Здравствуйте.
Филиальная сеть, внедряется ip-телефония. Между офисами туннели.
Думаю настроить QOS следующим образом, сделайте пожалуйста замечания, правильно ли, и как сделать лучше:

!
class-map match-all real-time
match  precedence 5
class-map match-any realtime-marking
match protocol rtp
!
!
policy-map voip
class real-time
  priority 1024
class class-default
  fair-queue
!
policy-map tunnel-out
class class-default
  shape average percent 75
  service-policy voip
!
policy-map incoming-marking
class realtime-marking
  set precedence 5
class class-default
  set precedence 0
!
!
interface Tunnel1
bandwidth 10000
qos pre-classify
service-policy output tunnel-out
!
interface GigabitEthernet0/0
description local
bandwidth 1000000
service-policy input incoming-marking

Такой конфиг предполагаю сделать как в удаленных филиалах так и в центральном офисе куда сходятся все туннели.
Поясню: на входе Gi0/0 маркирую rtp трафик, а на туннельном интерфейсе применяю уже LLQ.

• QOS для VoIP,Николай, 11:31 , 01-Мрт-11
  • QOS для VoIP,sibhunter, 11:48 , 01-Мрт-11
• QOS для VoIP,Myxa, 12:10 , 01-Мрт-11
  • QOS для VoIP,sibhunter, 12:17 , 01-Мрт-11
    • QOS для VoIP,Myxa, 12:44 , 01-Мрт-11
      • QOS для VoIP,sibhunter, 12:56 , 01-Мрт-11
        • QOS для VoIP,Myxa, 14:06 , 01-Мрт-11
          • QOS для VoIP,sibhunter, 14:12 , 01-Мрт-11
            • QOS для VoIP,GolDi, 15:52 , 01-Мрт-11
              • QOS для VoIP,crash, 05:41 , 02-Мрт-11
                • QOS для VoIP,sibhunter, 05:58 , 02-Мрт-11
              • QOS для VoIP,sibhunter, 05:53 , 02-Мрт-11
                • QOS для VoIP,GolDi, 11:21 , 02-Мрт-11
          • QOS для VoIP,sibhunter, 08:56 , 02-Мрт-11

А какой смысл фильтровать трафик на выходе если трафик уже добрался до тунелля?

> А какой смысл фильтровать трафик на выходе если трафик уже добрался до
> тунелля?

Для того чтобы оттяпать от туннеля заданные 1024 kbps, и быть отправленным первым с этого интерфейса.

Сделаю замечание ;)
Например, совершенно непонятно, с какого перепуга VoIP-трафик будет матчится как precedence 5?
Есть же вполне отработанные best practics для VoIP на cisco, в конце концов есть AutoQoS, а Ваш вариант в данном исполнении совершенно неработоспособен.

> Сделаю замечание ;)
> Например, совершенно непонятно, с какого перепуга VoIP-трафик будет матчится как precedence
> 5?
> Есть же вполне отработанные best practics для VoIP на cisco, в конце
> концов есть AutoQoS, а Ваш вариант в данном исполнении совершенно неработоспособен.

Спасибо :)

на интерфейсе который смотрит в локалку gi0/0, висит полиси incoming-marking который маркирует весь rtp в ip precedence 5, а уже на туннельном интерфейсе отрабатывается полиси tunnel-out, который выделяет 1024 mbps гарантированной полосы.

Если я что-то путаю, вы меня потыкайте носом. А то, нутром чувтсвую, что-то не то делаю, а что- не понимаю.

Вот небольшой пример

class-map match-any STREAMING-VIDEO
match ip dscp cs4
class-map match-any BULK-DATA
match ip dscp af11
match protocol ftp
match protocol http
match protocol smtp
match protocol imap
match protocol pop3
match protocol exchange
class-map match-any INTERACTIVE-VIDEO
match ip dscp af41
class-map match-any VOICE-CONTROL
match ip dscp cs3
match ip dscp af31
match protocol rtcp
match protocol mgcp
match access-group name VoIP-Control
class-map match-any VOICE
match ip dscp ef
match access-group name VoIP-RTP
class-map match-any MISSION-CRITICAL-DATA
match ip dscp 25
class-map match-any ROUTING
match ip dscp cs6
match protocol bgp
match protocol ospf
class-map match-any NETWORK-MANAGEMENT
match ip dscp cs2
match protocol dhcp
match protocol dns
match protocol imap
match protocol snmp
match protocol ntp
match protocol syslog
match protocol icmp
match protocol ldap
match protocol kerberos
class-map match-any SCAVENGER-DATA
match ip dscp cs1
match protocol kazaa2
match protocol edonkey
class-map match-any VIDEO-CONFERENCING
match ip dscp af41
match protocol rtp audio
match protocol rtp video
match access-group name VIDEOHOSTS
class-map match-any TRANSACTIONAL-DATA
match ip dscp af21
match protocol telnet
match protocol tftp
match protocol ssh
match protocol irc
match protocol sqlnet
match protocol sqlserver
match protocol notes
!
!
policy-map WAN-EDGE
class ROUTING
  bandwidth percent 3
  set ip dscp cs6
class VOICE
  priority percent 20
  set ip dscp ef
class VIDEO-CONFERENCING
  priority percent 15
  set ip dscp af41
class STREAMING-VIDEO
  bandwidth percent 10
  set ip dscp cs4
class MISSION-CRITICAL-DATA
  bandwidth percent 10
  random-detect
class VOICE-CONTROL
  bandwidth percent 2
  set ip dscp cs3
class TRANSACTIONAL-DATA
  bandwidth percent 8
  random-detect
  set ip dscp af21
class NETWORK-MANAGEMENT
  bandwidth percent 2
  set ip dscp cs2
class BULK-DATA
  bandwidth percent 4
  random-detect
  set ip dscp af11
class SCAVENGER-DATA
  bandwidth percent 1
  set ip dscp cs1
class class-default
  bandwidth percent 25
  set ip dscp default
!
interface blahblahblah0/1
...
ip tcp header-compression iphc-format
max-reserved-bandwidth 100
service-policy output WAN-EDGE
ip rtp header-compression iphc-format
!
ip access-list extended VIDEOHOSTS
permit ...
ip access-list extended VoIP-Control
permit tcp any any eq 1720
permit tcp any any range 11000 11999
permit udp any any eq 2427
permit tcp any any eq 2428
permit tcp any any range 2000 2002
permit udp any any eq 1719
permit udp any any eq 5060
ip access-list extended VoIP-RTP
permit udp any any range 16384 32767

> Вот небольшой пример

Дак у меня почти то же самое, единственное отличие, у вас пакеты приходят уже маркированными, а если не маркировались то происходит set ip dscp..
а у меня они сначала маркируются полем Ip precedence 5, ещё будучи на локальном интерфейсе,
а уже потом match и соответствующий policy..
Разве не так?

> Разве не так?

Всё верно, извиняюсь, смотрел невнимательно. Сбило с толку то, что Вы не выделяете контрольный трафик VoIP-сессий и ставите всё на то, что Вам заресолвит nbar.

>> Разве не так?
> Всё верно, извиняюсь, смотрел невнимательно. Сбило с толку то, что Вы не
> выделяете контрольный трафик VoIP-сессий и ставите всё на то, что Вам
> заресолвит nbar.

Желательно продублировать acl'ами ?
А в остальном нормально?

>>> Разве не так?
>> Всё верно, извиняюсь, смотрел невнимательно. Сбило с толку то, что Вы не
>> выделяете контрольный трафик VoIP-сессий и ставите всё на то, что Вам
>> заресолвит nbar.
> Желательно продублировать acl'ами ?
> А в остальном нормально?

В теории да,а на практике:
1. вы уверены что сможете повесить service-policy на туннельный интерфейс?
2. раз вы используете shaper, то появиться задержка при передаче голосовых пакетов качество упадёт
3. при резких скачках остального трафика то же что и п.2

>[оверквотинг удален]
>>> Всё верно, извиняюсь, смотрел невнимательно. Сбило с толку то, что Вы не
>>> выделяете контрольный трафик VoIP-сессий и ставите всё на то, что Вам
>>> заресолвит nbar.
>> Желательно продублировать acl'ами ?
>> А в остальном нормально?
> В теории да,а на практике:
> 1. вы уверены что сможете повесить service-policy на туннельный интерфейс?
> 2. раз вы используете shaper, то появиться задержка при передаче голосовых пакетов
> качество упадёт
> 3. при резких скачках остального трафика то же что и п.2

но у ТС
policy-map voip
class real-time
  priority 1024
class class-default
  fair-queue
!
policy-map tunnel-out
class class-default
  shape average percent 75
  service-policy voip

то есть у него идет приорите и потом класс с приорите как подкласс включается.

>[оверквотинг удален]
>   priority 1024
> class class-default
>   fair-queue
> !
> policy-map tunnel-out
> class class-default
>   shape average percent 75
>   service-policy voip
> то есть у него идет приорите и потом класс с приорите как
> подкласс включается.

Да, сделано вложение одного policy в другое, это рекомендация cisco.
Как я понимаю в моём случае shape не приведёт к задержкам, и его использование здесь корректно?

> В теории да,а на практике:
> 1. вы уверены что сможете повесить service-policy на туннельный интерфейс?
> 2. раз вы используете shaper, то появиться задержка при передаче голосовых пакетов
> качество упадёт
> 3. при резких скачках остального трафика то же что и п.2

1. Да, он уже висит на туннеле. Вообще, CBWFQ нельзя повесить на туннель, поэтому пришлось сделать  дочернюю policy-map voip, и родительскую policy-map tunnel-out где я и указал shape.
2. Что лучше вместо shape? В родительском полиси надо хотя бы что-то указать, как я понимаю.
3. А вот здесь поясните, не понял. class-default будет обслуживаться в соответствии с fair-queue.

>[оверквотинг удален]
>> 2. раз вы используете shaper, то появиться задержка при передаче голосовых пакетов
>> качество упадёт
>> 3. при резких скачках остального трафика то же что и п.2
> 1. Да, он уже висит на туннеле. Вообще, CBWFQ нельзя повесить на
> туннель, поэтому пришлось сделать  дочернюю policy-map voip, и родительскую policy-map
> tunnel-out где я и указал shape.
> 2. Что лучше вместо shape? В родительском полиси надо хотя бы что-то
> указать, как я понимаю.
> 3. А вот здесь поясните, не понял. class-default будет обслуживаться в соответствии
> с fair-queue.

Какая CISCO?
http://www.opennet.me/openforum/vsluhforumID6/22197.html?n=G...

Кстати, проснифел трафик Ip-телефона, отловился только трафик rtp и sip. То есть rtcp не было.