Перейти к содержимому
Калькуляторы

ISG QoS Как на всей сессии выставить DSCP на весь траффик

Всем привет.

Кто знает как на всей сессии у определенного пользователя выставить определенное значение dscp у пакета?

 

interface GigabitEthernet0/0/0.283
description pogran-2-oka-1-vlan283
encapsulation dot1Q 283
ip vrf forwarding ISG
ip address 10.0.2.66 255.255.255.224
cdp enable
service-policy type control S1
ip subscriber routed
  initiator unclassified ip-address
end

 

вот профиль пользователя:

        Cisco-Account-Info += "AWORLD-102400-102400"
        Cisco-Account-Info += "AIX-61440-61440"

 

 

Вот что пытался сделать:

policy-map SNAT1
class class-default
   set dscp 11


policy-map type service SNAT
  service-policy input SNAT1
  service-policy output SNAT1

 

К пользователю профайл прикреплял, но когда прошелся tcpdump'ом, то увидел что dscp 0 у всех пакетов.

Изменено пользователем tsolodov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

 

 

ISG#sh sss session uid 16 detailed 
Unique Session ID: 16
Identifier: 10.91.0.101
SIP subscriber access type(s): IP
Current SIP options: Req Fwding/Req Fwded
Session Up-time: 00:00:42, Last Changed: 00:00:42

Policy information:
  Context 3C7AED70: Handle A8000024
  AAA_id 00000013: Flow_handle 0
  Authentication status: authen
  Downloaded User profile, including services:
    username             "SNAT"
    sub-policy-In        "SNAT1"
    sub-policy-Out       "SNAT1"
    ssg-service-info     "QU;62914560;11796480;D;62914560;11796480"
    traffic-class        "in access-group name IX-TO priority 7"
    traffic-class        "out access-group name IX-FROM priority 7"
  Config history for session (recent to oldest):
    Access-type: Web-service-logon Client: SM
     Policy event: Apply Config Success (Service)
      Profile name: IX-61440-61440, 4 references 
        ssg-service-info     "QU;62914560;11796480;D;62914560;11796480"
        traffic-class        "in access-group name IX-TO priority 7"
        traffic-class        "out access-group name IX-FROM priority 7"
    Access-type: Web-service-logon Client: SM
     Policy event: Apply Config Success (Service)
      Profile name: WORLD-102400-102400, 4 references 
        ssg-service-info     "QU;104857600;19660800;D;104857600;19660800"
        traffic-class        "in access-group  101 priority 10"
        traffic-class        "out access-group 101 priority 10"
    Access-type: Web-service-logon Client: SM
     Policy event: Apply Config Success (Service)
      Profile name: SNAT, 4 references 
        password             <hidden>
        username             "SNAT"
        sub-policy-In        "SNAT1"
        sub-policy-Out       "SNAT1"
    Access-type: IP Client: SM
     Policy event: Service Selection Request
      Profile name: 10.91.0.101, 2 references 
  Active services associated with session:
    name "IX-61440-61440"
    name "WORLD-102400-102400"
    name "SNAT"
  Rules, actions and conditions executed:
    subscriber rule-map S1
      condition always event session-start
        10 authorize aaa list ISG-AUTH identifier source-ip-address

Session inbound features:
Feature: QoS Policy Map
  Input Policy Map: SNAT1

Traffic classes:
  Traffic class session ID: 17
   ACL Name: 101, Packets = 0, Bytes = 0
  Traffic class session ID: 18
   ACL Name: IX-TO, Packets = 0, Bytes = 0
Unmatched Packets = 0, Re-classified packets (redirected) = 0

Session outbound features:
Feature: QoS Policy Map
  Output Policy Map: SNAT1

Traffic classes:
  Traffic class session ID: 17
   ACL Name: 101, Packets = 0, Bytes = 0
  Traffic class session ID: 18
   ACL Name: IX-FROM, Packets = 0, Bytes = 0
Unmatched Packets = 0, Re-classified packets (redirected) = 0

Configuration sources associated with this session:
Service: IX-61440-61440, Active Time = 00:00:42
Service: WORLD-102400-102400, Active Time = 00:00:42
Service: SNAT, Active Time = 00:00:42
Interface: GigabitEthernet0/0/0.283, Active Time = 00:00:42

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А коммутатор не обнуляет ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Правильный вопрос))))

 

Поставил mls qos trust dscp на коммутаторе к которому подключен ASR.

 

не помогло, понится мне что на 7604 нужно было делать dscp rewrite enable, на ASR 1002 возможно эту штуку тоже включать нужно?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

trust dscp на транковом порту думаю не будет работать...

 

А что за коммутатор ?

 

UPD: http://www.securitylab.ru/forum/forum24/topic28205/ не ?

Изменено пользователем zander

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

trust dscp на транковом порту думаю не будет работать...

 

А что за коммутатор ?

 

UPD: http://www.securitylab.ru/forum/forum24/topic28205/ не ?

не совсем коммутатор)

 

MLR Cisco 7604

схема

client------------ASR1002----------Cisco 7604-----------PC Linux(на нем запускаю tcpdump)-------INET

 

На самом деле траффик из вне размечается и приходит к клиенту с dscp, а я хочу чтобы трафик от клиента в внешний мир размечался тоже, но не выходит пока(

Изменено пользователем tsolodov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А навешивать сервисполиси не через сервис, а на саму сессию не пробовали?

Через

Cisco-AV-Pair = "ip:sub-qos-policy-in=SNAT1"

Cisco-AV-Pair = "ip:sub-qos-policy-out=SNAT1"

при авторизации сессии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А навешивать сервисполиси не через сервис, а на саму сессию не пробовали?

Через

Cisco-AV-Pair = "ip:sub-qos-policy-in=SNAT1"

Cisco-AV-Pair = "ip:sub-qos-policy-out=SNAT1"

при авторизации сессии.

Note Actual MQC policy must be predefined on the ISG. Only Supported for PPP session.

 

У меня IPoE

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

interface GigabitEthernet0/0/0.283

description pogran-2-oka-1-vlan283

encapsulation dot1Q 283

ip vrf forwarding ISG

ip address 10.0.2.66 255.255.255.224

cdp enable

service-policy input SNAT1

service-policy output SNAT1

ip subscriber routed

Сделал так(убрал service-policy type control S1), не работает. т.е. на ASR 1002 не ставится срабатывает ploicy-map на интерфейсе.

Никак не пойму где затык.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А порт, в который воткнут tcpdump не сбрасывает DSCP ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А порт, в который воткнут tcpdump не сбрасывает DSCP ?

Нет 100%, т.к. через этот порт, только по разным vlan идет трафик в разные стороны, с одной стороны траффик из вне идет с dscp 1, он не затирается и доходит до клиента.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А навешивать сервисполиси не через сервис, а на саму сессию не пробовали?

Через

Cisco-AV-Pair = "ip:sub-qos-policy-in=SNAT1"

Cisco-AV-Pair = "ip:sub-qos-policy-out=SNAT1"

при авторизации сессии.

Note Actual MQC policy must be predefined on the ISG. Only Supported for PPP session.

 

У меня IPoE

Вы попробуйте. Если речь про ASR, то в 2.2 там появились усовершенствования на эту тему.

Я специально выяснял это, когда бодался с cisco по одному SR открытому насчет IP сессий. Вот что мне ответили:

Finally, if a QoS policy is configured right under the interface and

then the RADIUS server tells to use another policy, then the QoS policy

imposed by the RADIUS server overrides the static configuration.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Полиси мап привесилась, но dscp так и не меняется(((

 

ISG#show sss session uid 7 detailed

Unique Session ID: 7

Identifier: 10.91.0.101

SIP subscriber access type(s): IP

Current SIP options: Req Fwding/Req Fwded

Session Up-time: 00:58:17, Last Changed: 00:58:17

 

Policy information:

Context 2C0FA170: Handle F000000F

AAA_id 00000010: Flow_handle 0

Authentication status: authen

Downloaded User profile, excluding services:

sub-qos-policy-in "SNAT1"

sub-qos-policy-out "SNAT1"

Downloaded User profile, including services:

sub-qos-policy-in "SNAT1"

sub-qos-policy-out "SNAT1"

Config history for session (recent to oldest):

Access-type: Web-service-logon Client: SM

Policy event: Apply Config Success (Unapplied) (Service)

Profile name: IX-61440-61440, 3 references

ssg-service-info "QU;62914560;11796480;D;62914560;11796480"

traffic-class "in access-group name IX-TO priority 7"

traffic-class "out access-group name IX-FROM priority 7"

Access-type: Web-service-logon Client: SM

Policy event: Apply Config Success (Unapplied) (Service)

Profile name: WORLD-102400-102400, 3 references

ssg-service-info "QU;104857600;19660800;D;104857600;19660800"

traffic-class "in access-group 101 priority 10"

traffic-class "out access-group 101 priority 10"

Access-type: Web-service-logon Client: SM

Policy event: Apply Config Success (Service)

Profile name: IX-61440-61440, 3 references

ssg-service-info "QU;62914560;11796480;D;62914560;11796480"

traffic-class "in access-group name IX-TO priority 7"

traffic-class "out access-group name IX-FROM priority 7"

Access-type: Web-service-logon Client: SM

Policy event: Apply Config Success (Service)

Profile name: WORLD-102400-102400, 3 references

ssg-service-info "QU;104857600;19660800;D;104857600;19660800"

traffic-class "in access-group 101 priority 10"

traffic-class "out access-group 101 priority 10"

Access-type: IP Client: SM

Policy event: Service Selection Request

Profile name: 10.91.0.101, 2 references

sub-qos-policy-in "SNAT1"

sub-qos-policy-out "SNAT1"

Rules, actions and conditions executed:

subscriber rule-map S1

condition always event session-start

10 authorize aaa list ISG-AUTH identifier source-ip-address

 

Session inbound features:

Feature: QoS Policy Map

Input Policy Map: SNAT1

 

Session outbound features:

Feature: QoS Policy Map

Output Policy Map: SNAT1

 

Configuration sources associated with this session:

Interface: GigabitEthernet0/0/0.283, Active Time = 00:58:17

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если послушать прямо с маршрутизатора, без коммутатора ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделаю позже, отпишу, а то пока работы наволилось много)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Заработало по итогу?

И такой вопрос: а как вы генерируете ACLи IX-TO/IX-FROM?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На 76* циске c 720-3B, помню, не получалось менять параметры COS при приеме пакета - только на отправке.

 

Может быть тут тот же случай? Не умеет циска менять DSCP для входящего трафика?

 

Или надо какую-то опцию включить?

Изменено пользователем Tosha

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А навешивать сервисполиси не через сервис, а на саму сессию не пробовали?

Через

Cisco-AV-Pair = "ip:sub-qos-policy-in=SNAT1"

Cisco-AV-Pair = "ip:sub-qos-policy-out=SNAT1"

при авторизации сессии.

Note Actual MQC policy must be predefined on the ISG. Only Supported for PPP session.

 

У меня IPoE

 

У меня с траффик классами на IPoE тоже не получилось. Понял, что смысл пробовать есть только через MQC, который для провайдера как зайцу пятая нога.

И вообще, тут засада, там засада, просто трындец. Наг ведь не спроста взялся за редбек, у него есть конкурентные преимущества, а у циски они остались только в сегменте бордеров. Даже как агрегаторы уже не везде пролазят, т.к. MPLS TE и прочее в плачевном состоянии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подниму старую тему. Есть asr1001x-universalk9.03.16.05.S.155-3.S5-ext.SPA.bin. Задача через Radius вместе с сервисом отдавать также его параметры DSCP для определенной полосы пропускания. Т.е. на маршрутизаторе ручками я могу сделать так:

 

policy-map 50m
 class class-default
  police cir 51200000 conform-action set-dscp-transmit af11 exceed-action set-dscp-transmit default violate-action set-dscp-transmit default

policy-map type service 50m
  service-policy input 50m
  service-policy output 50m

Вопрос, могу ли как это это делать через Радиус, ну что бы не плодить это все на роутере для каждого тарифа?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В общем, попробовал собрать на тестовом стенде. Сервис применяется:

SERVICE-TEST    Auth-Type := Accept
    User-Password == "cisco",
    Cisco-AVPair += "ip:sub-qos-policy-in=isgPolicy",
    Cisco-AVPair += "ip:sub-qos-policy-out=isgPolicy",
    Cisco-AVPair += "ip:qos-policy-in=add-class(sub, (class-default), police(15000000,0,0,transmit,drop,drop))",
    Cisco-AVPair += "ip:qos-policy-out=add-class(sub, (class-default), police(15000000,0,0,transmit,drop,drop))",
    Idle-Timeout =  "600"

Но если в в полиси вместо transmit поставить set-ip-dscp(10), то ругается на wrong action. Никто не знает как это победить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.