Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

[Hỏi]Lỗi Policy-map khi thực hiện QoS?

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • [Hỏi]Lỗi Policy-map khi thực hiện QoS?

    Xin chào các bạn và các thầy.

    Mình có triển khai QoS cho mạng MPLS/VPN. Tuy vậy gặp vấn đề về Policy-map cho các gói tin ở Ingress PE. Mình nghi ngờ cấu hình của mình nên đã thử 1 topo đơn giản sau đây để kiểm tra policy-map:


    Click image for larger version

Name:	Policy-mapBasicTopo.jpg
Views:	1
Size:	19.9 KB
ID:	207851

    Hình 1: mô hình mạng

    Trong đó 2 cái host kia C1 là máy ảo XP, C2 là máy thật Window 7 của mình, 2 máy thông nhau rồi. Mình cấu hình access-list cho gói tin HTTP


    Code:
    access-list 101 permit tcp any any eq 80
    access-list 102 permit tcp any eq 80 any
    access-list 103 permit tcp any any
    Rồi cấu hình Policy-map cho gói tin từ C1 đến C2. Match với ACL 101 là lưu lượng HTTP từ C1=>C2 và 102 là lưu lượng từ C2=>C1 và gán giá trị MPLS EXP 3 cho nó. Gán Policy này vào int f0/0

    Click image for larger version

Name:	Snap10.jpg
Views:	1
Size:	8.6 KB
ID:	207855

    Hình 2: Policy ngõ vào cho lưu lượng từ C1

    Mình sử dụng D-ITG để tạo traffic từ C1 đến C2:

    C1:

    Click image for larger version

Name:	C11.jpg
Views:	1
Size:	70.6 KB
ID:	207853

    Hình 3: Cấu hình lưu lượng HTTP gửi đi từ C1

    C2:

    Click image for larger version

Name:	C2.jpg
Views:	1
Size:	82.5 KB
ID:	207852

    Hình 4: Cấu hình nhận lưu lượng trên C2

    Click image for larger version

Name:	Snap11.jpg
Views:	1
Size:	202.7 KB
ID:	207854

    Hình 5: Lưu lượng HTTP

    Khi gửi HTTP từ C1=> C2 thì ok ACL 101 nhận ra là nó đã match với 873 gói tin, gửi HTTP từ C2=>C1 thì ACL 102 ko match với gói tin nào cả nhưng vẫn nhận ra là gán policy cho 940 gói tin (mình gửi 10 gói tin/s trong 10s).

    Các bạn có thể chỉ cho mình là tại sao ACL 102 ko match với gói tin nào ko, và mình cấu hình QoS 2 chiều thế có đúng ko hay chỉ cẩn 1 chiều?

    Thanks.

  • #2
    Chao,
    look like access-list 101 overwrites access-list 102, do do tat ca cac packets match 101, ma sao lai phai tao nhieu access-list vay? sao khong tao 1 extended access-list, roi tao tat ca cac rules trong do?

    Comment


    • #3
      Originally posted by OluS View Post
      Xin chào các bạn và các thầy.

      Mình có triển khai QoS cho mạng MPLS/VPN. Tuy vậy gặp vấn đề về Policy-map cho các gói tin ở Ingress PE. Mình nghi ngờ cấu hình của mình nên đã thử 1 topo đơn giản sau đây để kiểm tra policy-map:


      [ATTACH=CONFIG]4402[/ATTACH]

      Hình 1: mô hình mạng

      Trong đó 2 cái host kia C1 là máy ảo XP, C2 là máy thật Window 7 của mình, 2 máy thông nhau rồi. Mình cấu hình access-list cho gói tin HTTP


      Code:
      access-list 101 permit tcp any any eq 80
      access-list 102 permit tcp any eq 80 any
      access-list 103 permit tcp any any
      Rồi cấu hình Policy-map cho gói tin từ C1 đến C2. Match với ACL 101 là lưu lượng HTTP từ C1=>C2 và 102 là lưu lượng từ C2=>C1 và gán giá trị MPLS EXP 3 cho nó. Gán Policy này vào int f0/0

      [ATTACH=CONFIG]4411[/ATTACH]

      Hình 2: Policy ngõ vào cho lưu lượng từ C1

      Mình sử dụng D-ITG để tạo traffic từ C1 đến C2:

      C1:

      [ATTACH=CONFIG]4407[/ATTACH]

      Hình 3: Cấu hình lưu lượng HTTP gửi đi từ C1

      C2:

      [ATTACH=CONFIG]4406[/ATTACH]

      Hình 4: Cấu hình nhận lưu lượng trên C2

      [ATTACH=CONFIG]4410[/ATTACH]

      Hình 5: Lưu lượng HTTP

      Khi gửi HTTP từ C1=> C2 thì ok ACL 101 nhận ra là nó đã match với 873 gói tin, gửi HTTP từ C2=>C1 thì ACL 102 ko match với gói tin nào cả nhưng vẫn nhận ra là gán policy cho 940 gói tin (mình gửi 10 gói tin/s trong 10s).

      Các bạn có thể chỉ cho mình là tại sao ACL 102 ko match với gói tin nào ko, và mình cấu hình QoS 2 chiều thế có đúng ko hay chỉ cẩn 1 chiều?

      Thanks.
      Chào bạn,

      Bạn viết đã đúng, nhưng bạn chú ý về chiều traffic được match bởi class-map là: "Chiều về traffic đổ về sẽ không được class-map thống kê"

      Cám ơn bạn
      Phạm Minh Tuấn

      Email : phamminhtuan@vnpro.org
      Yahoo : phamminhtuan_vnpro
      -----------------------------------------------------------------------------------------------
      Trung Tâm Tin Học VnPro
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel : (08) 35124257 (5 lines)
      Fax: (08) 35124314

      Home page: http://www.vnpro.vn
      Support Forum: http://www.vnpro.org
      - Chuyên đào tạo quản trị mạng và hạ tầng Internet
      - Phát hành sách chuyên môn
      - Tư vấn và tuyển dụng nhân sự IT
      - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

      Network channel: http://www.dancisco.com
      Blog: http://www.vnpro.org/blog

      Comment


      • #4
        Originally posted by luanvancity View Post
        Chao,
        look like access-list 101 overwrites access-list 102, do do tat ca cac packets match 101, ma sao lai phai tao nhieu access-list vay? sao khong tao 1 extended access-list, roi tao tat ca cac rules trong do?
        Bản thân ACL 101 đã là Extended rồi, nhưng khi mình merge 2 ACL 101 và 102 vào 1 ACL là 101 thì IOS bị lỗi và đơ luôn router, mình ko hiểu là tại sao nên mới tách ra làm 2.

        Originally posted by phamminhtuan View Post
        Chào bạn,

        Bạn viết đã đúng, nhưng bạn chú ý về chiều traffic được match bởi class-map là: "Chiều về traffic đổ về sẽ không được class-map thống kê"

        Cám ơn bạn
        Nó không thống kê nhưng nó vẫn apply policy vào gói tin trả về từ C1 (match với 102) hả thầy.

        Em cảm ơn thầy.

        Comment


        • #5
          hello bạn,
          Nhìn cấu hình của bạn thì bạn áp dụng cái policy-map SET-EXP vào input trên cổng f0/0 đúng không. Điều này có nghĩa chỉ những traffic nào INPUT vào cổng này mới chịu tác động của cái policy-map SET-EXP của bạn. Khi bạn cho chạy cái chương trình tạo traffic từ C1 đến C2 thì traffic từ C1 qua C2 (có dạng tcp any any eq 80) đi vào chiều IN của cổng f0/0 nên policy-map SET-EXP mới xem xét phân loại và đánh dấu (nên bạn thấy thông số counter trên ACL 101 tăng lên trong policy-map). Còn khi traffic trả về từ C2->C1 (có dạng tcp any eq 80 any) thì nó ra hướng OUT của cổng F0/0 nên không bị ảnh hưởng gì bởi cái policy-map SET-EXP của bạn hết. bạn muốn tăng lên thì áp dụng cái policy-map này vào hướng OUT của cổng f0/0 là ok.

          Comment


          • #6
            Originally posted by cuibapnuong View Post
            hello bạn,
            Nhìn cấu hình của bạn thì bạn áp dụng cái policy-map SET-EXP vào input trên cổng f0/0 đúng không. Điều này có nghĩa chỉ những traffic nào INPUT vào cổng này mới chịu tác động của cái policy-map SET-EXP của bạn. Khi bạn cho chạy cái chương trình tạo traffic từ C1 đến C2 thì traffic từ C1 qua C2 (có dạng tcp any any eq 80) đi vào chiều IN của cổng f0/0 nên policy-map SET-EXP mới xem xét phân loại và đánh dấu (nên bạn thấy thông số counter trên ACL 101 tăng lên trong policy-map). Còn khi traffic trả về từ C2->C1 (có dạng tcp any eq 80 any) thì nó ra hướng OUT của cổng F0/0 nên không bị ảnh hưởng gì bởi cái policy-map SET-EXP của bạn hết. bạn muốn tăng lên thì áp dụng cái policy-map này vào hướng OUT của cổng f0/0 là ok.
            Chào bạn.

            Phần mà bạn nói đến là traffic yêu cầu từ C1=> C2 =>C1. Thì ACL 101 sẽ apply được trong đoạn C1=>C2

            Còn phần ACL 102 của mình là để cấu hình traffic yêu cầu từ C2=>C1 =>C2. Khi đó đoạn C1=>C2 sẽ là lưu lượng IN của int f0/0 và do đó 102 được apply. Ý mình là như vậy.

            Mình đã đọc tài liệu class-map và policy-map của Cisco. Họ không nói nhiều đến mô hình lưu lượng chiều IN, OUT sẽ apply như thế nào mà chủ yếu là nói ví dụ (như trường hợp 1)

            P/s: Sao dạo này 4rum hay có quảng cáo vậy. Post của mình 3 cái quảng cáo rồi.

            Comment


            • #7
              hello bạn,
              Để mình phân tích bạn xem có hợp lý không nhé (trong trường hợp C2->C1->C2 sẽ gồm traffic từ C2->C1 và C1-> C2 ok nhé)
              traffic từ C2 -> C1 có dạng như sau (IP/port): C2(192.168.2.2/80) -> C1(192.168.3.2/xxxx) và đi vào hướng IN trên cổng F0/1 và ra hướng OUT cổng F0/0: policy-map của bạn không có tác dụng do áp vào hướng IN của F0/0.
              traffic từ C1 -> C2 có dạng C1 (192.168.3.2/xxxx) -> C2 (192.168.2.2/80) và đi vào hướng IN trên cổng F0/0 và hướng OUT trên cổng F0/1: policy-map của bạn có tác dụng vì áp vào hướng IN của cổng F0/0 nhưng ACL thỏa điều kiện là ACL 101 chứ không phải 102.
              Check lại bạn nhé

              Comment


              • #8
                bên lên int f0/0 apply input và output luôn thử xem

                int f0/0
                service-policy input "policy_map"
                service-policy output "policy_map"
                Nguyễn Bá Hiển
                Email: nguyenbahien@vnpro.org
                Yahoo: nguyenbahien_vnpro
                ------------------------------------------------------------------------------------------------------------
                Trung Tâm Tin Học VnPro
                149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                Tel : (08) 35124257 (5 lines)
                Fax: (08) 35124314

                Home page: http://www.vnpro.vn
                Support Forum: http://www.vnpro.org
                - Chuyên đào tạo quản trị mạng và hạ tầng Internet
                - Phát hành sách chuyên môn
                - Tư vấn và tuyển dụng nhân sự IT
                - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                Network channel: http://www.dancisco.com
                Blog: http://www.vnpro.org/blog

                Comment


                • #9
                  Chào bạn,

                  Originally posted by cuibapnuong View Post
                  Trong trường hợp C2->C1->C2 sẽ gồm traffic từ C2->C1 và C1-> C2 ok nhé
                  Cái này là C2 gửi yêu cầu HTTP request đến C1.

                  Originally posted by cuibapnuong View Post
                  traffic từ C2 -> C1 có dạng như sau (IP/port): C2(192.168.2.2/80) -> C1(192.168.3.2/xxxx)
                  Nên bạn đã bị nhầm port ở đây rồi. phải là C2(192.168.2.2/xxxx) -> C1(192.168.3.2/80)

                  Originally posted by cuibapnuong View Post
                  traffic từ C1 -> C2 có dạng C1 (192.168.3.2/xxxx) -> C2 (192.168.2.2/80)
                  Phần này do đó sẽ là C1 (192.168.3.2/80) -> C2 (192.168.2.2/xxxx). Do đó traffic này sẽ match với ACL 102 của mình. Và chiều của nó cũng là chiều IN với int f0/0

                  Originally posted by nbhduoc View Post
                  bên lên int f0/0 apply input và output luôn thử xem

                  int f0/0
                  service-policy input "policy_map"
                  service-policy output "policy_map"

                  Thank thầy, phần output này em muốn làm QoS nên ko apply policy này vào output của interface này được.

                  Rất lạ là khi mình merge 2 ACL 101 và 102 làm như bạn luanvancity nói thì lúc này traffic qua interface f0/0 đều match cả, và đều được gán nhãn MPLS EXP, nhưng trong access-group 101 thì ko match gói tin nào cả => vẫn đạt yêu cầu policy.

                  Đến đây mình đã test xong filter traffic đầu vào rồi. Test nốt QoS là xong thôi. Cảm ơn các thầy và các bạn đã giúp đỡ. Nếu tiếp tục topic mong mọi người trao đổi về phần: tại sao gói tin trả về được match với policy (được gán MPLS EXP rồi) mà lại ko được match với access-group.

                  Comment


                  • #10
                    Ngộ thật, nếu không match access-group nào thì làm sao mà được gán EXP được nhỉ.
                    Bạn cho mình xin toàn bộ cấu hình về QoS trên R1 để nghiêm cứu được không.

                    Thanks
                    Last edited by nbhduoc; 30-05-2012, 12:26 AM.
                    Nguyễn Bá Hiển
                    Email: nguyenbahien@vnpro.org
                    Yahoo: nguyenbahien_vnpro
                    ------------------------------------------------------------------------------------------------------------
                    Trung Tâm Tin Học VnPro
                    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                    Tel : (08) 35124257 (5 lines)
                    Fax: (08) 35124314

                    Home page: http://www.vnpro.vn
                    Support Forum: http://www.vnpro.org
                    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
                    - Phát hành sách chuyên môn
                    - Tư vấn và tuyển dụng nhân sự IT
                    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                    Network channel: http://www.dancisco.com
                    Blog: http://www.vnpro.org/blog

                    Comment


                    • #11
                      Xin gửi thầy:
                      R1.rar

                      Comment

                      Working...
                      X