Добрый день, всем! Я хочу настроить маркировку на уровне доступа, на каталисте 3750. но есть одна проблема, созданная политика не маркирует пакеты. Помогите, пожалуйста! Заранее благодарен! Вот мой конфиг и версия ios:mls qos map cos-dscp 0 8 16 26 34 46 48 56
mls qosaccess-list 101 permit udp any any range 16384 32767
access-list 102 permit tcp any any range 2000 2002
access-list 102 permit tcp any any eq 1720
access-list 102 permit tcp any any range 11000 11999
access-list 102 permit udp any any eq 2427
access-list 103 permit tcp any any eq telnet
access-list 103 permit tcp any eq telnet anyclass-map match-all control
match access-group 102
class-map match-all voice
match access-group 101
class-map match-all critical
match access-group 103policy-map mark
class voice
set dscp ef
class control
set dscp af31
class critical
set dscp af31show policy-map interface
FastEthernet1/0/40Service-policy input: mark
Class-map: voice (match-all)
0 packets, 0 bytes
offered rate 0 bps, drop rate 0 bps
Match: access-group 101Class-map: control (match-all)
0 packets, 0 bytes
offered rate 0 bps, drop rate 0 bps
Match: access-group 102Class-map: critical (match-all)
0 packets, 0 bytes
offered rate 0 bps, drop rate 0 bps
Match: access-group 103Class-map: class-default (match-any)
0 packets, 0 bytes
offered rate 0 bps, drop rate 0 bps
Match: any
0 packets, 0 bytes
rate 0 bps
sh ver
Cisco IOS Software, C3750 Software (C3750-ADVIPSERVICESK9-M), Version 12.2(25)SEE2, RELEASE SOFTWARE (fc1)
>[оверквотинг удален]
>rate 0 bps
> Match: any
> 0 packets, 0 bytes
>
> rate 0 bps
>
>
>
>sh ver
>Cisco IOS Software, C3750 Software (C3750-ADVIPSERVICESK9-M), Version 12.2(25)SEE2, RELEASE SOFTWARE (fc1)у вас свич на 2-ом уровне работает ?
>[оверквотинг удален]
>> 0 packets, 0 bytes
>>
>> rate 0 bps
>>
>>
>>
>>sh ver
>>Cisco IOS Software, C3750 Software (C3750-ADVIPSERVICESK9-M), Version 12.2(25)SEE2, RELEASE SOFTWARE (fc1)
>
>у вас свич на 2-ом уровне работает ?да на 2-ом уровне.
>[оверквотинг удален]
>>> rate 0 bps
>>>
>>>
>>>
>>>sh ver
>>>Cisco IOS Software, C3750 Software (C3750-ADVIPSERVICESK9-M), Version 12.2(25)SEE2, RELEASE SOFTWARE (fc1)
>>
>>у вас свич на 2-ом уровне работает ?
>
>да на 2-ом уровне.а листы нарисовали для 4-го
на интерфейсе mls qos trust попробуйте
>[оверквотинг удален]
>>>>
>>>>sh ver
>>>>Cisco IOS Software, C3750 Software (C3750-ADVIPSERVICESK9-M), Version 12.2(25)SEE2, RELEASE SOFTWARE (fc1)
>>>
>>>у вас свич на 2-ом уровне работает ?
>>
>>да на 2-ом уровне.
>
>а листы нарисовали для 4-го
>на интерфейсе mls qos trust попробуйтеnbar еще вам.
>>а листы нарисовали для 4-гоЧто значит для четвертого, class-default же есть для всего остального пакета
>>на интерфейсе mls qos trust попробуйте
Пробовал нет результата
>
>nbar еще вам.nbar каталисты не поддерживают.
а как вы определили что не красит?
покажите sh run int FastEthernet1/0/40
и еще show mls qos interface FastEthernet1/0/40
sh mls qos
show sdm prefer
>а как вы определили что не красит?Определил по счетчику, все на нуле:
FastEthernet1/0/40
Service-policy input: mark
Class-map: voice (match-all)
0 packets, 0 bytes
offered rate 0 bps, drop rate 0 bps
Match: access-group 101Class-map: control (match-all)
0 packets, 0 bytes
offered rate 0 bps, drop rate 0 bps
Match: access-group 102Class-map: critical (match-all)
0 packets, 0 bytes
offered rate 0 bps, drop rate 0 bps
Match: access-group 103Class-map: class-default (match-any)
0 packets, 0 bytes
offered rate 0 bps, drop rate 0 bps
Match: any
0 packets, 0 bytes
rate 0 bps
>покажите sh run int FastEthernet1/0/40interface FastEthernet1/0/40
switchport access vlan 68
service-policy input mark
>и еще show mls qos interface FastEthernet1/0/40show ml qos interface fastEthernet 1/0/40
FastEthernet1/0/40
Attached policy-map for Ingress: mark
trust state: not trusted
trust mode: not trusted
trust enabled flag: ena
COS override: dis
default COS: 0
DSCP Mutation Map: Default DSCP Mutation Map
Trust device: none
qos mode: port-based
>sh mls qossh ml qos
QoS is enabled
QoS ip packet dscp rewrite is enabled>show sdm prefer
show sdm prefer
The current template is "desktop default" template.
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs.number of unicast mac addresses: 6K
number of IPv4 IGMP groups + multicast routes: 1K
number of IPv4 unicast routes: 8K
number of directly-connected IPv4 hosts: 6K
number of indirect IPv4 routes: 2K
number of IPv4 policy based routing aces: 0
number of IPv4/MAC qos aces: 512
number of IPv4/MAC security aces: 1K
это нормально, они и должны быть на нуле.
можно посмотреть статистику инетрфейсов по show mls qos interface X statistics
и оценить краситься или нет.
всего конфига не вижу, но краситься должно.
>это нормально, они и должны быть на нуле.
>можно посмотреть статистику инетрфейсов по show mls qos interface X statistics
>и оценить краситься или нет.
>всего конфига не вижу, но краситься должно.А вот оно Что, Спасибо большое!
Вот статистика:
show mls qos interface fastEthernet 1/0/40 statistics
FastEthernet1/0/40dscp: incoming
-------------------------------0 - 4 : 21501 0 0 0 0
5 - 9 : 0 0 0 0 0
10 - 14 : 0 0 0 0 0
15 - 19 : 0 0 0 0 0
20 - 24 : 0 0 0 0 0
25 - 29 : 0 0 0 0 0
30 - 34 : 0 0 0 0 0
35 - 39 : 0 0 0 0 0
40 - 44 : 3979 0 0 0 0
45 - 49 : 0 0 0 0 0
50 - 54 : 0 0 0 0 0
55 - 59 : 0 0 0 0 0
60 - 64 : 0 0 0 0
dscp: outgoing
-------------------------------0 - 4 : 99568 0 0 0 0
5 - 9 : 0 0 0 0 0
10 - 14 : 0 0 0 0 0
15 - 19 : 0 0 0 0 0
20 - 24 : 0 0 0 0 70
25 - 29 : 0 151 0 0 0
30 - 34 : 0 0 0 0 0
35 - 39 : 0 0 0 0 0
40 - 44 : 0 0 0 0 0
45 - 49 : 0 9 0 547 0
50 - 54 : 0 0 0 0 0
55 - 59 : 0 98 0 0 0
60 - 64 : 0 0 0 0
cos: incoming
-------------------------------0 - 4 : 25626 0 0 0 0
5 - 7 : 0 0 0
cos: outgoing
-------------------------------0 - 4 : 149614 0 0 221 0
5 - 7 : 0 556 104
Policer: Inprofile: 0 OutofProfile: 0
Еще один вопрос возник по EIGRP: Мой рутер видит две соседи по Eigrp. 1-й сосед по модему, а 2-й по Aironet-у подключены. И я статиком указал на Aironet, так как у aironeta скорости больше. Но данные по модему идут. как сделать так чтобы EIGRP выбрал Aironet.
>Еще один вопрос возник по EIGRP: Мой рутер видит две соседи по
>Eigrp. 1-й сосед по модему, а 2-й по Aironet-у подключены. И
>я статиком указал на Aironet, так как у aironeta скорости больше.
>Но данные по модему идут. как сделать так чтобы EIGRP выбрал
>Aironet.у eigrp две метрики, твоя и соседская.
т.е. править нужно и на одной стороне и на другой.
комманды band и delay в конфигурации интерфейсов.
>у eigrp две метрики, твоя и соседская.
>т.е. править нужно и на одной стороне и на другой.
>комманды band и delay в конфигурации интерфейсов.с 2-х сторон поставил bandwith 256 кбит/с
и самый максимальную задержку: 16777215
#delay ?
<1-16777215> Throughput delay (tens of microseconds)Но, результата нет, по-прежнему данные по модему идут...
статиков никаких нету? или еще какие-ить протоколы марщрутизации?
sh run было бы неплохо с двух концов.
и sh ip eig topo x.x.x.x y.y.y.y
где x и y - это сетка, которая неверно ходит
Добрый день! Это снова Я с вопросами, у меня че-то счетчик не изменяется, как-будто политика не срабатывает. пожалуйста проверьте, вот мой СЧЕТЧИК И конфиг:show mls qos interface fastEthernet 1/0/40 statistics
FastEthernet1/0/40dscp: incoming
-------------------------------0 - 4 : 21501 0 0 0 0
5 - 9 : 0 0 0 0 0
10 - 14 : 0 0 0 0 0
15 - 19 : 0 0 0 0 0
20 - 24 : 0 0 0 0 0
25 - 29 : 0 0 0 0 0
30 - 34 : 0 0 0 0 0
35 - 39 : 0 0 0 0 0
40 - 44 : 3979 0 0 0 0
45 - 49 : 0 0 0 0 0
50 - 54 : 0 0 0 0 0
55 - 59 : 0 0 0 0 0
60 - 64 : 0 0 0 0
dscp: outgoing
-------------------------------0 - 4 : 99568 0 0 0 0
5 - 9 : 0 0 0 0 0
10 - 14 : 0 0 0 0 0
15 - 19 : 0 0 0 0 0
20 - 24 : 0 0 0 0 70
25 - 29 : 0 151 0 0 0
30 - 34 : 0 0 0 0 0
35 - 39 : 0 0 0 0 0
40 - 44 : 0 0 0 0 0
45 - 49 : 0 9 0 547 0
50 - 54 : 0 0 0 0 0
55 - 59 : 0 98 0 0 0
60 - 64 : 0 0 0 0
cos: incoming
-------------------------------0 - 4 : 25626 0 0 0 0
5 - 7 : 0 0 0
cos: outgoing
-------------------------------0 - 4 : 149614 0 0 221 0
5 - 7 : 0 556 104
Policer: Inprofile: 0 OutofProfile: 0Cisco IOS Software, C3750 Software (C3750-ADVIPSERVICESK9-M), Version 12.2(25)SEE2, RELEASE SOFTWARE (fc1)
switch 1 provision ws-c3750-48ts
switch 2 provision ws-c3750-48ts
ip subnet-zero
!
!
cluster commander-address 0018.1978.5580 member 2 name test vlan 900
mls qos map cos-dscp 0 8 16 26 34 46 48 56
mls qos
!
!
!
no file verify auto
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
class-map match-any Network_management
match access-group name Network_management
class-map match-any Mision-critical
match access-group name Lotus
class-map match-any Voice-control
match access-group name Voice-Control
class-map match-any real-time
match access-group name VoIP-RTCP
class-map match-any Interactive
match access-group name messenger
!
!
policy-map mark
class real-time
set dscp ef
class Voice-control
set dscp cs3
class Interactive
set dscp af41
class Mision-critical
set dscp af31
class Network_management
set dscp af21interface FastEthernet1/0/40
description 303
switchport access vlan 68
service-policy input mark
speed 100
priority-queue outip classless
ip http server
ip http secure-server
!
!
ip access-list extended Lotus
permit tcp any any eq 1352
ip access-list extended Network_Management
permit udp any any eq netbios-ns
permit udp any any eq snmp
permit udp any any eq netbios-dgm
permit udp any any eq snmptrap
permit tcp any any range 1812 1813
permit tcp any any range 1645 1646
permit tcp any any range 137 139
permit tcp any any eq telnet
ip access-list extended VoIP-RTCP
permit udp any any range 16384 32767
ip access-list extended Voice-Control
permit tcp any any eq 1720
permit tcp any any range 11000 11999
permit udp any any eq 2427
permit tcp any any eq 2428
permit tcp any any range 2000 2002
permit udp any any eq 1719
permit udp any any eq 5060
ip access-list extended messenger
permit tcp any any eq 5060
ip access-list extended test
permit ip any any
1) dscp: outgoing нужно смотреть на интерфейсе куда вылетают фремй вршедшие в fastEthernet 1/0/40
2) в какой-то версии софта была бага, qos работал только с включенным теплейтом qos
sdm pref qos
и релоад
>1) dscp: outgoing нужно смотреть на интерфейсе куда вылетают фремй вршедшие в
>fastEthernet 1/0/40
>2) в какой-то версии софта была бага, qos работал только с включенным
>теплейтом qos
>sdm pref qos
>и релоадВыше в постах было объяснение - у вас порт на L2, а policy на L4 написана.
> Выше в постах было объяснение - у вас порт
>на L2, а policy на L4 написана.а как тогда маркировку настраивать на каталистах?
эта политика будет работать или нет?
я могу вообщее маркировать трафик на 2-ом уровне или можно только на рутере?
>
>
>эта политика будет работать или нет?
>
>я могу вообщее маркировать трафик на 2-ом уровне или можно только на
>рутере?
>>
>>
>>эта политика будет работать или нет?
>>
>>я могу вообщее маркировать трафик на 2-ом уровне или можно только на
>>рутере?На втором уровне можно маркировать на основе ip адресов.
на основе ip это понятно, а как тогда отфильтровать трафик допустим, по Lotus, по voice?
>на основе ip это понятно, а как тогда отфильтровать трафик допустим, по
>Lotus, по voice?Устройства генерирующие голосовой трафик как правило сами маркируют пакеты,
а так вариант маркировать трафик на порту L3
не морочьте топикастеру голову.
на l2 потру фреймы прекрасно маркируются по l4.
почитайте даташиты и конфиг гиды.
>не морочьте топикастеру голову.
>на l2 потру фреймы прекрасно маркируются по l4.
>почитайте даташиты и конфиг гиды.Я уже целую неделью парюсь, можете пример показать или ссылку, plz...
>>не морочьте топикастеру голову.
>>на l2 потру фреймы прекрасно маркируются по l4.
>>почитайте даташиты и конфиг гиды.
>
>Я уже целую неделью парюсь, можете пример показать или ссылку, plz...там секретов никаких нет
http://www.cisco.com/en/US/products/hw/switches/ps5023/produ...
проверьте чтоб темлате стоял только qos (sdm pre qos)
и софт последний возьмите.
>
>там секретов никаких нет
>http://www.cisco.com/en/US/products/hw/switches/ps5023/produ...
>проверьте чтоб темлате стоял только qos (sdm pre qos)
>и софт последний возьмите.в моих конфигурациях в чем ошибка, я тоже самое и настроил?
а насчет template не понял что это такое...?
это оптимизация ядра и асиков каталиста под разные задачи.
в вашем случае предпочтительнее шаблон qos.
conf term
sdm pref qos
reload
>это оптимизация ядра и асиков каталиста под разные задачи.
>в вашем случае предпочтительнее шаблон qos.
>conf term
>sdm pref qos
>reloadМой каталист не поддерживает что ли,
sdm prefer ?
access Access bias
default Default bias
dual-ipv4-and-ipv6 Support both IPv4 and IPv6
routing Unicast bias
vlan VLAN bias
access тоде подойдет.покажите
1) sh sdm pref
2) sh sdm pref acc
3) sh pl tc ut (с и без включенных service-policy)
>access тоде подойдет.
>
>покажите
>1) sh sdm pref
>2) sh sdm pref acc
>3) sh pl tc ut (с и без включенных service-policy)show sdm prefer
The current template is "desktop default" template.
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs.number of unicast mac addresses: 6K
number of IPv4 IGMP groups + multicast routes: 1K
number of IPv4 unicast routes: 8K
number of directly-connected IPv4 hosts: 6K
number of indirect IPv4 routes: 2K
number of IPv4 policy based routing aces: 0
number of IPv4/MAC qos aces: 512
number of IPv4/MAC security aces: 1Kshow sdm prefer access
"desktop access IPv4" template:
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs.number of unicast mac addresses: 4K
number of IPv4 IGMP groups: 1K
number of IPv4 multicast routes: 0
number of IPv4 unicast routes: 6K
number of directly-connected IPv4 hosts: 4K
number of indirect IPv4 routes: 2K
number of IPv4 policy based routing aces: 512
number of IPv4/MAC qos aces: 512
number of IPv4/MAC security aces: 2Kshow platform tcam utilization
CAM Utilization for ASIC# 0 Max Used
Masks/Values Masks/valuesUnicast mac addresses: 784/6272 69/483
IPv4 IGMP groups + multicast routes: 144/1152 7/30
IPv4 unicast directly-connected routes: 784/6272 69/483
IPv4 unicast indirectly-connected routes: 272/2176 8/44
IPv4 policy based routing aces: 0/0 0/0
IPv4 qos aces: 512/512 21/21
IPv4 security aces: 1024/1024 22/22Note: Allocation of TCAM entries per feature uses
a complex algorithm. The above information is meant
to provide an abstract view of the current TCAM utilizationбез policy-map
show platform tcam utilization
CAM Utilization for ASIC# 0 Max Used
Masks/Values Masks/valuesUnicast mac addresses: 784/6272 70/491
IPv4 IGMP groups + multicast routes: 144/1152 7/30
IPv4 unicast directly-connected routes: 784/6272 70/491
IPv4 unicast indirectly-connected routes: 272/2176 8/44
IPv4 policy based routing aces: 0/0 0/0
IPv4 qos aces: 512/512 6/6
IPv4 security aces: 1024/1024 22/22Note: Allocation of TCAM entries per feature uses
a complex algorithm. The above information is meant
to provide an abstract view of the current TCAM utilization
tcam занимается, что говорит, что коммутатор коректно сконфигурирован.
маркироваться должно.
включите если выключено вот это mls qos rewrite ip dscp
я рекомендую включить SPAN и проверить tcpdump-ом, на свободном порту.
после промежуточных устройств проверять не стоит, так как они могут делать обратную операцию на not trust портах.
>tcam занимается, что говорит, что коммутатор коректно сконфигурирован.
>маркироваться должно.
>включите если выключено вот это mls qos rewrite ip dscpвключено
>я рекомендую включить SPAN и проверить tcpdump-ом, на свободном порту.
>после промежуточных устройств проверять не стоит, так как они могут делать обратную
>операцию на not trust портах.как я понял tcpdump какой-то анализатор? а что за span?
>[оверквотинг удален]
>>маркироваться должно.
>>включите если выключено вот это mls qos rewrite ip dscp
>
>включено
>
>>я рекомендую включить SPAN и проверить tcpdump-ом, на свободном порту.
>>после промежуточных устройств проверять не стоит, так как они могут делать обратную
>>операцию на not trust портах.
>
>как я понял tcpdump какой-то анализатор? а что за span?тогда еще вопрос..., помойму я его уже задавал.
как вы определяете, что пакеты не маркируются?tcpdump это анализатор пакетов, в нем можно посмотреть заголовки, в частности интерисующее вас поле tos.
span это возможность каталистов миррорить один или несколько портов, в другой для анализа.
алоритм такой
1) выбираете порт на который уходит больше всего трафика (X), пришедшего в порт с service policy
2) зеркалите исходязий трафик с порта X с помощью спана
3) слушаете tcpdump на порту, и смотрите на tos byte.напомню, каждое промежуточное устройство, даже коммутатор, может сбрасывать ваши qos метки.
так что анализ надо проводить без промежуточных устройств.
Просто у меня счетчик не изменяеться, показывает одно и тоже:show mls qos interface fastEthernet 1/0/40 statistics
FastEthernet1/0/40dscp: incoming
-------------------------------0 - 4 : 21501 0 0 0 0
5 - 9 : 0 0 0 0 0
10 - 14 : 0 0 0 0 0
15 - 19 : 0 0 0 0 0
20 - 24 : 0 0 0 0 0
25 - 29 : 0 0 0 0 0
30 - 34 : 0 0 0 0 0
35 - 39 : 0 0 0 0 0
40 - 44 : 3979 0 0 0 0
45 - 49 : 0 0 0 0 0
50 - 54 : 0 0 0 0 0
55 - 59 : 0 0 0 0 0
60 - 64 : 0 0 0 0
dscp: outgoing
-------------------------------0 - 4 : 99568 0 0 0 0
5 - 9 : 0 0 0 0 0
10 - 14 : 0 0 0 0 0
15 - 19 : 0 0 0 0 0
20 - 24 : 0 0 0 0 70
25 - 29 : 0 151 0 0 0
30 - 34 : 0 0 0 0 0
35 - 39 : 0 0 0 0 0
40 - 44 : 0 0 0 0 0
45 - 49 : 0 9 0 547 0
50 - 54 : 0 0 0 0 0
55 - 59 : 0 98 0 0 0
60 - 64 : 0 0 0 0
cos: incoming
-------------------------------0 - 4 : 25626 0 0 0 0
5 - 7 : 0 0 0
cos: outgoing
-------------------------------0 - 4 : 149614 0 0 221 0
5 - 7 : 0 556 104
уффф...
эту комманду нужно включать на не на том интерфейсе где вы красите входязий траффик, а на том, куда фреймы летят. и смотреть на dscp: outgoing