Modular QoS CLI: configuration d'une qualité de service modulaire via des lignes de commande.
Cette méthode comporte toujours trois étapes distinctes qui doivent répondre aux questions suivantes:
Quel trafic est important ?
Que doit-on appliquer a ce trafic ?
Ou doit-on l appliquer ?
Première phase, le trie du trafic.
Un flux réseau provenant d'un LAN convergent est un ensemble de micro-flux que l'on doit trier. En effet, les micro-flux de VoIP, de visio-conference, de trafic de management et autres vont être gérés de manières différentes.
On se doit avant tout d'avoir une bonne connaissance de son réseau et plus particulièrement des différents protocoles qui transitent.
Le trie du trafic va se faire via des listes d'accès. En fonction des besoins, de votre réseau, vous allez filtrer plus ou moins votre flux.On peut tout aussi bien trier via une ACL la totalité d un range IP, une adresse ' un serveur ou un protocole spécifique. On pourra alors s'aider du protocole NBAR (méthode qui va vous permettre d analyser quels flux passent sur votre interface)
Attention, les liste d'accès configurées ici trient le trafic pour la qualité de services et n'opèrent en tant que filtres pour faire de la sécurité. Le fait de configurer un deny ne va pas empêcher un flux de traverser le routeur mais renverra simplement une réponse FAUX à la fonction match définie dans une class-map (principe idem à la gestion du routage)
Une class-map est basée sur la fonction match. Cette dernière existe sous deux variantes : all ou any.
All va renvoyer un résultat VRAI si tous les critères sont remplis, any si seulement un seul sur tous.
Par ailleurs, il est possible d'effectuer un marquage directement au niveau des équipements sources, comme par exemple un PC ou un équipement visio. On spécifie par exemple af43 pour un trafic de visio-conference et on peut dans ce cas effectuer notre trie dans une class-map.
Prenons deux liste d'accès étendues 101 et 102.
Si on veut un résultat vrai si les deux critères sont remplis :
class-map match-all CL_101et102
match access-group 101
match access-group 102
Si on veut un résultat vrai uniquement si l'un ou l'autre des critères est rempli :
class-map match-any CL_101ou102
match access-group 101
match access-group 102
Point particulier : la class class-default
Cette classe spécifique est destinée à tous le trafic qui n aura pas été trié. Elle est définie par défaut dans l'équipement et on a pas besoin de la créer. On doit cependant spécifier comment traiter ce trafic.
Deuxième phase : que doit on appliquer au trafic ?
Plusieurs actions sont possibles grâce à la commande set. On va ainsi pouvoir :
Changer le champs DSCP des paquets
Configurer une valeur de bande passante au flux
Appliquer du SHAPING ou du POLICING
Nous créons une policy-map :
policy-map 101_102
class CL_101et102
set dscp af43
bandwith 50 pourcents
class class-default
bandwith 5 pourcents
La configuration peut devenir bien plus complexe à mesure que l'on applique des polices à des "sous-polices".
Troisième phase : Où appliquer ces règles ?
Quelle interface, input, output ?
Voici ce qui est préconisé par Cisco :
INPUT Lan
Classification, marquage, policing
OUTPUT Wan
Policing, Shaping, compression, gestion de la congestion (WRED par exemple), marquage
Cisco recommande de marquer le trafic le plus tôt possible, c'est à dire directement sur l'équipement qui en est l'émetteur. Attention cependant aux commutateurs qui, au cas ou ils ne seraient pas configurés pour truster le champs TOS (Lvl2) pourraient la droper.
Bon clic à tous,
Aucun commentaire:
Enregistrer un commentaire