QoS问题-托管IP VPN

（首先，对于这段文本墙，我感到抱歉。我不知道如何缩短它而又不丢失重要信息。我本来想使用聊天室，就像我们在serverfault上所做的那样问题，但网络工程室中没有人。

我们是一家拥有数个子公司的公司，在那儿我们拥有一个相当大的托管IP-VPN，它具有大约70个不同的位置，从2Mbps SHDSL到100Mbps光纤不等。IP-VPN承载多个VPN（确切地说是隧道）。

从管理和设计的角度来看，流量的优先级是：

1. VoIP（Avaya和Lync）
2. 影片（Lync）
3. RDP
4. 内部服务（文件服务器，Active Directory，Intranet等）
5. 非优先级内部服务（用于Internet使用的代理服务器，Windows更新服务，系统中心配置管理，防病毒更新代理等）
6. 不匹配的流量（互联网）

VoIP仅在用户数量少的某些办公室中使用。目前最大的使用VoIP的远程办公室拥有4mbps SHDSL（5名员工）和5部运行G.711 ALAW 64K编解码器的Avaya IP电话。这绝对不能使voip数据流量达到320kbps以上。我已验证电话使用DSCP 46进行音频，因此已正确匹配为EF（请参阅下面的配置）。但是，该信令与DSCP 24相匹配，我不确定我们的QoS配置文件是否可以接收。

在我们的总部（2x100Mbit光纤），所有远程位置都针对多个RDS服务器场使用RDP。RDP所使用的带宽不是那么容易确定，因为它基本上使用了所获得的一切。我们确实有一定的限制，以确保它不会占用太多资源，但这可能超出了本网站的范围。最近，我们确实在RDP上遇到了一些相当严重的问题（/server/515809/mouse-cursor-jumps-around-when-using-rdp），这就是为什么我将其发布在网络工程上。

Lync对音频使用DSCP 46，对视频使用DSCP 34。内部服务和非优先级内部服务仅由子网匹配，其他所有都与任何子网匹配。

这是最新的QoS配置修订版的副本，我对其进行了少许修改以隐藏某些名称和IP地址：

!
class-map match-any INTERNAL-PRI
 match access-group name CUST-INT-PRI
 match access-group name CUST-DMZ
class-map match-any INTERNAL-NOPRI
 match access-group name CUST-INT-NOPRI
class-map match-any REMOTEDESKTOP
 match access-group name RDP
class-map match-any ALL
 match any
class-map match-any NETWORK
 match ip precedence 6
 match ip precedence 7
class-map match-any EF
 match ip dscp ef
 match ip dscp cs5
class-map match-any AF-HIGH
 match ip dscp af41
 match ip dscp cs4
class-map match-any AF-MEDHI
 match ip dscp af31
 match ip dscp cs3
class-map match-any AF-MEDIUM
 match ip dscp af21
 match ip dscp cs2
class-map match-any AF-LOW
 match ip dscp af11
 match ip dscp cs1
class-map match-any BE
 match ip dscp default
!
!
policy-map setTos
 class EF
 class REMOTEDESKTOP
  set ip dscp af31
 class INTERNAL-PRI
  set ip dscp af21
 class INTERNAL-NONPRI
  set ip dscp af11
 class class-default
  set ip dscp default
policy-map useTos
 class EF
  priority percent 10
 class AF-HIGH
  bandwidth remaining percent 35
 class AF-MEDHI
  bandwidth remaining percent 25
 class AF-LOW
  bandwidth remaining percent 20
 class BE
  bandwidth remaining percent 10
 class NETWORK
policy-map QOS
 class ALL
  shape average 4096000
  service-policy useTos
!
!         
ip access-list standard CUST-DMZ
 permit 123.123.123.0 0.0.0.255
!
ip access-list standard CUST-INT-PRI
 permit 10.50.0.0 0.0.0.255
 permit 10.51.0.0 0.0.0.255
!
ip access-list standard CUST-INT-NOPRI
 permit 10.50.10.0 0.0.0.255
 permit 10.51.10.0 0.0.0.255
!
ip access-list extended RDP
 permit tcp any eq 3389 any
 permit tcp any any eq 3389
!

如您所见，这是一个相当大的QoS配置。请注意，我们并没有自行创建此配置，而是由IP-VPN提供商的前任员工完成的。还要注意，形状值会根据其连接类型（2mbps，4mbps，8mbps和10mbps）而改变。

现在，您可能想知道-这里的问题是什么？开始..

1. 就像我之前提到的，RDP用户抱怨无法识别滞后/用户输入，这让我们深感困惑。我们没有正确地确定优先级吗？是否可以确保RDP获得最小的数据包丢失，延迟和抖动，但仍受带宽限制？
2. 我在此配置中看不到任何队列。我已经阅读了一些Microsoft文档，他们建议在VoIP上使用优先级队列，在视频上使用WRED。我如何做到这一点？
3. 如配置所示，AF分类均未使用中高下降。哪些服务可以安全丢弃？RDP，视频和voip在掉线时效果不佳。
4. 带宽百分比是否有序？总计使用率达到100％

任何其他建议都是值得欢迎的，因为我迫切希望解决这个问题。如果您认为在问答网站上的回答太多了，我会勉强接受，并从我们的Cisco Gold合作伙伴处聘请顾问，这在财务上是可以的-我只想学习这一点。

要回答您的问题：

• RDP流量应达到剩余带宽的25％。在已预留带宽为35％的情况下（默认类别默认获取25％，EF默认获取10％）。所以，如果我是对的，您为RDP分配了〜665Kbps。无论如何，您应该检查是否通过以下命令丢弃数据包：

show policy-map <your wan interface> output class REMOTEDESKTOP

并检查丢失的数据包。

• 思科为每个用户定义的类分配一个队列，其中包括带宽或警察命令。为了简化操作，这些命令定义了拥塞期间分配给每个队列的带宽量。

• 从理论上讲，每个基于TCP的流都应该可以丢弃。实际上，其中一些不是。丢弃优先级位告诉路由器在发生拥塞之前应在给定类中丢弃哪些数据包。由于RDP是REMOTEDESKTOP类中定义的唯一流量类型，因此您不必担心它。

• 带宽百分比不正确（如Jeremy所述）。

就是说，我会在您的配置中更改很多事情：

• setTos和useTos策略映射的某些类之间没有匹配项。例如，一个名为AF-HIGH的设备不处理任何数据包，因为setTos中没有类将DSCP设置为AF41。

• setTos中的BE类在某种程度上是自欺欺人的，因为它使class-default类无用。请注意，class-default是唯一系统定义的类，默认情况下获得带宽的25％（100-max-reserved-bandwidth）。

• 剩余带宽百分比不是最佳选择（如Jeremy解释）。我将其更改为带宽百分比。

• 我希望自己标记EF数据包，而不要依赖手机的设置。

让我大吃一惊的是，您似乎正在将所有内容调整为4 Mbps。我认为路由器/站点上的速率会随着电路速度的变化而变化，但是在处理诸如VoIP和RDP等对时延敏感的应用程序时，通常希望避免进行整形，因为在拥塞期间，它可能导致过多的缓冲和抖动。

另外，该bandwidth remaining percent命令有些棘手：每个实例实际上分配剩余可用带宽的n％，而不是总带宽的n％。Arden Packeer的文章中的此图应有助于说明这一想法：

重要的是要注意，您定义的任何分类都必须与您的WAN提供商支持的分类相匹配。大多数提供商仅提供少量的预配置QoS配置文件，您必须从中选择最适合您的需求。您可以根据需要对WAN边缘的传入流量进行分类，但是提供商的QoS控制是控制在WAN传输过程中对流量的处理的控件。