QoS auf VPN-Verbindung mit VTI

[maho 10]

Hallo,

 

auf einer VPN-Verbindung würde ich gerne den Traffic priorisieren. Citrix soll höchste Prio haben vor jeglichem Traffic haben.

 

Habe dafür mal folgendes ausprobiert:

Auf Aussenstellenrouter mit DSL2000/192

ip access-list extended prio-citrix

permit tcp any any eq 1494

permit tcp any eq 1494 any

 

class-map match-all citrix

match access-group name prio-citrix

 

policy-map policy2

class citrix

bandwidth percent 95

 

policy-map policy1

class class-default

shape average 192000

service-policy policy2

 

interface Tunnel10

service-policy output policy1

----------------------------------------------------------------

 

In der Zentrale mit Internet 2Mbit Standleitung:

ip access-list extended prio-citrix

permit tcp any any eq 1494

permit tcp any eq 1494 any

 

 

class-map match-all citrix

match access-group name prio-citrix

 

policy-map policy2

class citrix

bandwidth percent 95

 

policy-map policy1

class class-default

shape average 2000000

service-policy policy2

 

interface Tunnel10

service-policy output policy1

 

Ich kopiere große Dateien hin und her und habe eine schlechte Perfomance in meiner Citrix-Session, egal ob mit der QoS Konfiguration oder ohne.

 

Überjeden Hinweis wäre ich sehr dankbar!

 

Danke schon mal im Voraus.

 

Gruß, maho

[#9370 10]

Ich würde da das Problem eher bei den Leitungen suchen. Für wichtigen, zeitkritischen Verkehr ist das Internet nicht die beste Wahl.

Eine andere Frage: Warum hast du für Citrix 95% Bandbreite konfiguriert? Ich kann auch die verschachtelten policy-maps nicht nachvollziehen. Ebenso wäre LLQ für zeitkritische Applikationnen die bessere Wahl. Wenn du wirklich 95% Citrix Verkehr hast, dann nützt nur noch ein Bandbreitenupgrade.

Vielleicht helfen folgende Links weiter:

Cisco IOS Security Configuration Guide, Release 12.4 - Low Latency Queuing (LLQ) for IPSec Encryption Engines  [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems

Cisco IOS Security Configuration Guide, Release 12.4 - IPSec Virtual Tunnel Interface  [Cisco IOS Software Releases 12.4 Mainline] - Cisco Systems

[maho 10]

Ich kenne micht mit QoS nicht aus. Die Bandbreite ist für die kleine Anzahl User (2) an diesem Standort völlig ausreichend. Ab und zu hängt sich die Citrix-Session auf bzw. haben die User Tastaturverzögerungen. Verantwortlich könnten möglicherweise kurzzeitige Spitzen sein, wofür z.B. das Drucken verantwortlich sein könnte. Deswegen möchte ich grundsätzlich die Bandbreite "kontrollieren". Citrix soll immer vorrang vor allem anderen Traffic haben. Wenn parallel gedruckt wird, soll eben das Drucken langsamer gehen und dafür hat der User immer mit seiner Citrix-Session keine Performanceprobleme (klar, solange die Antwortzeiten im Internet mitmachen).

 

Ich dachte wenn ich 95% eintrage, wird dieser Wert für die Citrix reserviert. Die Grundkonfiguration habe ich aus einem anderen Forum.

 

@#9370

Danke für die Links. In dem 2. Link (VTI) steht leider nicht, wie man auf Port-Basis QoS konfiguriert.

[tom12 10]

Hi,

 

wenn Citrix priorität 1 haben soll, solltest du auf alle Fälle ein sog. LLQ machen:

 

policy-map policy2

class citrix

priority percent 95

 

mit dem command "bandwidth" definierst du die reservierte BAndbreite, keine priority Queue.

 

Dann hast du noch ein weiteres "Problem":

der upload ist 192 kbit/s...

bis zu Links von 1536 hast du (laut Cisco!) das das "Link Serialization - Problem" (v.a. bei QoS und Voip).

Ein PAket braucht eine gewisse Zeit um auf dem physischem Medium übertragen zu werden. Also 1500 Byte brauchen bei einem 64k link ca. 187ms , bei einem 1536k link 7 ms).

Wenn also fette ftp oder smtp pakete versendet werden, müssen die hinteren kleinen Pakete (citrix) warten, bis die anderen abtransportiert sind.Also gibt es eine Verzögerung..

Um dies zu optimieren, sollte PPP LFI (Link fragmentation and Interleaving) gemacht werden.

Bei LFI werden die PAkete in viele kleine Pakete zerstückelt, um das "Link Serialization - Problem" zum vermeiden.

 

Grüsse

Thomas

[maho 10]

Das ist ein tolles Forum -mit tollen Usern!!!

 

@Thomas

Ich habe die Priorisierung auf beiden Seiten angepasst (priority percent 95). Leider habe ich immer noch schlechte Performance mit meiner Citrix-Session, wenn Dateien hin- und herkopiere und große Pingpakete laufen lasse. PPP LFI sieht ja Mega kompliziert aus. Auf die schnelle konnte ich das nicht in die vorhandene Konfiguration rein arbeiten. Werde mir das nochmals genauer anschauen.

 

Wenn ich das mit der Priorisierung hinkriegen würde, wäre ich schon ein ganzes Stück weiter.

 

Hier mal die Ausgaben vom "sh policy-map interface":

 

Router Zentrale

Tunnel99

 

Service-policy output: policy1

 

Class-map: class-default (match-any)

53118 packets, 61337392 bytes

5 minute offered rate 232000 bps, drop rate 0 bps

Match: any

Traffic Shaping

Target/Average Byte Sustain Excess Interval Increment

Rate Limit bits/int bits/int (ms) (bytes)

2000000/2000000 12500 50000 50000 25 6250

 

Adapt Queue Packets Bytes Packets Bytes Shaping

Active Depth Delayed Delayed Active

- 0 53118 61137628 21253 26931348 no

 

Service-policy : policy2

 

Class-map: citrix (match-all)

3471 packets, 262259 bytes

5 minute offered rate 0 bps, drop rate 0 bps

Match: access-group name prio-citrix

Queueing

Strict Priority

Output Queue: Conversation 72

Bandwidth 95 (%)

Bandwidth 1900 (kbps) Burst 47500 (Bytes)

(pkts matched/bytes matched) 365/36635

(total drops/bytes drops) 0/0

 

Class-map: class-default (match-any)

49647 packets, 61075133 bytes

5 minute offered rate 232000 bps, drop rate 0 bps

Match: any

 

Router Aussenstelle DSL 2000/192

Tunnel10

 

Service-policy output: policy1

 

Class-map: class-default (match-any)

36577 packets, 25983213 bytes

5 minute offered rate 177000 bps, drop rate 0 bps

Match: any

Traffic Shaping

Target/Average Byte Sustain Excess Interval Increment

Rate Limit bits/int bits/int (ms) (bytes)

192000/192000 1968 7872 7872 41 984

 

Adapt Queue Packets Bytes Packets Bytes Shaping

Active Depth Delayed Delayed Active

- 0 51794 25781257 40848 20593031 yes

 

Service-policy : policy2

 

Class-map: citrix (match-all)

3239 packets, 153836 bytes

5 minute offered rate 0 bps, drop rate 0 bps

Match: access-group name prio-citrix

Queueing

Strict Priority

Output Queue: Conversation 40

Bandwidth 95 (%)

Bandwidth 182 (kbps) Burst 4550 (Bytes)

(pkts matched/bytes matched) 2342/111125

(total drops/bytes drops) 0/0

 

Class-map: class-default (match-any)

33338 packets, 25534827 bytes

5 minute offered rate 177000 bps, drop rate 0 bps

Match: any

 

 

Gruß, maho

[Wordo 11]

Ich bin jetzt kein QoS-Experte, aber hast du in der crypto map ein "qos pre-classify" eingegeben? Der Auszug aus der Config wurde nicht gepostet ...

[#9370 10]

@ wordo: Das pre-classify wird bei VTIs nicht benötigt

@ maho: Beim 2. Link, den ich angegeben habe ist eine kurze Beispielconfig für LLQ und VTI ganz am Ende. Die muss nur auf Citrix angepasst werden.

Noch eine Frage: Wird eigentlich Citriy auch zum drucken verwendet, oder geht das über ein anderes Protokoll?

 

edit: die aktuelle Config wäre sehr hilfreich

[maho 10]

Ich schau mir den Link gleich an.

 

Zum Drucken wird Port 9100 verwendet.

 

Hier schon mal die Konfiguration des Aussenstellenrouters (DSL):

 

version 12.4

no service pad

service timestamps debug datetime localtime

service timestamps log datetime localtime

service password-encryption

!

hostname aussenstelle1

!

boot-start-marker

boot-end-marker

!

logging buffered 40000

enable secret 5 <removed>

!

no aaa new-model

clock timezone MEZ 1

clock summer-time MESZ recurring last Sun Mar 1:00 last Sun Oct 2:00

no ip source-route

ip cef

!

!

!

!

ip tftp source-interface Vlan1

no ip domain lookup

ip host tftp 10.50.3.5

!

multilink bundle-name authenticated

vpdn enable

!

vpdn-group 1

l2tp tunnel password 7

!

!

!

!

!

!

!

class-map match-all citrix

match access-group name prio-citrix

!

!

policy-map policy2

class citrix

priority percent 95

policy-map policy1

class class-default

shape average 192000

service-policy policy2

!

!

!

crypto isakmp policy 10

encr 3des

authentication pre-share

group 2

lifetime 3600

crypto isakmp key xxxaddress x.x.x.x no-xauth

!

!

crypto ipsec transform-set 3dessha esp-3des esp-sha-hmac

!

crypto ipsec profile P-3dessha

set transform-set 3dessha

!

!

!

!

!

interface Tunnel10

bandwidth 2000

ip address 10.80.0.2 255.255.255.252

tunnel source Dialer1

tunnel destination x.x.x.x

tunnel mode ipsec ipv4

tunnel protection ipsec profile P-3dessha

service-policy output policy1

!

interface BRI0

no ip address

encapsulation hdlc

shutdown

!

interface ATM0

no ip address

no atm ilmi-keepalive

pvc 1/32

pppoe-client dial-pool-number 1

!

dsl operating-mode auto

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface Vlan1

ip address 10.94.1.1 255.255.255.0

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1420

!

interface Dialer1

ip address negotiated

ip mtu 1460

ip nat outside

ip virtual-reassembly

encapsulation ppp

dialer pool 1

dialer idle-timeout 0

dialer-group 1

compress stac

no cdp enable

ppp authentication chap pap callin

ppp chap hostname xxx%kamp-dsl

ppp chap password xxx

ppp pap sent-username xxx%kamp-dsl password xxx

!

ip route 0.0.0.0 0.0.0.0 Dialer1

ip route 10.200.1.0 255.255.255.0 10.252.99.1

ip route 10.206.0.0 255.255.248.0 10.252.99.1

ip route 10.251.0.0 255.255.0.0 10.252.99.1

ip route 212.144.221.160 255.255.255.240 Dialer1

!

!

no ip http server

no ip http secure-server

ip nat inside source list 102 interface Dialer1 overload

!

ip access-list extended internet_in

permit icmp any any administratively-prohibited

permit icmp any any echo

permit icmp any any echo-reply

permit icmp any any packet-too-big

permit icmp any any time-exceeded

permit icmp any any traceroute

permit icmp any any unreachable

permit esp x.x.x.x 0.0.0.127 any

permit udp x.x.x.x 0.0.0.127 any eq isakmp

deny ip any any

ip access-list extended prio-citrix

permit tcp any any eq 1494

ip access-list extended routemap-clear-df

permit ip any 10.0.0.0 0.255.255.255

!

logging trap debugging

access-list 1 permit 10.94.1.0 0.0.0.255

access-list 102 deny ip host 10.94.1.10 10.0.0.0 0.255.255.255

access-list 102 permit ip host 10.94.1.10 any

no cdp run

!

!

!

route-map Clear-DF permit 10

match ip address routemap-clear-df

set ip df 0

!

!

control-plane

!

!

line con 0

password 7 <removed>

login

no modem enable

line aux 0

password 7 <removed>

login

line vty 0 4

exec-timeout 300 0

password 7 <removed>

login

!

scheduler max-task-time 5000

!

webvpn context Default_context

ssl authenticate verify all

!

no inservice

!

end

[#9370 10]

Die strict priority Queue zieht, wie man in den show Ausgaben sehen kann. Du solltest das PPP LFI, wie von tom12 beschrieben, probieren.

Hast du LLQ auch in der Zentrale konfiguriert? Ein weitere Problem kann der Provider sein, da dort das Netz sicher überbucht ist und du keinen garantierten Service hast.

[maho 10]

Wenn ich auf beiden Seiten

 

policy-map policy1

class class-default

shape average 192000

 

eingebe, sieht's viel besser aus. Trotz massiver Last, kann ich mit meiner Citrix-Session arbeiten. Und wenn ich auf beiden Seiten 100000 eingebe, sieht es nochmal viel besser aus mit meiner Session. Gibt es eine Erklärung dafür, warum sich das so verhält?

 

Kann mir jemand mit der LLQ und PPP LFI Konfiguration weiterhelfen? Ich weiss nicht, wie ich das mit der bestehenden Konfiguration (vor allem der Prio-Konfig.) verheiraten soll.

[maho 10]

Leider kann ich die LLQ Konfiguration wie beschrieben nicht eingeben:

 

class-map match-all llq

match access-group 150

 

policy-map llq-policy

class citrix

bandwidth percent 95

class class-default

fair-queue

 

vpn-test-vti(config-if)#no service-policy output policy1

vpn-test-vti(config-if)#service-policy output llq-policy

Class Based Weighted Fair Queueing not supported on interface Tunnel10

 

Mein Versuch mit PPP LFI wird wohl länger dauern, wenn ich das überhaupt selber hinbekomme...

[#9370 10]

Die Config müsste irgenwie so ausschauen (Ich habe jetzt gerade keinen Router zum Testen):

Die class-map Namen bei deinem letzten Post passen nicht zusammen.

 

class-map citrix

match access-group 150

 

policy-map policy1

class citrix

priority percent 50

class class-default

! fair-queue -> weglassen wenn nicht unterstützt; sollte nichts machen

interface Tu10

service-policy output policy1

 

 

Zu deiner anderen Frage: Wenn du Queue für die Default Klasse kleiner machst, dann können bei Last weniger Daten übertragen werden -> die anderen Queues haben mehr Bandbreite.

Du gibst der Priority Queue 95% der Bandbreite und der Default Queue 192kbps. 5% von 2MBit/s sind aber weniger als 192kBit/s.

Der Default Klasse wird normalerweise keine Bandbreite zugeordnet -> sie bekommt dann nur den Rest. Dann braucht man nicht herumrechnen.

[tom12 10]

Hi,

 

versuch die config so zu machen, wie es #9370 vorgeschlagen hat.

Also nur eine policy-map, in welcher du die beiden classen definierst.

und binde die service-policy unter dem PVC:

 

nterface ATM0

no ip address

no atm ilmi-keepalive

pvc 1/32

service-policy out policy1

 

 

Falls ein Fehler kommt, dass nicht genügend Bandbreite zur Verfügung steht, musst du im PVC noch die Geschwindigkeit des links angeben:

ubr 192

 

entferne das shaping (testweise) und mache ausschliesslich ein priority queuing auf Citrix.

 

Dann poste nochmal ein

show policy-map interface

 

Grüsse

Thomas

[maho 10]

Ich werde leider erst wieder in 2 Wochen dazu kommen an diesem Thema weiterzuarbeiten. Werde berichten, sobald ich die Tips von euch getestet habe.

 

Tausend Dank schon mal für eure Hilfe !!!

 

maho

[maho 10]

@tom12

Ich glaube, das "PPP LFI" lässt sich nur Framerelay konfigurieren.