スカベンジャークラスQoSとは
・継続的に大量のトラフィックを送信し続けるワームなどを想定して、アクセスポートで入力量の確認(= Policing) を行う。
・トラフィック量が正常か異常か識別 (目安はインタフェース速度の5%程度) を行い、正常値を超えたトラフィックに対して、異常トラフィックの可能性があるクラス(= スカベンジャークラス) 用の優先度をつける。
ネットワークの輻輳時、入力時の流量確認でスカベンジャークラスに設定されたトラフィックから優先して破棄を行う。送信スケジューリング設定で、スカベンジャークラスのトラフィックをもっとも優先度の低いキューにいれる。正常な範囲のトラフィックは送信しつづけられ、ワームなどのアタックからネットワークを守ることができる。
・送信優先制御のためのQoSだけではなく、破棄優先制御のためのQoSを実現する考え方。

設定のポイント
・各アクセスポイントにアプリケーションごとに優先度をつけて流量確認のためのPolicingを行い、指定した帯域を超えたものはスカベンジャークラス(CS1 = DSCP 8)に変更する。すぐに破棄するわけではない。

※注意点
2960/3560/3750ではアクセスポートでの Per-Port/Per-VLAN Policingをサポートしていない。そのためIP-Phone接続ポートでVoice VLANとData VLANのアプリケーションを識別するために、アクセスリストで送信元Voice VLANのIPアドレスとポート番号を使う必要がある。

Cat3750#sh run
Building configuration...

01:31:52: %SYS-5-CONFIG_I: Configured from console by console
Current configuration : 2473 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Cat3750
!
!
no aaa new-model
switch 1 provision ws-c3750g-24ts
ip subnet-zero
!
!
mls qos map policed-dscp 0 24 to 8
!exceed-action policed-drop-transmitはこのマップに従いマークダウンする
mls qos map cos-dscp 0 8 16 24 32 46 48 56
!CoS値をDSCP値にマッピング

!
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
class-map match-all VVLAN-CALL-SIGNALING
match access-group name VVLAN-CALL-SIGNALING
class-map match-all VVLAN-VOICE
match access-group name VVLAN-VOICE
class-map match-all VVLAN-ANY
match access-group name VVLAN-ANY
!
!
policy-map IPPHONE+PC-BASIC
class VVLAN-VOICE
set dscp ef
police 128000 8000 exceed-action drop
class VVLAN-CALL-SIGNALING
set dscp cs3
police 32000 8000 exceed-action policed-dscp-transmit
　　!police-dscpマップに従いマークダウンする
class VVLAN-ANY
set dscp default
police 32000 8000 exceed-action policed-dscp-transmit
　　!police-dscpマップに従いマークダウンする
class class-default
set dscp default
police 5000000 8000 exceed-action policed-dscp-transmit
　　!police-dscpマップに従いマークダウンする
!
!
!
interface GigabitEthernet1/0/1
switchport access vlan 110
service-policy input IPPHONE+PC-BASIC
!
interface GigabitEthernet1/0/2
!
interface GigabitEthernet1/0/3
!
interface GigabitEthernet1/0/4
!
interface GigabitEthernet1/0/5
!
interface GigabitEthernet1/0/6
!
interface GigabitEthernet1/0/7
!
interface GigabitEthernet1/0/8
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!
interface GigabitEthernet1/0/12
!
interface GigabitEthernet1/0/13
!
interface GigabitEthernet1/0/14
!
interface GigabitEthernet1/0/15
!
interface GigabitEthernet1/0/16
!
interface GigabitEthernet1/0/17
!
interface GigabitEthernet1/0/18
!
interface GigabitEthernet1/0/19
!
interface GigabitEthernet1/0/20
!
interface GigabitEthernet1/0/21
!
interface GigabitEthernet1/0/22
!
interface GigabitEthernet1/0/23
!
interface GigabitEthernet1/0/24
!
interface GigabitEthernet1/0/25
!
interface GigabitEthernet1/0/26
!
interface GigabitEthernet1/0/27
!
interface GigabitEthernet1/0/28
!
interface Vlan1
no ip address
!
ip classless
ip http server
ip http secure-server
!
!
ip access-list extended VVLAN-ANY
permit ip 10.1.110.0 0.0.0.255 any
ip access-list extended VVLAN-CALL-SIGNALING
permit tcp 10.1.110.0 0.0.0.255 any range 2000 2002
ip access-list extended VVLAN-VOICE
permit udp 10.1.110.0 0.0.0.255 any range 16384 32767
!
!
control-plane
!
!
line con 0
line vty 5 15
!
end

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

QoS設定のポイント(Output Scheduling)
・アプリケーション(優先度)ごとに、できるだけ異なる送信Queue/Thresholdに振り分ける。
・送信QueueとThresholdの数は製品によって異なるが、最低限以下の方針に従ってQueueへマッピングを行う Voiceトラフィック用にPriority Queueを使う。できれば必要以上にPriority Queueを使わないように約30%に制御する
・ベストエフォートとスカベンジャークラスは、通常のトラフィックと異なるQueueに入れ、輻輳時に必要以上に帯域を使わないようにスケジューリングする
　ベストエフォートは25%に制御
　スカベンジャーは5%に制御
上記以外のトラフィック用に1個以上のQueueを確保し、できるだけアプリケーションごとに異なるQueueとThresholdを割り当てる