Announcement

**luanvancity** · 21-05-2012, 10:34 PM

Chao,
look like access-list 101 overwrites access-list 102, do do tat ca cac packets match 101, ma sao lai phai tao nhieu access-list vay? sao khong tao 1 extended access-list, roi tao tat ca cac rules trong do?

**phamminhtuan** · 22-05-2012, 12:54 AM

Originally posted by OluS View Post

Xin chào các bạn và các thầy.

Mình có triển khai QoS cho mạng MPLS/VPN. Tuy vậy gặp vấn đề về Policy-map cho các gói tin ở Ingress PE. Mình nghi ngờ cấu hình của mình nên đã thử 1 topo đơn giản sau đây để kiểm tra policy-map:

[ATTACH=CONFIG]4402[/ATTACH]

Hình 1: mô hình mạng

Trong đó 2 cái host kia C1 là máy ảo XP, C2 là máy thật Window 7 của mình, 2 máy thông nhau rồi. Mình cấu hình access-list cho gói tin HTTP

Code:

access-list 101 permit tcp any any eq 80
access-list 102 permit tcp any eq 80 any
access-list 103 permit tcp any any

Rồi cấu hình Policy-map cho gói tin từ C1 đến C2. Match với ACL 101 là lưu lượng HTTP từ C1=>C2 và 102 là lưu lượng từ C2=>C1 và gán giá trị MPLS EXP 3 cho nó. Gán Policy này vào int f0/0

[ATTACH=CONFIG]4411[/ATTACH]

Hình 2: Policy ngõ vào cho lưu lượng từ C1

Mình sử dụng D-ITG để tạo traffic từ C1 đến C2:

C1:

[ATTACH=CONFIG]4407[/ATTACH]

Hình 3: Cấu hình lưu lượng HTTP gửi đi từ C1

C2:

[ATTACH=CONFIG]4406[/ATTACH]

Hình 4: Cấu hình nhận lưu lượng trên C2

[ATTACH=CONFIG]4410[/ATTACH]

Hình 5: Lưu lượng HTTP

Khi gửi HTTP từ C1=> C2 thì ok ACL 101 nhận ra là nó đã match với 873 gói tin, gửi HTTP từ C2=>C1 thì ACL 102 ko match với gói tin nào cả nhưng vẫn nhận ra là gán policy cho 940 gói tin (mình gửi 10 gói tin/s trong 10s).

Các bạn có thể chỉ cho mình là tại sao ACL 102 ko match với gói tin nào ko, và mình cấu hình QoS 2 chiều thế có đúng ko hay chỉ cẩn 1 chiều?

Thanks.

Chào bạn,

Bạn viết đã đúng, nhưng bạn chú ý về chiều traffic được match bởi class-map là: "Chiều về traffic đổ về sẽ không được class-map thống kê"

Cám ơn bạn

**OluS** · 22-05-2012, 09:58 AM

Originally posted by luanvancity View Post

Chao,
look like access-list 101 overwrites access-list 102, do do tat ca cac packets match 101, ma sao lai phai tao nhieu access-list vay? sao khong tao 1 extended access-list, roi tao tat ca cac rules trong do?

Bản thân ACL 101 đã là Extended rồi, nhưng khi mình merge 2 ACL 101 và 102 vào 1 ACL là 101 thì IOS bị lỗi và đơ luôn router, mình ko hiểu là tại sao nên mới tách ra làm 2.

Originally posted by phamminhtuan View Post

Chào bạn,

Bạn viết đã đúng, nhưng bạn chú ý về chiều traffic được match bởi class-map là: "Chiều về traffic đổ về sẽ không được class-map thống kê"

Cám ơn bạn

Nó không thống kê nhưng nó vẫn apply policy vào gói tin trả về từ C1 (match với 102) hả thầy.

Em cảm ơn thầy.

**cuibapnuong** · 22-05-2012, 04:13 PM

hello bạn,
Nhìn cấu hình của bạn thì bạn áp dụng cái policy-map SET-EXP vào input trên cổng f0/0 đúng không. Điều này có nghĩa chỉ những traffic nào INPUT vào cổng này mới chịu tác động của cái policy-map SET-EXP của bạn. Khi bạn cho chạy cái chương trình tạo traffic từ C1 đến C2 thì traffic từ C1 qua C2 (có dạng tcp any any eq 80) đi vào chiều IN của cổng f0/0 nên policy-map SET-EXP mới xem xét phân loại và đánh dấu (nên bạn thấy thông số counter trên ACL 101 tăng lên trong policy-map). Còn khi traffic trả về từ C2->C1 (có dạng tcp any eq 80 any) thì nó ra hướng OUT của cổng F0/0 nên không bị ảnh hưởng gì bởi cái policy-map SET-EXP của bạn hết. bạn muốn tăng lên thì áp dụng cái policy-map này vào hướng OUT của cổng f0/0 là ok.

**OluS** · 22-05-2012, 05:11 PM

Originally posted by cuibapnuong View Post

hello bạn,
Nhìn cấu hình của bạn thì bạn áp dụng cái policy-map SET-EXP vào input trên cổng f0/0 đúng không. Điều này có nghĩa chỉ những traffic nào INPUT vào cổng này mới chịu tác động của cái policy-map SET-EXP của bạn. Khi bạn cho chạy cái chương trình tạo traffic từ C1 đến C2 thì traffic từ C1 qua C2 (có dạng tcp any any eq 80) đi vào chiều IN của cổng f0/0 nên policy-map SET-EXP mới xem xét phân loại và đánh dấu (nên bạn thấy thông số counter trên ACL 101 tăng lên trong policy-map). Còn khi traffic trả về từ C2->C1 (có dạng tcp any eq 80 any) thì nó ra hướng OUT của cổng F0/0 nên không bị ảnh hưởng gì bởi cái policy-map SET-EXP của bạn hết. bạn muốn tăng lên thì áp dụng cái policy-map này vào hướng OUT của cổng f0/0 là ok.

Chào bạn.

Phần mà bạn nói đến là traffic yêu cầu từ C1=> C2 =>C1. Thì ACL 101 sẽ apply được trong đoạn C1=>C2

Còn phần ACL 102 của mình là để cấu hình traffic yêu cầu từ C2=>C1 =>C2. Khi đó đoạn C1=>C2 sẽ là lưu lượng IN của int f0/0 và do đó 102 được apply. Ý mình là như vậy.

Mình đã đọc tài liệu class-map và policy-map của Cisco. Họ không nói nhiều đến mô hình lưu lượng chiều IN, OUT sẽ apply như thế nào mà chủ yếu là nói ví dụ (như trường hợp 1)

P/s: Sao dạo này 4rum hay có quảng cáo vậy. Post của mình 3 cái quảng cáo rồi.

**cuibapnuong** · 22-05-2012, 08:35 PM

hello bạn,
Để mình phân tích bạn xem có hợp lý không nhé (trong trường hợp C2->C1->C2 sẽ gồm traffic từ C2->C1 và C1-> C2 ok nhé)
traffic từ C2 -> C1 có dạng như sau (IP/port): C2(192.168.2.2/80) -> C1(192.168.3.2/xxxx) và đi vào hướng IN trên cổng F0/1 và ra hướng OUT cổng F0/0: policy-map của bạn không có tác dụng do áp vào hướng IN của F0/0.
traffic từ C1 -> C2 có dạng C1 (192.168.3.2/xxxx) -> C2 (192.168.2.2/80) và đi vào hướng IN trên cổng F0/0 và hướng OUT trên cổng F0/1: policy-map của bạn có tác dụng vì áp vào hướng IN của cổng F0/0 nhưng ACL thỏa điều kiện là ACL 101 chứ không phải 102.
Check lại bạn nhé

**nbhduoc** · 22-05-2012, 10:01 PM

bên lên int f0/0 apply input và output luôn thử xem

int f0/0
service-policy input "policy_map"
service-policy output "policy_map"

**OluS** · 23-05-2012, 11:58 AM

Chào bạn,

Originally posted by cuibapnuong View Post

Trong trường hợp C2->C1->C2 sẽ gồm traffic từ C2->C1 và C1-> C2 ok nhé

Cái này là C2 gửi yêu cầu HTTP request đến C1.

Originally posted by cuibapnuong View Post

traffic từ C2 -> C1 có dạng như sau (IP/port): C2(192.168.2.2/80) -> C1(192.168.3.2/xxxx)

Nên bạn đã bị nhầm port ở đây rồi. phải là C2(192.168.2.2/xxxx) -> C1(192.168.3.2/80)

Originally posted by cuibapnuong View Post

traffic từ C1 -> C2 có dạng C1 (192.168.3.2/xxxx) -> C2 (192.168.2.2/80)

Phần này do đó sẽ là C1 (192.168.3.2/80) -> C2 (192.168.2.2/xxxx). Do đó traffic này sẽ match với ACL 102 của mình. Và chiều của nó cũng là chiều IN với int f0/0

Originally posted by nbhduoc View Post

bên lên int f0/0 apply input và output luôn thử xem

int f0/0
service-policy input "policy_map"
service-policy output "policy_map"

Thank thầy, phần output này em muốn làm QoS nên ko apply policy này vào output của interface này được.

Rất lạ là khi mình merge 2 ACL 101 và 102 làm như bạn luanvancity nói thì lúc này traffic qua interface f0/0 đều match cả, và đều được gán nhãn MPLS EXP, nhưng trong access-group 101 thì ko match gói tin nào cả => vẫn đạt yêu cầu policy.

Đến đây mình đã test xong filter traffic đầu vào rồi. Test nốt QoS là xong thôi. Cảm ơn các thầy và các bạn đã giúp đỡ. Nếu tiếp tục topic mong mọi người trao đổi về phần: tại sao gói tin trả về được match với policy (được gán MPLS EXP rồi) mà lại ko được match với access-group.

**nbhduoc** · 30-05-2012, 12:06 AM

Ngộ thật, nếu không match access-group nào thì làm sao mà được gán EXP được nhỉ.
Bạn cho mình xin toàn bộ cấu hình về QoS trên R1 để nghiêm cứu được không.

Thanks

**OluS** · 31-05-2012, 02:13 PM

Xin gửi thầy:
R1.rar

Announcement

[Hỏi]Lỗi Policy-map khi thực hiện QoS?

[Hỏi]Lỗi Policy-map khi thực hiện QoS?

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment