Quality of Service - Classification with Access-List on Cisco IOS Router

QoS အကြောင်း သီအိုရီပြောပြီးပါပြီ။
ဒီတခါ Cisco IOS Router တွေမှာ Traffic ကို Access-List သုံးပြီး Classification လုပ်ဖို့ ဘယ်လို Configure လုပ်လဲ ဆိုတာ ရေးပါမယ်။
Access-List နဲ့ QoS Classification လုပ်ဖို့ Configure လုပ်တဲ့အခါ
-          - Access-List ဆောက်မယ်
-          - Class-map ဆောက်မယ်
-          - Policy-map ဆောက်မယ်
-          - လိုချင်တဲ့ Interface မှာ apply လုပ်မယ်ဆိုပြီး အဆင့်လေးဆင့်ရှိပါတယ်။
ဥပမာအနေနဲ့ အောက်က Topology မှာ R2 ရဲ့ incoming SSH Traffic ကို Classify လုပ်ကြည့်ပါမယ်။


ဒီအတွက် အပေါ်က အဆင့်တွေအတိုင်းလုပ်သွားပါမယ်။ (Interface , IP Address, SSH Key နဲ့ SSH စမ်းဖို့အတွက် login username , password တွေကို မိမိဘာသာ configure လုပ်ကြည့်ပါ။)
Access-List ဆောက်ပါမယ်။ ပုံမှန် Access-list တွေဆောက်ပြီးရင် interface မှာ သွားပြီး apply လုပ်လိုက်ရုံပါပဲ။ QoS မှာတော့ မဟုတ်ပါဘူး။ Modular Quality of Service Command-Line Interface (MQC) ဆိုတာကို သုံးရပါတယ်။ အခုတော့ SSH ဆိုတဲ့ access-list name နဲ့ port 22 ကို allow လုပ်တဲ့ access-list ကို အောက်ကအတိုင်းဆောက်ပါပြီ။

R2(config)#ip access-list extended SSH
R2(config-ext-nacl)#permit tcp any any eq 22
R2(config-ext-nacl)#exit
နောက်အဆင့်အနေနဲ့ Class-map ကို configure လုပ်ပါမယ်။ class-map မှာ matching လုပ်ဖို့ option တွေအများကြီးရှိတဲ့အထဲက အလွယ်ဆုံး access-group ဆိုတာကိုပဲ ရွေးပြီး class-map name ကိုလဲ SSH လို့ပဲ ပေးပါမယ်။

R2(config)#class-map SSH
R2(config-cmap)#match access-group name SSH
R2(config-cmap)#exit

ပြီးတာနဲ့ Class-map နဲ့ တွဲသုံးမယ့် Policy-map ကို create လုပ်ပါမယ်။ NO-SSH ဆိုတဲ့ name နဲ့ policy-map ကို create လုပ်ပြီး SSH ဆိုတဲ့ class-map နဲ့ တွဲပါမယ်။ ဒီနေရာ မှာ ကျတော်တို့ အနေနဲ့ QoS Action တွေဖြစ်တဲ့ Traffic ကို Queuing လုပ်ခိုင်းမလား၊ Marking လုပ်ခိုင်းမလား စတာတွေကို policy အနေနဲ့ ထည့်ခိုင်းနိုင်ပါတယ်။ ဒီမှာတော့ ကျတော်တို့ က Traffic ကို Class ပဲ ခွဲမှာဆိုတော့ ဘာမှ မထည့်ထားပါဘူး။

R2(config)#policy-map NO-SSH
R2(config-pmap)#class SSH
R2(config-pmap-c)#exit
R2(config-pmap)#exit

နောက်ဆုံးအဆင့် ဖြစ်တဲ့ လိုချင်တဲ့ Interface မှာ QoS ကို Apply လုပ်ပါမယ်။ ဒါမှ QoS Policy က ကိုယ်လိုချင်တဲ့ Action ကို ဖြစ်စေချင်တဲ့ Interface မှာဖြစ်အောင်လုပ်ပေးနိုင်မှာပါ။

R2(config)#int fa1/0
R2(config-if)#service-policy input NO-SSH
R2(config-if)#exit

ကဲ ပြီးတာနဲ့ R1 ကနေ R2 ကို SSH connection နဲ့ login လုပ်ကြည့်ပါ။
ပြီးရင် R2 မှာ အောက်ကအတိုင်း command လေးတွေရိုက်ပြီး ကိုယ့် QoS Classification အလုပ်လုပ်လား မလုပ်လား စစ်နိုင်ပါတယ်။

R1#ssh -l admin 172.16.21.2
Password:
R2>en
Password:
R2#
R2#exit

R2#show policy-map int fa 1/0
 FastEthernet1/0

  Service-policy input: NO-SSH

    Class-map: SSH (match-all)
      30 packets, 2806 bytes
      5 minute offered rate 0000 bps
      Match: access-group name SSH

    Class-map: class-default (match-any)
      0 packets, 0 bytes
      5 minute offered rate 0000 bps, drop rate 0000 bps
      Match: any

R1#ping 172.16.21.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.21.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/37/68 ms
R1#

R2#show policy-map int fa 1/0
 FastEthernet1/0

  Service-policy input: NO-SSH

    Class-map: SSH (match-all)
      44 packets, 3968 bytes
      5 minute offered rate 0000 bps
      Match: access-group name SSH

    Class-map: class-default (match-any)
      5 packets, 570 bytes
      5 minute offered rate 0000 bps, drop rate 0000 bps
      Match: any
R2#

အပေါ်မှာ ပြထားတာကိုကြည့်ရင် ကျတော်တို့ R2 မှာ configure လုပ်ထားတဲ့ policy-name, class-map နဲ့ access-list တွေက အသက်ဝင်နေတာကို တွေ့ရမှာပါ။
ကဲ…ဒီလောက်ဆို Cisco IOS Router တွေမှာ Access-List ကိုသုံးပြီး QoS Classification ကို ဘယ်လို အသုံးချရလဲ ဘယ်လို configure လုပ်ရလဲဆိုတာ သိလောက်ပြီထင်ပါတယ်။
နောက်ပို့စ်မှာ Classification ကိုပဲ Network-Based Application Recognisation (NBAR) နဲ့ configure လုပ်ပြီး အသုံးပြုပုံကို ထပ်ရေးပါအုံးမယ်။

ပျော်ရွှင်ပါစေဗျာ။

(Be knowledgeable, pass it on then)

Post a Comment