Tweet
Tối ưu hóa hệ thống qos cơ chế và phương pháp phân loại lưu lượng (qos classification)trên cisco ios
TỐI ƯU HÓA HỆ THỐNG QOS: CƠ CHẾ VÀ PHƯƠNG PHÁP PHÂN LOẠI LƯU LƯỢNG (QOS CLASSIFICATION) TRÊN CISCO IOS
Trong một hạ tầng mạng doanh nghiệp tiêu chuẩn, sự đa dạng của các ứng dụng đồng nghĩa với việc mỗi luồng dữ liệu sẽ có những đòi hỏi kỹ thuật riêng biệt về băng thông, độ trễ (delay) và độ biến động trễ (jitter). Chẳng hạn, các ứng dụng truyền tải file như FTP phục vụ sao lưu dữ liệu thường đòi hỏi băng thông lớn nhưng hoàn toàn không nhạy cảm với trễ hay jitter. Ngược lại, dịch vụ thoại VoIP không chiếm dụng nhiều tài nguyên băng thông nhưng lại yêu cầu kiểm soát độ trễ và jitter nghiêm ngặt; nếu trễ quá cao, cuộc gọi sẽ bị gián đoạn như đang sử dụng bộ đàm, và jitter lớn sẽ trực tiếp làm biến dạng chất lượng âm thanh.
Theo cơ chế vận hành mặc định, thiết bị định tuyến (Router) thực hiện chuyển tiếp gói tin theo mô hình Best-Effort: chỉ kiểm tra địa chỉ IP đích, tra cứu bảng định tuyến và chuyển tiếp gói tin đi mà không hề phân biệt bản chất của ứng dụng. Do đó, Phân loại lưu lượng (Classification) chính là bước đi đầu tiên và bắt buộc trong tiến trình triển khai Quality of Service (QoS), giúp Router nhận diện và gán luồng dữ liệu vào các nhóm ứng dụng cụ thể trước khi áp dụng các chính sách chuyên sâu như đánh dấu (marking), xếp hàng đợi (queuing), giới hạn băng thông (policing) hay định hình lưu lượng (shaping).
Bám sát nội dung tài liệu "QoS Classification on Cisco IOS Router.pdf", bài viết này sẽ phân tích hai phương pháp phân loại cốt lõi trên hệ điều hành Cisco IOS. 1. Các phương pháp phân loại lưu lượng trên Cisco IOS
Để nhận diện ứng dụng, Router Cisco sử dụng hai kỹ thuật kiểm tra gói tin chính:
Cisco quản lý và triển khai các chính sách QoS thông qua cấu trúc dòng lệnh chuẩn hóa MQC bằng cách kết hợp ba thành phần: class-map (định nghĩa dữ liệu), policy-map (định nghĩa hành động) và service-policy (áp dụng vào giao tiếp cổng). 2.1. Phân loại lưu lượng bằng Access-List (Header Inspection)
Mặc dù Header Inspection rất đơn giản và hiệu quả, phương pháp này tồn tại nhược điểm lớn khi các ứng dụng không phổ biến hoặc các phần mềm nhắn tin tức thời cố tình chiếm dụng các cổng tiêu chuẩn (như TCP Port 80) để vượt qua tường lửa, khiến Router phân loại sai hành vi.
Tuy nhiên, đối với các dịch vụ tường minh như Telnet, việc sử dụng Extended Access-List vẫn là một giải pháp tối ưu.
Plaintext
R2(config)# ip access-list extended TELNET
R2(config-ext-nacl)# permit tcp any any eq 23
Plaintext
R2(config)# class-map TELNET
R2(config-cmap)# match access-group name TELNET
Plaintext
R2(config)# policy-map CLASSIFY
R2(config-pmap)# class TELNET
R2(config-pmap-c)# exit
R2(config)# interface GigabitEthernet 0/1
R2(config-if)# service-policy input CLASSIFY
Khi kiểm tra bằng câu lệnh show policy-map interface GigabitEthernet 0/1, Router sẽ hiển thị chi tiết số lượng gói tin khớp với ACL. Điểm lưu ý quan trọng là toàn bộ lượng lưu lượng không được định nghĩa rõ ràng trong các Class-map sẽ tự động rơi vào nhóm mặc định mang tên class-default. 2.2. Phân loại lưu lượng bằng NBAR (Payload Inspection)
Để khắc phục nhược điểm của ACL, NBAR cung cấp khả năng phân tích sâu. Khi kích hoạt, Router sẽ đối chiếu luồng dữ liệu nhận được với hệ thống chữ ký định danh ứng dụng và các thuộc tính lưu trữ trong phân hệ PDLM (Packet Description Language Module). Nhờ đó, NBAR có khả năng nhận diện chính xác lưu lượng ứng dụng (ví dụ như HTTP) bất kể ứng dụng đó đang chạy trên cổng dịch vụ nào, đồng thời có thể phân tích chi tiết các thuộc tính như định dạng URL, kiểu dữ liệu MIME (file zip, hình ảnh) hay thông tin User-agent của trình duyệt.
Để hỗ trợ việc giám sát trực quan trước khi cấu hình chính sách, kỹ sư có thể kích hoạt tính năng khám phá giao thức trực tiếp trên cổng giao tiếp mạng:
Plaintext
R2(config)# interface GigabitEthernet 0/1
R2(config-if)# ip nbar protocol-discovery
Sau đó, câu lệnh show ip nbar protocol-discovery sẽ thống kê chính xác các chủng loại giao thức kèm tốc độ bit tương ứng đang di chuyển qua cổng.
Để đưa NBAR vào cấu trúc thực thi QoS, chúng ta sử dụng từ khóa match protocol bên trong Class-map. Hệ điều hành Cisco IOS cung cấp một danh mục tích hợp sẵn vô cùng phong phú bao gồm hàng trăm ứng dụng khác nhau.
Plaintext
R2(config)# class-map NBAR-TELNET
R2(config-cmap)# match protocol telnet
R2(config-cmap)# exit
R2(config)# policy-map CLASSIFY
R2(config-pmap)# no class TELNET
R2(config-pmap)# class NBAR-TELNET
(Lưu ý: Việc kích hoạt câu lệnh ip nbar protocol-discovery trên cổng chỉ nhằm mục đích hiển thị thống kê, không phải là điều kiện bắt buộc để tính năng match protocol trong Class-map hoạt động).
Sau khi triển khai, lệnh kiểm tra giám sát show policy-map interface sẽ xác nhận trạng thái phân loại thành công thông qua dòng thông báo kết quả: Match: protocol telnet. Kết luận
Việc lựa chọn công cụ phân loại phụ thuộc vào đặc tính ứng dụng của doanh nghiệp: sử dụng Access-List cho các dịch vụ có cổng cố định, rõ ràng và sử dụng NBAR cho các ứng dụng web phức tạp hoặc lưu lượng động. Làm chủ giai đoạn Phân loại (Classification) sẽ tạo tiền đề vững chắc cho việc xây dựng các chính sách kiểm soát băng thông toàn diện ở các giai đoạn tiếp theo.
🎓 NÂNG CAO NĂNG LỰC TỐI ƯU HỆ THỐNG MẠNG TẠI VNPRO
Kỹ thuật phân loại và định hình lưu lượng chuyên sâu là một phần kiến thức nền tảng bắt buộc thuộc phân hệ dịch vụ hệ thống của chương trình đào tạo CCNP Enterprise và CCIE Enterprise Infrastructure. Để trực tiếp thao tác trên các thiết bị thật thế hệ mới và xây dựng các giải pháp tối ưu hóa hạ tầng mạng doanh nghiệp toàn diện, quý học viên có thể tham khảo các lộ trình học chuyên nghiệp tại VnPro.
Trong một hạ tầng mạng doanh nghiệp tiêu chuẩn, sự đa dạng của các ứng dụng đồng nghĩa với việc mỗi luồng dữ liệu sẽ có những đòi hỏi kỹ thuật riêng biệt về băng thông, độ trễ (delay) và độ biến động trễ (jitter). Chẳng hạn, các ứng dụng truyền tải file như FTP phục vụ sao lưu dữ liệu thường đòi hỏi băng thông lớn nhưng hoàn toàn không nhạy cảm với trễ hay jitter. Ngược lại, dịch vụ thoại VoIP không chiếm dụng nhiều tài nguyên băng thông nhưng lại yêu cầu kiểm soát độ trễ và jitter nghiêm ngặt; nếu trễ quá cao, cuộc gọi sẽ bị gián đoạn như đang sử dụng bộ đàm, và jitter lớn sẽ trực tiếp làm biến dạng chất lượng âm thanh.
Theo cơ chế vận hành mặc định, thiết bị định tuyến (Router) thực hiện chuyển tiếp gói tin theo mô hình Best-Effort: chỉ kiểm tra địa chỉ IP đích, tra cứu bảng định tuyến và chuyển tiếp gói tin đi mà không hề phân biệt bản chất của ứng dụng. Do đó, Phân loại lưu lượng (Classification) chính là bước đi đầu tiên và bắt buộc trong tiến trình triển khai Quality of Service (QoS), giúp Router nhận diện và gán luồng dữ liệu vào các nhóm ứng dụng cụ thể trước khi áp dụng các chính sách chuyên sâu như đánh dấu (marking), xếp hàng đợi (queuing), giới hạn băng thông (policing) hay định hình lưu lượng (shaping).
Bám sát nội dung tài liệu "QoS Classification on Cisco IOS Router.pdf", bài viết này sẽ phân tích hai phương pháp phân loại cốt lõi trên hệ điều hành Cisco IOS. 1. Các phương pháp phân loại lưu lượng trên Cisco IOS
Để nhận diện ứng dụng, Router Cisco sử dụng hai kỹ thuật kiểm tra gói tin chính:
- Header Inspection (Kiểm tra phần đầu gói tin): Phân tích các trường thông tin có sẵn trong tiêu đề lớp mạng. Phương pháp này kiểm tra thông tin lớp 2 (Địa chỉ MAC), lớp 3 (Địa chỉ IP nguồn/đích) và lớp 4 (Số cổng và giao thức nguồn/đích, ví dụ TCP Port 23 cho Telnet, TCP Port 80 cho HTTP).
- Payload Inspection (Kiểm tra vùng dữ liệu): Thực hiện kỹ thuật kiểm tra gói tin sâu (Deep Packet Inspection - DPI) vào bên trong vùng tài nguyên Payload để nhận diện ứng dụng một cách chính xác. Trên thiết bị Cisco, cơ chế này được thực thi thông qua công cụ NBAR (Network-Based Application Recognition).
Cisco quản lý và triển khai các chính sách QoS thông qua cấu trúc dòng lệnh chuẩn hóa MQC bằng cách kết hợp ba thành phần: class-map (định nghĩa dữ liệu), policy-map (định nghĩa hành động) và service-policy (áp dụng vào giao tiếp cổng). 2.1. Phân loại lưu lượng bằng Access-List (Header Inspection)
Mặc dù Header Inspection rất đơn giản và hiệu quả, phương pháp này tồn tại nhược điểm lớn khi các ứng dụng không phổ biến hoặc các phần mềm nhắn tin tức thời cố tình chiếm dụng các cổng tiêu chuẩn (như TCP Port 80) để vượt qua tường lửa, khiến Router phân loại sai hành vi.
Tuy nhiên, đối với các dịch vụ tường minh như Telnet, việc sử dụng Extended Access-List vẫn là một giải pháp tối ưu.
- Bước 1: Khởi tạo Access-list định danh cổng dịch vụ
Plaintext
R2(config)# ip access-list extended TELNET
R2(config-ext-nacl)# permit tcp any any eq 23
- Bước 2: Thiết lập Class-map liên kết với Access-list
Plaintext
R2(config)# class-map TELNET
R2(config-cmap)# match access-group name TELNET
- Bước 3: Tích hợp Class-map vào Policy-map và áp dụng trên giao tiếp cổng (hướng Input)
Plaintext
R2(config)# policy-map CLASSIFY
R2(config-pmap)# class TELNET
R2(config-pmap-c)# exit
R2(config)# interface GigabitEthernet 0/1
R2(config-if)# service-policy input CLASSIFY
Khi kiểm tra bằng câu lệnh show policy-map interface GigabitEthernet 0/1, Router sẽ hiển thị chi tiết số lượng gói tin khớp với ACL. Điểm lưu ý quan trọng là toàn bộ lượng lưu lượng không được định nghĩa rõ ràng trong các Class-map sẽ tự động rơi vào nhóm mặc định mang tên class-default. 2.2. Phân loại lưu lượng bằng NBAR (Payload Inspection)
Để khắc phục nhược điểm của ACL, NBAR cung cấp khả năng phân tích sâu. Khi kích hoạt, Router sẽ đối chiếu luồng dữ liệu nhận được với hệ thống chữ ký định danh ứng dụng và các thuộc tính lưu trữ trong phân hệ PDLM (Packet Description Language Module). Nhờ đó, NBAR có khả năng nhận diện chính xác lưu lượng ứng dụng (ví dụ như HTTP) bất kể ứng dụng đó đang chạy trên cổng dịch vụ nào, đồng thời có thể phân tích chi tiết các thuộc tính như định dạng URL, kiểu dữ liệu MIME (file zip, hình ảnh) hay thông tin User-agent của trình duyệt.
Để hỗ trợ việc giám sát trực quan trước khi cấu hình chính sách, kỹ sư có thể kích hoạt tính năng khám phá giao thức trực tiếp trên cổng giao tiếp mạng:
Plaintext
R2(config)# interface GigabitEthernet 0/1
R2(config-if)# ip nbar protocol-discovery
Sau đó, câu lệnh show ip nbar protocol-discovery sẽ thống kê chính xác các chủng loại giao thức kèm tốc độ bit tương ứng đang di chuyển qua cổng.
Để đưa NBAR vào cấu trúc thực thi QoS, chúng ta sử dụng từ khóa match protocol bên trong Class-map. Hệ điều hành Cisco IOS cung cấp một danh mục tích hợp sẵn vô cùng phong phú bao gồm hàng trăm ứng dụng khác nhau.
- Cấu hình thay thế chính sách phân loại bằng NBAR:
Plaintext
R2(config)# class-map NBAR-TELNET
R2(config-cmap)# match protocol telnet
R2(config-cmap)# exit
R2(config)# policy-map CLASSIFY
R2(config-pmap)# no class TELNET
R2(config-pmap)# class NBAR-TELNET
(Lưu ý: Việc kích hoạt câu lệnh ip nbar protocol-discovery trên cổng chỉ nhằm mục đích hiển thị thống kê, không phải là điều kiện bắt buộc để tính năng match protocol trong Class-map hoạt động).
Sau khi triển khai, lệnh kiểm tra giám sát show policy-map interface sẽ xác nhận trạng thái phân loại thành công thông qua dòng thông báo kết quả: Match: protocol telnet. Kết luận
Việc lựa chọn công cụ phân loại phụ thuộc vào đặc tính ứng dụng của doanh nghiệp: sử dụng Access-List cho các dịch vụ có cổng cố định, rõ ràng và sử dụng NBAR cho các ứng dụng web phức tạp hoặc lưu lượng động. Làm chủ giai đoạn Phân loại (Classification) sẽ tạo tiền đề vững chắc cho việc xây dựng các chính sách kiểm soát băng thông toàn diện ở các giai đoạn tiếp theo.
🎓 NÂNG CAO NĂNG LỰC TỐI ƯU HỆ THỐNG MẠNG TẠI VNPRO
Kỹ thuật phân loại và định hình lưu lượng chuyên sâu là một phần kiến thức nền tảng bắt buộc thuộc phân hệ dịch vụ hệ thống của chương trình đào tạo CCNP Enterprise và CCIE Enterprise Infrastructure. Để trực tiếp thao tác trên các thiết bị thật thế hệ mới và xây dựng các giải pháp tối ưu hóa hạ tầng mạng doanh nghiệp toàn diện, quý học viên có thể tham khảo các lộ trình học chuyên nghiệp tại VnPro.
- 📲 Hotline/Zalo tư vấn lộ trình đào tạo: 093 3427 079 để nhận thông tin chi tiết.
- 🌐 Website: vnpro.vn.
Attached Files