Cisco 1841 e QoS con NBAR
Inviato: mar 13 ott , 2015 7:50 pm
Ciao,
avrei il seguente problema. Per la realizzazione di un progetto su più sedi, connesse all'HQ con linee di banda piuttosto limitata, devo configurare il QoS. Niente di trascendentale, un classico modello a 4 classi: una per il traffico real-time (VoIP tra le sedi e quindi banda prioritaria), due con banda garantita (segnalazioni e traffico critico/transactional) ed infine la classica class-default, con WRED attivo. Dato che l'interfaccia di uscita è una fast ethernet, e la linea realmente connessa ha un CIR molto più basso di 100Mbps, piazzo una service-policy parent con lo shaper attivo (per far scattare la finta congestione in prossimità del valore giusto) a cui attacco la policy child vera e propria contenente i settaggi necessari.
Ora arriva il bello. Per il match del traffico nelle classi ho utilizzato NBAR: i protocolli sono abbastanza standard ed NBAR farebbe proprio al caso mio. Uso il condizionale perchè -ahimè!- non funziona.
Nel laboratorio di test che ho utilizzato ho fatto diverse prove, con molte configurazioni differenti, ed il risultato finale è stato il seguente:
- se uso NBAR per classificare ed anche marcare, tutto va bene: applicando la policy in ingresso o in uscita (senza parent policy, cioè DIRETTAMENTE sull'interfaccia fisica) NBAR funziona perfettamente: posso vedere il mach dei vari protocoll al passaggio, quando uso il VoIP vedo il traffico sia di segnalazione che la voce, ed anche tutto il resto.
- se uso NBAR sia per matchare che per effettuare policing (nel senso di azioni di QoS e non di policy/shaping...) e quindi con la policy child in cascata a quella parent, non funziona: 0 match. Se la applico direttamente all'interfaccia ottengo il matching del traffico, ma così non posso utilizzare la policy...
- se non uso NBAR per la classificazione/marcatura ma delle ACL (un po' meno preciso ed anche più farraginoso come sistema) applicando la policy child e quella parent, tutto funziona correttamente: ho i match ed in più la policy reagisce come previsto (telefonate ok, traffico critico permesso e quello scavenger ritardato/droppato).
In definitiva se uso NBAR per qualunque utilizzo in una policy child, NBAR non mi restituisce nulla: 0 match. Non so spiegarmi la cosa, ma magari è anche normale (?). Ho googolato pesantemente ma senza successo.
E' un problema della piattaforma 1841? Dell' IOS c1841-adventerprisek9-mz.124-15.T13? Oppure è corretto che in questo caso specifico non matchi?
Se qualcuno ha esperienza nel caso gradirei conoscere le sue considerazioni.
Grazie per l'attenzione.
Andrea
avrei il seguente problema. Per la realizzazione di un progetto su più sedi, connesse all'HQ con linee di banda piuttosto limitata, devo configurare il QoS. Niente di trascendentale, un classico modello a 4 classi: una per il traffico real-time (VoIP tra le sedi e quindi banda prioritaria), due con banda garantita (segnalazioni e traffico critico/transactional) ed infine la classica class-default, con WRED attivo. Dato che l'interfaccia di uscita è una fast ethernet, e la linea realmente connessa ha un CIR molto più basso di 100Mbps, piazzo una service-policy parent con lo shaper attivo (per far scattare la finta congestione in prossimità del valore giusto) a cui attacco la policy child vera e propria contenente i settaggi necessari.
Ora arriva il bello. Per il match del traffico nelle classi ho utilizzato NBAR: i protocolli sono abbastanza standard ed NBAR farebbe proprio al caso mio. Uso il condizionale perchè -ahimè!- non funziona.
Nel laboratorio di test che ho utilizzato ho fatto diverse prove, con molte configurazioni differenti, ed il risultato finale è stato il seguente:
- se uso NBAR per classificare ed anche marcare, tutto va bene: applicando la policy in ingresso o in uscita (senza parent policy, cioè DIRETTAMENTE sull'interfaccia fisica) NBAR funziona perfettamente: posso vedere il mach dei vari protocoll al passaggio, quando uso il VoIP vedo il traffico sia di segnalazione che la voce, ed anche tutto il resto.
- se uso NBAR sia per matchare che per effettuare policing (nel senso di azioni di QoS e non di policy/shaping...) e quindi con la policy child in cascata a quella parent, non funziona: 0 match. Se la applico direttamente all'interfaccia ottengo il matching del traffico, ma così non posso utilizzare la policy...
- se non uso NBAR per la classificazione/marcatura ma delle ACL (un po' meno preciso ed anche più farraginoso come sistema) applicando la policy child e quella parent, tutto funziona correttamente: ho i match ed in più la policy reagisce come previsto (telefonate ok, traffico critico permesso e quello scavenger ritardato/droppato).
In definitiva se uso NBAR per qualunque utilizzo in una policy child, NBAR non mi restituisce nulla: 0 match. Non so spiegarmi la cosa, ma magari è anche normale (?). Ho googolato pesantemente ma senza successo.
E' un problema della piattaforma 1841? Dell' IOS c1841-adventerprisek9-mz.124-15.T13? Oppure è corretto che in questo caso specifico non matchi?
Se qualcuno ha esperienza nel caso gradirei conoscere le sue considerazioni.
Grazie per l'attenzione.
Andrea