Jump to content
Калькуляторы

ISG QoS Как на всей сессии выставить DSCP на весь траффик

Всем привет.

Кто знает как на всей сессии у определенного пользователя выставить определенное значение dscp у пакета?

 

interface GigabitEthernet0/0/0.283
description pogran-2-oka-1-vlan283
encapsulation dot1Q 283
ip vrf forwarding ISG
ip address 10.0.2.66 255.255.255.224
cdp enable
service-policy type control S1
ip subscriber routed
  initiator unclassified ip-address
end

 

вот профиль пользователя:

        Cisco-Account-Info += "AWORLD-102400-102400"
        Cisco-Account-Info += "AIX-61440-61440"

 

 

Вот что пытался сделать:

policy-map SNAT1
class class-default
   set dscp 11


policy-map type service SNAT
  service-policy input SNAT1
  service-policy output SNAT1

 

К пользователю профайл прикреплял, но когда прошелся tcpdump'ом, то увидел что dscp 0 у всех пакетов.

Edited by tsolodov

Share this post


Link to post
Share on other sites

 

 

 

 

ISG#sh sss session uid 16 detailed 
Unique Session ID: 16
Identifier: 10.91.0.101
SIP subscriber access type(s): IP
Current SIP options: Req Fwding/Req Fwded
Session Up-time: 00:00:42, Last Changed: 00:00:42

Policy information:
  Context 3C7AED70: Handle A8000024
  AAA_id 00000013: Flow_handle 0
  Authentication status: authen
  Downloaded User profile, including services:
    username             "SNAT"
    sub-policy-In        "SNAT1"
    sub-policy-Out       "SNAT1"
    ssg-service-info     "QU;62914560;11796480;D;62914560;11796480"
    traffic-class        "in access-group name IX-TO priority 7"
    traffic-class        "out access-group name IX-FROM priority 7"
  Config history for session (recent to oldest):
    Access-type: Web-service-logon Client: SM
     Policy event: Apply Config Success (Service)
      Profile name: IX-61440-61440, 4 references 
        ssg-service-info     "QU;62914560;11796480;D;62914560;11796480"
        traffic-class        "in access-group name IX-TO priority 7"
        traffic-class        "out access-group name IX-FROM priority 7"
    Access-type: Web-service-logon Client: SM
     Policy event: Apply Config Success (Service)
      Profile name: WORLD-102400-102400, 4 references 
        ssg-service-info     "QU;104857600;19660800;D;104857600;19660800"
        traffic-class        "in access-group  101 priority 10"
        traffic-class        "out access-group 101 priority 10"
    Access-type: Web-service-logon Client: SM
     Policy event: Apply Config Success (Service)
      Profile name: SNAT, 4 references 
        password             <hidden>
        username             "SNAT"
        sub-policy-In        "SNAT1"
        sub-policy-Out       "SNAT1"
    Access-type: IP Client: SM
     Policy event: Service Selection Request
      Profile name: 10.91.0.101, 2 references 
  Active services associated with session:
    name "IX-61440-61440"
    name "WORLD-102400-102400"
    name "SNAT"
  Rules, actions and conditions executed:
    subscriber rule-map S1
      condition always event session-start
        10 authorize aaa list ISG-AUTH identifier source-ip-address

Session inbound features:
Feature: QoS Policy Map
  Input Policy Map: SNAT1

Traffic classes:
  Traffic class session ID: 17
   ACL Name: 101, Packets = 0, Bytes = 0
  Traffic class session ID: 18
   ACL Name: IX-TO, Packets = 0, Bytes = 0
Unmatched Packets = 0, Re-classified packets (redirected) = 0

Session outbound features:
Feature: QoS Policy Map
  Output Policy Map: SNAT1

Traffic classes:
  Traffic class session ID: 17
   ACL Name: 101, Packets = 0, Bytes = 0
  Traffic class session ID: 18
   ACL Name: IX-FROM, Packets = 0, Bytes = 0
Unmatched Packets = 0, Re-classified packets (redirected) = 0

Configuration sources associated with this session:
Service: IX-61440-61440, Active Time = 00:00:42
Service: WORLD-102400-102400, Active Time = 00:00:42
Service: SNAT, Active Time = 00:00:42
Interface: GigabitEthernet0/0/0.283, Active Time = 00:00:42

 

Share this post


Link to post
Share on other sites

А коммутатор не обнуляет ?

Share this post


Link to post
Share on other sites

Правильный вопрос))))

 

Поставил mls qos trust dscp на коммутаторе к которому подключен ASR.

 

не помогло, понится мне что на 7604 нужно было делать dscp rewrite enable, на ASR 1002 возможно эту штуку тоже включать нужно?

 

Share this post


Link to post
Share on other sites
trust dscp на транковом порту думаю не будет работать...

 

А что за коммутатор ?

 

UPD: http://www.securitylab.ru/forum/forum24/topic28205/ не ?

не совсем коммутатор)

 

MLR Cisco 7604

схема

client------------ASR1002----------Cisco 7604-----------PC Linux(на нем запускаю tcpdump)-------INET

 

На самом деле траффик из вне размечается и приходит к клиенту с dscp, а я хочу чтобы трафик от клиента в внешний мир размечался тоже, но не выходит пока(

Edited by tsolodov

Share this post


Link to post
Share on other sites

А навешивать сервисполиси не через сервис, а на саму сессию не пробовали?

Через

Cisco-AV-Pair = "ip:sub-qos-policy-in=SNAT1"

Cisco-AV-Pair = "ip:sub-qos-policy-out=SNAT1"

при авторизации сессии.

Share this post


Link to post
Share on other sites
А навешивать сервисполиси не через сервис, а на саму сессию не пробовали?

Через

Cisco-AV-Pair = "ip:sub-qos-policy-in=SNAT1"

Cisco-AV-Pair = "ip:sub-qos-policy-out=SNAT1"

при авторизации сессии.

Note Actual MQC policy must be predefined on the ISG. Only Supported for PPP session.

 

У меня IPoE

Share this post


Link to post
Share on other sites
interface GigabitEthernet0/0/0.283

description pogran-2-oka-1-vlan283

encapsulation dot1Q 283

ip vrf forwarding ISG

ip address 10.0.2.66 255.255.255.224

cdp enable

service-policy input SNAT1

service-policy output SNAT1

ip subscriber routed

Сделал так(убрал service-policy type control S1), не работает. т.е. на ASR 1002 не ставится срабатывает ploicy-map на интерфейсе.

Никак не пойму где затык.

Share this post


Link to post
Share on other sites

А порт, в который воткнут tcpdump не сбрасывает DSCP ?

Share this post


Link to post
Share on other sites

А порт, в который воткнут tcpdump не сбрасывает DSCP ?

Нет 100%, т.к. через этот порт, только по разным vlan идет трафик в разные стороны, с одной стороны траффик из вне идет с dscp 1, он не затирается и доходит до клиента.

Share this post


Link to post
Share on other sites
А навешивать сервисполиси не через сервис, а на саму сессию не пробовали?

Через

Cisco-AV-Pair = "ip:sub-qos-policy-in=SNAT1"

Cisco-AV-Pair = "ip:sub-qos-policy-out=SNAT1"

при авторизации сессии.

Note Actual MQC policy must be predefined on the ISG. Only Supported for PPP session.

 

У меня IPoE

Вы попробуйте. Если речь про ASR, то в 2.2 там появились усовершенствования на эту тему.

Я специально выяснял это, когда бодался с cisco по одному SR открытому насчет IP сессий. Вот что мне ответили:

Finally, if a QoS policy is configured right under the interface and

then the RADIUS server tells to use another policy, then the QoS policy

imposed by the RADIUS server overrides the static configuration.

Share this post


Link to post
Share on other sites

Полиси мап привесилась, но dscp так и не меняется(((

 

ISG#show sss session uid 7 detailed

Unique Session ID: 7

Identifier: 10.91.0.101

SIP subscriber access type(s): IP

Current SIP options: Req Fwding/Req Fwded

Session Up-time: 00:58:17, Last Changed: 00:58:17

 

Policy information:

Context 2C0FA170: Handle F000000F

AAA_id 00000010: Flow_handle 0

Authentication status: authen

Downloaded User profile, excluding services:

sub-qos-policy-in "SNAT1"

sub-qos-policy-out "SNAT1"

Downloaded User profile, including services:

sub-qos-policy-in "SNAT1"

sub-qos-policy-out "SNAT1"

Config history for session (recent to oldest):

Access-type: Web-service-logon Client: SM

Policy event: Apply Config Success (Unapplied) (Service)

Profile name: IX-61440-61440, 3 references

ssg-service-info "QU;62914560;11796480;D;62914560;11796480"

traffic-class "in access-group name IX-TO priority 7"

traffic-class "out access-group name IX-FROM priority 7"

Access-type: Web-service-logon Client: SM

Policy event: Apply Config Success (Unapplied) (Service)

Profile name: WORLD-102400-102400, 3 references

ssg-service-info "QU;104857600;19660800;D;104857600;19660800"

traffic-class "in access-group 101 priority 10"

traffic-class "out access-group 101 priority 10"

Access-type: Web-service-logon Client: SM

Policy event: Apply Config Success (Service)

Profile name: IX-61440-61440, 3 references

ssg-service-info "QU;62914560;11796480;D;62914560;11796480"

traffic-class "in access-group name IX-TO priority 7"

traffic-class "out access-group name IX-FROM priority 7"

Access-type: Web-service-logon Client: SM

Policy event: Apply Config Success (Service)

Profile name: WORLD-102400-102400, 3 references

ssg-service-info "QU;104857600;19660800;D;104857600;19660800"

traffic-class "in access-group 101 priority 10"

traffic-class "out access-group 101 priority 10"

Access-type: IP Client: SM

Policy event: Service Selection Request

Profile name: 10.91.0.101, 2 references

sub-qos-policy-in "SNAT1"

sub-qos-policy-out "SNAT1"

Rules, actions and conditions executed:

subscriber rule-map S1

condition always event session-start

10 authorize aaa list ISG-AUTH identifier source-ip-address

 

Session inbound features:

Feature: QoS Policy Map

Input Policy Map: SNAT1

 

Session outbound features:

Feature: QoS Policy Map

Output Policy Map: SNAT1

 

Configuration sources associated with this session:

Interface: GigabitEthernet0/0/0.283, Active Time = 00:58:17

Share this post


Link to post
Share on other sites

А если послушать прямо с маршрутизатора, без коммутатора ?

Share this post


Link to post
Share on other sites

Сделаю позже, отпишу, а то пока работы наволилось много)))

Share this post


Link to post
Share on other sites

Заработало по итогу?

И такой вопрос: а как вы генерируете ACLи IX-TO/IX-FROM?

Share this post


Link to post
Share on other sites

На 76* циске c 720-3B, помню, не получалось менять параметры COS при приеме пакета - только на отправке.

 

Может быть тут тот же случай? Не умеет циска менять DSCP для входящего трафика?

 

Или надо какую-то опцию включить?

Edited by Tosha

Share this post


Link to post
Share on other sites
А навешивать сервисполиси не через сервис, а на саму сессию не пробовали?

Через

Cisco-AV-Pair = "ip:sub-qos-policy-in=SNAT1"

Cisco-AV-Pair = "ip:sub-qos-policy-out=SNAT1"

при авторизации сессии.

Note Actual MQC policy must be predefined on the ISG. Only Supported for PPP session.

 

У меня IPoE

 

У меня с траффик классами на IPoE тоже не получилось. Понял, что смысл пробовать есть только через MQC, который для провайдера как зайцу пятая нога.

И вообще, тут засада, там засада, просто трындец. Наг ведь не спроста взялся за редбек, у него есть конкурентные преимущества, а у циски они остались только в сегменте бордеров. Даже как агрегаторы уже не везде пролазят, т.к. MPLS TE и прочее в плачевном состоянии.

Share this post


Link to post
Share on other sites

Подниму старую тему. Есть asr1001x-universalk9.03.16.05.S.155-3.S5-ext.SPA.bin. Задача через Radius вместе с сервисом отдавать также его параметры DSCP для определенной полосы пропускания. Т.е. на маршрутизаторе ручками я могу сделать так:

 

policy-map 50m
 class class-default
  police cir 51200000 conform-action set-dscp-transmit af11 exceed-action set-dscp-transmit default violate-action set-dscp-transmit default

policy-map type service 50m
  service-policy input 50m
  service-policy output 50m

Вопрос, могу ли как это это делать через Радиус, ну что бы не плодить это все на роутере для каждого тарифа?

Share this post


Link to post
Share on other sites

В общем, попробовал собрать на тестовом стенде. Сервис применяется:

SERVICE-TEST    Auth-Type := Accept
    User-Password == "cisco",
    Cisco-AVPair += "ip:sub-qos-policy-in=isgPolicy",
    Cisco-AVPair += "ip:sub-qos-policy-out=isgPolicy",
    Cisco-AVPair += "ip:qos-policy-in=add-class(sub, (class-default), police(15000000,0,0,transmit,drop,drop))",
    Cisco-AVPair += "ip:qos-policy-out=add-class(sub, (class-default), police(15000000,0,0,transmit,drop,drop))",
    Idle-Timeout =  "600"

Но если в в полиси вместо transmit поставить set-ip-dscp(10), то ругается на wrong action. Никто не знает как это победить?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this