Module M3102 TP3. QoS : implémentation avec Cisco MQC

Transcription

1 Module M3102 TP3 QoS : implémentation avec Cisco MQC Ce qu'on va faire dans ce TP : Classifier le trafic et appliquer à chaque classe une politique de traitement spécifique en fonction de ses besoins. Pourquoi : Pour permettre de satisfaire les contraintes en QoS des différents types d'applications, c'est-à-dire les contraintes en terme de débit et délai ici. Comment : Par l'utilisation de MQC de Cisco, qui est la Modular QoS CLI (Command Line Interface), ensemble de commandes de Cisco IOS avec lesquelles on va notamment appliquer les mécanismes d'ordonnancement de files CBWFQ, priority, de gestion de buffer WRED, et de shaping et policing avec CIR et PIR. Consignes générales : 1 compte-rendu par étudiant. Vous récupérez le pdf et l'odt du sujet depuis Vous vous loggez sous votre compte perso, machine physique en Ubuntu. Joindre au rapport le fichier de config final du routeur (copié-collé de la config finale). Attention : Un certain nombre de questions ne demandent pas de réponses dans le compterendu, notamment en III. Mais vous devez suivre les instructions et comprendre ce qu'on vous décrit pour pouvoir ensuite répondre aux questions des parties IV, V et VI. I. Introduction Implémentations disponibles des mécanismes de QoS en Cisco: CLI : définition par interface de stratégies de QoS. Pas scalable et pas facile à contrôler. AutoQoS : Cisco l'a sorti en Très simple avec cette commande par interface. Assure que des politiques cohérentes sont appliquées sur tous les équipements (template de QoS automatique). Regroupe des commandes MQC. QoS Policy Manager (QPM) : pour implémentation à l'échelle d'un réseau d'isp de politiques choisies de QoS MQC = Modular QoS CLI (Command Line Interface). Ce qu'on va utiliser. Modular car construction par blocs adaptables :

2 Class-Map : classifie le trafic en groupes (web, ftp, any appli) Policy-Map : définit ce que vous voulez faire avec chaque classe de trafic politique applicable aux interfaces choisies possiblement plusieurs routeurs en dessous II. Mise en place du réseau Ci-dessous la topologie sur laquelle on va travailler. Supposons client à gauche, Internet à droite. Le client peut utiliser plusieurs applis (Web, FTP, P2P BitTorrent, VoIP, etc.). Créez la topologie cidessous dans GNS3, en suivant les instructions ci-dessous : Ouvrez GNS3. Edit Preferences Dynamips clic sur Test Settings Edit IOS images vérifiez que 2 images (3600 et 7200 sont listées). Si ce n'est pas le cas, rajoutez-les depuis /home/vbox/ios/. Puis clic sur Idle PC Auto calculation Utiliser la commande createvm pour créer 2 VM avec QoS-M3102-droite et QoS- M3102-gauche. Identifiez-les bien en gauche et droite, important pour la suite. Ajout des VM dans GNS3 : Edit Preferences VirtualBox onglet guest refresh list, sélectionnez le nom de la VM gauche, mettez-lui un ID name à «gauche», décochez toutes les cases (dont Reserve first NIC...) puis Save. Faire de même pour la VM droite. Le routeur à utiliser est un Cisco c7200. Configurez les interfaces du routeur. Les réseaux à utiliser sont indiqués dans la figure. Les interfaces des VM doivent déjà l'être, vérifiez-le. Attention : pas de network manager sur les VM (faire ifconfig, etc.).

3 La VM droite est un OS Debian simple sans rien de spécial installé, qui va se comporter comme un client allant chercher du contenu sur VM gauche. VM gauche est un serveur ssh et un serveur web. Tester un ping entre les 2 VM. Si problème, vous debuggez. Tester accès page web : depuis VM droite, Tester accès ssh : depuis VM droite dans un terminal, ssh rt@ III. Classification du trafic On va dans cette partie voir quelques possibilités qu'a l'isp au niveau de son PE pour classifier le trafic des clients qu'il sert, afin ensuite de traiter les paquets différemment. 1. On crée une classe : conf t class-map? Vous voyez 3 possibilités : - match-all : tous les critères qui vont être mentionnés ensuite doivent être vérifiés par le paquet pour qu'il appartienne à la classe - match-any : au moins un des critères qui vont être mentionnés ensuite doit être vérifié par le paquet pour qu'il appartienne à la classe - WORD : nom de la classe et prend par défaut match-all Tapez : class-map match-any navigweb navigweb est le nom choisi pour la classe ici. 2. On rentre alors automatiquement dans la configuration de la classe, et on regarde les commandes possibles : (config-cmap)#? Match : on veut matcher (satisfaire en français) certains critères match?

4 Critères : IP address, application type, access-list, access-group : pointe sur access-list définie (par port, par IP@, etc.) cos : class of service, marquage couche 2 (par exemple 802.1p). Donc on peut avoir un switch qui peut marquer au niveau 2, et le routeur re-marquer au niveau 3 Grosse liste : destination-address, FR mapping, etc protocol : un firewall basique filtre sur port number, mais pas efficace car appli qui veulent les passer font du tunneling de port, comme applis P2P (BitTorrent à travers port 80). La solution : match protocol? On voit des protocoles client-serveur classiques (http, ipsec, ssh, etc.) et plusieurs protocoles P2P (BitTorrent, Edonkey pour emule, etc.). La parade de Cisco aux applications utilisant le port tunneling s'appelle NBAR Network Based Application Recognition. Il s'agit de faire du Deep Packet Inspection, jusqu'au payload de couche application. NBAR reconnaît les applications par des caractéristiques uniquement du payload. Et si les applis changent de version? exit (config)#ip nbar? Pdlm est un fichier maintenu par Cisco qui décrit les caractéristiques à jour des applis pour nbar, à charger dans la flash du router (ne pas entrer cette commande) (config)#ip nbar pdlm <chemin> 3. Pour définir la classe navigweb, choisissons les protocoles http et https: (config)#class-map match-any navigweb (config-cmap)#match protocol http (config-cmap)#exit 4. Créez une autre classe, nommée sshtransfers, définie par le protocol ssh. Indiquez la suite de commandes utilisées. IV. Traitement du trafic selon sa classe d'appartenance : exemple d'une politique de marquage Tout ce qui précède est uniquement pour classifier le trafic : identifier le plus correctement possible dans quel groupe chaque paquet tombe selon les critères qu'on désire. A présent il faut marquer le trafic. Rappel : marquer = attribuer une valeur au champ QoS, à la couche 2 (L2) ou à la couche 3 (L3). 3 façons : - marquer CoS : layer 2 marking, pour que les switches appliquant politiques de QoS - marquer IP Prec (precedence=priorité en français) : layer 3. Dans champ ToS. Vieille façon. 8 niveaux, mais 6 vraiment (2 pour contrôle, ex : protocoles de routage) - marquer DSCP : layer 3. Dans champ ToS. Façon actuelle. 12 niveaux.

5 5. Vérifier les classes configurées jusqu'ici : #show class-map 6. Pour marquer, on passe dans le bloc policy-map : (config)#policy-map? et on donne un nom (config)#policy-map marquage (config-pmap)#? class va désigner la classe de trafic à laquelle on va appliquer la politique qu'on est en train de définir : (config-pmap)# class navigweb Donc on est en train de dire : dans cette politique marquage, pour cette classe navigweb, voici ce qu'on va faire. Regarder les options qu'on a alors : (config-pmap-c)#? Lister ci-dessous ce qui vous est affiché et qui correspond à : - allouer du débit - marquer les paquets - définir comment les paquets de cette classe vont être abandonnés 7. Il y a l'option set : (config-pmap-c)#set? On peut donc fixer ici la valeur du champ (=marquer) DSCP, IP precedence ou CoS. On peut aussi changer les champs MPLS (pour décider des VC empruntés à travers le champ Exp). (config-pmap-c)#set precedence? On voit que soit on rentre la valeur entre 0 et 7 directement, soit on la choisit avec les motsclé plus explicites. Par exemple critical (5), qui est la plus haute priorité, par exemple pour VoIP ou trafic video. Pour le web, on va mettre 1 :

6 (config-pmap-c)#set precedence 1 Ceci ne présage pas du traitement qui sera réservé à ces paquets, mais comme ils ne seront pas prioritaires, il est probable que soit ils seront abandonnés, ou sérieusement freiné si le réseau est congestionné. Mais cela va être défini dans notre politique de traitement de ce trafic. On est en train de définir une politique de marquage, ensuite on définira des politiques de traitement. #show policy-map Et résumer le résultat. 8. Pour la classe sshtransfers, définir dans la politique marquage la priorité (precedence) 2. Indiquez les commandes utilisées et recopiez le résultat de show policy-map. Vous voyez donc (figure 1) que, dans le système Cisco MQC, une même politique peut être appliquée à plusieurs classes, et qu'une même classe peut subir plusieurs politiques. 9. L'étape suivante est d'appliquer la ou les politiques décidées à l'interface désirée. Ici l'isp va marquer le trafic reçu depuis les clients connectés à ce PE. On va donc appliquer cette politique sur le trafic entrant dans fastethernet 0/0 du PE : (config)#interface fastethernet 0/0 (config-if)#service-policy input marquage 10. On a donc réalisé les 2 étapes de configuration de QoS sur un routeur : classifier le trafic en classes, et définir la politique (ici, marquage), puis l'associer à chaque interface désirée pour le sens désiré(trafic entrant et/ou sortant). On peut regarder les traitements effectivement réalisés sur une interface : #show policy-map interface fastethernet 0/0 Qu'est-ce que l'isp peut y voir? V. Tests et effets sur le trafic 11. On va maintenant tester l'effet de cette politique en générant du trafic entre les 2 VM. Sur VM droite, dans un terminal : scp rt@ :desktop/*.pdf Desktop/ MAIS une fois l'invite pour mot de passe obtenue, avant d'entrer le mot de passe : ouvrir un navigateur web (Iceweasel) sur lancez 2 captures wireshark, une sur Fa0/0 et une sur Fa1/0 de PE. entrez le mot de passe dans le terminal et immédiatement cliquez sur le premier pdf de la

7 page Ces opérations génèrent des téléchargement en ssh (scp) et http (web). 12. Regardez et décrivez le résultat de la commande show policy-map interface fastethernet 0/0 13. Ouvrez les captures Wireshark et les commenter (regardez le bon champ de l'entête IP évidemment). VI. Traitement du trafic selon la classe d'appartenance : exemple d'une politique de régulation On vient de créer une politique de marquage appliquée sur l'interface côté CE du PE. On va maintenant appliquer une politique de régulation de trafic sur l'autre interface (Fa1/0 côté cœur). Pour cela on va utiliser des techniques d'ordonnancement de file, pour contrôler le débit de trafic injecté dans le réseau de l'isp. 14. Comme le routeur PE peut recevoir du trafic non marqué et déjà marqué, on va créer 3 classes, discriminant le trafic sur le niveau de precedence du paquet entrant: (config)#class-map p0 (config-cmap)#match ip precedence 0 et faire pareil pour 1 et On va maintenant utiliser la politique d'ordonnancement CBWFQ et provisionner des fractions de BW pour chaque type de trafic. On crée la politique regulation qui va utiliser CBWFQ, qu'on va appliquer cette fois non pas au trafic entrant par l'interface côté client, mais au trafic sortant de l'interface côté coeur de l'isp : (config)#policy-map regulation (config-pmap)#class p0 (config-pmap-c)#? On va assigner une certaine BW à cette classe, qui correspond à entrer le paramètre pour cette classe/file de CWBFQ (ceci est à bien retenir : utiliser l'option BW correspond à configurer un CBWFQ). Attention : par défaut Cisco empêche d'allouer plus de 75 % de la BW de l'interface, (config-pmap-c)#bandwidth 8 Ce qui signifie qu'on alloue 8 Kbps au trafic de la classe p0. Ceci ne signifie pas que le trafic de p0 va être limité à 8 Kbps, il pourra avoir plus s'il n'y a pas de congestion, mais qu'en cas de congestion il sera envoyé au moins à 8 Kbps. Faire de même en affectant 10 Kbps à p Et appliquer cette politique regulation sur le trafic sortant de l'interface côté cœur de l'isp. Indiquer les commandes utilisées pour cela, et vérifiez et indiquez ce que vous obtenez par show policy-map interface fa1/0

8 17. Pour la classe p2 (la plus prioritaire), on veut lui donner une priorité stricte. (config)#policy-map regulation (config-pmap)#class p2 (config-pmap-c)# priority? Configurez la priorité 15. Configurer une priorité correspond à une gestion de file en «priorité stricte» avec «tocken bucket». Dans la description de «priority» sur le site de Cisco, on trouve le tableau suivant. A partir de vos connaissance des «priorité stricte», «CBWFQ» et «tocken bucket», expliquez chacune des cases. 18. Sur VM de droite, effacez les fichiers pdf du bureau et fermez la page web avec le pdf du cours. Puis refaîtes les manipulations dans l'ordre de la question 12 précédente, sans lancer de capture. 19. Regardez et décrivez le résultat de la commande show policy-map interface fastethernet 1/0 20. On va rajouter à la politique regulation une gestion de buffer, c'est-à-dire des règles d'abandon de paquet stockés dans les files dédiées à chaque classe. Comme on veut distinguer ces règles selon les classes d'importance du trafic, on va implémenter WRED. Donner la description de WRED en quelques lignes. 21. On va configurer WRED sur les classes p0, p1 et p2. (config)#policy-map regulation (config-pmap)#class p0 (config-pmap-c)# random-detect random-detect est la commande pour configurer WRED. Entrer des? à la suite pour décrire les paramètres. Indiquer leur description ci-dessous. 22. Configurez-les au final avec les valeurs ci-dessous : (config-pmap-c)# random-detect precedence (config-pmap-c)#class p1 (config-pmap-c)# random-detect precedence (config-pmap-c)#class p2 (config-pmap-c)# random-detect precedence

9 VII. Implémentation d'un SLA (Service Level Agreement) au PE On va maintenant changer de politique sur Fastethernet 1/0 : on va implémenter une limitation de débit par classe, en distinguant le débit moyen (CIR) et le débit pic (PIR). 23. On va définir le traitement de chaque classe comme suit. Entrez ces commandes : policy-map policier class p0 police cir 8000 pir conform-action set-prec-transmit 3 exceed-action set-prec-transmit 0 violate-action drop exit class p1 police cir 9000 pir conform-action set-prec-transmit 4 exceed-action set-prec-transmit 1 violate-action drop exit class p2 police cir pir conform-action set-prec-transmit 5 exceed-action set-prec-transmit 2 violate-action set-prec-transmit 0 exit 24. Faire un schéma explicatif du traitement appliqué au paquet de chaque classe (voir cours). 25. Vérifiez par l'expérience l'effet, et copiez le résultats de show policy-map interface... en le commentant. Source QoS fundamentals and MQC, Demos de Nomi Beo, online