Natuurlijk, hier zijn aanbevelingen voor het ontwerpen van een geavanceerde QoS- en bandbreedtebeheerconfiguratie voor uw netwerk met Cisco Catalyst 9300 switches en Cisco ASA firewall: 1. VLAN-configuratie en traffic identificatie - Zorg dat VoIP-verkeer wordt geïdentificeerd en gemarkeerd, bijvoorbeeld via DSCP-waardes (bijv. EF voor VoIP). - Voor videoconferenties kunt u ook DSCP-waardes gebruiken (bijvoorbeeld AF41). - VLAN 10 (kantoor): VoIP en videoconferenties markeren. - VLAN 20 (gasten): geen QoS, alleen basisbeveiliging. 2. QoS-configuratie op de switches - Classificatie: ```plaintext class-map match-all VOIP match ip dscp ef class-map match-all VIDEO match ip dscp af41 class-map match-all GUEST match vlan 20 ``` - Codering en prioriteit: ```plaintext policy-map QoS_Policy class VOIP priority level 1 police cir 64 kbps class VIDEO bandwidth remaining percent 30 class class-default fair-queue ``` - Toepassing op interfaces: ```plaintext interface range GigabitEthernet1/0/1 - 24 service-policy output QoS_Policy ``` 3. Bandbreedtebeheer en beperkingen - Beperk download- en uploadbandbreedte voor gasten: ```plaintext class-map match-all GUEST match vlan 20 policy-map GUEST_Bandwidth class GUEST police cir 20 Mbps bc 22400 ``` - Implementeer dit op de VLAN-interface of de poorten die gasten verbinden. 4. QoS op de Cisco ASA firewall - Configureer QoS met class-maps en policy-maps: ```plaintext class-map VOIP match dscp ef class-map VIDEO match dscp af41 class-map GUEST match vlan 20 ! policy-map QoS_Firewall class VOIP priority 64 class VIDEO bandwidth remaining percent 30 class GUEST police cir 20 Mbps ! service-policy QoS_Firewall interface outside ``` 5. Minimale latency voor VoIP - Gebruik queuing en priority scheduling voor VoIP-verkeer. - Overweeg het gebruik van LLQ (Low Latency Queuing) op de switches: ```plaintext policy-map QoS_Priority class VOIP priority level 1 ``` 6. Monitoring en beheer - Gebruik Cisco Prime, NetFlow of Embedded Event Manager (EEM) scripts voor verkeerstracking. - Configureer SNMP voor real-time monitoring. - Controleer regelmatig de DSCP-markeringen en bandbreedtegebruik. 7. Overige aanbevelingen - Zorg dat alle netwerkapparatuur ondersteuning biedt voor de QoS- en policing-functies. - Documenteer de configuratie en test de prioritering met verkeersgenerators. - Houd rekening met mogelijke beperkingen en pas de policie aan op basis van het daadwerkelijke verkeer. Door deze configuratie te implementeren, krijgt VoIP en videoconferenties prioriteit, minimaliseert u latency en beheert u de bandbreedte voor gasten effectief. Mocht u verdere hulp nodig hebben bij specifieke commando's of implementatie, laat het gerust weten.

Zeker, hieronder vindt u een gedetailleerd plan voor het implementeren van geavanceerde QoS en bandbreedtebeheer in uw netwerk met Cisco Catalyst 9300 switches en een Cisco ASA firewall. ### Overzicht van de Aanpak 1. **Classificatie:** Identificeer en markeer het verkeer bij de bron (access switch). 2. **Beleid definiëren:** Creëer een QoS-model (bv. 4-klasse model) met duidelijke prioriteiten. 3. **Queueing & Scheduling:** Configureer de switches om verkeer te behandelen op basis van de classificatie. 4. **Policing & Shaping:** Beperk bandbreedte voor specifieke toepassingen. 5. **Firewall Integratie:** Zorg voor consistente behandeling van verkeer op de ASA. 6. **Monitoring:** Houd de prestaties en effectiviteit in de gaten. --- ### Stap 1: Class-Based Marking op de Cisco Catalyst 9300 Switches Het doel is om het verkeer zo dicht mogelijk bij de bron te classificeren en te markeren met de juiste Differentiated Services Code Point (DSCP) waarden. **a. Class Maps aanmaken om verkeer te herkennen:** ```cisco ! Herken VoIP verkeer (SIP, RTP) class-map match-any VOIP-CLASS match protocol sip match protocol rtp audio ! Herken videoconferentie verkeer class-map match-any VIDEO-CONF-CLASS match protocol rtp video match protocol cisco-phone ! Herken bulk/download verkeer (optioneel, kan ook met een default class) class-map match-any BULK-DATA-CLASS match protocol secure-http match protocol ftp ``` **b. Policy Map om verkeer te MARKEREN:** Deze policy wordt toegepast op switchpoorten in de toegangslaag (waar de eindgebruikers zijn aangesloten), in de **ingress** richting. ```cisco policy-map MARKING-POLICY class VOIP-CLASS set dscp ef ! EF (Expedited Forwarding) is de standaard voor latency-gevoelig verkeer zoals VoIP. class VIDEO-CONF-CLASS set dscp af41 ! AF41 (Assured Forwarding) geeft hoge prioriteit aan video met enige tolerantie voor verlies. class BULK-DATA-CLASS set dscp af11 ! AF11 (Assured Forwarding) geeft lage prioriteit aan bulkverkeer. ! We markeren het nu, zodat we het later kunnen beperken. class class-default set dscp default ! Alle overige verkeer krijgt de standaard DSCP waarde (0 - Best Effort). ``` **c. Policy Map toepassen op toegangspoorten:** ```cisco interface GigabitEthernet1/0/1 description Toegangspoort voor gebruiker switchport access vlan 10 switchport voice vlan 10 service-policy input MARKING-POLICY ! De "input" richting is cruciaal hier voor de initiële marking. ``` --- ### Stap 2: Queueing & Scheduling op Uplink/Trunk Poorten Op de uplink-poorten (bijv. naar de firewall of andere switches) configureert u hoe de switch de verschillende klassen van verkeer moet afhandelen. Dit gebeurt in de **egress** richting. **a. Aanmaken van een Queueing Policy:** De Catalyst 9300 gebruikt een op MQC (Modular QoS CLI) gebaseerd queueing-model. ```cisco policy-map QUEUING-POLICY ! Behandel VoIP verkeer met de hoogste prioriteit (Strict Priority Queue) class VOIP-CLASS priority level 1 ! Dit zorgt voor minimale latency en jitter voor VoIP-pakketten. ! Behandel Video verkeer met gegarandeerde bandbreedte class VIDEO-CONF-CLASS bandwidth percent 25 ! Reserveer 25% van de bandbreedte voor videoconferenties. ! Beperk en behandel Bulk/Download verkeer class BULK-DATA-CLASS police 20000000 8000 conform-action transmit exceed-action drop ! Hier wordt de bandbreedtebeperking van 20 Mbps (20.000.000 bps) geïmplementeerd. ! Pakketten die de 20 Mbps overschrijden, worden gedropt. ! Behandel standaard verkeer (Best Effort) class class-default bandwidth remaining percent 50 ! Van de *overgebleven* bandbreedte krijgt dit verkeer 50%. ! Dit zorgt voor een eerlijke verdeling van de niet-gereserveerde bandbreedte. ``` **b. Queueing Policy toepassen op uplink-poorten:** ```cisco interface TenGigabitEthernet1/1/1 description Uplink naar ASA Firewall switchport mode trunk service-policy output QUEUING-POLICY ! De "output" richting is waar de wachtrijen en scheduling plaatsvinden. ``` --- ### Stap 3: QoS op de Cisco ASA Firewall De ASA moet de DSCP-markeringen die door de switches zijn gezet, respecteren en kan ook zelf verkeer classificeren en beperken. **a. Class Maps op de ASA:** ```cisco ! Herken gemarkeerd VoIP verkeer class-map VOIP-CLASS match dscp ef ! Herken gemarkeerd Video verkeer class-map VIDEO-CLASS match dscp af41 ! Herken bulkverkeer voor beperking class-map BULK-DATA-CLASS match dscp af11 ``` **b. Policy Map voor QoS op de ASA:** Deze policy wordt toegepast op de *inside* interface in de *inspectie* richting. ```cisco policy-map GLOBAL-POLICY class VOIP-CLASS priority ! Geef VoIP verkeer strikte prioriteit. class VIDEO-CLASS bandwidth 100000 ! Reserveer minimaal 100 Mbps (pas dit aan aan uw verbinding) voor video. class BULK-DATA-CLASS police 20000000 ! Bevestig de bandbreedtebeperking van 20 Mbps ook op de firewall. class class-default ! Laat standaardverkeer zijn gang gaan zonder speciale behandeling. ``` **c. Service Policy op de ASA toepassen:** ```cisco service-policy GLOBAL-POLICY interface inside ``` --- ### Stap 4: Aanvullende Aanbevelingen 1. **Auto-QoS (voor snelle implementatie):** De Catalyst 9300 ondersteunt Auto-QoS, wat een goed startpunt kan zijn. ```cisco interface GigabitEthernet1/0/1 auto qos voip trust ! Dit vertrouwt de DSCP-markeringen van aangesloten Cisco IP-telefoons. ``` Pas de gegenereerde configuratie daarna aan volgens uw specifieke eisen. 2. **DSCP Transparantie:** Zorg ervoor dat de ASA en eventuele WAN-links de DSCP-waarden niet overschrijven. Controleer de `set dscp`-instellingen op de ASA. 3. **VLAN-specifieke configuratie:** Pas hetzelfde QoS-beleid toe op alle relevante VLANs (VLAN 10). Voor het gasten-VLAN (VLAN 20) kunt u een eenvoudiger, meer beperkend beleid toepassen dat alle verkeer als `class-default` behandelt. --- ### Stap 5: Monitoring en Beheer Tools 1. **Cisco CLI:** * `show policy-map interface [interface-naam]`: Toont statistieken over hoeveel verkeer er per klasse is gegaan en of er pakketten zijn gedropt. * `show mls qos interface [interface-naam] statistics`: Toont gedetailleerde QoS-statistieken op de switch. 2. **Cisco DNA Center:** Als uw switches hierin beheerd worden, biedt dit een uitgebreide grafische interface voor het ontwerpen, implementeren en monitoren van QoS-beleid. 3. **SNMP Monitoring Tools:** * **SolarWinds Network Performance Monitor:** Kan QoS-statistieken uitlezen en rapporteren. * **PRTG Network Monitor:** Heeft sensoren voor het monitoren van bandbreedte en kan SNMP OID's voor QoS uitlezen. * **LibreNMS / Observium:** Open-source alternatieven voor netwerkmonitoring. 4. **NetFlow / IPFIX:** * Configureer NetFlow export op uw Catalyst switches naar een collector zoals **Plixer Scrutinizer**, **ManageEngine NetFlow Analyzer**, of **Paessler PRTG**. * Dit geeft u diep inzicht in het verkeer per applicatie, DSCP-waarde en gesprek, zodat u de effectiviteit van uw beleid kunt verifiëren. ### Samenvatting Met deze configuratie creëert u een end-to-end QoS-strategie: * **VoIP (DSCP: EF)** krijgt altijd voorrang, waardoor latency en jitter worden geminimaliseerd. * **Videoconferenties (DSCP: AF41)** krijgen een gegarandeerde hoeveelheid bandbreedte voor soepele gesprekken. * **Downloads (DSCP: AF11)** worden hard beperkt tot 20 Mbps, zodat ze geen kritieke toepassingen kunnen verstoren. * **Standaard verkeer** wordt eerlijk behandeld met de overgebleven bandbreedte. Begin met het implementeren en testen in een gecontroleerde omgeving voordat u het volledige netwerk uitrolt. Gebruik de monitoringtools om de prestaties te valideren en pas de bandbreedtepercentages en politielimieten aan op basis van uw werkelijke netwerkgebruik.