QoS woes - zarządzane IP VPN

9

(Po pierwsze przepraszam za tę ścianę tekstu. Nie wiem, jak ją skrócić, nie tracąc ważnych informacji. Początkowo chciałem do tego użyć czatu, tak jak robimy to w przypadku awarii serwera dla tego rodzaju błędów pytań, ale nie ma nikogo w pokoju inżynierii sieci).

Jesteśmy korporacją z kilkoma firmami-córkami, w której mamy dość dużą zarządzaną sieć IP-VPN z około 70 różnymi lokalizacjami, od 2 Mb / s SHDSL do 100 Mb / s światłowodu. IP-VPN przenosi wiele VPN (a dokładniej tunele).

Priorytet ruchu jest z punktu widzenia zarządzania i projektowania:

  1. VoIP (Avaya i Lync)
  2. Wideo (Lync)
  3. PROW
  4. Usługi wewnętrzne (serwery plików, Active Directory, intranet itp.)
  5. Wewnętrzne usługi bez priorytetów (serwery proxy do korzystania z Internetu, usługi aktualizacji systemu Windows, zarządzanie konfiguracją centrum systemu, serwery proxy aktualizacji antywirusowych itp.)
  6. Niedopasowany ruch (internet)

VoIP jest używany tylko w niektórych biurach, w których liczba użytkowników jest niewielka. Największe zdalne biuro korzystające z VoIP ma obecnie 4 Mb / s SHDSL z 5 pracownikami i 5 telefonami Avaya IP z kodekiem G.711 ALAW 64K. To nigdy nie powinno zwiększać ruchu danych VoIP do więcej niż 320 kb / s. Sprawdziłem, że telefony używają DSCP 46 do odtwarzania dźwięku i dlatego są one poprawnie dopasowane do EF (patrz konfiguracja poniżej). Sygnalizacja jest jednak dopasowana do DSCP 24, co nie jest pewne, czy nasz profil QoS się poprawi.

Wszystkie odległe lokalizacje używają protokołu RDP dla kilku farm RDS w naszej siedzibie (światłowód 2x100Mbit). Przepustowość wykorzystywana w RDP nie jest tak łatwa do ustalenia, ponieważ w zasadzie wykorzystuje wszystko, co dostaje. Mamy określone ograniczenia, aby upewnić się, że nie jest to zbyt wymagające zasobów, ale prawdopodobnie nie jest to możliwe w przypadku tej witryny. Mamy ostatnio dość poważne problemy z RDP ( /server/515809/mouse-cursor-jumps-around-when-using-rdp ), dlatego publikuję to w inżynierii sieci.

Lync używa DSCP 46 dla audio i DSCP 34 dla wideo. Usługi wewnętrzne i usługi wewnętrzne niepriorytetowe są tylko dopasowywane do podsieci, a wszystko inne jest po prostu dopasowane do dowolnej.

Oto kopia najnowszej wersji konfiguracji QoS, którą nieznacznie zmodyfikowałem, aby ukryć niektóre nazwy i adresy IP:

!
class-map match-any INTERNAL-PRI
 match access-group name CUST-INT-PRI
 match access-group name CUST-DMZ
class-map match-any INTERNAL-NOPRI
 match access-group name CUST-INT-NOPRI
class-map match-any REMOTEDESKTOP
 match access-group name RDP
class-map match-any ALL
 match any
class-map match-any NETWORK
 match ip precedence 6
 match ip precedence 7
class-map match-any EF
 match ip dscp ef
 match ip dscp cs5
class-map match-any AF-HIGH
 match ip dscp af41
 match ip dscp cs4
class-map match-any AF-MEDHI
 match ip dscp af31
 match ip dscp cs3
class-map match-any AF-MEDIUM
 match ip dscp af21
 match ip dscp cs2
class-map match-any AF-LOW
 match ip dscp af11
 match ip dscp cs1
class-map match-any BE
 match ip dscp default
!
!
policy-map setTos
 class EF
 class REMOTEDESKTOP
  set ip dscp af31
 class INTERNAL-PRI
  set ip dscp af21
 class INTERNAL-NONPRI
  set ip dscp af11
 class class-default
  set ip dscp default
policy-map useTos
 class EF
  priority percent 10
 class AF-HIGH
  bandwidth remaining percent 35
 class AF-MEDHI
  bandwidth remaining percent 25
 class AF-LOW
  bandwidth remaining percent 20
 class BE
  bandwidth remaining percent 10
 class NETWORK
policy-map QOS
 class ALL
  shape average 4096000
  service-policy useTos
!
!         
ip access-list standard CUST-DMZ
 permit 123.123.123.0 0.0.0.255
!
ip access-list standard CUST-INT-PRI
 permit 10.50.0.0 0.0.0.255
 permit 10.51.0.0 0.0.0.255
!
ip access-list standard CUST-INT-NOPRI
 permit 10.50.10.0 0.0.0.255
 permit 10.51.10.0 0.0.0.255
!
ip access-list extended RDP
 permit tcp any eq 3389 any
 permit tcp any any eq 3389
!

Jak widać, jest to dość duża konfiguracja QoS. Pamiętaj, że nie stworzyliśmy tej konfiguracji samodzielnie, wszystko to zostało wykonane przez poprzedniego pracownika u naszego dostawcy IP-VPN. Należy również pamiętać, że wartość kształtu zmienia się w zależności od rodzaju połączenia (2 Mb / s, 4 Mb / s, 8 Mb / s i 10 Mb / s).

Do tej pory prawdopodobnie zastanawiasz się - jakie jest tutaj pytanie? Tutaj idzie..

  1. Jak wspomniałem wcześniej, topimy się w skargach użytkowników PROW dotyczących nierozpoznania opóźnień / danych wprowadzanych przez użytkowników. Czy nie ustalamy priorytetów poprawnie? Czy można upewnić się, że protokół RDP uzyskuje minimalną utratę pakietów, opóźnienie i fluktuację, ale nadal ogranicza pasmo?
  2. W tej konfiguracji nie widzę wzmianki o kolejkach. Przeczytałem trochę dokumentacji Microsoft i zalecają one używanie kolejki priorytetowej na VoIP i WRED na wideo. Jak to zrobić?
  3. Jak pokazuje konfiguracja, żadna z klas AF nie używa średniego ani wysokiego spadku. Jakie usługi można bezpiecznie upuścić? RDP, wideo i voip nie działają dobrze z kroplami.
  4. Czy pasma procentowe są w porządku? Podsumowuje do 100% wykorzystania

Wszelkie inne sugestie są mile widziane, ponieważ desperacko staram się to rozwiązać. Jeśli uważasz, że na stronie pytań i odpowiedzi jest zbyt wiele odpowiedzi, po prostu ugryzę się w pył i zatrudnię konsultanta od naszego partnera Cisco Gold, co jest finansowo OK - chcę się tego nauczyć, jeśli mogę.

Pauska
źródło
Jaki model Cisco robi to Qos i na jakim interfejsie jest skonfigurowany? Można edytować w show policy-map interface, show proc cpu history, show interface <your-interface-w-QOS-service-policy>, show buff, i show runn interface <your-interface-w-QOS-service-policy>od routera i dodać go do dołu pytanie?
Mike Pennington,
Nie mam dostępu do zarządzania routerami, ponieważ jest to zarządzana usługa IP-VPN. Linie 2, 4 i 8 Mb / s działają na 1811 / 881G i są podłączone do zwykłego portu FE0 / 1, a linie 10 Mb / s działają na 892F podłączonym do SFP (zwykle światłowód DWDM). Mam dostęp do niektórych statystyk internetowych, co pokazuje bardzo niskie zużycie procesora / pamięci.
pauska
Czy jakaś odpowiedź ci pomogła? jeśli tak, powinieneś zaakceptować odpowiedź, aby pytanie nie wyskakiwało wiecznie, szukając odpowiedzi. Alternatywnie możesz podać i zaakceptować własną odpowiedź.
Ron Maupin

Odpowiedzi:

6

Aby odpowiedzieć na twoje pytania:

  • Ruch RDP powinien osiągnąć do 25% pozostałej przepustowości. Gdzie już zarezerwowana przepustowość wynosi 35% ( domyślna klasa dostaje domyślnie 25%, a EF dostaje 10%). Więc jeśli mam rację, przypisałeś ~ 665 Kbps do RDP. W każdym razie powinieneś sprawdzić, czy upuszczasz pakiety wydające poniższe polecenie:

show policy-map <your wan interface> output class REMOTEDESKTOP

i sprawdzanie upuszczonych pakietów.

  • Cisco przypisuje kolejkę do każdej klasy zdefiniowanej przez użytkownika, która obejmuje przepustowość lub komendy policji . Aby uprościć długą historię, polecenia te określają przepustowość przypisaną do każdej kolejki podczas przeciążenia.

  • Teoretycznie każdy strumień oparty na TCP powinien być OK z kroplami. W praktyce niektóre z nich nie są. Usunięcie bitów pierwszeństwa informuje routery, które pakiety powinny zostać upuszczone w obrębie danej klasy, zanim dojdzie do przeciążenia. Ponieważ RDP jest jedynym rodzajem ruchu zdefiniowanym w klasie REMOTEDESKTOP , nie należy się tym martwić.

  • Procent przepustowości nie jest w porządku (jak stwierdził Jeremy).

To powiedziawszy, jest wiele rzeczy, które chciałbym zmienić w twojej konfiguracji:

  • Nie ma zgodności między niektórymi klasami setTos a mapą zasad useTos . Na przykład ten o nazwie AF-HIGH nie przetwarza żadnych pakietów, ponieważ żadna klasa w setTos nie ustawia DSCP na AF41.

  • Klasa BE w setTos jest w pewnym sensie samowystarczalna, ponieważ czyni klasę domyślną bezużyteczną. Zauważ, że klasa-domyślna jest jedyną klasą zdefiniowaną przez system i domyślnie uzyskuje 25% przepustowości (100 - maksymalna zarezerwowana przepustowość).

  • pozostały procent przepustowości nie jest najlepszą opcją (jak wyjaśnił Jeremy). Zmieniłbym to na procent przepustowości .

  • Wolałbym oznaczać pakiety EF osobiście i nie polegać na ustawieniach telefonów.

Marco Marzetti
źródło
Dzięki, to wyjaśniło wiele zamieszania. Pracuję nad nową konfiguracją QoS i opublikuję ją, gdy skończę. Jedno pytanie - mówisz, że pasmo / policja dostanie jedną kolejkę na klasę zdefiniowaną przez użytkownika. Co się stanie, jeśli utworzę dwie klasy zdefiniowane przez użytkownika, obie z priorytetem? Czy znajdą się w tej samej kolejce LLQ?
pauska
Mówiąc konkretnie, wartości policyjne i przepustowości mówią IOS, ile miejsca w buforze należy zarezerwować dla każdej klasy ruchu. Nie wiem, co powinno się stać, gdy skonfigurujesz dwa różne oświadczenia policji w ramach tej samej mapy zasad, ale przypuszczam, że IOS potraktowałby je jako dwie różne kolejki i niezależnie wysłałby ich ruch do interfejsu wyjściowego. Zamiast tego, w przypadku przepustowości, IOS tworzy w kolejce dla każdego strumienia (źródłowa proto / ip / port - docelowa para proto / ip / port) ruchu przy użyciu zarezerwowanej przestrzeni adresowej dla pasującej klasy.
Marco Marzetti
7

Pierwszą rzeczą, która na mnie wyskakuje, jest to, że wydajesz się kształtować wszystko do 4 Mb / s. Wyobrażam sobie, że szybkość zmienia się w routerach / witrynach o różnych prędkościach obwodu, ale ogólnie rzecz biorąc, chcesz uniknąć kształtowania w przypadku aplikacji wrażliwych na opóźnienia, takich jak VoIP i RDP, ponieważ może to powodować nadmierne buforowanie i fluktuacje w okresach przeciążenia.

Ponadto bandwidth remaining percentpolecenie jest nieco trudne: każda instancja faktycznie przydziela n% pozostałej dostępnej przepustowości, a nie n% całości. Ta grafika z artykułu Arden Packeer powinna pomóc zilustrować ten pomysł:

„Przepustowość” vs „pozostała przepustowość”

Należy pamiętać, że wszelkie zdefiniowane przez Ciebie klasyfikacje muszą być zgodne z obsługiwanymi przez dostawcę WAN. Większość dostawców oferuje tylko garść wstępnie skonfigurowanych profili QoS, z których musisz wybrać, który najlepiej odpowiada Twoim potrzebom. Możesz klasyfikować, jak chcesz, na przychodzącym ruchu na brzegu sieci WAN, ale kontrole QoS dostawcy są tym, co kontroluje sposób traktowania ruchu podczas tranzytu przez sieć WAN.

Jeremy Stretch
źródło
Zapomniałem dodać, że średnia kształtu jest dostosowywana do danej rury. Przykład, który skopiowałem, pochodził z SHDSL 4 Mb / s. Dobra uwaga na temat jakości usług MPLS, zapytam ich, jak to wygląda. Muszę dyktować dowolną QoS na sprzęcie CE. Dzięki za wyjaśnienie rezerwacji, teraz ma to o wiele więcej sensu. Ujawnia także poważną wadę w obecnej konfiguracji QoS, która ma 70% przepustowości z rezerwacją dla EF!
pauska
Nie martwiłbym się znacznikami ISP, ponieważ już ogranicza on przepustowość na swoim routerze brzegowym, więc nie powinno wystąpić zator.
Marco Marzetti
1
Zator może nadal występować w całej sieci dostawcy, szczególnie przy wzorcach ruchu „jeden do jednego”. Dlatego ważne jest oznaczanie ruchu zgodnie ze schematem klasyfikacji dostawcy.
Jeremy Stretch