本文着重讨论一些多层交换机qos的基本概念，以后将有相关内容的后续补充，希望能够帮助大家理解交换机的qos功能。

1. 理解qos
多层交换机使用InternetEngineering Task Force (IETF) DiffServ体系结构标准来实现qos. 这个体系结构在网络的边缘对进入的流量使用Layer 3 IP packets (ToS/DSCP)或者Layer 2 CoS 进行流量分类（Classification）和标识（Marking），在交换机内部为每一类流量生成Internal DSCP(不修改数据包或者帧的qos值),交换机使用这个Internal DSCP值来对每一类流量实施各种QOS策略。

2. 流量的优先级标准
（1） Layer 2 frames的优先级比特位:
Layer 2 Inter-Switch Link (ISL) frame
头信息中有个 1-byte User字段的最后三个比特定义了和IEEE 802.1p class of service (CoS)相同的优先级（0～7）。将一个交换机接口配置为isl trunk时，该接口的所有的流量以isl帧的格式处理

Layer 2 802.1Q frame
头信息中插入一个 2-byte Tag Control Information field ，其中的前三个比特定义了IEEE 802.1p class of service (CoS)，将一个交换机接口配置为802.1q trunk时，该接口的native vlan的流量没有cos信息，其他所有vlan的流量都以802.1q帧的格式处理，携带有cos信息。
Layer 2 CoS值的范围为0～7， 0 是最低优先级，7是最高优先级.

（2） Layer 3 packets的优先级比特位::
Layer 3 IP packets 能够使用同一个头字段携带IP precedence 或者 Differentiated Services Code Point(DSCP) . QoS 支持这两种标准， DSCP 后向兼容IP precedence。
IP precedence（3bit） 范围： 0 to 7.
DSCP（6bit）范围 ： 0 to 63.


3．基本QoS模型
下图示意了交换机的基本的QoS处理模型
（1）对一个交换机接口的入站方向的流量，可以实施以下qos处理.
o 分类（Classifying），为每一类流量产生一个internal DSCP.
o 策略 (Policing), 对于每一类流量进行带宽和速率限制.
o 标识 (Marking), 对于每一类流量进行按条件的标识处理

（2）对一个交换机接口的出站方向的流量，可以实施以下qos处理.
o 排队 (Queueing):
基于流量的internal DSCP和系统的DSCP to CoS映射, 为每一类流量选择一个合适的接口出站队列(每接口自动有四个出站队列)
o 调度服务(Scheduling services):
可以调整四个队列基于WRR队列设定的weights 和 thresholds使用接口带宽.
也可以配置一个加速队列(expedite queue), 优先于其他三个队列被服务和转发.
在千兆接口,可以实施 tail drop或WRED拥赛避免技术.
在百兆接口, 只能实施 tail drop技术.

 

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　E-Mail　：zj@ccxx.net

#p#2)自反访问表的超时：

a.对于TCP流量，当下列三种情况中任何一种出现时，才会删除临时性的访问表：
a)两个连续的FIN标志被检测到，之后5秒钟删除。

在正常情况下，TCP在断开连接时需要经历四次握手:


　　　　　

　TCP是一个双向的协议,前两次握手，断开从source到destination的连接，
　　　　　　　　　　　后两次握手，断开从destination到source的连接。

　临时性访问表的删除之所以要延迟5秒，是为了给TCP连接的断开一个缓冲的时间，保证TCP能够平滑的断开连接。

b)RST标志被检测到，立即删除。
c)配置的空闲超时值到期(缺省是300秒)。

b.对于UDP，由于没有各种标志，所以只有当配置的空闲超时值(300秒)到期才会删除临时性的访问表。

#p#3)解决自反访问表对FTP的缺陷：

FTP的两种模式：
a)standard-mode(标准模式):

　　　　
标准模式的特点：
1)ftp-server端使用两个wellknown端口，21和20 , 21号端口为控制信道，20号端口为数据信息。
2)数据由ftp-server端始发。

b)passive-mode(被动模式):

被动模式的特点：
1)ftp-server端使用一个wellknown端口和一个 >1024的随机端口，此例中为21和1800 , 21号端口为控制信道，1800号端口为数据信息。
2)数据由ftp-client端始发。

通过以上分析，我们发现对于被动模式的FTP，自反访问表可以正常工作(因为数据是由ftp-client端始发)
但是对于标准模式的FTP，自反访问表将不能正常工作
(因为数据由ftp-server端从20号端口始发，当ftp-server向client返回数据时，与临时性访问表不匹配)

#p#利用ACL解决自反访问表对于FTP的缺陷:

例:
　

允许由内部192.168.10.0/24始发的HTTP，SMTP, TCP流量可以出去, 其余的流量全部拒绝。

RA:
!
ip access-list extended OUTBOUND
permit tcp 192.168.10.0 0.0.0.255 any eq www reflect CISCO
permit tcp 192.168.10.0 0.0.0.255 any eq smtp reflect CISCO
permit tcp 192.168.10.0 0.0.0.255 any eq reflect CISCO
!
!
ip access-list extended INBOUND
permit tcp any eq ftp-data 192.168.10.0 0.0.0.255
evaluate CISCO
!
int s0
ip access-group OUBOUND out
ip access-group INBOUND in
!
ip reflexive-list timeout 300 (设置临时性访问条目的生存期，缺省为300秒)