1、Catalyst 6000上的QoS策略功能簡介網(wǎng)絡(luò)中的服務(wù)質(zhì)量（QoS）策略可以決定網(wǎng)絡(luò)流量性能是否符合配置文件規(guī)定的 要求（合同），是否將不符合要求的流量丟棄或者標(biāo)記一個不同的差分服務(wù)代碼 點（DSCP）值來執(zhí)行約定的服務(wù)水平（DSCP是對幀的QoS水平進行度量的標(biāo)準(zhǔn)）。我們不能將策略和流量整形混為一談。盡管策略和整形都需要確認(rèn)流量是否按照 配置文件（合同）規(guī)定運行，但是策略并不對流量采取緩存措施，因而發(fā)送時延 不會受到影響。策略不對超出配置文件的數(shù)據(jù)包進行緩存處理，而是直接將這些 流量丟棄或者將其標(biāo)記為較低的 QoS 水平（ DSCP 降級標(biāo)記）。與之相反，流量 整形對超出檔案標(biāo)準(zhǔn)的流量

2、采取緩存處理，使得突發(fā)流量能夠平緩，不過這會影 響到時延和抖動。整形只能應(yīng)用于輸出流量接口，而策略則可同時應(yīng)用于輸入和 輸出接口。在現(xiàn)有的 Catalyst 6000 硬件上，策略只能應(yīng)用于入局接口。 Catalyst 6000 線 路卡并不支持流量整形。要獲得Cisco 7600上線路卡光交換模塊（OSM）以及 FlexWan端口適配器上的流量整形支持信息，請參閱Cisco 7600互聯(lián)網(wǎng)路由器 介紹。QoS 策略參數(shù)策略的設(shè)置通過定義策略器將它們應(yīng)用于端口（基于端口的QoS）或者VLAN （基 于VLAN的QoS）。每個策略器都為要求內(nèi)和要求外的流量定義名稱、類型、速 率、突發(fā)速率以及采取

3、的行動等。Supervisor Engine II上的策略還支持超額 速率參數(shù)。有兩種類型的策略器：微流（microflow）和集合（aggregate）。Microflow微流策略器按數(shù)據(jù)流分別監(jiān)控每個相應(yīng)端口/VLAN上的流量。Aggregate集合策略器監(jiān)控所有相應(yīng)的端口/VLAN上的流量。每種策略器都可應(yīng)用于數(shù)個端口或者VLAN。數(shù)據(jù)流可以采用下述參數(shù)定義：源 IP地址、目的IP地址、第4層協(xié)議（如UDP）、源端口號碼以及目的端口號碼 等。與一套已定義參數(shù)相匹配的數(shù)據(jù)包都被視為屬于相同的流（這里的流概念同 Net flow交換技術(shù)中所采用的相同）。例如，如果我們配置一個microflo

4、w微流策略器來將VLAN 1和VLAN 3上的TFTP 流量限制在1 Mbps內(nèi)，它就只允許VLAN 1和VLAN 3上每條數(shù)據(jù)流的速率為1 Mbps。換言之，如果在VLAN 1上有3條數(shù)據(jù)流，而在VLAN 3上有4條數(shù)據(jù)流， 則這樣每一條數(shù)據(jù)流允許的速率都是 1 Mbps。 如果我們配置一個 aggregate 集合策略器，它就會將VLAN 1 （全部數(shù)據(jù)流）和VLAN 3 （全部數(shù)據(jù)流）的總體 TFTP 流量速率限制為 1 Mbps。如果同時應(yīng)用集合和微流策略器，則QoS就會總是執(zhí)行策略器所制定的最嚴(yán)重的 行為。例如，如果一個策略器要求丟棄數(shù)據(jù)包，而另外一個策略器則指示數(shù)據(jù)包 降級，那么數(shù)

5、據(jù)包將會被丟棄。默認(rèn)狀態(tài)下，微流策略器僅對被路由的（第 3 層）流量起作用。如果要對橋接的（第2層）流量也起作用，則需要啟用橋接微流策略。在Supervisor Engine II 上，即使針對于第 3 層的微流策略，也需要啟動橋接微流策略。策略是感知協(xié)議的，因此QoS訪問控制表（ACL）或者帶MAC地址ACL的策略映 射永遠(yuǎn)不能對IP流量進行策略。所有的流量都被劃分為3種類型：IP、IPX和 其它。Catalyst 6000 中的策略可以根據(jù)“漏桶”概念來實施：與入局流量數(shù)據(jù)包對應(yīng) 的令牌都被置入一個桶中（每個令牌代表1位，從而大數(shù)據(jù)包比小數(shù)據(jù)包對應(yīng)更 多的令牌）。在正常時間間隔內(nèi)，一定數(shù)量

6、的令牌數(shù)將從桶中取出并被發(fā)送。如 果桶中沒有更多空間容納輸入的數(shù)據(jù)包，則數(shù)據(jù)包被視為超出配置文件范圍而被 丟棄或者根據(jù)配置的策略操作實行降級處理。值得注意的是，從圖中可以看到，流量在桶中并不會緩沖。實際流量根本不通過 桶，桶只能用來決定數(shù)據(jù)包在配置文件內(nèi)（in profile）還是在配置文件外（out ofprofile）。計算參數(shù)多種參數(shù)控制令牌桶的行為：速率 定義在每個時間間隔內(nèi)將有多少令牌取出。這樣就能夠有效地設(shè)置策略速率。 低于速率的所有流量都被視為是符合配置要求的。時間間隔 定義令牌隔多長時間從桶內(nèi)取出一次。間隔固定在0.00025秒，從而令牌 每秒鐘將從桶中取出 4000 次。時間

7、間隔不能更改。突發(fā)速率定義在任何一個時段內(nèi)桶能夠容納的最大令牌數(shù)。為了維持規(guī)定的流量速 率，突發(fā)速率的大小不應(yīng)該低于速率與時間間隔的乘積。另外一種考慮就是最大尺 寸的數(shù)據(jù)包也必須能夠置入桶內(nèi)。因而您可以用以下公式來確定突發(fā)速率參數(shù)：突發(fā)速率=（速率（bps） 丟棄數(shù)據(jù)包（在配置中采用 drop 參數(shù)）將數(shù)據(jù)包降級為一個較低的DSCP （在配置中采用丟棄數(shù)據(jù)包（在配置中采用 drop 參數(shù)）將數(shù)據(jù)包降級為一個較低的DSCP （在配置中采用policed-dscp參數(shù)）例如，我們可以計算需要在以太網(wǎng)上維持1 Mbps速率所需的最小突發(fā)速率值。 速率定義為1 Mbps，而最大的以太網(wǎng)數(shù)據(jù)包為1518

8、字節(jié)，這樣公式變?yōu)椋和话l(fā)速率=（1,000,000bps*0.00025）或（1518 字節(jié)* 8 位/字節(jié)）=250 或 12144兩者中較大的值為12144，我們可將其折算為13 Kbps。注：在Cisco IOS 中, 策略速率以bps定義，同Catalyst OS中的Kbps不同。此外，突發(fā)速率在Cisco IOS中以字節(jié)來定義，同Catalyst OS中的千位（kilobits）不同。注： 由于受硬件策略粒度的影響，實際速率和突發(fā)速率都應(yīng)該折算為最接近的 支持值。確認(rèn)突發(fā)速率值不低于最大的數(shù)據(jù)包尺寸，否則所有大于最大突發(fā)速率 尺寸的數(shù)據(jù)包都將被丟棄。例如，如果用戶想在Cisco IO

9、S中將突發(fā)速率設(shè)置為1518，則它將會被折算為 1000字節(jié)，從而所有大于1000字節(jié)的幀都將被丟棄。解決方案是將突發(fā)速率配 置為2000。在定義突發(fā)速率時，您需要考慮到這樣的事實，那就是一些協(xié)議（如TCP）會針 對丟包而采用流控制機制。例如，TCP將把每個要丟失的數(shù)據(jù)包的窗口縮小一半， 相應(yīng)地，當(dāng)對某個速率進行策略時，有效的鏈路使用率就會低于配置的速率。您 可以增加突發(fā)速率從而實現(xiàn)更高的利用率。對這些流量來說，比較簡單易行的方 式就是將突發(fā)速率的大小增加一倍（在我們的例子中可以從13 Kbits增加到26 Kbi ts），監(jiān)控性能，然后根據(jù)需要進行調(diào)整。出于同樣的原因，我們不推薦采用面向連接

10、的流量來標(biāo)定策略器的操作，因為它 的性能通常比策略器所允許的要低。策略操作正如我們在簡介中所提到的，策略器可以對超出配置規(guī)定的數(shù)據(jù)包采取兩種措施：為了降級標(biāo)記數(shù)據(jù)包，policed DSCP map必須修改。默認(rèn)的策略DSCP設(shè)置是 將數(shù)據(jù)包重新標(biāo)注到相同的 DSCP 上（此時不會發(fā)生降級）。注：如果“超出配置文件規(guī)定”的數(shù)據(jù)包降級標(biāo)定到某個DSCP，而該DSCP所映 射的輸出隊列同初始的 DSCP 不同，此時可能有一些數(shù)據(jù)包會不按順序發(fā)送?；?于這種原因，如果訂購的數(shù)據(jù)包很重要，則推薦將“超過配置文件規(guī)定”的數(shù)據(jù) 包降級到這樣的DSCP上：即與“符合配置文件規(guī)定”的數(shù)據(jù)包有相同輸出隊列 的

11、DSCP。在 Supervisor Engine II 上可以支持超額速率，有兩種觸發(fā)器可用： 當(dāng)流量超出正常速率 當(dāng)流量超過超額速率應(yīng)用超額速率 的一個例子是， 將超出正常速率的數(shù)據(jù)包降級，而將超過超額速 率的數(shù)據(jù)包丟棄。Catalyst 6000 所支持的策略特性當(dāng)前的策略特性卡（PFC），轉(zhuǎn)發(fā)引擎PFC1和PFC2只支持入局（輸入接口）策 略。Catalyst 6000最多可支持 63個微流策略器和1023個集合策略器。采用 Supervisor Engine la,從 Catalyst OS 5.3 （ 1）版和 Cisco IOS 12.0（7） 版開始支持策略。注：用Supervi

12、sor Engine Ia制定策略時需要PFC子卡。采用 Supervisor Engine II,從 Catalyst OS 6.1 （ 1）版和 Cisco IOS 12.1（5c） EX 版開始支持入局策略。 Supervisor Engine II 支持超額速率策略參數(shù)。在帶分布式轉(zhuǎn)發(fā)卡（DFC）的配置中，只支持基于端口的策略。此外，集合策略 器也只能夠以每個轉(zhuǎn)發(fā)引擎（而非每個系統(tǒng)）為單位來對流量計數(shù)。DFC和PFC 都是轉(zhuǎn)發(fā)引擎。如果線路卡上沒有DFC，則可以采用PFC作為轉(zhuǎn)發(fā)引擎。在 Catalyst OS 上配置和監(jiān)控策略功能策略配置包括三個主要的步驟：定義一個策略器：正常流量速

13、率、超額速率（如果適用）、突發(fā)速率以及策略操作創(chuàng)建一個QoS ACL來選擇受策略的流量，并在此ACL上連接一個策略器將QoS ACL應(yīng)用于必要的端口或者VLAN。F面考查以下例子:我們希望在端口 2/8上對所有進入UDP端口的流量進行策略:Catalyst 6000set qos enable!-一激活QoSset qos policer aggregate udp_1mbps rate 1000 burst 13 drop!-定義管理器；關(guān)于比率和字符組計算，請參閱辻篡參數(shù)set qos acl ip udp_qos_port dscp 0 aggregate udp_1mbps udpan

14、y any eq 111!創(chuàng)建QoS ACL以便選擇流量，并將管理器連接至QoS ACLcommit qos acl all!編譯 QoS ACLset qos acl map udp_qos_port 2/8!將QoS ACL映射到交換機端口下一個例子基本相同，區(qū)別在于策略器連在 VLAN 上，端口 2/8 屬于 VLAN 20。注 端口 QoS要更改為“基于VLAN”的模式，需要采用set port qos命令。策略器將評估配置給基于VLAN QoS的VLAN中所有端口的流量。Catalyst 6000set qos enable!-一激活QoSset qos policer aggreg

15、ate udp_1mbps rate 1000 burst 13 drop!-一定義管理器；關(guān)于比率和字符組計算，請參閱計算參數(shù)set qos acl ip udp_qos_vlan dscp 0 aggregate udp_1mbps udpany any eq 111!創(chuàng)建QoS ACL以便選擇流量，并將管理器連接到QoS ACLcommit qos acl all!編譯 QoS ACLLset port qos 2/8 vlan-based!為基于VLAN的QoS配置端口set qos acl map udp_qos_vlan 20! 將 QoS ACL 映射到 VLAN 20下一步，不

16、是用DSCP 32來丟棄超過配置文件限制的數(shù)據(jù)包，而是將其降級到0 級的 DSCP 上（盡力而為級）：set qos policer aggregate udp_1mbps rate 1000 burst 13 policed -dscp!定義管理器；關(guān)于比率和字符組計算，請參閱計算參數(shù)set qos acl ip udp_qos_md trust-ipprec aggregate udp_1mbps udp any any eq 111 dscp-field 32!創(chuàng)建QoS ACL以便選擇流量，并將管理器連接至QoS ACL commit qos acl all!編譯 QoS ACLset

17、 qos policed-dscp-map 32:0!修改控制的DSCP映射以便將DSCP 32降至DSCP 0。set port qos 2/8 vlan-based!為基于VLAN的QoS配置端口set qos acl map udp_qos_md 20! 一- 將 QoS ACL 映射到 VLAN 20采用 sh qos maps runtime policed-dscp-map 來查看當(dāng)前策略的 DSCP 圖。采用 sh qos policer runtime 來確認(rèn)策略器的參數(shù)，并 查看策略器連接到哪個 QoS ACL 上。注：采用supervisor Engine I和la,不可能

18、對單個集合策略器進行策略統(tǒng)計。 要查看每個系統(tǒng)的策略統(tǒng)計，可以使用下述命令：Cat6k (enable) sh qos statistics l3statsPackets dropped due to policing: 1222086IP packets with ToS changed: 27424IP packets with CoS changed: 3220Non-IP packets with CoS changed: 0要檢查微流策略統(tǒng)計,可以使用下述命令：Cat6k (enable) sh mls entry qos shortDestination-IP Source-IP

19、Port DstPrt SrcPrt Uptime AgeIP bridged entries:700 UDP 63 6300:22:02 00:00:00Stat-Pkts : 165360Stat-Bytes : 7606560Excd-Pkts : 492240Stat-Bkts : 166000 UDP88877700:05:3800:00:00Stat-Pkts : 42372Stat-Bytes : 1949112Excd-Pkts : 126128Stat-Bkts : 1628Only out of the profile MLS entries are displayedCa

20、t6k (enable)在使用 Supervisor Engine II 時，采用 sh qos statistics aggregate-policer 命令可以在策略器上逐個查看集合策略統(tǒng)計信息。例如，有一個流量生成器同端口 2/8相連，將17Mbps的UDP流量發(fā)送到目的端 口 111。我們希望策略器丟棄16/17的流量，從而只有1 Mbps可以通過：Cat6k (enable) sh qos statistics aggregate-policer udp_1mbpsQoS aggregate-policer statistics:Aggregate policer Allowed p

21、acket Packets exceed Packets exceed count normal rate excess rate udp_1mbps 582439 9732108 9732108Cat6k (enable) sh qos statistics aggregate-policer udp_1mbpsQoS aggregate-policer statistics:Aggregate policer Allowed packet Packets exceed Packets exceed count normal rate excess rateudp_1mbps 582504

22、9733198 9733198注意，在命令之間，允許通過的數(shù)據(jù)包增加到 65，而超額數(shù)據(jù)包為 1090，這意味著策略器丟棄了1090個數(shù)據(jù)包，而只有65個數(shù)據(jù)包通過。由于65/(1090+65)=0.056或者說大約為1/17，因此策略器運行正常。page配置和監(jiān)控 Cisco IOS 中的策略功能在 Cisco IOS 中配置策略涉及下述步驟：定義一個策略器創(chuàng)建一個 ACL 來選擇策略的流量定義等級映射、采用ACL和(或)DSCP/IP優(yōu)先級來選擇流量采用等級來定義業(yè)務(wù)策略，并將策略器應(yīng)用于每個等級將業(yè)務(wù)策略應(yīng)用于端口或者 VLAN我們下面考察和前面相同的例子，不過用的是Cisco IOS。

23、例如，有一個流量生 成器同端口 2/8相連，將17Mbps的UDP流量發(fā)送到目的端口 111：!-一激活QoSmis qos aggregate-policer udp_1mbps 1000000 2000 conform-action transmit exceed-action drop!定義管理器；關(guān)于比率和字符組計算，請參閱計算參數(shù) !-注意，由于硬件精度，字符組為2000而不是1518。 access-list 111 perm it udp any any eq 111!定義ACL以便選擇流量class-map match-all udp_qosmatch access-group

24、 111!定義要控制的流量級別。policy-map udp_policyclass udp_qospolice aggregate udp_1mbps!定義QoS策略，使管理器適用于流量級別。interface Gigabi tEthernet2/8swi tchportservice-policy input udp_policy!將QoS策略應(yīng)用于接口在Cisco IOS中有兩種類型的集合策略器：named （指定的）和per in terface （按接口的）。named集合策略器將對應(yīng)用該策略器的所有接口上的流量整體實 施策略。上面的例子就是使用這個類型。而perin terface

25、策略器同named策 略器不同，將對應(yīng)用該策略器的每個接口分別進行策略。 perinterface 策略 器在策略映射配置中定義。下面就是應(yīng)用 perinterface 策略器的例子：Catalyst 6000mls qos!激活 QoSaccess-list 111 perm it udp any any eq 111!定義ACL以便選擇流量class-map match-all udp_qosmatch access-group 111!定義要控制的流量級別。policy-map udp_policyclass udp_qos!定義QoS策略，使管理器適用于流量級別。police 1000

26、000 2000 2000 conform-action transmit exceed-action drop!創(chuàng)建每接口管理器并將其應(yīng)用到流量級別。interface Gigabi tEthernet2/8swi tchportservice-policy input udp_policy ! 將QoS策略應(yīng)用于接口微流策略器在策略映射配置中定義，同per-in terface策略器相同。在下面的例 子中，每個來自主機的進入VLAN 2的數(shù)據(jù)流都將通過策略限制到 100 Kbps。來自的全部流量控制在500 Kbps。VLAN 2包括接口 fa4/11 和 fa4/12。Catalyst

27、6000mls qos!-一激活QoSaccessTis t 1 permi t !定義訪問列表，以便選擇主機的流量。class-map match-all host_2_2match access-group 1!定義要控制的流量級別。policy-map hostclass host_2_2!定義QoS策略police flow 100000 2000 conform-action transmi texceed-action drop!定義微流管理器；關(guān)于比率和字符組計算，請參閱計算參 數(shù)police 500000 2000 2000 conform-action transmi tex

28、ceed-action drop!定義聚合管理器，以便限制從主機到500 Kbps聚合的流量interface fa4/11mls qos vlan-basedinterface fa4/12mls qos vlan-based!為基于VLAN的QoS配置VLAN2的接口。interface vlan 2service-policy input host!將QoS策略應(yīng)用到VLAN 2要對策略功能進行監(jiān)控，可以使用下述命令bratan#sh mls qosQoS is enabled globallyMicroflow policing is enabled globallyQoS globa

29、l counters:Total packets: 10779IP shortcut packets: 0Packets dropped by policing: 2110223IP packets with TOS changed by policing: 0IP packets with COS changed by policing: 0Non-IP packets with COS changed by policing: 0 bratan# sh mls qos ip gigabitEthernet 2/8In Policy map is udp_policy Out Default.QoS Summary IP: (* - shared aggregates, Mod - switch module)Int Mod Dir Class-map DSCP AgId Trust FlId AgForward-Pk AgPoliced-PkGi2/8 1 In udp_qos 0 1* No 0 127451 2129602brat