Was ist Per-Tunnel-QoS?
Beim DMVPN registriert sich der Spoke-Router per NHRP, um seine (dynamische) public IP beim Next-Hop-Server (NHS) zu registrieren. Dabei kann der Router gleich einen Gruppennamen mitgeben, der in der Per-Tunnel-QoS-Konfiguration verwendet wird. Auf dem Hub wird für jede Gruppe eine QoS-Konfiguration angewendet. Damit lässt sich z.B. für jeden Spoke-Router die Datenrate auf die in der Außenstelle verwendete Downstream-Geschwindigkeit shapen. Wenn in der Hauptstelle eine Internet-Anbindung mit 34 MBit/s vorhanden ist, würde man damit normalerweise fast jede Außenstelle überlasten. Mit Per-Tunnel-QoS lässt sich das individuell runter regeln und wichtiger Traffic kann auch priorisiert werden.

Die Spoke-Konfiguration
Diese beschränkt sich auf eine Zeile in der Konfiguration:

interface Tunnel1
  description DMVPN-Tunnel Internet
  ...
  ip nhrp group SDSL2000-Std
  ...

Der Gruppenname (hier SDSL2000-Std) wird auf der Hub-Seite für die Auswahl der richtigen Policy verwendet. In diesem Beispiel ist die Außenstelle mit einer 2 MBit/s SDSL-Leitung angebunden, in der kein Voice verwendet wird. Die 2 MBit/s-Außenstelle mit Voice benutzt dann z.B. den Gruppennamen SDSL2000-Voice.

Die Gruppen sind auf dem Hub sichtbar:

HUB-Router#sh ip nhrp
...
10.255.255.8/32 via 10.255.255.8
   Tunnel1 created 2w5d, expire 01:43:49
   Type: dynamic, Flags: registered used
   NBMA address: 79.x.y.z
   Group: SDSL2000-Std
10.255.255.9/32 via 10.255.255.9
   Tunnel1 created 20:53:37, expire 01:46:01
   Type: dynamic, Flags: registered
   NBMA address: 88.x.y.z
   Group: HSDPA-Std
10.255.255.16/32 via 10.255.255.16
   Tunnel1 created 2w5d, expire 01:54:05
   Type: dynamic, Flags: registered used
   NBMA address: 80.x.y.z
   Group: SDSL2000-Std
10.255.255.152/32 via 10.255.255.152
   Tunnel1 created 2w5d, expire 01:29:46
   Type: dynamic, Flags: registered
   NBMA address: 80.x.y.z
   Group: ADSL3000-Voice
...

Die Hub-Konfiguration
Auf dem Hub wird als Minimum eine Policy für Shaping konfiguriert, die von der NHRP-Gruppe abhängig ist:

policy-map SDSL2000-Std-Parent
 class class-default
    shape average 2000000
policy-map HSDPA-Std-Parent
 class class-default
    shape average 3000000

Diese Policy-Map wird im DMVPN-Tunnel an die Ziel-NHRP-Gruppe gebunden:

interface Tunnel1
  description DMVPN-Tunnel Internet
  ip nhrp map group HSDPA-Std service-policy output HSDPA-Std-Parent
  ip nhrp map group SDSL2000-Std service-policy output SDSL2000-Std-Parent

Für alle Standorte, die diese NHRP-Gruppen verwenden, wird die ausgehende Datenrate auf zwei, bzw. auf drei MBit/s begrenzt.
Für die Standorte, die auch Voice benutzen, muss innerhalb dieser begrenzten Datenrate aber der Voice-Traffic bevorzugt werden. Dafür wird eine hierarchische Policy-Map konfiguriert:

class-map match-all EF-TRAFFIC
  match  dscp ef
!
policy-map ADSL3000-Voice
 class EF-TRAFFIC
    priority 256
 class class-default
    fair-queue
policy-map ADSL3000-Voice-Parent
 class class-default
    shape average 3000000
  service-policy ADSL3000-Voice

Hier wird in der Parent-Policy der Traffic auf 3 MBit geshaped. In diesen drei MBit/s wird 256 kBit/s für Voice-Traffic priorisiert. Auch das weitere gewünschte QoS-Verhalten würde in der Child-Policy konfiguriert werden. In dem Tunnel-Interface wird dann auch hier die Parent-Policy an die NHRP-Gruppe gebunden:

 interface Tunnel1
  ip nhrp map group ADSL3000-Voice service-policy output ADSL3000-Voice-Parent

Die Wirkung der QoS-Implementierung kann man dann mit “show dmvpn detail” und “show policy-map multipoint” überprüfen:

HUB-Router#sh dmvpn detail
...
    1 80.x.y.z     10.255.255.16    UP 20:38:56    D     10.255.255.16/32
NHRP group: SDSL2000-Std
 Output QoS service-policy applied: SDSL2000-Std-Parent

    1  80.x.y.z    10.255.255.152    UP     2w5d    D    10.255.255.152/32
NHRP group: ADSL3000-Voice
 Output QoS service-policy applied: ADSL3000-Voice-Parent

HUB-Router#sh policy-map multipoint 

Interface Tunnel1 <--> 80.x.y.z

  Service-policy output: ADSL3000-Voice-Parent

    Class-map: class-default (match-any)
      3643772 packets, 1136319199 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: any
      Queueing
      queue limit 750 packets
      (queue depth/total drops/no-buffer drops) 0/0/0
      (pkts output/bytes output) 3744389/1409612078
      shape (average) cir 3000000, bc 12000, be 12000
      target shape rate 3000000

      Service-policy : ADSL3000-Voice

        queue stats for all priority classes:
          Queueing
          queue limit 64 packets
          (queue depth/total drops/no-buffer drops) 0/0/0
          (pkts output/bytes output) 1046668/312237672

        Class-map: EF-TRAFFIC (match-all)
          1045840 packets, 242902872 bytes
          5 minute offered rate 0 bps, drop rate 0 bps
          Match:  dscp ef (46)
          Priority: 256 kbps, burst bytes 6400, b/w exceed drops: 0

        Class-map: class-default (match-any)
          2597932 packets, 893416327 bytes
          5 minute offered rate 0 bps, drop rate 0 bps
          Match: any
          Queueing
          queue limit 686 packets
          (queue depth/total drops/no-buffer drops/flowdrops) 0/0/0/0
          (pkts output/bytes output) 2697721/1097374406
          Fair-queue: per-flow queue limit 171
...

Verbleibende potentielle Probleme:
Auch Per-Tunnel QoS löst natürlich nicht alle Probleme. Wenn man z.B. mehrere Hubs hat, die Traffic zu den Spokes senden, dann weiß Hub1 nicht, wieviel Traffic Hub2 sendet. Auch haben die Hubs keine Information, ob die Spokes evtl. durch lokalen Internet-Traffic oder aber durch Spoke-to-Spoke-Kommunikation überlastet sind. Trotzdem kann die Kommunikation mit diesem Modell in vielen Fällen optimiert werden.

Zusätzlich werden einzelne Pakete durch das Shaping evtl. länger zurückgehalten, wodurch sich die Reihenfolge der IPSec-Pakete ändern kann. Der Replay-Buffer der Router muss also deutlich vergrößert oder der Replay-Check gar komplett ausgeschaltet werden:

crypto ipsec security-association replay window-size 1024
no crypto ipsec security-association replay window-size

In aktuellen Releases hat sich diese Einstellung allerdings geändert:

Auf dem Catalyst 2950 wird standardmäßig per AutoQos keine Expedite Queue mehr konfiguriert. Diese Änderung kam mit 12.1(22)EA2; erstaunlich was man manchmal verpasst …

RFC 5462: Multiprotocol Label Switching (MPLS) Label Stack Entry: “EXP” Field Renamed to “Traffic Class” Field

Hier der Header mit den aktuellen Bezeichnungen:

  0                   1                   2                   3
  0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
 |                Label                  | TC  |S|       TTL     |
 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

     Label:  Label Value, 20 bits
     TC:     Traffic Class field, 3 bits
     S:      Bottom of Stack, 1 bit
     TTL:    Time to Live, 8 bits

Um die Unterschiede zum 2950 zu erklären, benutze ich gesonderte Folien, die die folgenden Punkte beinhalten:

• Enabling QoS
• Trust States
• Queues
• Weighted Tail Drop (WTD)
• Shaped Round-Robin (SRR)
• Maps
• Classification
• Policing
• AutoQos

Download: Cisco: QoS auf dem Catalyst 3750

Die kostenlosen Cisco-Publikationen:
Packet Magazin (wurde leider eingestellt)
Internet Protocol Journal

Diverse Links
Buffers, Queues & Thresholds on Catalyst 6500 Ethernet Modules
Enterprise QoS Solution Reference Network Design Guide Version 3.3
Quality of Service on Cisco Catalyst 4500 Series
Network Based Application Recognition Performance Analysis
nBAR RTP Payload Classification

Der Cisco-Bandbreiten-Calculator für Voice (benötigt CCO-Zugang):

Cisco IOS Quality of Service Solutions Configuration Guide
Release 12.3
Release 12.4

Cisco IOS Quality of Service Solutions Command Reference
Release 12.3
Release 12.4

QoS Technical-Support bei Cisco

Der Technical-Support-Newsletter von Cisco

QoS mit Windows-Komponenten (wer mal “fremdgehen” möchte … ):
The MS QoS Components
What Is QoS?

Tools zum Testen von QoS

Iperf und D-ITG sind zwei der besseren Tools. Eine umfangreiche Liste mit Programnmen zum Generieren von Traffic gibt es hier.

Ein paar RFCs zum Thema:

2211 – Specification of the Controlled-Load Network Element Service
2212 – Specification of Guaranteed Quality of Service
2474 – Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers
2475 – An Architecture for Differentiated Services
2597 – Assured Forwarding PHB Group
2697 – A Single Rate Three Color Marker
2698 – A Two Rate Three Color Marker
2990 – Next Steps for the IP QoS Architecture
3246 – An Expedited Forwarding PHB (Per-Hop Behavior)
3260 – New Terminology and Clarifications for Diffserv
3290 – An Informal Management Model for Diffserv Routers
4594 – Configuration Guidelines for DiffServ Service Classes
Buch-Empfehlungen zum Thema:

Ein recht gutes Buch gibt es zum Thema QoS auf Catalyst-Switchen:
Cisco Catalyst® QoS: Quality of Service in Campus Networks

Sehr gut ist auch das Buch End-to-End Qos Network Design: Quality of Service in LANs, WANs, and VPNs Dieses fasst unter anderem sehr gut die Möglichkeiten bzw. Unterschiede der verschiedenen Switching-Plattformen zusammen.

Zwei weitere Bücher gibt es noch von Cisco-Press, aber die sind schon völlig veraltet.

Wenn ihr im Bereich TCP/IP ein wenig nachlegen wollt gibt es drei Spitzen-Bücher:

Douglas E. Comer: Internetworking with TCP/IP, Vol.1: Principles, Protocols, and Architectures
englisches Original
deutsche Übersetzung

R. Stevens: TCP/IP Illustrated, Vol.1 : The Protocols
englisches Original
deutsche Übersetzung

Die Qualität der deutschen Übersetzungen kenne ich nicht, aber die englischen Versionen sind spitze. Der “Comer” ist insgesamt sehr gut geschrieben, der Stevens glänzt durch sehr gute Protokoll-Analysen. Insgesamt finde ich den Comer aber etwas besser.

Sehr aktuell und gut ist auch “The TCP/IP Guide”.

Der Inhalt:

I. INTRODUCTION TO QoS
1. Introduction to QoS
2. QoS Design Overview

II. QoS TOOLSET
3. Classification and Marking Tools
4. Policing and Shaping Tools
5. Congestion-Management Tools
6. Congestion-Avoidance Tools
7. Link-Specific Tools
8. Bandwidth Reservation
9. Call Admission Control (CAC)
10. Catalyst QoS Tools
11. WLAN QoS Tools

III. LAN QoS DESIGN
12. Campus QoS Design

IV. WAN QoS DESIGN
13. WAN Aggregator QoS Design
14. Branch Router QoS Design

V. VPN QoS DESIGN
15. MPLS VPN QoS Design
16. IPSec VPN QoS Design
Appendix QoS “At-A-Glance” Summaries
Index

Wie die Inhaltsübersicht zeigt geht das Buch auf alle wesentlichen (oder zumindest für mich wesentlichen ) Punkte der QoS-Implementierung ein. Die einzelnen QoS-Werkzeuge werden der Reihe nach und übersichtlich in Theorie und mit Konfigurationsbeispielen vorgestellt. Dabei liegt der Focus des Buches schon sehr stark auf dem Diffserv-Modell. Intserv und Reservierugsverfahren wie RSVP werden zwar angesprochen, sind aber nur relativ kurze Kapitel.

Besonders wertvoll empfinde ich den Part III, “LAN QoS Design”. Da die Catalyst-Switche QoS in Hardware abbilden haben die Modelle halt verschiedene Möglichkeiten mit zum Teil auch unterschiedlicher Konfiguration. Auf ca. 150 Seiten wird auf diese Möglichkeiten und die Unterschiede eingegangen. Die besprochenen Modelle sind dabei die Geräte 2950, 3550, 2970/3560/3750, 4500 mit SupII+/III/IV und V sowie der 6500 mit SupII/PFC2 und Sup720/PFC3. Alleine dieses Kapitel rechtfertigt meiner Meinung nach den Kauf dieses Buches wenn man QoS in einer LAN-Umgebung zu implementieren hat.

Positiv:
komplette Übersicht
super LAN-Kapitel

Negativ:
nichts