据包降级为一个较低的DSCP （在配置中采用丢弃数据包（在配置中采用 drop 参数）将数据包降级为一个较低的DSCP （在配置中采用policed-dscp参数）例如，我们可以计算需要在以太网上维持1 Mbps速率所需的最小突发速率值。 速率定义为1 Mbps，而最大的以太网数据包为1518

8、字节，这样公式变为：突发速率=（1,000,000bps*0.00025）或（1518 字节* 8 位/字节）=250 或 12144两者中较大的值为12144，我们可将其折算为13 Kbps。注：在Cisco IOS 中, 策略速率以bps定义，同Catalyst OS中的Kbps不同。此外，突发速率在Cisco IOS中以字节来定义，同Catalyst OS中的千位（kilobits）不同。注： 由于受硬件策略粒度的影响，实际速率和突发速率都应该折算为最接近的 支持值。确认突发速率值不低于最大的数据包尺寸，否则所有大于最大突发速率 尺寸的数据包都将被丢弃。例如，如果用户想在Cisco IO

9、S中将突发速率设置为1518，则它将会被折算为 1000字节，从而所有大于1000字节的帧都将被丢弃。解决方案是将突发速率配 置为2000。在定义突发速率时，您需要考虑到这样的事实，那就是一些协议（如TCP）会针 对丢包而采用流控制机制。例如，TCP将把每个要丢失的数据包的窗口缩小一半， 相应地，当对某个速率进行策略时，有效的链路使用率就会低于配置的速率。您 可以增加突发速率从而实现更高的利用率。对这些流量来说，比较简单易行的方 式就是将突发速率的大小增加一倍（在我们的例子中可以从13 Kbits增加到26 Kbi ts），监控性能，然后根据需要进行调整。出于同样的原因，我们不推荐采用面向连接

10、的流量来标定策略器的操作，因为它 的性能通常比策略器所允许的要低。策略操作正如我们在简介中所提到的，策略器可以对超出配置规定的数据包采取两种措施：为了降级标记数据包，policed DSCP map必须修改。默认的策略DSCP设置是 将数据包重新标注到相同的 DSCP 上（此时不会发生降级）。注：如果“超出配置文件规定”的数据包降级标定到某个DSCP，而该DSCP所映 射的输出队列同初始的 DSCP 不同，此时可能有一些数据包会不按顺序发送。基 于这种原因，如果订购的数据包很重要，则推荐将“超过配置文件规定”的数据 包降级到这样的DSCP上：即与“符合配置文件规定”的数据包有相同输出队列 的

11、DSCP。在 Supervisor Engine II 上可以支持超额速率，有两种触发器可用： 当流量超出正常速率 当流量超过超额速率应用超额速率 的一个例子是， 将超出正常速率的数据包降级，而将超过超额速 率的数据包丢弃。Catalyst 6000 所支持的策略特性当前的策略特性卡（PFC），转发引擎PFC1和PFC2只支持入局（输入接口）策 略。Catalyst 6000最多可支持 63个微流策略器和1023个集合策略器。采用 Supervisor Engine la,从 Catalyst OS 5.3 （ 1）版和 Cisco IOS 12.0（7） 版开始支持策略。注：用Supervi

12、sor Engine Ia制定策略时需要PFC子卡。采用 Supervisor Engine II,从 Catalyst OS 6.1 （ 1）版和 Cisco IOS 12.1（5c） EX 版开始支持入局策略。 Supervisor Engine II 支持超额速率策略参数。在带分布式转发卡（DFC）的配置中，只支持基于端口的策略。此外，集合策略 器也只能够以每个转发引擎（而非每个系统）为单位来对流量计数。DFC和PFC 都是转发引擎。如果线路卡上没有DFC，则可以采用PFC作为转发引擎。在 Catalyst OS 上配置和监控策略功能策略配置包括三个主要的步骤：定义一个策略器：正常流量速

13、率、超额速率（如果适用）、突发速率以及策略操作创建一个QoS ACL来选择受策略的流量，并在此ACL上连接一个策略器将QoS ACL应用于必要的端口或者VLAN。F面考查以下例子:我们希望在端口 2/8上对所有进入UDP端口的流量进行策略:Catalyst 6000set qos enable!-一激活QoSset qos policer aggregate udp_1mbps rate 1000 burst 13 drop!-定义管理器；关于比率和字符组计算，请参阅辻篡参数set qos acl ip udp_qos_port dscp 0 aggregate udp_1mbps udpan

14、y any eq 111!创建QoS ACL以便选择流量，并将管理器连接至QoS ACLcommit qos acl all!编译 QoS ACLset qos acl map udp_qos_port 2/8!将QoS ACL映射到交换机端口下一个例子基本相同，区别在于策略器连在 VLAN 上，端口 2/8 属于 VLAN 20。注 端口 QoS要更改为“基于VLAN”的模式，需要采用set port qos命令。策略器将评估配置给基于VLAN QoS的VLAN中所有端口的流量。Catalyst 6000set qos enable!-一激活QoSset qos policer aggreg

15、ate udp_1mbps rate 1000 burst 13 drop!-一定义管理器；关于比率和字符组计算，请参阅计算参数set qos acl ip udp_qos_vlan dscp 0 aggregate udp_1mbps udpany any eq 111!创建QoS ACL以便选择流量，并将管理器连接到QoS ACLcommit qos acl all!编译 QoS ACLLset port qos 2/8 vlan-based!为基于VLAN的QoS配置端口set qos acl map udp_qos_vlan 20! 将 QoS ACL 映射到 VLAN 20下一步，不

16、是用DSCP 32来丢弃超过配置文件限制的数据包，而是将其降级到0 级的 DSCP 上（尽力而为级）：set qos policer aggregate udp_1mbps rate 1000 burst 13 policed -dscp!定义管理器；关于比率和字符组计算，请参阅计算参数set qos acl ip udp_qos_md trust-ipprec aggregate udp_1mbps udp any any eq 111 dscp-field 32!创建QoS ACL以便选择流量，并将管理器连接至QoS ACL commit qos acl all!编译 QoS ACLset

17、 qos policed-dscp-map 32:0!修改控制的DSCP映射以便将DSCP 32降至DSCP 0。set port qos 2/8 vlan-based!为基于VLAN的QoS配置端口set qos acl map udp_qos_md 20! 一- 将 QoS ACL 映射到 VLAN 20采用 sh qos maps runtime policed-dscp-map 来查看当前策略的 DSCP 图。采用 sh qos policer runtime 来确认策略器的参数，并 查看策略器连接到哪个 QoS ACL 上。注：采用supervisor Engine I和la,不可能

18、对单个集合策略器进行策略统计。 要查看每个系统的策略统计，可以使用下述命令：Cat6k (enable) sh qos statistics l3statsPackets dropped due to policing: 1222086IP packets with ToS changed: 27424IP packets with CoS changed: 3220Non-IP packets with CoS changed: 0要检查微流策略统计,可以使用下述命令：Cat6k (enable) sh mls entry qos shortDestination-IP Source-IP

19、Port DstPrt SrcPrt Uptime AgeIP bridged entries:700 UDP 63 6300:22:02 00:00:00Stat-Pkts : 165360Stat-Bytes : 7606560Excd-Pkts : 492240Stat-Bkts : 166000 UDP88877700:05:3800:00:00Stat-Pkts : 42372Stat-Bytes : 1949112Excd-Pkts : 126128Stat-Bkts : 1628Only out of the profile MLS entries are displayedCa

20、t6k (enable)在使用 Supervisor Engine II 时，采用 sh qos statistics aggregate-policer 命令可以在策略器上逐个查看集合策略统计信息。例如，有一个流量生成器同端口 2/8相连，将17Mbps的UDP流量发送到目的端 口 111。我们希望策略器丢弃16/17的流量，从而只有1 Mbps可以通过：Cat6k (enable) sh qos statistics aggregate-policer udp_1mbpsQoS aggregate-policer statistics:Aggregate policer Allowed p

21、acket Packets exceed Packets exceed count normal rate excess rate udp_1mbps 582439 9732108 9732108Cat6k (enable) sh qos statistics aggregate-policer udp_1mbpsQoS aggregate-policer statistics:Aggregate policer Allowed packet Packets exceed Packets exceed count normal rate excess rateudp_1mbps 582504

22、9733198 9733198注意，在命令之间，允许通过的数据包增加到 65，而超额数据包为 1090，这意味着策略器丢弃了1090个数据包，而只有65个数据包通过。由于65/(1090+65)=0.056或者说大约为1/17，因此策略器运行正常。page配置和监控 Cisco IOS 中的策略功能在 Cisco IOS 中配置策略涉及下述步骤：定义一个策略器创建一个 ACL 来选择策略的流量定义等级映射、采用ACL和(或)DSCP/IP优先级来选择流量采用等级来定义业务策略，并将策略器应用于每个等级将业务策略应用于端口或者 VLAN我们下面考察和前面相同的例子，不过用的是Cisco IOS。

23、例如，有一个流量生 成器同端口 2/8相连，将17Mbps的UDP流量发送到目的端口 111：!-一激活QoSmis qos aggregate-policer udp_1mbps 1000000 2000 conform-action transmit exceed-action drop!定义管理器；关于比率和字符组计算，请参阅计算参数 !-注意，由于硬件精度，字符组为2000而不是1518。 access-list 111 perm it udp any any eq 111!定义ACL以便选择流量class-map match-all udp_qosmatch access-group

24、 111!定义要控制的流量级别。policy-map udp_policyclass udp_qospolice aggregate udp_1mbps!定义QoS策略，使管理器适用于流量级别。interface Gigabi tEthernet2/8swi tchportservice-policy input udp_policy!将QoS策略应用于接口在Cisco IOS中有两种类型的集合策略器：named （指定的）和per in terface （按接口的）。named集合策略器将对应用该策略器的所有接口上的流量整体实 施策略。上面的例子就是使用这个类型。而perin terface

25、策略器同named策 略器不同，将对应用该策略器的每个接口分别进行策略。 perinterface 策略 器在策略映射配置中定义。下面就是应用 perinterface 策略器的例子：Catalyst 6000mls qos!激活 QoSaccess-list 111 perm it udp any any eq 111!定义ACL以便选择流量class-map match-all udp_qosmatch access-group 111!定义要控制的流量级别。policy-map udp_policyclass udp_qos!定义QoS策略，使管理器适用于流量级别。police 1000

26、000 2000 2000 conform-action transmit exceed-action drop!创建每接口管理器并将其应用到流量级别。interface Gigabi tEthernet2/8swi tchportservice-policy input udp_policy ! 将QoS策略应用于接口微流策略器在策略映射配置中定义，同per-in terface策略器相同。在下面的例 子中，每个来自主机的进入VLAN 2的数据流都将通过策略限制到 100 Kbps。来自的全部流量控制在500 Kbps。VLAN 2包括接口 fa4/11 和 fa4/12。Catalyst

27、6000mls qos!-一激活QoSaccessTis t 1 permi t !定义访问列表，以便选择主机的流量。class-map match-all host_2_2match access-group 1!定义要控制的流量级别。policy-map hostclass host_2_2!定义QoS策略police flow 100000 2000 conform-action transmi texceed-action drop!定义微流管理器；关于比率和字符组计算，请参阅计算参 数police 500000 2000 2000 conform-action transmi tex

28、ceed-action drop!定义聚合管理器，以便限制从主机到500 Kbps聚合的流量interface fa4/11mls qos vlan-basedinterface fa4/12mls qos vlan-based!为基于VLAN的QoS配置VLAN2的接口。interface vlan 2service-policy input host!将QoS策略应用到VLAN 2要对策略功能进行监控，可以使用下述命令bratan#sh mls qosQoS is enabled globallyMicroflow policing is enabled globallyQoS globa

29、l counters:Total packets: 10779IP shortcut packets: 0Packets dropped by policing: 2110223IP packets with TOS changed by policing: 0IP packets with COS changed by policing: 0Non-IP packets with COS changed by policing: 0 bratan# sh mls qos ip gigabitEthernet 2/8In Policy map is udp_policy Out Default.QoS Summary IP: (* - shared aggregates, Mod - switch module)Int Mod Dir Class-map DSCP AgId Trust FlId AgForward-Pk AgPoliced-PkGi2/8 1 In udp_qos 0 1* No 0 127451 2129602brat