Erişim noktasında trafiğin işaretlenmesi

[Nizam-ı Alem]

Metin2 EP, Valorant VP dahil tüm oyun ürünlerini en uygun fiyatlarla bulabilir, Item ve Karakterlerinizi hızlıca satabilirsiniz. HEMEN TIKLA!

QoS tek bir araç değildir. İş açısından önemli trafiği, iş açısından önemsiz trafiğe göre önceliklendirmek gibi ortak bir amaca ulaşmak için birlikte çalışan birden fazla QoS özelliği ve yeteneği içerir. Bu nedenle QoS, ancak pratik yaparak öğrenilebilen ve iyi anlaşılabilen ağ teknolojilerinden biridir. Teoriyi öğrenmek için önemli zaman harcayan ancak pratik yapmaya yeterli zaman ayırmayan mühendisler, her QoS aracının nasıl bir araya geldiğini ve yapılandırmanın nasıl yapılandırıldığını çok çabuk unuturlar. Bu nedenle, bu seride, QoS yeteneklerinin çoğunu pratik örnekler aracılığıyla göstereceğiz. Her dersin sonunda, derste kullanılan EVE-NG dosyasını indirebilir ve yapılandırmayı kendiniz uygulayabilirsiniz.
​

Başlangıç Durumu​

Aşağıdaki diyagram, üzerinde çalışacağımız müşteri ağını göstermektedir. Veri merkezi sunucuları, 10.16.1.0/24 alt ağındaki VLAN 10'da dağıtım anahtarına bağlanır. Anahtar, servis sağlayıcıya bağlanan WAN yönlendiricileri R1 ve R2'ye bağlanır.

Tüm uzak kullanıcıların sunucu LAN'ına erişimi vardır. Özellikle bir uzak kullanıcı, PC3 (10.32.1.1), veri merkezine bağlantıyı test etmek için kullanılmaktadır.
​

Laboratuvar Gereksinimleri​

Bir mühendis müşteri ağını yapılandırdı ancak tamamlayamadı. Müşteri, aşağıdaki gereksinimlere göre yapılandırmayı tamamlamanız için sizinle iletişime geçti. Yapılandırmanın mevcut durumu hakkında bilgi bulunmamaktadır.

Gereksinim 1: SW1 üzerinde aşağıdaki gibi dört trafik sınıfı tanımlamalısınız:
Standart porttaki SSH paketleriyle eşleşen SSH trafik sınıfı.
Standart porttaki telnet paketleriyle eşleşen TELNET trafik sınıfı.
Ping paketleriyle eşleşen ICMP trafik sınıfı.
HTTP ve HTTPS paketleriyle eşleşen WEB trafik sınıfı.

Gereksinim 2: Farklı trafik sınıflarını aşağıdaki gibi işaretleyen bir trafik politikası tanımlamalısınız:
SSH trafik sınıfı DSCP 34 (AF41) ile işaretlenmelidir.
TELNET trafik sınıfı DSCP 26 (AF31) ile işaretlenmelidir.
ICMP trafik sınıfı DSCP 18 (AF21) ile işaretlenmelidir.
WEB trafik sınıfı DSCP 10 (AF11) ile işaretlenmelidir.

Gereksinim 3: HTTP ve HTTPS trafiğini eşleştirmek için erişim listesi (ACL) kullanmanıza izin verilmez.

Gereksinim 4: Trafik politikası, dağıtım anahtarındaki uç cihazlardan gelen trafiğe uygulanmalıdır.

Doğrulamalar: SRV1'den (10.16.1.1) PC3'e (10.32.1.1) SSH, TELNET ve ICMP trafiği oluşturun ve ardından dağıtım anahtarında show policy-map interface Eth0/0 komutunu kontrol edin. Paketlerin farklı trafik sınıflarına sınıflandırıldığını ve laboratuvar gereksinimlerine göre DSCP değerleriyle işaretlendiğini görmelisiniz.
Gördüğünüz gibi, gereksinimler EVE-NG ortamında test edilebilmeleri için kurgusaldır. Gerçek bir iş ağında, trafik sınıfları muhtemelen ses, video ve diğer iş açısından önemli trafiğe (telnet, SSH ve ICMP değil) karşılık gelir.

Neyse, hedefleri kendiniz tamamlamaya çalışın ve ardından çözümünüzü bizimkiyle karşılaştırmak için geri dönün.
​

QoS Yapılandırması​

Aşağıdaki şemada gösterildiği gibi, Cisco cihazlarında MQC çerçevesini kullanarak Hizmet Kalitesi (QoS) yapılandırıyoruz.

Yapılandırma iş akışı, üç ana komut kullanan üç adımdan oluşur: `class-map`, `policy-map` ve `service-policy`. `class-map` komutunu kullanarak sınıflandırma yapılandırmasıyla başlayalım.
​

1. Adım: Sınıflandırma​

`class-map` komutu, trafiği birçok parametreye göre eşleştirmemizi sağlayan birçok eşleştirme seçeneğine sahiptir. Ancak, zamanın %99'unda ya bir erişim listesi ya da bir DSCP değeriyle eşleştirme yaparız. Bunlar, trafiği eşleştirmek için en yaygın kullanılan yöntemlerdir.

Örneğimizde, gerekli trafiği eşleştirmek için `class-map` komutlarında kullanabileceğimiz birkaç erişim listesine ihtiyacımız olacak.
​

Erişim Listeleri (ACL'ler)​

Erişim listeleri, paketleri başlık bilgilerine göre sınıflandırırken birincil eşleştirme aracıdır. Bir sınıf haritası bir erişim listesine atıfta bulunduğunda, bir ACL'nin izin ifadesiyle eşleşen herhangi bir paket, sınıf haritasıyla eşleşmiş olarak kabul edilir.

Örneğimizde, aşağıdaki erişim listelerine ihtiyacımız var.

ip access-list extended SSH
 10 permit tcp any any eq 22
!
ip access-list extended TELNET
 10 permit tcp any any eq 23
!
ip access-list extended ICMP
 10 permit icmp any any
!

Sınıf Haritaları​

Sınıf haritası, trafiği insan tanımlı bir trafik sınıfına ayırır. Örneğimizde, aşağıdaki üç trafik sınıfını kullanacağız. Her sınıf haritasının, paketin başlık bilgilerine göre gerçek eşleştirmeyi yapan bir erişim listesine atıfta bulunduğuna dikkat edin.

class-map SSH
 match access-group name SSH
!
class-map TELNET
 match access-group name TELNET
!
class-map ICMP
 match access-group name ICMP
!

Sınıf haritasının varsayılan olarak bir "tümünü eşleştir" parametresi içerdiğine dikkat edin (varsayılan olduğu için gösterilmemiştir). Bu, birden fazla eşleştirme ifadesi varsa, paketin trafik sınıfının bir parçası olarak kabul edilmesi için her ifadeyle eşleşmesi gerektiği anlamına gelir.

Gereksinimlere dikkat ederseniz, bir trafik sınıfı olan WEB eksiktir. Bunun nedeni, 3. gereksinim nedeniyle HTTP ve HTTPS trafiğini eşleştirmek için erişim listesi kullanamamamızdır. Bu nedenle, web trafiğini eşleştirmek için cihazın derin paket inceleme motorunu kullanmalıyız.
​

NBAR (Derin Paket İncelemesi)​

Cisco NBAR (Ağ Tabanlı Uygulama Tanıma), ACL kullanılarak sınıflandırılması zor olan paketleri sınıflandırabilen bir teknolojidir. Örneğin, dinamik portlar ve şifreleme kullanan bir protokolü erişim listesi kullanarak tanımlamak zordur. ACL'ler, bilinen portlardaki TCP/UDP trafiğini eşleştirmek için kullanışlıdır. NBAR, katman 3 ve katman 4 başlıklarının ötesine bakabilir ve SSL sertifikaları, URL dizeleri ve diğer paket öznitelikleri gibi uygulamaya özgü bilgileri inceleyebilir. Günümüzde NBAR2, derin paket inceleme motorunun en yeni neslidir. Dinamik portlar veya şifreleme kullansalar bile, uygulamaları protokollerine göre tanıyabilir.

Derin paket inceleme özelliğini kullanmak için, `match protocol` komutunu kullanarak bir sınıf haritası yapılandırıyoruz.

class-map match-any WEB
 match protocol http
 match protocol https
!

Dikkat edin, sınıf haritasında match-any parametresi var; bu, bir paketin trafik sınıfının bir parçası olarak kabul edilmesi için eşleşme ifadelerinden herhangi biriyle eşleşebileceği anlamına gelir.
​

Adım 2. Eylemler (PHB)​

Trafik sınıflarını yapılandırdıktan sonra, her sınıf için bir QoS eylemi belirtebiliriz. Bu örnekte, paketleri işaretleyeceğiz, bu nedenle aşağıdaki çıktıda gösterildiği gibi "ayarla" eylemini seçiyoruz.

SW1(config)# policy-map QOS_MARKING
SW1(config-pmap)# class SSH
SW1(config-pmap-c)#?
Policy-map class configuration commands:
  aaa-accounting   AAA Accounting
  account          Account statistic
  bandwidth        Bandwidth
  exit             Exit from class action configuration mode
  fair-queue       Enable Flow-based Fair Queuing in this Class
  netflow-sampler  NetFlow action
  no               Negate or set default values of a command
  police           Police
  priority         Strict Scheduling Priority for this Class
  queue-limit      Queue Max Threshold for Tail Drop
  random-detect    Enable Random Early Detection as drop policy
  service-policy   Configure QoS Service Policy
  set              Set QoS values
  shape            Traffic Shaping
 
SW1(config-pmap-c)# set dscp 46
SW1(config-pmap-c)# exit

Aşağıda gösterildiği gibi, her trafik sınıfı için DSCP değerini laboratuvar gereksinimlerine göre ayarladık.

policy-map QOS_MARKING
!
 class SSH
  set dscp af41
  !
 class TELNET
  set dscp af31
  !
 class ICMP
  set dscp af21
  !
 class WEB
  set dscp af11
 !

Bu noktada, trafik politikamız tamamlanmış olur ancak gerçek trafiğe uygulanmadığı için herhangi bir etkisi olmaz.
​

3. Adım: Trafik Politikasının Eklenmesi​

MQC sürecindeki son adım, politikayı bir arayüze eklemektir. Trafiği eşleştirmemiz ve sınıflandırmamız gerektiğinden, politikayı aşağıdaki çıktıda gösterildiği gibi, uç cihazlara bağlanan arayüze gelen yönde uyguluyoruz.

SW1# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
SW1(config)# int e0/0
SW1(config-if)#service-policy input QOS_MARKING
SW1(config-if)# end
SW1#

Bu politika, ağa giren trafiğin sınıflandırılmasını ve işaretlenmesini sağlayarak, aşağıdaki şemada gösterildiği gibi, aşağı yönlü QoS işlemine (örneğin, çekirdek ve WAN katmanlarında önceliklendirme, denetleme veya şekillendirme) hazırlanmasını garanti eder.

​

Doğrulama İşlemleri​

Şimdi, politikanın çalışıp çalışmadığını nasıl doğrulayabileceğimizi görelim. Öncelikle, uç cihazlardan ilginç trafik oluşturmamız gerekiyor. Ardından, dağıtım anahtarında `show policy-map interface` komutunu kullanarak politika sayaçlarını kontrol edebilir ve trafiğin farklı trafik sınıflarında eşleşip eşleşmediğini görebiliriz.

Şimdi SRV1'den (10.16.1.1) uzak cihaza (10.32.1.1) SSH trafiği oluşturalım.

SRV1# ssh -l cisco 10.32.1.1
Password: *****
PC3#
PC3# exit
[Connection to 10.32.1.1 closed by foreign host]
SRV1#

Şimdi de TELNET trafiği oluşturalım.

SRV1# telnet 10.32.1.1
Trying 10.32.1.1 ... Open
User Access Verification
Username: cisco
Password:
PC3# exit
[Connection to 10.32.1.1 closed by foreign host]

Son olarak, uzak sunucuya birkaç ping göndererek biraz ICMP trafiği oluşturalım.

SRV1# ping 10.32.1.1 re 100
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 10.32.1.1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 1/1/2 ms

Şimdi, giriş arayüzüne uyguladığımız QoS politikasını kontrol edersek, trafiğin farklı trafik sınıflarıyla nasıl eşleştiğini görebiliriz.

SW1# show policy-map interface Eth0/0
 Ethernet0/0
 
  Service-policy input: QOS_MARKING
 
    Class-map: SSH (match-all)
      87 packets, 8326 bytes
      5 minute offered rate 0000 bps, drop rate 0000 bps
      Match: access-group name SSH
      QoS Set
        dscp af41
          Packets marked 87
          
    Class-map: TELNET (match-all)
      36 packets, 2175 bytes
      5 minute offered rate 0000 bps, drop rate 0000 bps
      Match: access-group name TELNET
      QoS Set
        dscp af31
          Packets marked 36
          
    Class-map: ICMP (match-all)
      105 packets, 11970 bytes
      5 minute offered rate 0000 bps, drop rate 0000 bps
      Match: access-group name ICMP
      QoS Set
        dscp af21
          Packets marked 105
          
    Class-map: WEB (match-any)
      0 packets, 0 bytes
      5 minute offered rate 0000 bps, drop rate 0000 bps
      Match: protocol http
        0 packets, 0 bytes
        5 minute rate 0 bps
      Match: protocol https
        0 packets, 0 bytes
        5 minute rate 0 bps
      QoS Set
        dscp af11
          Packets marked 0
          
    Class-map: class-default (match-any)
      3213 packets, 6775531 bytes
      5 minute offered rate 1223 bps, drop rate 0000 bps
      Match: any

Nihai kontrol, hedef noktaya giden ağ yolunda daha ileride bir trafik yakalama işlemi yapmak ve paketlerin laboratuvar gereksinimlerine göre gerçekten bir DSCP değeriyle işaretlenip işaretlenmediğini görmek olacaktır.​

 

[Tolstoy]

Eline sağlık

 

[KERİM ERBAY]

Eline sağlık