[CCNP] CẤU HÌNH KIỂM SOÁT BĂNG THÔNG (QOS POLICING) TRÊN CISCO IOS


Trong quản trị mạng nâng cao, Kiểm soát băng thông (Policing) là một trong những công cụ then chốt được áp dụng ở hướng vào (Input) hoặc hướng ra (Output) của giao tiếp cổng nhầm giới hạn tốc độ lưu lượng ứng dụng theo một ngưỡng cam kết. Khác với cơ chế Định hình lưu lượng (Shaping) sử dụng hàng đợi để hoãn binh gói tin khi quá ngưỡng, Policer sẽ thực hiện hành động tức thời như chuyển tiếp, đánh dấu lại (Re-marking) hoặc loại bỏ (Drop) gói tin ngay khi dòng dữ liệu vượt quá giới hạn định sẵn.
Bám sát tài liệu "QoS Policing Configuration Example.pdf", bài viết này hướng dẫn chi tiết phương thức thiết lập 3 thuật toán kiểm soát băng thông tiêu chuẩn trên hệ điều hành Cisco IOS. 1. Mô hình kiểm thử hệ thống


[R1] (.1) ------------ (192.168.12.0/24) ------------ (.2) [R2]

• Thiết bị phát (R1): Tạo luồng dữ liệu ICMP liên tục để kiểm thử hiệu năng.

• Thiết bị kiểm soát (R2): Thực thi cơ chế phân loại bằng NBAR (match protocol icmp) và áp dụng các chính sách Policing.

2. Triển khai 3 thuật toán Policing tiêu chuẩn

2.1. Thuật toán đơn tốc độ, hai màu (Single Rate, Two-Color)


Đây là mô hình Policer cơ bản nhất, vận hành dựa trên một ngưỡng băng thông cam kết CIR (Committed Information Rate) và một lượng truyền dữ liệu đột biến Bc (Committed Burst). Dữ liệu di chuyển qua sẽ được phân định thành 2 trạng thái hành động:

• Conform-action (Hợp chuẩn): Lưu lượng nằm trong ngưỡng CIR.

• Exceed-action (Vượt ngưỡng): Lưu lượng vượt ngưỡng CIR.

Trong cấu hình dưới đây, chúng ta thiết lập mức CIR là 128 Kbps (128000 bps). Nếu luồng tin hợp chuẩn sẽ được chuyển tiếp (transmit), nếu vượt ngưỡng sẽ bị hủy bỏ hoàn toàn (drop):
Plaintext
R2(config)# class-map ICMP
R2(config-cmap)# match protocol icmp
R2(config-cmap)# exit

R2(config)# policy-map SINGLE-RATE-TWO-COLOR
R2(config-pmap)# class ICMP
R2(config-pmap-c)# police 128000
R2(config-pmap-c-police)# conform-action transmit
R2(config-pmap-c-police)# exceed-action drop

(Lưu ý: Bạn cũng có thể cấu hình nhanh toàn bộ tham số trên một dòng lệnh đơn: police 128000 conform-action transmit exceed-action drop).
Áp dụng chính sách vào cổng kết nối vật lý hướng nhận dữ liệu:
Plaintext
R2(config)# interface FastEthernet 0/0
R2(config-if)# service-policy input SINGLE-RATE-TWO-COLOR 2.2. Thuật toán đơn tốc độ, ba màu (Single Rate, Three-Color)


Cơ chế này mở rộng khả năng xử lý bằng cách tích hợp thêm tham số đột biến vượt ngưỡng Be (Excess Burst), giúp phân định dòng dữ liệu thành 3 trạng thái màu sắc riêng biệt: Conform (Hợp chuẩn), Exceed (Vượt ngưỡng mạng), và Violate (Vi phạm nghiêm trọng).
Thay vì hủy bỏ ngay các gói tin ở trạng thái Exceed, thuật toán này cho phép "phạt" bằng cách xóa bỏ nhãn ưu tiên (Hạ giá trị DSCP về mặc định - default) nhưng vẫn chuyển tiếp gói tin đi, và chỉ thực hiện hủy bỏ (drop) khi luồng dữ liệu rơi vào trạng thái Violate.
Plaintext
R2(config)# policy-map SINGLE-RATE-THREE-COLOR
R2(config-pmap)# class ICMP
R2(config-pmap-c)# police 128000
R2(config-pmap-c-police)# conform-action transmit
R2(config-pmap-c-police)# exceed-action set-dscp-transmit default
R2(config-pmap-c-police)# violate-action drop

Kích hoạt thay thế chính sách trên cổng interface:
Plaintext
R2(config-if)# no service-policy input SINGLE-RATE-TWO-COLOR
R2(config-if)# service-policy input SINGLE-RATE-THREE-COLOR 2.3. Thuật toán đa tốc độ, ba màu (Dual Rate, Three-Color)


Đây là giải pháp kiểm soát băng thông tối ưu và nghiêm ngặt nhất cho các đường truyền phân cấp. Thuật toán sử dụng đồng thời hai đồng hồ đo tốc độ độc lập: CIR (Tốc độ cam kết tối thiểu) và PIR (Peak Information Rate - Tốc độ đỉnh tối đa).

• Luồng tin dưới mức CIR: Trạng thái Conform $\rightarrow$ Chuyển tiếp.

• Luồng tin vượt CIR nhưng nằm dưới PIR: Trạng thái Exceed $\$rightarrow Đổi nhãn DSCP về 0 và chuyển tiếp.

• Luồng tin vượt quá mức PIR: Trạng thái Violate $\$rightarrow Hủy bỏ tức thì.

Cấu hình thực tế thiết lập mức CIR 128 Kbps và PIR 256 Kbps:
Plaintext
R2(config)# policy-map DUAL-RATE-THREE-COLOR
R2(config-pmap)# class ICMP
R2(config-pmap-c)# police cir 128000 pir 256000
R2(config-pmap-c-police)# conform-action transmit
R2(config-pmap-c-police)# exceed-action set-dscp-transmit default
R2(config-pmap-c-police)# violate-action drop

Kích hoạt chính sách lên cổng mạng:
Plaintext
R2(config-if)# no service-policy input SINGLE-RATE-THREE-COLOR
R2(config-if)# service-policy input DUAL-RATE-THREE-COLOR 3. Giám sát hiệu năng hệ thống qua số liệu thực tế


Sau khi kích hoạt lệnh ping kiểm thử liên tục từ R1, câu lệnh show policy-map interface trên R2 cung cấp các thông số tường minh về hiệu suất xử lý của từng thuật toán.
Trích xuất dữ liệu mẫu từ cơ chế Dual Rate:
Plaintext
R2# show policy-map interface FastEthernet 0/0
Class-map: ICMP (match-all)
7472 packets, 851808 bytes
Match: protocol icmp
police:
cir 128000 bps, bc 4000 bytes
pir 256000 bps, be 8000 bytes
conformed 3713 packets, 423282 bytes; actions: transmit
exceeded 3715 packets, 423510 bytes; actions: set-dscp-transmit default
violated 44 packets, 5016 bytes; actions: drop

Thông tin hiển thị trên minh chứng tính hiệu quả của giải pháp: Router tự động tính toán các giá trị đột biến mặc định ($Bc = 4000 \text{ bytes}$, $Be = 8000 \text{ bytes}$) dựa trên tốc độ cấu hình. Đồng thời, lượng gói tin được phân cấp chính xác vào các phân mục hành động cụ thể, giúp bảo vệ tài nguyên băng thông cốt lõi của doanh nghiệp.
NÂNG CAO KỸ NĂNG ĐIỀU PHỐI LƯU LƯỢNG MẠNG TẠI VNPRO
Kỹ thuật kiểm soát băng thông (QoS Policing) theo các thuật toán Token Bucket đơn và đa tốc độ là học phần thực hành chuyên sâu bắt buộc thuộc cấu trúc bài thi quốc tế CCNP Enterprise và CCIE Enterprise Infrastructure. Để trực tiếp tối ưu hóa và làm chủ hạ tầng viễn thông doanh nghiệp, quý học viên có thể đăng ký tham gia các khóa đào tạo chuyên gia tại VnPro[cite: 10].

• Hotline/Zalo hỗ trợ tư vấn: 093 3427 079

• Websitevnpro.vn.

​

​