1 XMLQoS
2 Présentation de la Qualité de Service sur le réseau Présentation générale de la QoS
3 Définitions QoS : Quality of Service Terme générique un peu fourre-tout. La définition exacte est assez loin de l usage qui en est fait. Mesure du degré de satisfaction de l usager d un service Appliqué aux télécoms, ce terme désigne toutes les mesures prises par le réseau pour assurer la qualité du service rendu, même quand les ressources deviennent limitées Un réseau sans QoS est dit de type best effort. C.a.d. que tous les flux qui transitent se disputent les ressources disponibles : Bande passante CPU Mémoire Etc
4 Définitions QoS En général sur un WAN, les mesures de QoS n entrent en jeu que lorsqu il y a pénurie d une ressource Sauf si elles sont appliquées pour garantir une BW contractuelle Dans les réseaux de type Best effort, il y a souvent une mesure de QoS implicite, l overprovisioning Overprovisioning Action consistant à dimensionner les ressources bien au-dessus de la BW maximale attendue
5 Définitions CoS : Class of Service Ensemble des niveaux de QoS disponibles sur un réseau, par exemple sur RENATER : Premium (contrats de recherche) BBE : Better than Best effort (VoIP, Visioconférence) BE : Best Effort (trafic normal, messagerie, HTTP) LBE : Less than Best Effort (gros flux, réplication NAS ) ToS : Type of Service, dont 3 bits IP Precedence Champ de l entête IP qui indique une CoS
6 IP Precedence [2]
7 Différentes phases de QoS Sur les équipements où la QoS est activée, on trouve 3 phases : Classification des paquets En fonction de critères tels que : @IP source/destination, Port source/destination, Protocole, champ IP Precedence, Etc => CoS Contrôle des limites Décision Laisser passer le paquet sans modification Modifier le champ IP Precedence du paquet IP Modifier une valeur préexistante du champ IP Precedence Supprimer le paquet
8 Contrôle des limites Il peut s agir de limites physiques, comme la vitesse d un lien Il peut s agir de limites configurées correspondant : A des valeurs de sauvegarde du système (30 Mbits/s de flux multicast) A des valeurs qui semblent normales et ne devraient pas être dépassées (64 Kbits/s pour un flux voix) A des limites contractuelles (20 Mbits/s pour réseau W3C) Les limites configurées peuvent être globales : Somme de la bande passante occupée par tous les flux correspondant à une classe (Le réseau visiteur a droit à 20 Mbits/s au total) Ou elles peuvent être par flux Bande passante occupée par chaque flux correspondant à une classe (Chaque flux du réseau visiteur a droit à 4Mbits/s au maximum)
9 Configuration de la QoS sur l IOS Cisco Châssis 650x
Commandes de QoS sur l IOS 10 Cisco L IOS permet de programmer les différentes phases de la QoS Classification La classification des flux se programme en utilisant les commandes access-list class-maps Contrôle des limites/décision Le contrôle des limites et les décisions à prendre se programment avec les commandes qos aggregate police polycy-map
11 Classification : Access-lists Ce mécanisme générique permet sur un routeur Cisco de sélectionner des paquets Exemple : Ip access-list extended acl_from_visiteur_to_quarantaine permit ip 10.1.1.128 0.0.0.127 10.3.3.16 0.0.0.15 permit ip 10.2.2.0 0.0.0.255 10.3.3.16 0.0.0.15 deny ip any any Syntaxe : Ip access-list permit deny proto ip mask any [op port range] ip mask any [op port range] Proto = numéro de protocole IP ip tcp udp icmp gre (ip=6,udp=17,icmp=1,gre=50) Op = eq gt lt range
cas 12 Classification : Class-map Une class-map implémente spécifiquement le mécanisme de classification. Elle définie une CoS en lui attachant des ACLs chargées de la sélection des paquets Exemple : class-map from_visiteur_to_quarantaine Syntaxe : match access-group name acl_from_visiteur_to_quarantaine class-map [match-any match-all] class-name match access-group name acl-name Match-any : si plusieurs lignes match, doit matcher une ligne pour appartenir à la classe Match-all : si plusieurs lignes match, doit matcher toutes les lignes
Définition des Limites et décision : 13 police La commande police permet de définir une limite qui sera appliquée à une CoS. On peut définir plusieurs types de limites. Limite aggrégée par interface Exemple : Police 32000 4000 conform-action transmit exceed-action drop Syntaxe : police bps burst conform-action action exceed-action action violate-action action
Définition des Limites et décision : 14 police Limite aggrégée nommée (limite globale) Exemple : mls qos aggregate-policer qos_aggpolice_visiteur_out 20000000 610000 conform-action transmit exceed-action drop Syntaxe : mls qos aggregate-policer name bps burst conform-action action exceed-action action violate-action action
15 Définition des Limites : police Limite par microflux Un flux est identifié par : Adresse MAC Source/Destination identiques Adresse IP Source/Destination identiques et ports TCP/UDP identiques Exemple : Police flow 4000000 380000 conform-action transmit exceed-action drop Syntaxe : police flow bps burst conform-action action exceed-action action violate-action action
16 Définition des Limites : policy-map Une policy-map est affectée à une interface Elle précise pour cette interface quelles CoS sont définies Pour chaque CoS, elle peut comptabiliser : Une limite globale (et une seule!) Une limite par flux Une limite par interface Un paquet ne doit être classé que dans une seule CoS (ou aucune)
17 Définition des Limites : policy-map Exemple, qui pourrait être appliqué sur l interface visiteur policy-map qos_policy_visiteur_out class from_visiteur_to_quarantaine police aggregate qos_aggpolice_visiteur_out police flow 32000 4000 conform-action transmit exceed-action drop class from_visiteur_to_any police aggregate qos_aggpolice_visiteur_out police flow 4000000 380000 conform-action transmit exceed-action drop class from_quarantaine_to_any police aggregate qos_aggpolice_quarantaine_out police flow 32000 4000 conform-action transmit exceed-action drop
18 Attachement à une interface Une fois définie, une policy-map s applique à une interface Par exemple : interface Vlan104 description VLAN Visiteur service policy input qos_policy_visiteur_out Sur des cartes PFC2, la QoS ne s applique que sur les flux ingress. La policy-map ne s applique qu en entrée sur une interface
19 Limitations sur une carte PFC2 Limitations / ce qui fonctionne / ce qui ne fonctionne pas
Conséquences des limitations 20 actuelles Cette version de carte et l IOS imposent les contraintes de configuration suivantes et donc des limitations importantes sur le traitement de la QoS : Traitement de la QoS sur les flux ingress uniquement (PFC2) Une policy-map ne sait maintenir qu un seul aggregate-policer pour une CoS donnée (IOS) Un paquet traité par une policy-map ne doit être matché que par 0 ou 1 class-map, dans le cas inverse le comportement est imprévisible (IOS)
Exemple de limitation, cas qui 21 fonctionne On veut limiter la totalité du flux du réseau A à 20 Mbits/s entrant et sortant, on ne s occupe pas de B et C A B C
Exemple de limitation, cas qui 22 fonctionne Définition de 2 CoS (class-map) Basées sur des ACLs sélectionnant soit les paquets provenant de A, soit allant vers A Flux sortant de A : aclfroma appliquée dans la class-map froma Flux allant vers A : acltoa appliquée dans la class-map toa Définition de 2 aggregate-policers inputa outputa Définition de 3 policy-map Une appliquée sur l interface A Les autres appliquées sur les interfaces A et B
Limitation : cas qui ne fonctionne Class-map 23 pas Configuration mls qos aggregate-policer inputa 20000000 610000 conform-action transmit exceedaction drop mls qos aggregate-policer outputa 20000000 610000 conform-action transmit exceedaction drop policy-map sortanta class froma police aggregate outputa policy-map allantdebversa class ToA police aggregate inputa policy-map allantdecversa class ToA police aggregate inputa
Exemple de limitation, cas qui 24 fonctionne A B On applique la policymapsortanta qui va limiter les flux sortants à 20 Mbits/s (aggregate policer inputa) C
Exemple de limitation, cas qui 25 fonctionne A B C On applique les policymaps allantde[b C]versA qui limitent la totalité des flux vers A à 20 Mbits/s avec outputa
Limitation : cas qui ne fonctionne 26 pas On veut limiter la totalité du flux du réseau A à 20 Mbits/s et ceux de B à 10 Mbits/s. Entrant et sortant dans les deux cas A B C
Limitation : cas qui ne fonctionne 27 pas Définition de 4 CoS (class-map) Basées sur des ACLs sélectionnant la destination A ou B toa nottoa (définie avec fromato!b, par exemple) tob nottob Définition de 4 aggregate-policers inputa, inputb outputa, outputb Définition de 3 policy-map Une appliquée sur chaque interface
Limitation : cas qui ne fonctionne 28 pas Configuration mls qos aggregate-policer inputa 20000000 610000 conform-action transmit exceed-action drop mls qos aggregate-policer outputa 20000000 610000 conform-action transmit exceed-action drop mls qos aggregate-policer inputb 10000000 300000 conform-action transmit exceed-action drop mls qos aggregate-policer outputb 10000000 300000 conform-action transmit exceed-action drop
Limitation : cas qui ne fonctionne 29 pas Configuration policy-map sortanta class tob police aggregate outputa police aggregate inputb class nottob police aggregate outputa policy-map sortantb class toa police aggregate inputa police aggregate outputb class nottoa police aggregate outputb policy-map sortantc class toa police aggregate inputa class tob police aggregate inputb
Limitation : cas qui ne fonctionne 30 pas Configuration policy-map sortanta class tob police aggregate outputa police aggregate inputb class nottob police aggregate outputa policy-map sortantb class toa police aggregate inputa police aggregate outputb classe nottoa police aggregate outputb policy-map sortantc class ToA police aggregate inputa class tob police aggregate inputb Non! On ne peut utiliser qu un seul aggregatepolicer pour une classe donnée
Limitation : cas qui ne fonctionne 31 pas Pour réaliser ce qu on voulait faire, il faudrait que le 650x soit capable d appliquer la QoS en ingress et en egress A B C
Limitation : cas qui ne fonctionne 32 pas Pour réaliser ce qu on voulait faire, il faudrait que le 650x soit capable d appliquer la QoS en ingress et en egress A B Ingress : CoS : froma C
Limitation : cas qui ne fonctionne 33 pas Pour réaliser ce qu on voulait faire, il faudrait que le 650x soit capable d appliquer la QoS en ingress et en egress A B C Egress : CoS : tob
Limitation : cas qui ne fonctionne 34 pas Pour réaliser ce qu on voulait faire, il faudrait que le 650x soit capable d appliquer la QoS en ingress et en egress A B Dispo avec la PFC3!! C
35 Configuration de la QoS Script
Motivations pour la rédaction d un 36 script Plus d objets dans la nouvelle version Complexité croissante de la configuration Nombre de lignes de code plus important Abstraction layer souhaitable Mise en place d un contrat d hébergement négocié Contrôle des limites Renégociation possible Création / Suppression de réseaux plus fréquentes Modifications plus fréquentes
37 Fichier de configuration Développement d une syntaxe afin de représenter les matrices précédentes Choix de XML comme langage de description Standard de facto Disponibilité de modules PERL facilitant l analyse du fichier ;-) La vérification de conformité du fichier de configuration avec le DTD évite une bonne partie de l analyse syntaxique Un script traduit ces matrices en une configuration Cisco qui essaie de les représenter aux mieux Les limites globales sont appliquées en sortie des réseaux Dans les deux sens pour les micro-flux
38 DTD <!ELEMENT config (networks,flowmatrix)> <!ELEMENT networks (network+)> <!ELEMENT flowmatrix (flow+)> <!ELEMENT flow EMPTY> <!ATTLIST flow source IDREF #REQUIRED destination NMTOKEN #REQUIRED bw NMTOKEN #REQUIRED burst NMTOKEN #REQUIRED >
39 DTD <!ELEMENT network (interface*,is+,qos?,noqos?,overlapping*,subnetwork*)> <!ATTLIST network name ID #REQUIRED > <!ELEMENT interface EMPTY> <!ATTLIST interface name CDATA #REQUIRED > <!ELEMENT noqos EMPTY> <!ATTLIST noqos opt CDATA #REQUIRED > <!ELEMENT is (#PCDATA)> <!ATTLIST is proto (tcp udp) #IMPLIED >
40 DTD <!ELEMENT qos EMPTY> <!ATTLIST qos bw NMTOKEN #REQUIRED burst NMTOKEN #REQUIRED > <!ELEMENT overlapping EMPTY> <!ATTLIST overlapping name IDREF #REQUIRED > <!ELEMENT subnetwork (is+,qos?,noqos?,overlapping*) > <!ATTLIST subnetwork name ID #REQUIRED >
41 Exemple de fichier 20 Mbits/s = totalité des flux sortant de A, 4Mbits/s micro-flux 10 Mbits/s = totalité des flux sortant de B, 2 Mbits/s micro-flux A B C
42 Fichier XML <?xml version="1.0"?> <!DOCTYPE config SYSTEM "config.dtd"> <config> <networks> <network name="a"> <interface name="interfacea"/> <is>a.a.a.0 0.0.0.255</is> <qos bw="20000000" burst="500000"/> </network> <network name="b"> <interface name="interfaceb"/> <is>b.b.b.0 0.0.0.255</is> <qos bw="10000000" burst="250000"/> </network>
43 Fichier XML <network name="c"> <interface name="interfacec"/> <is>c.c.c.0 0.0.0.255</is> </network> </networks> <flowmatrix> <flow source="a" destination="any" bw="4000000" burst="200000"/> <flow source="a" destination="b" bw="2000000" burst="100000"/> <flow source="b" destination="any" bw="2000000" burst="100000"/> </flowmatrix> </config>
44 Configuration générée interface interfacea no service policy input qos_policy_a_out no mls qos aggregate-policer qos_aggpolice_a_out mls qos aggregate-policer qos_aggpolice_a_out 20000000 500000 conform-action transmit exceedaction drop no class-map match-any from_a_to_b class-map match-any from_a_to_b match access-group name qos_acl_from_a_to_b
45 Configuration générée no ip access-list extended qos_acl_from_a_to_b ip access-list extended qos_acl_from_a_to_b permit ip a.a.a.0 0.0.0.255 b.b.b.0 0.0.0.255 deny ip any any no class-map match-any from_a_to_any class-map match-any from_a_to_any match access-group name qos_acl_from_a_to_any no ip access-list extended qos_acl_from_a_to_any ip access-list extended qos_acl_from_a_to_any deny ip any b.b.b.0 0.0.0.255 permit ip a.a.a.0 0.0.0.255 any deny ip any any
46 Configuration générée no policy-map qos_policy_a_out policy-map qos_policy_a_out class from_a_to_b police aggregate qos_aggpolice_a_out police flow 2000000 100000 conform-action transmit exceed-action drop class from_a_to_any police aggregate qos_aggpolice_a_out police flow 4000000 200000 conform-action transmit exceed-action drop interface interfacea service policy input qos_policy_a_out
47 Références [1] Lexique [2] Understanding Quality of Service on Catalyst 6000 Family Switches