Numeração e nomeação de ACLs

Ao criar uma ACL, você deve atribuir a ela um número ou nome para identificação. Você pode especificar uma ACL existente por seu número ou nome. Cada tipo de ACL tem um intervalo exclusivo de números de ACL.

Para ACLs básicas ou avançadas com o mesmo número, você deve usar a palavra-chave ipv6 para diferenciá-las. Para ACLs com o mesmo nome, você deve usar as palavras-chave ipv6 ou mac para distingui-las.

Tipos de ACL

Ordem de partida

As regras em uma ACL são classificadas em uma ordem específica. Quando um pacote corresponde a uma regra, o dispositivo interrompe o processo de correspondência e executa a ação definida na regra. Se uma ACL contiver regras sobrepostas ou conflitantes, o resultado da correspondência e a ação a ser tomada dependerão da ordem das regras.

Os seguintes pedidos de correspondência ACL estão disponíveis:

• config - Classifica as regras ACL em ordem crescente de ID de regra. Uma regra com um ID mais baixo é correspondida antes de uma regra com um ID mais alto. Se você usar esse método, verifique cuidadosamente as regras e sua ordem.
• classifica automaticamente as regras ACL em ordem de profundidade. A ordenação em profundidade assegura que qualquer subconjunto de uma regra seja sempre correspondido antes da regra. A Tabela 1 lista a sequência de desempates que a ordenação em profundidade usa para classificar as regras de cada tipo de ACL.

Tabela 1 Classificar regras ACL em ordem de profundidade

Uma máscara curinga, também chamada de máscara inversa, é um número binário de 32 bits representado em notação decimal pontilhada. Em contraste com uma máscara de rede, os bits 0 em uma máscara curinga representam bits "importantes" e os bits 1 representam bits "indiferentes". Se os bits "do care" em um endereço IP forem idênticos aos bits "do care" em um critério de endereço IP, o endereço IP corresponderá ao critério. Todos os bits "indiferentes" são ignorados. Os 0s e 1s em uma máscara curinga podem ser não contíguos. Por exemplo, 0.255.0.255 é uma máscara curinga válida .

Numeração de regras

As regras da ACL podem ser numeradas manualmente ou automaticamente. Esta seção descreve como funciona a numeração automática de regras ACL.

Etapa de numeração da regra

Se você não atribuir um ID à regra que está criando, o sistema atribuirá automaticamente um ID de regra a ela. A etapa de numeração da regra define o incremento pelo qual o sistema numera automaticamente as regras. Por exemplo, a etapa padrão de numeração de regras ACL é 5. Se você não atribuir IDs às regras que estiver criando, elas serão automaticamente numeradas como 0, 5, 10, 15 e assim por diante. Quanto maior for a etapa de numeração, mais regras você poderá inserir entre duas regras.

Ao introduzir um intervalo entre as regras em vez de numerá-las de forma contígua, você tem a flexibilidade de inserir regras em uma ACL. Esse recurso é importante para uma ACL de ordem configurada, em que as regras da ACL são correspondidas em ordem crescente de ID de regra.

A etapa de numeração de regras define o incremento pelo qual o sistema numera as regras automaticamente. Se você não especificar um ID de regra ao criar uma regra de ACL, o sistema atribuirá automaticamente um ID de regra a ela. Essa ID de regra é o múltiplo superior mais próximo da etapa de numeração da ID de regra mais alta atual, a partir da ID de regra inicial. Por exemplo, se a etapa de numeração da regra for 5 e a ID de regra mais alta atual for 12, a regra será numerada como 15.

Quanto maior for a etapa de numeração, mais regras você poderá inserir entre duas regras. Sempre que a ID da etapa ou da regra inicial for alterada, as regras serão renumeradas, começando pela ID da regra inicial. Por exemplo, se houver cinco regras numeradas como 0, 5, 9, 10 e 15, a alteração da etapa de 5 para 2 fará com que as regras sejam renumerados 0, 2, 4, 6 e 8.

Numeração e renumeração automática de regras

A ID atribuída automaticamente a uma regra ACL é o múltiplo mais alto mais próximo da etapa de numeração da ID de regra mais alta atual, começando com 0.

Por exemplo, se a etapa for 5 e houver cinco regras numeradas como 0, 5, 9, 10 e 12, a regra recém-definida será numerada como 15. Se a ACL não contiver uma regra, a primeira regra será numerada como 0.

Sempre que a etapa muda, as regras são renumeradas, começando em 0. Por exemplo, mudar a etapa de 5 para 2 renumera as regras 5, 10, 13 e 15 como regras 0, 2, 4 e 6.

Para uma ACL da ordem de correspondência automática, as regras são classificadas em ordem de profundidade primeiro e são renumeradas com base na ordem de correspondência. Por exemplo, as regras estão na ordem de correspondência de 0, 10 e 5. Alterar a etapa de numeração para 2 renumera as regras 0, 10 e 5 (e não 0, 5 e 10) como regras 0, 2, 4.

Filtragem de fragmentos com ACLs

A filtragem de pacotes tradicional corresponde apenas aos primeiros fragmentos dos pacotes e permite a passagem de todos os fragmentos subsequentes que não sejam os primeiros. Os invasores podem fabricar fragmentos que não sejam os primeiros para atacar as redes.

Para evitar riscos, o recurso ACL foi projetado da seguinte forma:

• Filtra todos os fragmentos por padrão, inclusive os fragmentos que não são os primeiros.
• Permite a modificação dos critérios de correspondência para fins de eficiência. Por exemplo, você pode configurar a ACL para filtrar apenas fragmentos que não sejam os primeiros.

Sobre ACLs básicas

As ACLs básicas correspondem aos pacotes com base apenas nos endereços IP de origem.

Configuração de uma ACL básica IPv4

• Entre na visualização do sistema.

System View

• Crie uma ACL básica IPv4 e insira sua visualização. Escolha uma opção conforme necessário:
• Crie uma ACL básica IPv4 especificando um número de ACL.

acl number acl-number [ name acl-name ] [ match-order { auto | config } ]

• Crie uma ACL básica IPv4 especificando a palavra-chave basic.

acl basic { acl-number | name acl-name } [ match-order { auto | config } ]

• (Opcional.) Configure uma descrição para a ACL básica IPv4.

description text

Por padrão, uma ACL básica IPv4 não tem uma descrição.

• (Opcional.) Defina a etapa de numeração da regra.

step step-value [ start start-value ]

Por padrão, a etapa de numeração da regra é 5 e a ID da regra inicial é 0.

• Criar ou editar uma regra.

rule [ rule-id ] { deny | permit } [ counting | fragment | logging| source { source-address source-wildcard | any } | time-range time-range-name ]*

A palavra-chave logging tem efeito somente quando o módulo (por exemplo, filtragem de pacotes) que usa a ACL suporta o registro.

• (Opcional.) Adicione ou edite um comentário de regra.

rule rule-id comment text

Por padrão, nenhum comentário de regra é configurado.

Configuração de uma ACL básica IPv6

Restrições e diretrizes

Se uma ACL básica IPv6 for usada para classificação de tráfego QoS ou filtragem de pacotes:

• Não especifique a palavra-chave fragment.
• Não especifique a palavra-chave routing se a ACL for para aplicativo de saída.

Procedimento

• Entre na visualização do sistema.

System View

• Crie uma visualização de ACL básica IPv6 e entre em sua visualização. Escolha uma opção conforme necessário:
• Crie uma ACL básica IPv6 especificando um número de ACL.

acl ipv6 number acl-number [ name acl-name ] [ match-order { auto | config } ]

• Crie uma ACL básica IPv6 especificando a palavra-chave basic.

acl ipv6 basic { acl-number | name acl-name } [ match-order { auto | config } ]

• (Opcional.) Configure uma descrição para a ACL básica IPv6.

description text

Por padrão, uma ACL básica IPv6 não tem uma descrição.

• (Opcional.) Defina a etapa de numeração da regra.

step step-value [ start start-value ]

Por padrão, a etapa de numeração da regra é 5 e a ID da regra inicial é 0.

• Criar ou editar uma regra.

rule [ rule-id ] { deny | permit } [ counting | fragment | logging| routing [ type routing-type ] | source { source-address source-prefix | source-address/source-prefix | any } | time-range time-range-name ] *

A palavra-chave logging só tem efeito quando o módulo (por exemplo, filtragem de pacotes) que usa a ACL suporta o registro.

• (Opcional.) Adicione ou edite um comentário de regra.

rule rule-id comment text

Por padrão, nenhum comentário de regra é configurado.

Sobre ACLs avançadas

As ACLs avançadas correspondem aos pacotes com base nos seguintes critérios:

• Endereços IP de origem.
• Endereços IP de destino.
• Prioridades de pacote.
• Tipos de protocolo.
• Outras informações de cabeçalho de protocolo, como números de porta TCP/UDP de origem e destino, sinalizadores TCP, tipos de mensagens ICMP e códigos de mensagens ICMP.

Em comparação com as ACLs básicas, as ACLs avançadas permitem uma filtragem mais flexível e precisa.

Configuração de uma ACL avançada de IPv4

• Entre na visualização do sistema.

System View

• Crie uma ACL avançada IPv4 e insira sua visualização. Escolha uma opção conforme necessário:
• Crie uma ACL avançada IPv4 numerada especificando um número de ACL.

acl number acl-number [ name acl-name ] [ match-order { auto | config } ]

• Crie uma ACL avançada IPv4 especificando a palavra-chave advanced.

acl advanced { acl-number | name acl-name } [ match-order { auto | config } ]

• (Opcional.) Configure uma descrição para a ACL avançada de IPv4.

description text

Por padrão, uma ACL avançada IPv4 não tem uma descrição.

• (Opcional.) Defina a etapa de numeração da regra.

step step-value [ start start-value ]

Por padrão, a etapa de numeração da regra é 5 e a ID da regra inicial é 0.

• Criar ou editar uma regra.

rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin
fin-value | psh psh-value | rst rst-value | syn syn-value | urg
urg-value } * | established } | counting | destination { dest-address
dest-wildcard | any } | destination-port operator port | { dscp dscp
| { precedence precedence | tos tos } * } | fragment | icmp-type
{ icmp-type [ icmp-code ] | icmp-message } | logging | source
{ source-address source-wildcard | any } | source-port operator port
| time-range time-range-name ] *

A palavra-chave logging só tem efeito quando o módulo (por exemplo, filtragem de pacotes) que usa a ACL suporta o registro.

• (Opcional.) Adicione ou edite um comentário de regra.

rule rule-id comment text

Por padrão, nenhum comentário de regra é configurado.

Configuração de uma ACL avançada de IPv6

Restrições e diretrizes

Se uma ACL avançada de IPv6 for para classificação de tráfego de QoS ou filtragem de pacotes:

• Não especifique a palavra-chave fragment.
• Não especifique a palavra-chave routing (roteamento), hop-by-hop (salto a salto) ou flow-label (rótulo de fluxo) se a ACL for para aplicativo de saída.

Procedimento

• Entre na visualização do sistema.

System View

• Crie uma ACL avançada de IPv6 e insira sua visualização. Escolha uma opção conforme necessário:
• Crie uma ACL avançada IPv6 numerada especificando um número de ACL.

acl ipv6 number acl-number [ name acl-name ] [ match-order { auto |config } ]

• Crie uma ACL avançada de IPv6 especificando a palavra-chave advanced.

acl ipv6 advanced { acl-number | name acl-name } [ match-order { auto | config } ]

• (Opcional.) Configure uma descrição para a ACL avançada de IPv6.

description text

Por padrão, uma ACL avançada de IPv6 não tem uma descrição.

• (Opcional.) Defina a etapa de numeração da regra.

step step-value [ start start-value ]

Por padrão, a etapa de numeração da regra é 5 e a ID da regra inicial é 0.

• Criar ou editar uma regra.

fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value }
* | established } | counting | destination { dest-address dest-prefix |
dest-address/dest-prefix | any } | destination-port operator port | |
dscp dscp | flow-label flow-label-value | fragment | icmp6-type
{ icmp6-type icmp6-code | icmp6-message } | logging | routing [ type
routing-type ] | hop-by-hop [ type hop-type ] | source { source-address
source-prefix | source-address/source-prefix | any } | source-port
operator port | time-range time-range-name ] *

A palavra-chave logging tem efeito somente quando o módulo (por exemplo, filtragem de pacotes) que usa a ACL suporta o registro.

• (Opcional.) Adicione ou edite um comentário de regra.

rule rule-id comment text

Por padrão, nenhum comentário de regra é configurado.

Sobre a filtragem de pacotes com ACLs

Esta seção descreve os procedimentos para usar uma ACL na filtragem de pacotes. Por exemplo, você pode aplicar uma ACL a uma interface para filtrar pacotes de entrada ou de saída.

Aplicação de uma ACL a uma interface para filtragem de pacotes

Restrições e diretrizes

Na mesma direção de uma interface, você pode aplicar no máximo três ACLs: uma ACL IPv4, uma ACL IPv6 e uma ACL de camada 2.

O termo "interface" nesta seção refere-se coletivamente a interfaces Ethernet de camada 2 e interfaces VLAN.

Procedimento

• Entre na visualização do sistema.

System View

• Entre na visualização da interface.

interface interface-type interface-number

• Aplique uma ACL à interface para filtrar os pacotes.

packet-filter [ ipv6 | mac ] { acl-number | name acl-name } { inbound | outbound } [ hardware-count ]

Por padrão, uma interface não filtra pacotes.

Configuração de registro e notificações SNMP para filtragem de pacotes

Sobre a configuração de registro em log e notificações SNMP para filtragem de pacotes

É possível configurar o módulo ACL para gerar entradas de registro ou notificações SNMP para filtragem de pacotes e enviá-las ao centro de informações ou ao módulo SNMP no intervalo de saída. A entrada de log ou a notificação registra o número de pacotes correspondentes e as regras de ACL correspondentes. Quando o primeiro pacote de um fluxo corresponde a uma regra de ACL, o intervalo de saída é iniciado e o dispositivo emite imediatamente uma entrada de registro ou notificação para esse pacote. Quando o intervalo de saída termina, o dispositivo emite uma entrada de registro ou notificação para os pacotes correspondentes subsequentes do fluxo.

Para obter mais informações sobre o centro de informações e o SNMP, consulte o Guia de configuração de monitoramento e gerenciamento de rede.

Procedimento

• Entre na visualização do sistema.

System View

• Defina o intervalo para a saída de logs ou notificações de filtragem de pacotes.

acl { logging | trap } interval interval

A configuração padrão é 0 minutos. Por padrão, o dispositivo não gera entradas de registro ou notificações SNMP para filtragem de pacotes.

Configuração da ação padrão de filtragem de pacotes

• Entre na visualização do sistema.

System View

• Defina a ação padrão de filtragem de pacotes como negar.

filtro de pacotes padrão deny

Por padrão, o filtro de pacotes permite a passagem de pacotes que não correspondem a nenhuma regra de ACL.

Exemplo: Configuração do filtro de pacotes baseado na interface

Configuração de rede

Uma empresa interconecta seus departamentos por meio do dispositivo. Configure um filtro de pacotes para:

• Permitir o acesso do escritório do Presidente a qualquer momento ao servidor do banco de dados financeiro.
• Permitir o acesso do departamento financeiro ao servidor do banco de dados somente durante o horário de trabalho (das 8:00 às 18:00) nos dias úteis.
• Negar o acesso de qualquer outro departamento ao servidor de banco de dados.

Figura 1 Diagrama de rede

Procedimento

# Criar um intervalo de tempo periódico das 8:00 às 18:00 em dias úteis.

<Device> system-view
   [Device] time-range work 08:0 to 18:00 working-day

# Crie uma ACL avançada IPv4 numerada como 3000.

[Device] acl advanced 3000

# Configure uma regra para permitir o acesso do escritório do presidente ao servidor do banco de dados financeiro.

[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0

# Configure uma regra para permitir o acesso do departamento financeiro ao servidor de banco de dados durante o horário de trabalho.

[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work

# Configure uma regra para negar acesso ao servidor do banco de dados financeiro.

[Device-acl-ipv4-adv-3000] rule deny ip source any destination 192.168.0.100 0
   [Device-acl-ipv4-adv-3000] quit

# Aplique a ACL 3000 avançada IPv4 para filtrar os pacotes de saída na interface GigabitEthernet 1/0/1.

[Device] interface gigabitethernet 1/0/1
   [Device-GigabitEthernet1/0/1] packet-filter 3000 outbound
   [Device-GigabitEthernet1/0/1] quit

Verificação da configuração

# Verifique se um computador do departamento financeiro pode fazer ping no servidor de banco de dados durante o horário de trabalho. (Todos os PCs deste exemplo usam o Windows XP).

C:\> ping 192.168.0.100
   Pinging 192.168.0.100 with 32 bytes of data:
   Reply from 192.168.0.100: bytes=32 time=1ms TTL=255
   Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
   Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
   Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
   Ping statistics for 192.168.0.100:
   Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
   Approximate round trip times in milli-seconds:
   Minimum = 0ms, Maximum = 1ms, Average = 0ms

# Verifique se um PC no departamento de Marketing não consegue fazer ping no servidor de banco de dados durante o horário de trabalho.

C:\> ping 192.168.0.100
   Pinging 192.168.0.100 with 32 bytes of data:
   Request timed out.
   Request timed out.
   Request timed out.
   Request timed out.
   Ping statistics for 192.168.0.100:
   Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

# Exibir estatísticas de configuração e correspondência para a ACL 3000 avançada IPv4 no dispositivo durante o horário de trabalho.

[Device] display acl 3000
   Advanced IPv4 ACL 3000, 3 rules,
   ACL's step is 5
   rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0
   rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work
   (Active)
   rule 10 deny ip destination 192.168.0.100 0

Modelo de serviço de melhor esforço

O modelo de melhor esforço é um modelo de serviço único. O modelo de melhor esforço não é tão confiável quanto os outros modelos e não garante uma entrega sem atrasos.

O modelo de serviço de melhor esforço é o modelo padrão da Internet e se aplica à maioria dos aplicativos da rede . Ele usa o mecanismo de enfileiramento First In First Out (FIFO).

Modelo IntServ

O modelo de serviço integrado (IntServ) é um modelo de vários serviços que pode acomodar diversos requisitos de QoS. Esse modelo de serviço fornece a QoS diferenciada de forma mais granular, identificando e garantindo a QoS definida para cada fluxo de dados.

No modelo IntServ, um aplicativo deve solicitar o serviço da rede antes de enviar dados. O IntServ sinaliza a solicitação de serviço com o RSVP. Todos os nós que recebem a solicitação reservam recursos conforme solicitado e mantêm informações de estado para o fluxo do aplicativo.

O modelo IntServ exige altos recursos de armazenamento e processamento porque requer que todos os nós ao longo do caminho de transmissão mantenham informações sobre o estado do recurso para cada fluxo. Esse modelo é adequado para redes de pequeno porte ou de borda. Entretanto, não é adequado para redes de grande porte, por exemplo, para a camada central da Internet, onde há bilhões de fluxos.

Modelo DiffServ

O modelo de serviço diferenciado (DiffServ) é um modelo de vários serviços que pode atender a diversos requisitos de QoS. É fácil de implementar e ampliar. O DiffServ não sinaliza a rede para reservar recursos antes de enviar dados, como faz o IntServ.

Destinos dos aplicativos

Você pode aplicar uma política de QoS aos seguintes destinos:

• Interface - A política de QoS entra em vigor no tráfego enviado ou recebido na interface.
• VLAN - A política de QoS entra em vigor no tráfego enviado ou recebido em todas as portas da VLAN.
• Globalmente - A política de QoS entra em vigor no tráfego enviado ou recebido em todas as portas.
• Perfil do usuário - A política de QoS entra em vigor no tráfego enviado ou recebido pelos usuários on-line do perfil do usuário.

Restrições e diretrizes para aplicar uma política de QoS

É possível modificar as classes de tráfego, os comportamentos de tráfego e as associações classe-comportamento em uma política de QoS mesmo depois de ela ser aplicada (exceto se for aplicada a um perfil de usuário). Se uma classe de tráfego usar uma ACL para classificação de tráfego, você poderá excluir ou modificar a ACL.

Quando uma política de QoS que contém uma ação CAR é aplicada em uma malha IRF, o tráfego que corresponde à política de QoS pode entrar na malha IRF por meio de interfaces em diferentes dispositivos membros da IRF. Nesse caso, o limite de taxa real que entra em vigor é a soma do CIR e do PIR na ação CAR multiplicada pelo número de grupos de portas envolvidos por padrão. As interfaces em diferentes dispositivos membros da IRF pertencem a diferentes grupos de portas. As interfaces no mesmo dispositivo membro da IRF podem pertencer ao mesmo grupo de portas ou a grupos de portas diferentes. Para identificar as informações do grupo de portas, execute o comando debug port mapping na visualização de sonda. As interfaces com o mesmo valor de Unidade pertencem ao mesmo grupo de portas.

Quando uma política de QoS que contém uma ação CAR é aplicada em uma malha IRF, o tráfego que corresponde à política de QoS pode deixar a malha IRF por meio de interfaces em diferentes dispositivos membros da IRF. Nesse caso, o limite de taxa real que entra em vigor é a soma do CIR e do PIR na ação CAR multiplicada pelo número de dispositivos membros da IRF que hospedam as interfaces por padrão.

Aplicação da política de QoS a uma interface

Restrições e diretrizes

Uma política de QoS pode ser aplicada a várias interfaces. Entretanto, somente uma política de QoS pode ser aplicada a uma direção (entrada ou saída) de uma interface.

A política de QoS aplicada ao tráfego de saída em uma interface não regula os pacotes locais. Os pacotes locais referem-se a pacotes de protocolos críticos enviados pelo sistema local para manutenção da operação. Os pacotes locais mais comuns incluem pacotes de manutenção de links, RIP, LDP e SSH.

O termo "interface" nesta seção refere-se às interfaces Ethernet de camada 2.

Procedimento

• Entre na visualização do sistema.

System View

• Entre na visualização da interface.

interface interface-type interface-number

• Aplique a política de QoS à interface.

qos vlan-policy policy-name vlan vlan-id-list { inbound | outbound }

Por padrão, nenhuma política de QoS é aplicada a uma interface.

Aplicação da política de QoS às VLANs

Sobre a aplicação de políticas de QoS a VLANs

Você pode aplicar uma política de QoS às VLANs para regular o tráfego em todas as portas das VLANs.

Restrições e diretrizes

As políticas de QoS não podem ser aplicadas a VLANs dinâmicas, incluindo VLANs criadas pelo GVRP.

Quando você aplica uma política de QoS a VLANs, a política de QoS é aplicada às VLANs especificadas em todos os dispositivos membros da IRF. Se os recursos de hardware de um dispositivo membro da IRF forem insuficientes, a aplicação de uma política de QoS a VLANs poderá falhar no dispositivo membro da IRF. O sistema não reverte automaticamente a configuração da política de QoS já aplicada a outros dispositivos membros da IRF. Para garantir a consistência, use o comando undo qos vlan-policy para remover manualmente a configuração da política de QoS aplicada a eles.

Procedimento

• Entre na visualização do sistema.

System View

• Aplique a política de QoS às VLANs.

qos apply policy policy-name global { inbound | outbound }

Por padrão, nenhuma política de QoS é aplicada a uma VLAN.

Aplicar a política de QoS globalmente

Sobre o aplicativo de política de QoS global

Você pode aplicar uma política de QoS globalmente à direção de entrada ou saída de todas as portas.

Restrições e diretrizes

Se os recursos de hardware de um dispositivo membro da IRF forem insuficientes, a aplicação de uma política de QoS globalmente poderá falhar no dispositivo membro da IRF. O sistema não reverte automaticamente a configuração da política de QoS já aplicada a outros dispositivos membros da IRF. Para garantir a consistência, você deve usar

o comando global undo qos apply policy para remover manualmente a configuração da política de QoS aplicada a eles.

Procedimento

• Entre na visualização do sistema.

System View

• Aplique a política de QoS globalmente.

qos apply policy policy-name { inbound | outbound }

Por padrão, nenhuma política de QoS é aplicada globalmente.

Aplicação da política de QoS a um perfil de usuário

Sobre a aplicação da política de QoS a um perfil de usuário

Quando um perfil de usuário é configurado, é possível executar o policiamento de tráfego com base nos usuários. Depois que um usuário passa pela autenticação, o servidor de autenticação envia o nome do perfil de usuário associado ao usuário para o dispositivo. A política de QoS configurada na visualização do perfil de usuário entra em vigor somente quando os usuários ficam on-line.

Restrições e diretrizes

É possível aplicar uma política de QoS a vários perfis de usuário. Em uma direção de cada perfil de usuário, somente uma política pode ser aplicada. Para modificar uma política de QoS já aplicada a uma direção, primeiro remova a política de QoS aplicada.

Procedimento

• Entre na visualização do sistema.

System View

• Entre na visualização do perfil do usuário.

user-profile profile-name

• Aplique a política de QoS ao perfil do usuário.

qos apply policy policy-name { inbound | outbound }

Por padrão, nenhuma política de QoS é aplicada a um perfil de usuário.

Sobre as prioridades

As prioridades incluem os seguintes tipos: prioridades transportadas em pacotes e prioridades atribuídas localmente apenas para agendamento.

As prioridades transportadas por pacotes incluem a prioridade 802.1p, a precedência DSCP, a precedência IP e a EXP. Essas prioridades têm importância global e afetam a prioridade de encaminhamento dos pacotes na rede. Para obter mais informações sobre essas prioridades, consulte "Apêndices".

As prioridades atribuídas localmente têm importância apenas local. Elas são atribuídas pelo dispositivo apenas para agendamento. Essas prioridades incluem a precedência local, a prioridade de queda e a prioridade do usuário, como segue:

• Precedência local - Usado para enfileiramento. Um valor de precedência local corresponde a uma fila de saída. Um pacote com precedência local mais alta é atribuído a uma fila de saída de prioridade mais alta para ser agendado preferencialmente.
• Prioridade de descarte - Usado para tomar decisões de descarte de pacotes. Os pacotes com a maior prioridade de descarte são descartados preferencialmente.
• Prioridade do usuário-Precedência que o dispositivo extrai automaticamente de um campo de prioridade do pacote de acordo com seu caminho de encaminhamento. É um parâmetro para determinar a prioridade de agendamento e a prioridade de encaminhamento do pacote. A prioridade do usuário representa os seguintes itens:
• A prioridade 802.1p para pacotes da Camada 2.
• A precedência de IP para pacotes da Camada 3.
• A EXP para pacotes MPLS.

O dispositivo suporta apenas a precedência local para agendamento.

Mapas de prioridade

O dispositivo oferece vários tipos de mapas de prioridade. Ao examinar um mapa de prioridade, o dispositivo decide qual valor de prioridade atribuir a um pacote para o processamento subsequente do pacote.

Os mapas de prioridade padrão (conforme mostrado no Apêndice B Mapas de prioridade padrão) estão disponíveis para mapeamento de prioridade. Eles são adequados na maioria dos casos. Se um mapa de prioridade padrão não atender aos seus requisitos, você poderá modificar o mapa de prioridade conforme necessário.

Métodos de configuração de mapeamento de prioridade

Você pode configurar o mapeamento de prioridade usando qualquer um dos seguintes métodos:

• Configuração do modo de confiança de prioridade - Nesse método, você pode configurar uma porta para procurar um tipo de prioridade confiável (802.1p, por exemplo) em pacotes de entrada nos mapas de prioridade. Em seguida, o sistema mapeia a prioridade confiável para os tipos e valores de prioridade de destino.
• Alteração da prioridade da porta - Se nenhuma prioridade de pacote for confiável, será usada a prioridade da porta de entrada. Ao alterar a prioridade de uma porta, você altera a prioridade dos pacotes de entrada em a porta.

Processo de mapeamento de prioridades

Ao receber um pacote Ethernet em uma porta, o switch marca as prioridades de agendamento (precedência local e precedência de descarte) para o pacote Ethernet. Esse procedimento é feito de acordo com o modo de confiança de prioridade da porta receptora e o status de marcação 802.1Q do pacote, conforme mostrado na Figura 3.

Figura 3 Processo de mapeamento de prioridades para um pacote Ethernet

Para obter informações sobre a marcação de prioridade, consulte "Configuração da marcação de prioridade".

Exemplo: Configuração de um modo de confiança prioritário

Configuração de rede

Conforme mostrado na Figura 4:

• A prioridade 802.1p do tráfego do Dispositivo A para o Dispositivo C é 3.
• A prioridade 802.1p do tráfego do Dispositivo B para o Dispositivo C é 1.

Configure o Dispositivo C para processar preferencialmente os pacotes do Dispositivo A para o servidor quando a GigabitEthernet 1/0/3 do Dispositivo C estiver congestionada.

Figura 4 Diagrama de rede

Procedimento

(Método 1) Configure o dispositivo C para confiar na prioridade do pacote

# Configure a GigabitEthernet 1/0/1 e a GigabitEthernet 1/0/2 para confiar na prioridade 802.1p para mapeamento de prioridade.

<DeviceC> system-view
   [DeviceC] interface gigabitethernet 1/0/1
   [DeviceC-GigabitEthernet1/0/1] qos trust dot1p
   [DeviceC-GigabitEthernet1/0/1] quit
   [DeviceC] interface gigabitethernet 1/0/2
   [DeviceC-GigabitEthernet1/0/2] qos trust dot1p
   [DeviceC-GigabitEthernet1/0/2] quit

(Método 2) Configure o dispositivo C para confiar na prioridade da porta

# Atribua prioridade de porta à GigabitEthernet 1/0/1 e à GigabitEthernet 1/0/2. Certifique-se de que os seguintes requisitos sejam atendidos:

• A prioridade da GigabitEthernet 1/0/1 é maior do que a da GigabitEthernet 1/0/2.
• Nenhum tipo de prioridade de pacote confiável está configurado na GigabitEthernet 1/0/1 ou na GigabitEthernet 1/0/2.

><DeviceC> system-view
   [DeviceC] interface gigabitethernet 1/0/1
   [DeviceC-GigabitEthernet1/0/1] qos priority 3
   [DeviceC-GigabitEthernet1/0/1] quit
   [DeviceC] interface gigabitethernet 1/0/2
   [DeviceC-GigabitEthernet1/0/2] qos priority 1
   [DeviceC-GigabitEthernet1/0/2] quit

Exemplo: Configurando tabelas de mapeamento de prioridade e marcação de prioridade

Configuração de rede

Conforme mostrado na Figura 5:

• O departamento de marketing se conecta à GigabitEthernet 1/0/1 do dispositivo, que define a prioridade 802.1p do tráfego do departamento de marketing como 3.
• O departamento de P&D se conecta à GigabitEthernet 1/0/2 do Device, que define a prioridade 802.1p do tráfego do departamento de P&D como 4.
• O departamento de gerenciamento se conecta à GigabitEthernet 1/0/3 do dispositivo, que define a prioridade 802.1p do tráfego do departamento de gerenciamento como 5.

Configure a prioridade da porta, a tabela de mapeamento 802.1p-para-local e a marcação de prioridade para implementar o plano conforme descrito na Tabela 1.

Tabela 1 Plano de configuração

Figura 5 Diagrama de rede

Procedimento

• Configurar a prioridade da porta de confiança:

# Defina a prioridade da porta da GigabitEthernet 1/0/1 como 3.

>Device> system-view
   [Device] interface gigabitethernet 1/0/1
   [Device-GigabitEthernet1/0/1] qos priority 3
   [Device-GigabitEthernet1/0/1] quit

# Defina a prioridade da porta da GigabitEthernet 1/0/2 como 4.

[Device] interface gigabitethernet 1/0/2
   [Device-GigabitEthernet1/0/2] qos priority 4
   [Device-GigabitEthernet1/0/2] quit

# Defina a prioridade da porta da GigabitEthernet 1/0/3 como 5.

[Device] interface gigabitethernet 1/0/3
   [Device-GigabitEthernet1/0/3] qos priority 5
   [Device-GigabitEthernet1/0/3] quit

• Configure a tabela de mapeamento 802.1p-to-local para mapear os valores de prioridade 802.1p 3, 4 e 5 para os valores de precedência local 2, 6 e 4.

Isso garante que o departamento de P&D, o departamento de gerenciamento e o departamento de marketing tenham menos prioridades para acessar os servidores públicos.

[Device] qos map-table dot1p-lp
   [Device-maptbl-dot1p-lp] import 3 export 2
   [Device-maptbl-dot1p-lp] import 4 export 6
   [Device-maptbl-dot1p-lp] import 5 export 4
   [Device-maptbl-dot1p-lp] quit

• Configure a marcação de prioridade para marcar os pacotes do departamento de gerenciamento, do departamento de marketing e do departamento de P&D para a Internet com os valores de prioridade 802.1p 4, 5 e 3.

Isso garante que o departamento de gerenciamento, o departamento de marketing e o departamento de P&D tenham menos prioridades para acessar a Internet.

# Crie a ACL 3000 e configure uma regra para corresponder aos pacotes HTTP.

[Device] acl advanced 3000
   [Device-acl-adv-3000] rule permit tcp destination-port eq 80
   [Device-acl-adv-3000] quit

# Crie uma classe de tráfego chamada http e use a ACL 3000 como critério de correspondência.

[Device] traffic classifier http
   [Device-classifier-http] if-match acl 3000
   [Device-classifier-http] quit

# Crie um comportamento de tráfego chamado admin e configure uma ação de marcação para o Gerenciamento

departamento.

[Device] traffic behavior admin
   [Device-behavior-admin] remark dot1p 4
   [Device-behavior-admin] quit

# Criar uma política de QoS chamada admin e associar a classe de tráfego http ao comportamento do tráfego no administrador da política de QoS.

[Device] qos policy admin
   [Device-qospolicy-admin] classifier http behavior admin
   [Device-qospolicy-admin] quit

# Aplique a política de QoS admin à direção de entrada da GigabitEthernet 1/0/3.

[Device] interface gigabitethernet 1/0/3
   [Device-GigabitEthernet1/0/3] qos apply policy admin inbound

# Crie um comportamento de tráfego chamado market e configure uma ação de marcação para o departamento de Marketing.

[Device] traffic behavior market
   [Device-behavior-market] remark dot1p 5
   [Device-behavior-market] quit

# Criar uma política de QoS chamada market e associar a classe de tráfego http ao comportamento do tráfego no mercado de políticas de QoS.

[Device] qos policy market
   [Device-qospolicy-market] classifier http behavior market
   [Device-qospolicy-market] quit

# Aplique o mercado de políticas de QoS à direção de entrada da GigabitEthernet 1/0/1.

[Device] interface gigabitethernet 1/0/1
   [Device-GigabitEthernet1/0/1] qos apply policy market inbound

# Crie um comportamento de tráfego chamado rd e configure uma ação de marcação para o departamento de P&D.

[Device] traffic behavior rd
   [Device-behavior-rd] remark dot1p 3
   [Device-behavior-rd] quit

# Criar uma política de QoS chamada rd e associar a classe de tráfego http ao comportamento de tráfego rd na QoS estrada da política.

[Device] interface gigabitethernet 1/0/2
   [Device-GigabitEthernet1/0/2] qos apply policy rd inbound
   

Avaliação de tráfego e token buckets

Recursos do balde de token

Um bucket de token é análogo a um contêiner que contém um determinado número de tokens. Cada token representa uma determinada capacidade de encaminhamento. O sistema coloca tokens no balde em uma taxa constante. Quando o balde de tokens está cheio, os tokens extras fazem com que o balde transborde.

Avaliação do tráfego com o token bucket

Um mecanismo de token bucket avalia o tráfego observando o número de tokens no bucket. Se o número de tokens no compartimento for suficiente para encaminhar os pacotes:

• O tráfego está em conformidade com a especificação (chamado de tráfego em conformidade).
• Os tokens correspondentes são retirados do balde.

Caso contrário, o tráfego não estará em conformidade com a especificação (chamado de excesso de tráfego). Um bucket de token tem os seguintes parâmetros configuráveis:

• Taxa média na qual os tokens são colocados no bucket, que é a taxa média permitida de tráfego.

Normalmente, ela é definida como a taxa de informações comprometidas (CIR).

• Tamanho do burst ou a capacidade do bucket de token. É o tamanho máximo de tráfego permitido em cada burst. Geralmente é definido como o tamanho do burst comprometido (CBS). O tamanho do burst definido deve ser maior que o tamanho máximo do pacote.

Cada pacote que chega é avaliado.

Avaliação complicada

Você pode definir dois compartimentos de token, o compartimento C e o compartimento E, para avaliar o tráfego em um ambiente mais complicado e obter mais flexibilidade de policiamento. A seguir, os principais mecanismos usados para avaliação complexa:

• Taxa única e duas cores - Usa um compartimento de tokens e os seguintes parâmetros:
• CIR - Taxa na qual os tokens são colocados no bucket C. Define a taxa média de transmissão ou encaminhamento de pacotes permitida pelo bucket C.
• CBS - Tamanho do compartimento C, que especifica a explosão transitória de tráfego que o compartimento C pode encaminhar.

Quando um pacote chega, as seguintes regras se aplicam:

• Se o bucket C tiver tokens suficientes para encaminhar o pacote, o pacote será colorido de verde.
• Caso contrário, o pacote é colorido de vermelho.
• Taxa única de três cores - Usa dois compartimentos de tokens e os seguintes parâmetros:
• CIR - Taxa na qual os tokens são colocados no bucket C. Define a taxa média de transmissão ou encaminhamento de pacotes permitida pelo bucket C.
• CBS - Tamanho do compartimento C, que especifica a explosão transitória de tráfego que o compartimento C pode encaminhar.
• EBS - Tamanho do compartimento E menos o tamanho do compartimento C, que especifica a explosão transitória de tráfego que o compartimento E pode encaminhar. O EBS não pode ser 0. O tamanho do compartimento E é a soma do CBS e do EBS.

Quando um pacote chega, as seguintes regras se aplicam:

• Se o balde C tiver fichas suficientes, o pacote será colorido de verde.
• Se o balde C não tiver fichas suficientes, mas o balde E tiver fichas suficientes, o pacote será colorido de amarelo.
• Se nem o balde C nem o balde E tiverem tokens suficientes, o pacote será colorido de vermelho.
• Duas taxas e três cores - Usa dois compartimentos de tokens e os seguintes parâmetros:

• CIR - Taxa na qual os tokens são colocados no bucket C. Define a taxa média de transmissão ou encaminhamento de pacotes permitida pelo bucket C.
• CBS - Tamanho do compartimento C, que especifica a explosão transitória de tráfego que o compartimento C pode encaminhar.
• PIR - Taxa na qual os tokens são colocados no bucket E, que especifica a taxa média de transmissão ou encaminhamento de pacotes permitida pelo bucket E.
• EBS - Tamanho do bucket E, que especifica a explosão transitória de tráfego que o bucket E pode encaminhar.

Quando um pacote chega, as seguintes regras se aplicam:

• Se o balde C tiver fichas suficientes, o pacote será colorido de verde.
• Se o balde C não tiver fichas suficientes, mas o balde E tiver fichas suficientes, o pacote será colorido de amarelo.
• Se nem o balde C nem o balde E tiverem tokens suficientes, o pacote será colorido de vermelho.

Policiamento de tráfego

O policiamento de tráfego suporta o policiamento do tráfego de entrada e do tráfego de saída.

Uma aplicação típica do policiamento de tráfego é supervisionar a especificação do tráfego que entra em uma rede e limitá-lo dentro de uma faixa razoável. Outra aplicação é "disciplinar" o tráfego extra para evitar o uso agressivo dos recursos da rede por um aplicativo. Por exemplo, você pode limitar a largura de banda dos pacotes HTTP a menos de 50% do total. Se o tráfego de uma sessão exceder o limite, o policiamento de tráfego poderá descartar os pacotes ou redefinir a precedência de IP dos pacotes. A Figura 6 mostra um exemplo de policiamento de tráfego de saída em uma interface.

Figura 6 Policiamento de tráfego

O policiamento de tráfego é amplamente usado no policiamento do tráfego que entra nas redes ISP. Ele pode classificar o tráfego policiado e executar ações de policiamento predefinidas em cada pacote, dependendo do resultado da avaliação:

• Encaminhar o pacote se o resultado da avaliação for "conforme".
• Descartar o pacote se o resultado da avaliação for "excesso".
• Encaminhar o pacote com sua precedência remarcada se o resultado da avaliação for "conforme".

GTS

O GTS suporta a modelagem do tráfego de saída. O GTS limita a taxa de tráfego de saída armazenando em buffer o tráfego excedente. Você pode usar o GTS para adaptar a taxa de saída de tráfego em um dispositivo à taxa de tráfego de entrada do dispositivo conectado para evitar a perda de pacotes.

As diferenças entre o policiamento de tráfego e o GTS são as seguintes:

• Os pacotes a serem descartados com o policiamento de tráfego são mantidos em um buffer ou fila com o GTS, conforme mostrado na Figura 7. Quando há tokens suficientes no balde de tokens, os pacotes armazenados em buffer são enviados em uma taxa uniforme.
• O GTS pode resultar em atraso adicional e o policiamento de tráfego não.

Figura 7 GTS

Por exemplo, na Figura 8, o Dispositivo B executa o policiamento de tráfego nos pacotes do Dispositivo A e descarta os pacotes que excedem o limite. Para evitar a perda de pacotes, você pode executar o GTS na interface de saída do Dispositivo A para que os pacotes que excedam o limite sejam armazenados em cache no Dispositivo A. Assim que os recursos forem liberados, o GTS retira os pacotes armazenados em cache e os envia.

Figura 8 Aplicativo GTS

Limite de taxa

O limite de taxa controla a taxa de tráfego de entrada e de saída. O tráfego de saída é tomado como exemplo.

O limite de taxa de uma interface especifica a taxa máxima de encaminhamento de pacotes (excluindo pacotes críticos).

O limite de taxa também usa token buckets para controle de tráfego. Quando o limite de taxa é configurado em uma interface, um compartimento de tokens manipula todos os pacotes a serem enviados pela interface para limitação de taxa. Se houver tokens suficientes no compartimento de tokens, os pacotes poderão ser encaminhados. Caso contrário, os pacotes serão colocados em filas de QoS para gerenciamento de congestionamento. Dessa forma, o tráfego que passa pela interface é controlado.

Figura 9 Implementação do limite de taxa

O mecanismo de token bucket limita a taxa de tráfego ao acomodar rajadas. Ele permite que o tráfego de rajadas seja transmitido se houver tokens suficientes disponíveis. Se os tokens forem escassos, os pacotes não poderão ser transmitidos até que tokens eficientes sejam gerados no token bucket. Ele restringe a taxa de tráfego à taxa de geração de tokens.

O limite de taxa controla a taxa total de todos os pacotes em uma interface. É mais fácil de usar do que o policiamento de tráfego para controlar a taxa de tráfego total.

Exemplo: Configuração do policiamento de tráfego e do GTS

Requisitos de rede

Conforme mostrado na Figura 10:

• O servidor, o Host A e o Host B podem acessar a Internet por meio do Dispositivo A e do Dispositivo B.

• O servidor, Host A, e GigabitEthernet 1/0/1 do Dispositivo A estão no mesmo segmento de rede.
• O host B e a GigabitEthernet 1/0/2 do dispositivo A estão no mesmo segmento de rede.

Realize o controle de tráfego dos pacotes que a GigabitEthernet 1/0/1 do Dispositivo A recebe do servidor e do Host A usando as seguintes diretrizes:

• Limite a taxa de pacotes do servidor a 10240 kbps. Quando a taxa de tráfego está abaixo de 10240 kbps, o tráfego é encaminhado. Quando a taxa de tráfego excede 10240 kbps, os pacotes excedentes são marcados com o valor DSCP 0 e, em seguida, encaminhados.
• Limite a taxa de pacotes do Host A a 2560 kbps. Quando a taxa de tráfego está abaixo de 2560 kbps, o tráfego é encaminhado. Quando a taxa de tráfego excede 2560 kbps, os pacotes em excesso são descartados.

Realize o controle de tráfego na GigabitEthernet 1/0/1 e na GigabitEthernet 1/0/2 do Dispositivo B usando as seguintes diretrizes:

• Limite a taxa de tráfego de entrada na GigabitEthernet 1/0/1 a 20480 kbps, e os pacotes excedentes são descartados.
• Limite a taxa de tráfego de saída na GigabitEthernet 1/0/2 a 10240 kbps, e os pacotes em excesso são descartados.

Figura 10 Diagrama de rede

Procedimento de configuração

• Configurar o dispositivo A:

# Configure a ACL 2001 e a ACL 2002 para permitir os pacotes do servidor e do Host A, respectivamente.

[DeviceA] acl basic 2001
[DeviceA-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0
[DeviceA-acl-ipv4-basic-2001] quit
[DeviceA] acl basic 2002
[DeviceA-acl-ipv4-basic-2002] rule permit source 1.1.1.2 0
[DeviceA-acl-ipv4-basic-2002] quit

# Crie uma classe de tráfego chamada servidor e use a ACL 2001 como critério de correspondência.

[DeviceA] traffic classifier server
[DeviceA-classifier-server] if-match acl 2001
[DeviceA-classifier-server] quit

# Crie uma classe de tráfego chamada host e use a ACL 2002 como critério de correspondência.

[DeviceA] traffic classifier host
[DeviceA-classifier-host] if-match acl 2002
[DeviceA-classifier-host] quit

# Crie um comportamento de tráfego denominado servidor e configure uma ação de policiamento de tráfego (CIR 10240 kbps).

[DeviceA] traffic behavior server
[DeviceA-behavior-server] car cir 10240 red remark-dscp-pass 0
[DeviceA-behavior-server] quit

# Crie um comportamento de tráfego chamado host e configure uma ação de policiamento de tráfego (CIR 2560 kbps).

[DeviceA] traffic behavior host
[DeviceA-behavior-host] car cir 2560
[DeviceA-behavior-host] quit

# Crie uma política de QoS chamada car e associe as classes de tráfego server e host aos comportamentos de tráfego server e host na política de QoS car, respectivamente.

[DeviceA] qos policy car
[DeviceA-qospolicy-car] classifier server behavior server
[DeviceA-qospolicy-car] classifier host behavior host
[DeviceA-qospolicy-car] quit

# Aplique a política de QoS car na direção de entrada da GigabitEthernet 1/0/1.

[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] qos apply policy car inbound

• Configurar o dispositivo B:

# Crie a ACL 3001 e configure uma regra para corresponder aos pacotes HTTP.

<DeviceB> system-view
[DeviceB] acl advanced 3001
[DeviceB-acl-adv-3001] rule permit tcp destination-port eq 80
[DeviceB-acl-adv-3001] quit

# Crie uma classe de tráfego chamada http e use a ACL 3001 como critério de correspondência.

[DeviceB] traffic classifier http
[DeviceB-classifier-http] if-match acl 3001
[DeviceB-classifier-http] quit

# Criar uma classe de tráfego chamada class e configurar a classe de tráfego para corresponder a todos os pacotes.

[DeviceB] traffic classifier class
[DeviceB-classifier-class] if-match any
[DeviceB-classifier-class] quit

# Crie um comportamento de tráfego chamado car_inbound e configure uma ação de policiamento de tráfego (CIR 20480 kbps).

[DeviceB] traffic behavior car_inbound
[DeviceB-behavior-car_inbound] car cir 20480
[DeviceB-behavior-car_inbound] quit

# Crie um comportamento de tráfego chamado car_outbound e configure uma ação de policiamento de tráfego (CIR 10240 kbps).

[DeviceB] traffic behavior car_outbound
[DeviceB-behavior-car_outbound] car cir 10240
[DeviceB-behavior-car_outbound] quit

# Criar uma política de QoS chamada car_inbound e associar a classe de tráfego ao tráfego comportamento car_inbound na política de QoS car_inbound.

[DeviceB] qos policy car_inbound
[DeviceB-qospolicy-car_inbound] classifier class behavior car_inbound
[DeviceB-qospolicy-car_inbound] quit

# Criar uma política de QoS chamada car_outbound e associar a classe de tráfego http ao tráfego comportamento car_outbound na política de QoS car_outbound.

[DeviceB] qos policy car_outbound
[DeviceB-qospolicy-car_outbound] classifier http behavior car_outbound
[DeviceB-qospolicy-car_outbound] quit

# Aplique a política de QoS car_inbound à direção de entrada da GigabitEthernet 1/0/1.

[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] qos apply policy car_inbound inbound

# Aplique a política de QoS car_outbound à direção de saída da GigabitEthernet 1/0/2.

[DeviceB] interface gigabitethernet 1/0/2
[DeviceB-GigabitEthernet1/0/2] qos apply policy car_outbound outbound

Causa, resultados negativos e contramedida do congestionamento

O congestionamento ocorre em um link ou nó quando o tamanho do tráfego excede a capacidade de processamento do link ou nó. É típico de uma rede de multiplexação estatística e pode ser causado por falhas no link, recursos insuficientes e várias outras causas.

A Figura 11 mostra dois cenários típicos de congestionamento.

Figura 11 Cenários de congestionamento de tráfego

O congestionamento produz os seguintes resultados negativos:

• Aumento do atraso e do jitter durante a transmissão de pacotes.
• Diminuição do rendimento da rede e da eficiência do uso de recursos.
• Exaustão de recursos de rede (memória, em particular) e até mesmo falha do sistema.

O congestionamento é inevitável em redes comutadas e ambientes de aplicativos multiusuários. Para melhorar o desempenho do serviço de sua rede, tome medidas para gerenciá-lo e controlá-lo.

A chave para o gerenciamento de congestionamento é definir uma política de envio de recursos para priorizar pacotes para encaminhamento quando ocorrer congestionamento.

Métodos de gerenciamento de congestionamento

O gerenciamento de congestionamento usa algoritmos de enfileiramento e agendamento para classificar e ordenar o tráfego que sai de uma porta.

O dispositivo é compatível com os seguintes mecanismos de enfileiramento:

• SP.
• WRR.

Enfileiramento de SP

O enfileiramento SP foi projetado para aplicativos de missão crítica que exigem serviço preferencial para reduzir o atraso de resposta quando ocorre congestionamento.

Figura 12 Enfileiramento de SP

Na Figura 12, o enfileiramento SP classifica oito filas em uma porta em oito classes, numeradas de 7 a 0 em ordem decrescente de prioridade.

O enfileiramento SP programa as oito filas em ordem decrescente de prioridade. O enfileiramento SP envia primeiro os pacotes da fila com a prioridade mais alta. Quando a fila com a prioridade mais alta está vazia, ela envia pacotes para a fila com a segunda prioridade mais alta e assim por diante. Você pode atribuir pacotes de missão crítica a uma fila de alta prioridade para garantir que eles sejam sempre atendidos primeiro. Os pacotes de serviços comuns podem ser atribuídos a filas de baixa prioridade para serem transmitidos quando as filas de alta prioridade estiverem vazias.

A desvantagem do enfileiramento SP é que os pacotes nas filas de prioridade mais baixa não podem ser transmitidos se houver pacotes nas filas de prioridade mais alta. Na pior das hipóteses, o tráfego de prioridade mais baixa pode nunca ser atendido.

Enfileiramento WRR

O enfileiramento WRR programa todas as filas sucessivamente para garantir que cada fila seja atendida por um determinado tempo, conforme mostrado na Figura 13.

Figura 13 Enfileiramento WRR

Suponha que uma porta forneça oito filas de saída. O WRR atribui a cada fila um valor de peso (representado por w7, w6, w5, w4, w3, w2, w1 ou w0). O valor do peso de uma fila decide a proporção de recursos atribuídos a ela. Em uma porta de 100 Mbps, você pode definir os valores de peso como 50, 30, 10, 10, 50, 30, 10 e 10 para w7 a w0. Dessa forma, a fila com a prioridade mais baixa pode obter um mínimo de 5 Mbps de largura de banda. O WRR resolve o problema de que o enfileiramento SP pode deixar de atender aos pacotes nas filas de baixa prioridade por um longo período.

Outra vantagem do enfileiramento WRR é que, quando as filas são agendadas sucessivamente, o tempo de serviço de cada fila não é fixo. Se uma fila estiver vazia, a próxima fila será agendada imediatamente. Isso melhora a eficiência do uso dos recursos de largura de banda.

O enfileiramento WRR inclui os seguintes tipos:

• Enfileiramento WRR básico - Contém várias filas. É possível definir o peso de cada fila, e o WRR programa essas filas com base nos parâmetros definidos pelo usuário de forma round robin.
• Enfileiramento WRR baseado em grupo - Todas as filas são programadas por WRR. Você pode dividir as filas de saída no grupo de filas de prioridade WRR 1 e no grupo de filas de prioridade WRR 2. A programação de filas round robin é realizada primeiro para o grupo 1. Se o grupo 1 estiver vazio, a programação de filas round robin será executada para o grupo 2. Somente o grupo 1 de filas de prioridade WRR é compatível com a versão atual do software.

Em uma interface habilitada com enfileiramento WRR baseado em grupo, é possível atribuir filas ao grupo SP. As filas do grupo SP são agendadas com SP. O grupo SP tem prioridade de agendamento mais alta do que os grupos WRR.

Restrições e diretrizes para a configuração de filas

O termo "interface" nesta seção refere-se às interfaces Ethernet de camada 2.

A ID da fila, o nome da fila, o grupo e o peso na saída do comando display qos queue interface formam um modelo de agendamento de fila. Um modelo de programação de fila corresponde a uma combinação exclusiva de configurações de parâmetros de fila em uma interface.

O dispositivo suporta no máximo oito modelos de agendamento de filas, incluindo o modelo de agendamento de filas padrão, o modelo de agendamento de filas para interfaces físicas IRF e o modelo de agendamento de filas predefinido para a CPU. Se várias interfaces usarem o mesmo modelo de agendamento de fila criado pelo usuário, certifique-se de que pelo menos um outro modelo de agendamento de fila não tenha sido usado em nenhuma interface.

Se todos os modelos de programação de filas forem usados, você poderá configurar o gerenciamento de congestionamento por meio de um perfil de programação de filas (consulte "Configuração de um perfil de programação de filas").

Configuração de enfileiramento SP

• Entre na visualização do sistema.

System View

• Entre na visualização da interface.

interface interface-type interface-number

• Configurar o enfileiramento de SP.

qos sp

Por padrão, uma interface usa o enfileiramento WRR de contagem de bytes.

Configuração do enfileiramento WRR

• Entre na visualização do sistema.

System View

• Entre na visualização da interface.

interface interface-type interface-number

• Ativar o enfileiramento WRR.

qos wrr weight

Por padrão, uma interface usa o enfileiramento WRR de contagem de pacotes.

• Atribuir uma fila a um grupo WRR e configurar parâmetros de agendamento para a fila.

qos wrr queue-id group 1 weight schedule-value

Por padrão, todas as filas em uma interface habilitada para WRR estão no grupo WRR 1, e as filas 0 a 7 têm um peso de 1, 2, 3, 4, 5, 9, 13 e 15, respectivamente.

Configuração de enfileiramento SP+WRR

Restrições e diretrizes

Para configurar o peso do agendamento, você deve especificar a mesma unidade de agendamento especificada ao ativar o enfileiramento WRR.

Procedimento

• Entre na visualização do sistema.

System View

• Entre na visualização da interface.

interface interface-type interface-number

• Ativar o enfileiramento WRR por contagem de bytes ou contagem de pacotes.

qos wrr weight

Por padrão, uma interface usa o enfileiramento WRR de contagem de pacotes.

• Atribuir uma fila ao grupo SP.

qos wrr queue-id group sp

Por padrão, todas as filas em uma interface habilitada para WRR estão no grupo 1 de WRR.

• Atribuir uma fila a um grupo WRR e configurar um peso de agendamento para a fila.

qos wrr queue-id group 1 weight schedule-value

Por padrão, todas as filas em uma interface habilitada para WRR estão no grupo WRR 1, e as filas de 0 a 7 têm um peso de 1, 2, 3, 4, 5, 9, 13 e 15, respectivamente.

Sobre perfis de programação de filas

Em um perfil de programação de filas, é possível configurar parâmetros de programação para cada fila. Ao aplicar o perfil de programação de filas a uma interface, você pode implementar o gerenciamento de congestionamento na interface.

Os perfis de programação de filas suportam dois algoritmos de programação de filas: SP e WRR. Em um perfil de programação de filas, também é possível configurar SP+WRR. Para obter informações sobre cada algoritmo de agendamento, consulte "Sobre o gerenciamento de congestionamento". Quando os grupos SP e WRR são configurados em um perfil de programação de filas, a Figura 14 mostra a ordem de programação.

Figura 14 Perfil de agendamento de filas configurado com SP e WRR

• A fila 7 tem a prioridade mais alta no grupo SP. Seus pacotes são enviados preferencialmente.
• A fila 5 tem a segunda maior prioridade no grupo SP. Os pacotes na fila 5 são enviados quando a fila 7 está vazia.
• Todas as filas do grupo WRR 1 são programadas de acordo com seus pesos. Quando a fila 7 e a fila 5 estão vazias, o grupo WRR 1 é programado.

Restrições e diretrizes para a configuração do perfil de programação de filas

Quando você configurar um perfil de agendamento de fila, siga estas restrições e diretrizes:

• O termo "interface" nesta seção refere-se às interfaces Ethernet de camada 2.
• Somente um perfil de agendamento de fila pode ser aplicado a uma interface.
• É possível modificar os parâmetros de agendamento em um perfil de agendamento de fila já aplicado a uma interface.

Configuração de um perfil de agendamento de fila

• Entre na visualização do sistema.

System View

• Crie um perfil de programação de filas e entre na visualização do perfil de programação de filas.

qos qmprofile profile-name

• (Opcional.) Configure os parâmetros de agendamento de filas.
• Configure uma fila para usar o SP.

queue queue-id sp

• Configure uma fila para usar WRR.

queue queue-id wrr group group-id { weight | byte-count } schedule-value

Por padrão, todas as filas em um perfil de agendamento de filas usam o enfileiramento SP.

Aplicação de um perfil de programação de filas

• Entre na visualização do sistema.

System View

• Entre na visualização da interface.

interface interface-type interface-number

• Aplique o perfil de agendamento de filas à direção de saída da interface.

qos apply qmprofile profile-name

Por padrão, nenhum perfil de agendamento de fila é aplicado a uma interface.

Exemplo: Configuração de um perfil de programação de filas

Configuração de rede

Configure um perfil de agendamento de fila para atender aos seguintes requisitos na GigabitEthernet 1/0/1:

• A fila 7 tem a prioridade mais alta e seus pacotes são enviados preferencialmente.
• As filas de 0 a 6 estão no grupo WRR e são programadas de acordo com suas

pesos de contagem de pacotes, que são 2, 1, 2, 4, 6, 8 e 10, respectivamente. Quando a fila 7 está vazia, o grupo WRR é programado.

Procedimento

# Entre na visualização do sistema.

<Sysname> system-view

# Criar um perfil de agendamento de fila chamado qm1.

[Sysname] qos qmprofile qm1
[Sysname-qmprofile-qm1]

# Configure a fila 7 para usar o enfileiramento SP.

[Sysname-qmprofile-qm1] queue 7 sp

# Atribua as filas 0 a 6 ao grupo WRR 1, com seus pesos de contagem de pacotes como 2, 1, 2, 4, 6, 8 e 10, respectivamente.

[Sysname-qmprofile-qm1] queue 0 wrr group 1 weight 2
[Sysname-qmprofile-qm1] queue 1 wrr group 1 weight 1
[Sysname-qmprofile-qm1] queue 2 wrr group 1 weight 2
[Sysname-qmprofile-qm1] queue 3 wrr group 1 weight 4
[Sysname-qmprofile-qm1] queue 4 wrr group 1 weight 6
[Sysname-qmprofile-qm1] queue 5 wrr group 1 weight 8
[Sysname-qmprofile-qm1] queue 6 wrr group 1 weight 10
[Sysname-qmprofile-qm1] quit

# Aplique o perfil de agendamento de filas qm1 à GigabitEthernet 1/0/1.

[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] qos apply qmprofile qm1

Após a conclusão da configuração, a GigabitEthernet 1/0/1 executa a programação de filas conforme especificado no perfil de programação de filas qm1.

Exemplo: Configuração da filtragem de tráfego

Configuração de rede

Conforme mostrado na Figura 15, configure a filtragem de tráfego na GigabitEthernet 1/0/1 para negar os pacotes de entrada com um número de porta de origem diferente de 21.

Figura 15 Diagrama de rede

Procedimento

# Crie a ACL 3000 avançada e configure uma regra para corresponder aos pacotes cujo número da porta de origem não seja 21.

<Device> system-view
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule 0 permit tcp source-port neq 21
[Device-acl-ipv4-adv-3000] quit

# Crie uma classe de tráfego chamada classifier_1 e use a ACL 3000 como critério de correspondência na classe de tráfego.

[Device] traffic classifier classifier_1
[Device-classifier-classifier_1] if-match acl 3000
[Device-classifier-classifier_1] quit

# Crie um comportamento de tráfego chamado behavior_1 e configure a ação de filtragem de tráfego para descartar pacotes.

[Device] traffic behavior behavior_1
[Device-behavior-behavior_1] filter deny
[Device-behavior-behavior_1] quit

# Criar uma política de QoS denominada policy e associar a classe de tráfego classifier_1 ao comportamento do tráfego

comportamento_1 na política de QoS.

[Device] qos policy policy
[Device-qospolicy-policy] classifier classifier_1 behavior behavior_1
[Device-qospolicy-policy] quit

# Aplique a política de QoS ao tráfego de entrada da GigabitEthernet 1/0/1.

[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] qos apply policy policy inbound

Exemplo: Configuração da marcação de prioridade

Configuração de rede

Conforme mostrado na Figura 16, configure a marcação de prioridade no dispositivo para atender aos seguintes requisitos:

Figura 16 Diagrama de rede

Procedimento

# Crie a ACL 3000 avançada e configure uma regra para corresponder aos pacotes com o endereço IP de destino 192.168.0.1.

<Device>  system-view
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit ip destination 192.168.0.1 0
[Device-acl-ipv4-adv-3000] quit

# Crie a ACL 3001 avançada e configure uma regra para corresponder aos pacotes com o endereço IP de destino 192.168.0.2.

[Device] acl advanced 3001
[Device-acl-ipv4-adv-3001] rule permit ip destination 192.168.0.2 0
[Device-acl-ipv4-adv-3001] quit

# Crie a ACL 3002 avançada e configure uma regra para corresponder aos pacotes com o endereço IP de destino 192.168.0.3.

[Device] acl advanced 3002
[Device-acl-ipv4-adv-3002] rule permit ip destination 192.168.0.3 0
[Device-acl-ipv4-adv-3002] quit

# Crie uma classe de tráfego chamada classifier_dbserver e use a ACL 3000 como critério de correspondência na classe de tráfego.

[Device] traffic classifier classifier_dbserver
[Device-classifier-classifier_dbserver] if-match acl 3000
[Device-classifier-classifier_dbserver] quit

# Crie uma classe de tráfego chamada classifier_mserver e use a ACL 3001 como critério de correspondência na classe de tráfego.

[Device] traffic classifier classifier_mserver
[Device-classifier-classifier_mserver] if-match acl 3001
[Device-classifier-classifier_mserver] quit

# Crie uma classe de tráfego chamada classifier_fserver e use a ACL 3002 como critério de correspondência na classe de tráfego.

[Device] traffic classifier classifier_fserver
[Device-classifier-classifier_fserver] if-match acl 3002
[Device-classifier-classifier_fserver] quit

# Crie um comportamento de tráfego chamado behavior_dbserver e configure a ação de definir o valor de precedência local como 4.

[Device] traffic behavior behavior_dbserver
[Device-behavior-behavior_dbserver] remark local-precedence 4
[Device-behavior-behavior_dbserver] quit

# Crie um comportamento de tráfego chamado behavior_mserver e configure a ação de definir o valor de precedência local como 3.

[Device] traffic behavior behavior_mserver
[Device-behavior-behavior_mserver] remark local-precedence 3
[Device-behavior-behavior_mserver] quit

# Crie um comportamento de tráfego chamado behavior_fserver e configure a ação de definir o valor de precedência local como 2.

[Device] traffic behavior behavior_fserver
[Device-behavior-behavior_fserver] remark local-precedence 2
[Device-behavior-behavior_fserver] quit

# Crie uma política de QoS chamada policy_server e associe classes de tráfego a comportamentos de tráfego na política de QoS.

[Device] qos policy policy_server
[Device-qospolicy-policy_server] classifier classifier_dbserver behavior
behavior_dbserver
[Device-qospolicy-policy_server] classifier classifier_mserver behavior
behavior_mserver
[Device-qospolicy-policy_server] classifier classifier_fserver behavior
behavior_fserver
[Device-qospolicy-policy_server] quit

# Aplique a política de QoS policy_server ao tráfego de entrada da GigabitEthernet 1/0/1.

[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] qos apply policy policy_server inbound
[Device-GigabitEthernet1/0/1] quit

Exemplo: Configuração de aninhamento

Configuração de rede

Conforme mostrado na Figura 17:

• O Site 1 e o Site 2 na VPN A são duas filiais de uma empresa. Elas usam a VLAN 5 para transmitir o tráfego.
• Como o Site 1 e o Site 2 estão localizados em áreas diferentes, os dois sites usam o serviço de acesso VPN de um provedor de serviços. O provedor de serviços atribui a VLAN 100 aos dois sites.

Configure o aninhamento, para que as duas filiais possam se comunicar por meio da rede do provedor de serviços.

Figura 17 Diagrama de rede

Procedimento

• Configuração do PE 1:

# Crie uma classe de tráfego chamada teste para corresponder ao tráfego com VLAN ID 5.

<PE1> system-view
[PE1] traffic classifier test
[PE1-classifier-test] if-match customer-vlan-id 5
[PE1-classifier-test] quit

# Configure uma ação para adicionar a tag 100 da VLAN externa no teste de comportamento do tráfego.

[PE1] traffic behavior test
[PE1-behavior-test] nest top-most vlan 100
[PE1-behavior-test] quit

# Criar uma política de QoS chamada teste e associar a classe teste ao comportamento teste na política de QoS

[PE1] qos policy test
[PE1-qospolicy-test] classifier test behavior test
[PE1-qospolicy-test] quit

# Configure a porta de downlink (GigabitEthernet 1/0/1) como uma porta híbrida e atribua a porta à VLAN 100 como um membro sem marcação.

[PE1] interface gigabitethernet 1/0/1
[PE1-GigabitEthernet1/0/1] port link-type hybrid
[PE1-GigabitEthernet1/0/1] port hybrid vlan 100 untagged

# Aplique o teste de política de QoS ao tráfego de entrada da GigabitEthernet 1/0/1.

[PE1-GigabitEthernet1/0/1] qos apply policy test inbound
[PE1-GigabitEthernet1/0/1] quit

# Configure a porta de uplink (GigabitEthernet 1/0/2) como uma porta tronco e atribua-a à VLAN 100.

[PE1] interface gigabitethernet 1/0/2
[PE1-GigabitEthernet1/0/2] port link-type trunk
[PE1-GigabitEthernet1/0/2] port trunk permit vlan 100
[PE1-GigabitEthernet1/0/2] quit

• Configuração do PE 2:

Configure o PE 2 da mesma forma que o PE 1 está configurado.

Exemplo: Configuração do redirecionamento de tráfego

Configuração de rede

Conforme mostrado na Figura 18:

• O dispositivo A está conectado ao dispositivo B por meio de dois links. O dispositivo A e o dispositivo B estão conectados a outros dispositivos.
• A GigabitEthernet 1/0/1 do Dispositivo A é uma porta tronco e pertence à VLAN 200 e à VLAN 201.
• A GigabitEthernet 1/0/2 do Dispositivo A e a GigabitEthernet 1/0/2 do Dispositivo B pertencem à VLAN 200.
• A GigabitEthernet 1/0/3 do Dispositivo A e a GigabitEthernet 1/0/3 do Dispositivo B pertencem à VLAN 201.
• No dispositivo A, o endereço IP da interface de VLAN 200 é 200.1.1.1/24 e o da interface de VLAN 201 é 201.1.1.1/24.
• No dispositivo B, o endereço IP da interface de VLAN 200 é 200.1.1.2/24 e o da interface de VLAN 201 é 201.1.1.2/24.

Configure as ações de redirecionamento do tráfego para uma interface para atender aos seguintes requisitos:

• Os pacotes com endereço IP de origem 2.1.1.1 recebidos na GigabitEthernet 1/0/1 do Dispositivo A são encaminhados para a GigabitEthernet 1/0/2.
• Os pacotes com endereço IP de origem 2.1.1.2 recebidos na GigabitEthernet 1/0/1 do Dispositivo A são encaminhados para a GigabitEthernet 1/0/3.
• Outros pacotes recebidos na GigabitEthernet 1/0/1 do Dispositivo A são encaminhados de acordo com a tabela de roteamento .

Figura 18 Diagrama de rede

Procedimento

# Crie a ACL 2000 básica e configure uma regra para corresponder aos pacotes com o endereço IP de origem 2.1.1.1.

<DeviceA>  system-view
[DeviceA] acl basic 2000
[DeviceA-acl-ipv4-basic-2000] rule permit source 2.1.1.1 0
[DeviceA-acl-ipv4-basic-2000] quit

# Crie a ACL 2001 básica e configure uma regra para corresponder aos pacotes com o endereço IP de origem 2.1.1.2.

[DeviceA] acl basic 2001
[DeviceA-acl-ipv4-basic-2001] rule permit source 2.1.1.2 0
[DeviceA-acl-ipv4-basic-2001] quit

# Crie uma classe de tráfego chamada classifier_1 e use a ACL 2000 como critério de correspondência na classe de tráfego.

[DeviceA] traffic classifier classifier_1
[DeviceA-classifier-classifier_1] if-match acl 2000
[DeviceA-classifier-classifier_1] quit

# Crie uma classe de tráfego chamada classifier_2 e use a ACL 2001 como critério de correspondência na classe de tráfego.

[DeviceA] traffic classifier classifier_2
[DeviceA-classifier-classifier_2] if-match acl 2001
[DeviceA-classifier-classifier_2] quit

# Crie um comportamento de tráfego chamado behavior_1 e configure a ação de redirecionar o tráfego para a GigabitEthernet 1/0/2.

[DeviceA] traffic behavior behavior_1
[DeviceA-behavior-behavior_1] redirect interface gigabitethernet 1/0/2
[DeviceA-behavior-behavior_1] quit

# Crie um comportamento de tráfego chamado behavior_2 e configure a ação de redirecionar o tráfego para a GigabitEthernet 1/0/3.

[DeviceA] traffic behavior behavior_2
[DeviceA-behavior-behavior_2] redirect interface gigabitethernet 1/0/3
[DeviceA-behavior-behavior_2] quit

# Criar uma política de QoS chamada policy.

[DeviceA] qos policy policy

# Associe o classificador de classe de tráfego classifier_1 ao comportamento de tráfego behavior_1 na política de QoS.

[DeviceA-qospolicy-policy] classifier classifier_1 behavior behavior_1

# Associe a classe de tráfego classifier_2 com o comportamento de tráfego behavior_2 na política de QoS.

[DeviceA-qospolicy-policy] classifier classifier_2 behavior behavior_2
[DeviceA-qospolicy-policy] quit

# Aplique a política de QoS ao tráfego de entrada da GigabitEthernet 1/0/1.

[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] qos apply policy policy inbound

CAR agregado

Uma ação CAR agregada é criada globalmente. Ela pode ser aplicada diretamente às interfaces ou usada nos comportamentos de tráfego associados a diferentes classes de tráfego para policiar vários fluxos de tráfego como um todo. A taxa total dos fluxos de tráfego deve estar em conformidade com as especificações de policiamento de tráfego definidas na ação CAR agregada .

CAR hierárquico

Uma ação CAR hierárquica é criada globalmente. Ela deve ser usada em conjunto com uma ação CAR comum ou CAR agregada. Com uma ação CAR hierárquica, você pode limitar o tráfego total de várias classes de tráfego.

Uma ação CAR hierárquica pode ser usada na ação CAR comum ou agregada para uma classe de tráfego no modo AND ou no modo OR.

• No modo AND, a taxa da classe de tráfego é estritamente limitada sob o CAR comum ou agregado. Esse modo se aplica a fluxos que devem ser estritamente limitados por taxa.
• No modo OR, a classe de tráfego pode usar a largura de banda ociosa de outras classes de tráfego associadas ao CAR hierárquico. Esse modo se aplica a tráfego de alta prioridade e com rajadas, como vídeo.

Ao usar os dois modos adequadamente, você pode aumentar a eficiência da largura de banda.

Por exemplo, suponha que existam dois fluxos: um fluxo de dados de baixa prioridade e um fluxo de vídeo de alta prioridade e com rajadas. Sua taxa de tráfego total não pode exceder 4096 kbps e o fluxo de vídeo deve ter a garantia de pelo menos 2048 kbps de largura de banda. Você pode executar as seguintes tarefas:

• Configure ações comuns do CAR para definir a taxa de tráfego para 2048 kbps para os dois fluxos.
• Configure uma ação CAR hierárquica para limitar sua taxa de tráfego total a 4096 kbps.
• Use a ação no modo AND na ação CAR comum para o fluxo de dados.
• Use a ação no modo OR na ação CAR comum para o fluxo de vídeo.

O fluxo de vídeo tem garantia de largura de banda de 2048 kbps e pode usar a largura de banda ociosa do fluxo de dados.

Em um cenário de superatribuição de largura de banda, a largura de banda da porta de uplink é menor do que a taxa de tráfego total da porta de downlink. Você pode usar o CAR hierárquico para atender aos seguintes requisitos:

• Limite a taxa total de tráfego da porta de downlink.
• Permitir que cada porta de downlink encaminhe o tráfego à taxa máxima quando as outras portas estiverem ociosas. Por exemplo, você pode executar as seguintes tarefas:
• Use as ações comuns do CAR para limitar as taxas do fluxo de acesso à Internet 1 e do fluxo 2 a 128 kbps.
• Use uma ação CAR hierárquica para limitar sua taxa de tráfego total a 192 kbps.
• Use a ação CAR hierárquica para o fluxo 1 e o fluxo 2 no modo AND.

Quando o fluxo 1 não está presente, o fluxo 2 é transmitido na taxa máxima, 128 kbps. Quando ambos os fluxos estão presentes, a taxa total dos dois fluxos não pode exceder 192 kbps. Como resultado, a taxa de tráfego do fluxo 2 pode cair abaixo de 128 kbps.

Exemplo: Configurando contabilidade baseada em classes

Configuração de rede

Conforme mostrado na Figura 19, configure a contabilidade baseada em classe na GigabitEthernet 1/0/1 para coletar estatísticas para o tráfego de entrada de 1.1.1.1/24.

Figura 19 Diagrama de rede

Procedimento

# Crie a ACL 2000 básica e configure uma regra para corresponder aos pacotes com o endereço IP de origem 1.1.1.1.

<Device>  system-view
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 1.1.1.1 0
[Device-acl-ipv4-basic-2000] quit

# Crie uma classe de tráfego chamada classifier_1 e use a ACL 2000 como critério de correspondência na classe de tráfego.

[Device] traffic classifier classifier_1
[Device-classifier-classifier_1] if-match acl 2000
[Device-classifier-classifier_1] quit

# Crie um comportamento de tráfego chamado behavior_1 e configure a ação de contabilidade baseada em classe.

[Device] traffic behavior behavior_1
[Device-behavior-behavior_1] accounting packet
[Device-behavior-behavior_1] quit

# Criar uma política de QoS denominada policy e associar a classe de tráfego classifier_1 ao comportamento do tráfego

comportamento_1 na política de QoS.

[Device] qos policy policy
[Device-qospolicy-policy] classifier classifier_1 behavior behavior_1
[Device-qospolicy-policy] quit

# Aplique a política de QoS ao tráfego de entrada da GigabitEthernet 1/0/1.

[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] qos apply policy policy inbound
[Device-GigabitEthernet1/0/1] quit

# Exibir estatísticas de tráfego para verificar a configuração.

[Device] display qos policy interface gigabitethernet 1/0/1
Interface: GigabitEthernet1/0/1
Direction: Inbound
Policy: policy
Classifier: classifier_1
Operator: AND
Rule(s) :
If-match acl 2000
Behavior: behavior_1
Accounting enable:
28529 (Packets)

Tipos de buffers de dados

Os buffers de dados armazenam temporariamente os pacotes para evitar a perda de pacotes. Os seguintes buffers de dados estão disponíveis:

• Buffer de entrada - Armazena os pacotes de entrada quando a CPU está ocupada.
• Buffer de saída - armazena pacotes de saída quando ocorre congestionamento na rede. A Figura 23 mostra a estrutura dos buffers de entrada e saída.

Figura 23 Estrutura do buffer de dados

Recursos de células e recursos de pacotes

Um buffer usa os seguintes tipos de recursos:

• Recursos de célula - Armazenar pacotes. O buffer usa recursos de célula com base no tamanho dos pacotes. Suponha que um recurso de célula forneça 208 bytes. O buffer aloca um recurso de célula para um pacote de 128 bytes e dois recursos de célula para um pacote de 300 bytes.
• Recursos de pacotes - Armazene ponteiros de pacotes. Um ponteiro de pacote indica onde o pacote está localizado nos recursos da célula. O buffer usa um recurso de pacote para cada pacote de entrada ou de saída.

Área fixa e área compartilhada

• Área fixa - Particionada em filas, cada uma delas dividida igualmente por todas as interfaces do switch, conforme mostrado na Figura. Quando ocorre um congestionamento ou a CPU está ocupada, aplicam-se as seguintes regras :
• Uma interface usa primeiro as filas relevantes da área fixa para armazenar pacotes.
• Quando uma fila está cheia, a interface usa a fila correspondente da área compartilhada.
• Quando a fila na área compartilhada também está cheia, a interface descarta os pacotes subsequentes.

O sistema aloca a área fixa entre as filas, conforme especificado pelo usuário. Mesmo que uma fila não esteja cheia, outras filas não podem ocupar seu espaço. Da mesma forma, o compartilhamento de uma fila para uma interface não pode ser preterido por outras interfaces, mesmo que ela não esteja cheia.

• Área compartilhada - Particionada em filas, cada uma das quais não é dividida igualmente pelas interfaces, conforme mostrado na Figura 24. O sistema determina o espaço real da área compartilhada para cada fila de acordo com a configuração do usuário e o número de pacotes realmente recebidos e enviados. Se uma fila não estiver cheia, outras filas poderão ocupar seu espaço.

O sistema coloca os pacotes recebidos ou enviados em todas as interfaces em uma fila, na ordem em que chegam. Quando a fila está cheia, os pacotes subsequentes são descartados.

Figura 24 Área fixa e área compartilhada

Exemplo: Configuração de um intervalo de tempo

Configuração de rede

Conforme mostrado na Figura 1, configure uma ACL no dispositivo para permitir que o Host A acesse o servidor somente durante as 8:00 e 18:00 horas nos dias úteis de junho de 2015 até o final do ano.

Figura 25 Diagrama de rede

Procedimento

# Crie um intervalo de tempo periódico entre 8:00 e 18:00 nos dias úteis de junho de 2015 até o final do ano.

<Device> system-view
[Device] time-range work 8:0 to 18:0 working-day from 0:0 6/1/2015 to 24:00 12/31/2015

# Crie uma ACL básica IPv4 com o número 2001 e configure uma regra na ACL para permitir pacotes somente de 192.168.1.2/32 durante o intervalo de tempo de trabalho.

[Device] acl basic 2001
[Device-acl-ipv4-basic-2001] rule permit source 192.168.1.2 0 time-range work
[Device-acl-ipv4-basic-2001] rule deny source any time-range work
[Device-acl-ipv4-basic-2001] quit

# Aplique a ACL básica IPv4 2001 para filtrar os pacotes de saída na GigabitEthernet 1/0/2.

[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] packet-filter 2001 outbound
[Device-GigabitEthernet1/0/2] quit

Verificação da configuração

# Verifique se o trabalho de intervalo de tempo está ativo no dispositivo.

[Device] display time-range all
Current time is 13:58:35 6/19/2015 Friday
Time-range : work (Active)
08:00 to 18:00 working-day
from 00:00 6/1/2015 to 00:00 1/1/2016