QoS Laboratorioharjoitus 6

QoS Laboratorioharjoitus 6 Eemeli Paananen Henrik Saari Robert Rahikainen Laboratorioharjoitus Huhtikuu 2016 Tekniikan ja liikenteen ala Insinööri (AMK), Tietoverkkotekniikan tutkinto-ohjelma

1 Sisältö 1 Johdanto... 3 2 Teoria... 3 2.1 802.1p COS merkkaus... 3 2.2 Type of Service... 4 2.2.1 Ip Precedence... 4 2.3 DSCP Merkkaus... 5 2.4 Juniper QoS yleisesti... 6 3 Suunnitelmat... 6 3.1 Topologia... 6 3.2 Liikenteen luokittelu... 7 4 Toteutus... 8 4.1 Liikenteen merkkaus... 8 4.1.1 IP Precedence IPv4... 8 4.1.2 DSCP... 9 4.1.3 Liikenteen rajaus... 10 5 Pohdinta... 15 5.1 Mikä toimi ja mikä ei... 15 5.2 Harjoituksen kysymykset ja vastaukset... 15 Lähteet... 17 Liitteet... 18 Kuviot Kuvio 1. 802.1p (Introduction)... 3 Kuvio 2.TOS-kentät, IP Precedence ja DSCP. (Quality of Service)... 4 Kuvio 3. Juniper QoS (Junos QoS).... 6

2 Kuvio 4. Suuniteltu topologia... 7 Kuvio 5. Class selector 4 toimii.... 8 Kuvio 6. Class Selector 2 toimii... 9 Kuvio 7. Expedited forwarding merkkaus toimii.... 9 Kuvio 8. JDSU:n grafiikkaa kahdesta liikennevuosta VOIP ja IPTV.... 11 Kuvio 9. Show interfaces queue reunalta... 12 Kuvio 10. Show interfaces queue verkon sisältä... 13 Kuvio 11. Käytetty classifier liikenteen tunnistukseen... 14 Kuvio 12. Precedence rewrite-rules... 14 Kuvio 13. DSCP rewrite-rules... 14 Kuvio 14. Ruuhkanhallintaprofiili... 15 Taulukot Taulukko 1. 802.1p kentän arvot.... 4 Taulukko 2. IP Precedence merkkauksessa käytettävät arvot ja selitteet.... 5 Taulukko 3. DSCP:n käyttämät arvot ja selitteet. (Quality of Service)... 5 Taulukko 4. Merkkaukset laite ja vlan kohtaisesti.... 7

3 1 Johdanto Harjoituksessa on tarkoitust tutustua Juniperin QoS filosofiaan. Tavoitteena on onnistuneesti merkata liikenne verkon reunalla ja uudelleenmerkata se rungossa, sekä asettaa merkkauksen pohjalta jonotus ja rajoitukset jonoille. 2 Teoria 2.1 802.1p COS merkkaus Ethernet kehyksessä voidaan merkata paketin prioriteetti kehyksen 802.1Q osaan. Merkintää kutsutaan COS (Class of Service) merkkaukseksi. Kuviossa 1 on esitetty Ethernet kehyksen osio johon prioriteetti voidaan asettaa. (Ethernet Virtual LANs (VLANs)) Kuvio 1. 802.1p (Introduction) Priority kenttä koostuu kolmesta bitistä. Kolmella bitillä voidaan asettaa prioriteetti taulukon 1 mukaisesti. (Ethernet Virtual LANs (VLANs))

4 Taulukko 1. 802.1p kentän arvot. Kentän arvo Prioriteetti Akronyymi Liikenne tyyppi 000 0 BK Background 001 1 BE Best Effort 010 2 EE Excellent Effort 011 3 CA Critical Applications 100 4 VI Video 101 5 VO Voice 110 6 IC Internet Control 111 7 NC Network Control 2.2 Type of Service Type of service (TOS) kentällä IP-kehyksessä voidaan merkata pakettien prioriteetti käyttäen joko IP Precedence merkkausta tai DSCP (DiffServ Code Point) merkkausta. Kuviossa 2 on esitelty IP Precedence ja DSCP:n käyttämät kentät. Kuvio 2.TOS-kentät, IP Precedence ja DSCP. (Quality of Service) 2.2.1 Ip Precedence IP Precedence käyttää TOS kentästä kolmea ensimmäistä bittiä (0-2) antaen kahdeksan eri luokitusta liikenteelle. Biteillä 3-6 voidaan myös pyytää paketilla parempaa viivettä, kaistaa ja luotettavuutta tai säätää paketin hintaa, mutta näitä kenttiä ei pääsääntöisesti ole käytetty. IP Precedence merkkauksessa käytetyt arvot ja selitteet on esitetty taulukossa 2. (IP Precedence and DSCP values)

5 Taulukko 2. IP Precedence merkkauksessa käytettävät arvot ja selitteet. Kentän arvo (Luokka) Selite 000 (0) Best Effort 001 (1) Priority 010 (2) immediate 011 (3) Flash (Video/Ääni) 100 (4) Flash Override 101 (5) Critical 110 (6) Internetwork Control 111(7) Network Control 2.3 DSCP Merkkaus Differitiated Services Code Point merkkaus käyttää pohjana samoja arvoja ensimmäisessä kolmessa bitissä mitä IP Precedence ja tämän lisäksi DSCP-merkkauksessa käytetään bittejä 3-5 luotettavuuden hallintaan. Biteillä 3-5 ohjataan paketin pudottamisen todennäköisyyttä. Taulukossa 3 on esitetty DSCP:n käyttämät arvot ja seliteet. Taulukko 3. DSCP:n käyttämät arvot ja selitteet. (Quality of Service)

6 2.4 Juniper QoS yleisesti Juniper QoS koostuu määrittelemällä Classifierit eli luokittelijat, joilla liikenne tunnistetaan eri rajapinnoissa. Tämän jälkeen määritetään Forwarding-classit, joilla liikennevuo ohjataan jonoihin. Näitä jonoja palvelllaan schedulerien avulla ja schedulerit kootaan scheduler-mapilla yhteen. Scheduler-map liitetään rajapintaan, johon halutaan muodostaa palvelunlaatua. Rewrite säännöillä voidaan kiinniotettua liikennettä merkata eri arvoilla. (Junos QoS.) Kuviossa 3 esitetään Juniper J-Series QoS-prosessointi. Kuvio 3. Juniper QoS (Junos QoS). 3 Suunnitelmat 3.1 Topologia Laboratorioharjoituksessa käytettiin Juniper Core laitteita välittämään liikennettä JDSU:n ja WG2 työryhmän välillä. Kuviossa 4 on esitetty harjoituksessa käytetty topologia. Wireshark-työasemaa käytettiin todentamaan käytettyjä merkkauksia.

7 Another day dies More joy I can fathom Yet more tomorrow My session is dead Forgot to commit confirm Where are my car keys? IS-IS screams BGP peers are flapping I want my mommy Ge1/0/6 100Mb Full Duplex 130.0.120.0/24 2001:d074:12::/126.2/:2 Ge1/0/3 FullDuplex 100Mbps Juniper-R5 JDSU WG5 Public IP s Public IPv4 157.30.85.128/27 Public VoIP 2001:1337:5001:: /64 Public IPTV 2001:1337:5002:: /64 Public Data 2001:1337:5003:: /64 Private VOIP: 192.168.130.20 Public VOIP: 157.30.85.138 Private IPTV: 192.168.150.20 Public IPTV: 157.30.85.140 Ge1/0/3 Ge1/0/0.1/:1.1/:1 Juniper-R4 Cisco Core-R6 Ge0/1? Ge1/0/2 Ge1/0/1.2/:2.2/:2 10Mb Juniper-R3 Full Duplex Ge 130.0.110.0/24 130.0.90.0/24 2001:d074:10::/126 2001:d074:8::/126.1/:1 Ge1/0/3 DSCP-merkkaus 130.0.100.0/24 2001:d074:9::/126 10Mb Full Duplex IP Precedence-merkkaus 10Mb Full Duplex.1/:1 Ge1/0/0 Ge1/0/2.2/:2 GE1/0/7.902.1/:1 Juniper-R2 VLAN902 130.0.130.0/24 2001:d074:11::/126 WG2 Public IP s.2/:2 Ge0/0 Public IPv4 157.30.85.32/27 WG2-R1 Public VoIP 2001:1337:2001:: /64 Public IPTV 2001:1337:2002:: /64 Public Data 2001:1337:2003:: /64 Ge0/1 Ge0/1 WG2-SW1 Ge0/3 Port 1 WG2-SW3 Private VOIP: 192.168.40.20 Public VOIP: 157.30.85.42 Ge0/2 Fe0/1 Peili / VoiP Fe0/15 WG2-SW2 Peili / IPTV Private IPTV: 192.168.60.20 Public IPTV: 157.30.85.44 Kuvio 4. Suuniteltu topologia 3.2 Liikenteen luokittelu Taulukossa 4 on esitetty harjoituksessa käytettävää liikenteen merkkausta laite ja vlan kohtaisesti. Luokittelussa käytetään MF-classifiereita, joilla otetaan liikenne kiinni merkkausta varten. Taulukko 4. Merkkaukset laite ja vlan kohtaisesti. Juniper-R5 Precedence DSCP VLAN VOIP Flash-Override (Class Selector 4) VLAN IPTV Flash (Class Selector 3) VLAN DATA Immediate (Class Selector 2) Juniper-R4 VLAN VOIP VLAN IPTV VLAN DATA Expedited Forwarding Assured Forwarding (AF41) Assured Forwarding (AF13)

8 4 Toteutus 4.1 Liikenteen merkkaus 4.1.1 IP Precedence IPv4 IP Precedencen merkkaus tehtiin WG2-R1:llä ja Juniper Core R5:llä. Data tunnistettiin ja luokiteltiin IP-osoitteiden mukaan, koska VLAN:t ovat omissa IP-osoitealueissaan. Alla kuviossa 5 ja 6 on todennettu Core-R2:lle tullut liikenne, jossa näkyy WG2-R1:n tekemät precedence-merkkaukset. Kuvio 5. Class selector 4 toimii.

9 Kuvio 6. Class Selector 2 toimii. 4.1.2 DSCP Core-reitittimien välillä käytettiin DSCP-merkkausta. Paketit otettiin vastaan precedence-arvon mukaan ja uudelleenkirjoitettiin halutulla DSCP-arvolla Core-R4 laitteella. Alla kuviossa 7 on todennettu Core-R4:n tekemä Expedited Forwarding merkkaus. Kuvio 7. Expedited forwarding merkkaus toimii.

10 4.1.3 Liikenteen rajaus Liikenteen rajausta ei saatu missään vaiheessa toimimaan oikein. Käytimme koko verkossa MF-classifiereita egress-suuntaan, eli teimme ensin palomuurisääntöihin filtterit, joilla otettiin liikenne kiinni ja ohjattiin forwarding-classeihin. Forwarding-classit sidottiin jonoihin. Scheduler-mapeissa määriteltiin schedulerit jokaiselle forwardingclassille ja schedulereissa rajasimme liikenteen prosenteilla ja VoIP:lle asetettiin prioriteetti strict-high. Lopputulema oli se, että VoIP söi koko kaistan, koska rajoitus ei toiminut strict-high jonolla. Alla kuviossa 8 on laitettu molemmille VoIP:lle ja IPTV:lle 5mb/s dataa 10mb/s linkille. VoIP saa siis vähän enemmän dataa kuin IPTV, koska ilmeisesti network-control ottaa pienen osan linkin kapasiteetista. Strict-priority siis kyllä toimii, mutta jostain syystä emme saaneet leikattua sitä millään. Yritimme tehdä uudet policer-säännöt labranetin ghost-kansiossa olevien ohjeiden mukaan ja niihin ohjaavat filtterit rajapintaan, mutta sillä saimme katkaistua koko verkon. Lopulta meiltä loppui aika, emmekä saaneet liikennettä enää ylös vaikka poistimme juuri tehdyt policerit.

11 Kuvio 8. JDSU:n grafiikkaa kahdesta liikennevuosta VOIP ja IPTV. Kuviossa 9 komento show interfaces queue verkon reunalta. Multifield classifier kiinniotto ja jonoonohjaaminen toimii.

12 Kuvio 9. Show interfaces queue reunalta Kuviossa 10 show interfaces queue verkon sisäreunalta. Myös lähtevä jonotus toimii.

13 Kuvio 10. Show interfaces queue verkon sisältä Kuviossa 11 esitetään rajapintakohtaiset tunnistukseen ja uudelleenkirjoitukseen käytetyt luokittelut.

14 Kuvio 11. Käytetty classifier liikenteen tunnistukseen Kuviossa 12 on esitetty uudelleenkirjoitus Core-R5 laitteella. Liikenne tunnistetaan ja merkataan halutuilla precedence-arvoilla. Kuvio 12. Precedence rewrite-rules Core-R4 tunnistaan precedence kentästä liikenteen ja uudelleenkirjoittaa sen DSCParvolla. Kuviossa x esitetty Core-R4 rewrite-rule. Kuvio 13. DSCP rewrite-rules Kuviossa 14 esitetään luotu ruuhkanhallintaprofiili, joka sai kyllä pakettia tippumaan mutta profiili luotiin aika karkeaksi.

15 Kuvio 14. Ruuhkanhallintaprofiili 5 Pohdinta 5.1 Mikä toimi ja mikä ei Saimme toimimaan liikenteen kiinnioton MF-classifiereilla ongelmitta ja liikenteen merkkaus toimi myös. Jonoihin ohjaaminenkin ja VOIP-jonolle tehty red-profiili toimi. Ainoa asia mitä ei saatu toimimaan oli strict-high jonon leikkaaminen, jonka olisi todennäköisesti saanut toimimaan tyhjentämällä laitteet ja tekemällä policerit vielä uudestaan. Viimeisimmäksi mieleen jäi Juniperin QOS-filosofian monimutkaisuus ja epäjohdonmukaisuus. Alkuun pääsemiseen meni todella paljon aikaa verrattuna Cisco QOS harjoitukseen. 5.2 Harjoituksen kysymykset ja vastaukset Selvitä mitä jonotus mekanismia Juniper J-series käyttää ja mitkä ovat sen heikkoudet? Modified Deficit Weighted Round Robin - Latenssiongelmia kun jonoja palvellaan kuitenkin WRR mukaisesti vaikkakin joillekin jonoille on annettu painoarvoa. Resource starvation jos Strict High jonoa ei tyhjennetä. Mihin Ciscon käyttämään jonotusmekanismiin sitä voidaan verrata? Onko niillä eroavaisuuksia?

16 WRR-queue Ciscolla, nopealla vilkaisulla molemmat hyvin samankaltaisia. Kuinka monta jonoa on mahdollista ottaa käyttöön. 8 Mitkä ovat oletuksena käytössä ja miten kaista on jaettu niiden kesken. queue 0 best-effort 95% queue 1 expetided forwarding queue 2 assured forwarding queue 3 nc 5% Monta eri liikenne luokkaa on mahdollista määrittää reitittimissä DSCP:n avulla 14

17 Lähteet IP Precedence and DSCP values. Viitattu 06.04.2016. https://networklessons.com/quality-of-service/ip-precedence-dscp-values/ Junos QoS. 2008. Juniper Networks J-series Services Routers Quality of Service (QoS). Viitattu 20.4.2016. https://kb.juniper.net/library/customerservice/technotes/350141.pdf Rhys Haden. Ethernet Virtual LANs (VLANs), Viitattu 03.04.2016. http://www.rhyshaden.com/eth_vlan.htm802.1p Rhys, Haden. Quality of Service. Viitattu 6.4.2016. http://www.rhyshaden.com/qos.htm Introduction. Viitattu 03.04.2016. http://flylib.com/books/en/2.873.1.34/1/

18 Liitteet Liite 1. Juniper-R2 konfiguraatio root@juniper-r2 run show configuration Last commit: 2016-04-14 17:05:48 UTC by root version 12.1X44-D40.2; system { host-name Juniper-R2; root-authentication { encrypted-password "$1$v0YaCGuz$7Dy9/WWQ/DMxxKqtUNQ2W1"; SECRET-DATA syslog { user * { any emergency; file messages { any any; authorization info; file interactive-commands { interactive-commands any; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; interfaces { ge-1/0/0 { speed 10m; link-mode full-duplex; gigether-options { no-auto-negotiation; unit 0 { family inet { filter { input-list [ KISSAPITSA MF-NC ]; output-list [ KISSAPITSA MF-NC ]; address 130.0.110.1/24; family inet6 { address 2001:d074:10::1/126; ge-1/0/1 { link-mode full-duplex; unit 0; ge-1/0/2 { speed 10m; link-mode full-duplex; gigether-options {

19 no-auto-negotiation; unit 0 { family inet { filter { input-list [ KISSAPITSA MF-NC ]; output-list [ KISSAPITSA MF-NC ]; address 130.0.100.1/24; family inet6 { address 2001:d074:9::1/126; ge-1/0/3 { unit 0; ge-1/0/4 { unit 0; ge-1/0/5 { unit 0; ge-1/0/6 { unit 0 { family inet { address 10.0.0.1/24; ge-1/0/7 { vlan-tagging; link-mode full-duplex; unit 0 { vlan-id 902; family inet { filter { input MF-IPPrecedence; address 130.0.130.1/24; family inet6 { address 2001:d074:11::1/126; lo0 { unit 0; forwarding-options { port-mirroring { input { rate 1; run-length 1; family inet { output { interface ge-1/0/6.0 { next-hop 10.0.0.2;

20 routing-options { rib inet6.0 { static { route 2001:1337:5:2001::/64 next-hop 2001:d074:11::2; route 2001:1337:5:2002::/64 next-hop 2001:d074:11::2; route 2001:1337:5:2003::/64 next-hop 2001:d074:11::2; static { route 157.30.85.32/27 next-hop 130.0.130.2; router-id 2.2.2.2; multicast { ssm-map ssm-map-ipv4 { policy ssm-policy; source 157.30.85.33; ssm-map ssm-map-ipv6 { policy ssm-policy; source 2001:1337:5:2003::10; protocols { igmp { interface ge-1/0/7.0 { version 3; ssm-map ssm-map-ipv4; mld { interface all { version 2; ssm-map ssm-map-ipv6; ospf { export exportstatic1; area 0.0.0.0 { interface ge-1/0/0.0; interface ge-1/0/7.0; interface ge-1/0/2.0; ospf3 { export exportstatic1; area 0.0.0.0 { interface ge-1/0/0.0; interface ge-1/0/2.0; interface ge-1/0/7.0; pim { interface all { mode sparse; version 2; policy-options {

21 policy-statement exportstatic1 { term exportstatic1 { from protocol static; then { external { type 1; accept; policy-statement ssm-policy { term A { from { route-filter 239.0.0.1/32 exact; then accept; term B { from { route-filter ff08::1/128 exact; then accept; class-of-service { code-point-aliases { dscp { VOIP 101110; IPTV 100010; DATA 001110; NC 111000; forwarding-classes { queue 0 VOIP priority high; queue 1 IPTV priority high; queue 2 DATA priority high; queue 3 NC priority high; interfaces { ge-1/0/0 { scheduler-map ONEMAP; unit 0 { rewrite-rules { dscp ONERULE; ge-1/0/2 { scheduler-map ONEMAP; unit 0 { rewrite-rules { dscp ONERULE; rewrite-rules { dscp ONERULE { forwarding-class VOIP { loss-priority low code-point VOIP;

22 forwarding-class IPTV { loss-priority low code-point IPTV; forwarding-class DATA { loss-priority low code-point DATA; forwarding-class NC { loss-priority low code-point NC; scheduler-maps { ONEMAP { forwarding-class VOIP scheduler VOIP; forwarding-class IPTV scheduler IPTV; forwarding-class DATA scheduler DATA; forwarding-class NC scheduler NC; schedulers { VOIP { transmit-rate percent 30; priority strict-high; IPTV { transmit-rate percent 40; priority high; DATA { transmit-rate percent 20; priority medium-low; NC { transmit-rate percent 5; priority medium-low; security { policies { default-policy { permit-all; zones { security-zone All { host-inbound-traffic { system-services { all; protocols { all; interfaces { all; firewall { family inet {

23 filter MF-IPPrecedence { term VOIP { from { precedence flash-override; then { forwarding-class VOIP; accept; term IPTV { from { precedence flash; then { forwarding-class IPTV; accept; term DATA { from { precedence immediate; then { forwarding-class DATA; accept; filter MF-NC { term NC { from { protocol [ ospf icmp icmp6 ]; then { forwarding-class NC; accept; policer VOIP { if-exceeding { bandwidth-percent 30; burst-size-limit 2k; then discard; policer IPTV { if-exceeding { bandwidth-percent 40; burst-size-limit 2k; then out-of-profile; policer DATA { if-exceeding { bandwidth-percent 20; burst-size-limit 2k; then discard; policer NC {

24 if-exceeding { bandwidth-percent 5; burst-size-limit 2k; then out-of-profile; filter KISSAPITSA { term 1 { then { count LASKURI; port-mirror; accept;

25 Liite 2. Juniper-R3 konfiguraatio root@juniper-r3 run show configuration Last commit: 2016-04-14 16:59:52 UTC by root version 12.1X44-D40.2; system { host-name Juniper-R3; root-authentication { encrypted-password "$1$3dJc0SJX$OAj2lfyO0pwkp5L7z6otm1"; SECRET-DATA services { ssh; web-management { http { interface ge-0/0/0.0; syslog { user * { any emergency; file messages { any any; authorization info; file interactive-commands { interactive-commands any; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; interfaces { ge-0/0/0 { unit 0; ge-1/0/0 { description "To R4"; speed 10m; link-mode full-duplex; gigether-options { no-auto-negotiation; unit 0 { family inet { address 130.0.90.1/24; family inet6 { address 2001:d074:8::1/126; ge-1/0/1 { description "To R2"; speed 10m; link-mode full-duplex; gigether-options { no-auto-negotiation;

26 unit 0 { family inet { address 130.0.110.2/24; family inet6 { address 2001:d074:10::2/126; ge-1/0/2 { speed 10m; unit 0; ge-1/0/3 { unit 0; ge-1/0/4 { unit 0; ge-1/0/5 { unit 0; ge-1/0/6 { unit 0; ge-1/0/7 { unit 0; lo0 { unit 0 { family inet { address 10.255.72.46/32; routing-options { router-id 3.3.3.3; multicast { ssm-map ssm-map-ipv4 { policy ssm-policy; source 157.30.85.33; ssm-map ssm-map-ipv6 { policy ssm-policy; source 2001:1337:5:2003::10; protocols { igmp { interface all { version 3; ssm-map ssm-map-ipv4; mld { interface all { version 2; static { group ff08::1;

27 ssm-map ssm-map-ipv6; ospf { area 0.0.0.0 { interface ge-1/0/1.0; interface ge-1/0/0.0; interface fxp0.0 { disable; interface all; ospf3 { area 0.0.0.0 { interface ge-1/0/1.0; interface ge-1/0/0.0; pim { rp { local { address 10.255.72.46; group-ranges { 239.0.0.0/24; interface all { mode sparse; version 2; policy-options { policy-statement ssm-policy { term A { from { route-filter 239.0.0.1/32 exact; then accept; term B { from { route-filter ff08::1/128 exact; then accept; security { policies { default-policy { permit-all; zones { security-zone All { host-inbound-traffic { system-services { all; protocols {

28 all; interfaces { all;

29 Liite 3. Juniper-R4 konfiguraatio root@juniper-r4 run show configuration Last commit: 2016-04-14 16:56:10 UTC by root version 12.1X44-D40.2; system { root-authentication { encrypted-password "$1$v0YaCGuz$7Dy9/WWQ/DMxxKqtUNQ2W1"; SECRET-DA TA syslog { user * { any emergency; file messages { any any; authorization info; file interactive-commands { interactive-commands any; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; interfaces { ge-1/0/0 { description to_r5; speed 100m; link-mode full-duplex; gigether-options { no-auto-negotiation; unit 0 { family inet { filter { input-list MF-IPPrecedence; address 130.0.120.1/24; family inet6 { address 2001:d074:12::1/126; ge-1/0/1 { description to_r3; speed 10m; link-mode full-duplex; gigether-options { no-auto-negotiation; unit 0 { family inet { address 130.0.90.2/24; family inet6 { address 2001:d074:8::2/126;

ge-1/0/2 { unit 0; ge-1/0/3 { description to_r2; speed 10m; link-mode full-duplex; gigether-options { no-auto-negotiation; unit 0 { family inet { address 130.0.100.2/24; family inet6 { address 2001:d074:9::2/126; ge-1/0/4 { unit 0; ge-1/0/5 { unit 0; ge-1/0/6 { unit 0; ge-1/0/7 { unit 0; lo0 { unit 0; routing-options { rib inet6.0 { static { route 2001:1337:005:5001::/64 next-hop 2001:d074:12::2; route 2001:1337:005:5002::/64 next-hop 2001:d074:12::2; route 2001:1337:005:5003::/64 next-hop 2001:d074:12::2; static { route 157.30.85.128/27 next-hop 130.0.120.2; router-id 4.4.4.4; multicast { ssm-map ssm-map-ipv4 { policy ssm-policy; source 157.30.85.33; ssm-map ssm-map-ipv6 { policy ssm-policy; source 2001:1337:5:2003::10; protocols { mld { interface all { 30

31 version 2; static { group ff08::1; ssm-map ssm-map-ipv6; ospf { export exportstatic1; area 0.0.0.0 { interface ge-1/0/3.0; interface ge-1/0/0.0; interface ge-1/0/1.0; interface fxp0.0; ospf3 { export exportstatic1; area 0.0.0.0 { interface ge-1/0/3.0; interface ge-1/0/0.0; interface ge-1/0/1.0; pim { interface all { mode sparse; version 2; interface fxp0.0 { disable; policy-options { policy-statement exportstatic1 { term exportstatic1 { from protocol static; then { external { type 1; accept; policy-statement ssm-policy { term A { from { route-filter 239.0.0.1/32 exact; then accept; term B { from { route-filter ff08::1/128 exact; then accept; then reject; class-of-service {

code-point-aliases { dscp { VOIP 101110; IPTV 100010; DATA 001110; NC 111000; forwarding-classes { queue 0 VOIP priority high; queue 1 IPTV priority high; queue 2 DATA priority high; queue 3 NC priority high; interfaces { ge-1/0/1 { scheduler-map ONEMAP; unit 0 { rewrite-rules { dscp ONERULE; ge-1/0/3 { scheduler-map ONEMAP; unit 0 { rewrite-rules { dscp ONERULE; rewrite-rules { dscp ONERULE { forwarding-class VOIP { loss-priority low code-point VOIP; forwarding-class IPTV { loss-priority low code-point IPTV; forwarding-class DATA { loss-priority low code-point DATA; forwarding-class NC { loss-priority low code-point NC; scheduler-maps { ONEMAP { forwarding-class VOIP scheduler VOIP; forwarding-class IPTV scheduler IPTV; forwarding-class DATA scheduler DATA; forwarding-class NC scheduler NC; schedulers { VOIP { transmit-rate percent 30; priority strict-high; IPTV { transmit-rate percent 40; 32

33 priority high; DATA { transmit-rate percent 20; priority medium-low; NC { transmit-rate percent 5; priority medium-low; security { policies { default-policy { permit-all; zones { security-zone All { host-inbound-traffic { system-services { all; protocols { all; interfaces { all; firewall { family inet { filter MF-IPPrecedence { term VOIP { from { precedence flash-override; then { forwarding-class VOIP; accept; term IPTV { from { precedence flash; then { forwarding-class IPTV; accept; term DATA { from { precedence immediate; then { forwarding-class DATA; accept;

34 filter MF-NC { term NC { from { protocol [ ospf icmp icmp6 ]; then { forwarding-class NC; accept; policer VOIP { if-exceeding { bandwidth-percent 30; burst-size-limit 2k; then discard; policer IPTV { if-exceeding { bandwidth-percent 40; burst-size-limit 2k; then out-of-profile; policer DATA { if-exceeding { bandwidth-percent 20; burst-size-limit 2k; then discard; policer NC { if-exceeding { bandwidth-percent 5; burst-size-limit 2k; then out-of-profile;

35 Liite 4. Juniper-R5 konfiguraatio root@juniper-r5 run show configuration Last commit: 2016-04-14 16:44:29 UTC by root version 12.1X44-D40.2; system { root-authentication { encrypted-password "$1$v0YaCGuz$7Dy9/WWQ/DMxxKqtUNQ2W1"; SECRET-DATA syslog { user * { any emergency; file messages { any any; authorization info; file interactive-commands { interactive-commands any; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; interfaces { ge-1/0/0 { unit 0; ge-1/0/1 { speed 100m; gigether-options { no-auto-negotiation; unit 0 { family inet { address 130.0.120.2/24; family inet6 { address 2001:d074:12::2/126; ge-1/0/2 { unit 0; ge-1/0/3 { unit 0; ge-1/0/4 { unit 0; ge-1/0/5 { unit 0; ge-1/0/6 { gigether-options { no-auto-negotiation; unit 0 {

36 ge-1/0/7 { unit 0; lo0 { unit 0; family inet { filter { input MF-IPPrecedence; address 157.30.85.129/27; family inet6 { address 2001:1337:5:5003::1/64; routing-options { rib inet6.0 { static { route ::/0 next-hop 2001:d074:12::1; static { route 0.0.0.0/0 next-hop 130.0.120.1; multicast { ssm-map ssm-map-ipv4 { policy ssm-ipv4; source 157.30.85.33; ssm-map ssm-map-ipv6 { policy ssm-policy; source 2001:1337:5:2003::10; protocols { igmp { interface all { version 3; ssm-map ssm-map-ipv4; mld { interface all { version 2; static { group ff08::1; ssm-map ssm-map-ipv6; pim { interface all { mode sparse; version 2; policy-options { policy-statement ssm-ipv4 {

37 term A { from { route-filter 239.0.0.1/32 exact; then accept; policy-statement ssm-policy { term B { from { route-filter ff08::1/128 exact; then accept; class-of-service { code-point-aliases { inet-precedence { VOIP 100; IPTV 011; DATA 010; forwarding-classes { queue 1 VOIP priority high; queue 2 IPTV priority high; queue 3 DATA priority high; interfaces { ge-1/0/1 { unit 0 { rewrite-rules { inet-precedence ONERULE; rewrite-rules { inet-precedence ONERULE { forwarding-class VOIP { loss-priority low code-point VOIP; forwarding-class DATA { loss-priority low code-point DATA; forwarding-class IPTV { loss-priority low code-point IPTV; security { policies { default-policy { permit-all; zones { security-zone All { host-inbound-traffic { system-services { all;

38 protocols { all; interfaces { all; firewall { family inet { filter MF-IPPrecedence { term VOIP { from { source-address { 157.30.85.138/32; then { forwarding-class VOIP; accept; term IPTV { from { source-address { 157.30.85.140/32; then { forwarding-class IPTV; accept; term DATA { from { source-address { 157.30.85.139/32; then { forwarding-class DATA; accept;

39 Liite 5. WG2-R1 konfiguraatio WG2-R1sh run Building configuration... Current configuration : 3549 bytes version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname WG2-R1 boot-start-marker boot-end-marker logging message-counter syslog no aaa new-model memory-size iomem 5 dot11 syslog ip source-route ip cef ip dhcp excluded-address 192.168.40.1 192.168.40.10 ip dhcp excluded-address 192.168.50.1 192.168.50.10 ip dhcp excluded-address 192.168.60.1 192.168.60.10 ip dhcp pool VLAN10 network 192.168.40.0 255.255.255.0 default-router 192.168.40.1 ip dhcp pool VLAN20 network 192.168.50.0 255.255.255.0 default-router 192.168.50.1 ip dhcp pool VLAN30 network 192.168.60.0 255.255.255.0 default-router 192.168.60.1 no ip domain lookup ip multicast-routing ipv6 unicast-routing ipv6 cef ipv6 multicast-routing multilink bundle-name authenticated

voice-card 0 archive log config hidekeys class-map match-any VOIP match access-group 10 match access-group name VOIPv6 class-map match-any DATA match access-group 20 match access-group name DATAv6 class-map match-any IPTV match access-group 30 match access-group name IPTVv6 policy-map QosPolicy class VOIP set ip precedence 4 class IPTV set ip precedence 3 class DATA set ip precedence 2 class class-default fair-queue interface GigabitEthernet0/0 no ip address duplex auto speed auto interface GigabitEthernet0/1 no ip address duplex auto speed auto interface GigabitEthernet0/1.10 encapsulation dot1q 10 40

ip address 192.168.40.1 255.255.255.0 ip pim sparse-mode ip nat inside ip virtual-reassembly ip igmp version 3 ipv6 address FE80:1337:5:2001::1 link-local ipv6 address 2001:1337:5:2001::1/64 ipv6 enable ipv6 mld join-group FF08::1 interface GigabitEthernet0/1.20 encapsulation dot1q 20 ip address 192.168.50.1 255.255.255.0 ip pim sparse-mode ip nat inside ip virtual-reassembly ip igmp version 3 ipv6 address FE80:1337:5:2002::1 link-local ipv6 address 2001:1337:5:2002::1/64 ipv6 enable ipv6 mld join-group FF08::1 interface GigabitEthernet0/1.30 encapsulation dot1q 30 ip address 192.168.60.1 255.255.255.0 ip pim sparse-mode ip nat inside ip virtual-reassembly ip igmp version 3 ipv6 address FE80:1337:5:2003::1 link-local ipv6 address 2001:1337:5:2003::1/64 ipv6 enable ipv6 mld join-group FF08::1 interface GigabitEthernet0/1.250 encapsulation dot1q 250 ip address 10.0.251.1 255.255.255.0 ipv6 address FE80:1337:5:2::1 link-local ipv6 enable interface Serial0/0/0 no ip address no fair-queue clock rate 2000000 interface Serial0/0/1 no ip address interface FastEthernet0/1/0 no ip address duplex auto speed auto interface FastEthernet0/1/1 description To-Juniper-R2 no ip address duplex auto speed auto load-interval 30 max-reserved-bandwidth 95 41

service-policy output QosPolicy interface FastEthernet0/1/1.902 encapsulation dot1q 902 ip address 130.0.130.2 255.255.255.0 ip pim sparse-mode ip nat outside ip virtual-reassembly ip igmp query-interval 125 ipv6 address 2001:D074:11::2/126 ipv6 mld join-group FF08::1 router ospf 1 log-adjacency-changes network 192.168.40.0 0.0.0.255 area 0 network 192.168.50.0 0.0.0.255 area 0 network 192.168.60.0 0.0.0.255 area 0 ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 130.0.130.1 no ip http server no ip http secure-server ip pim ssm range ssm-range ip nat pool iptv 157.30.85.33 157.30.85.33 prefix-length 27 ip nat pool data 157.30.85.34 157.30.85.34 prefix-length 27 ip nat pool voip 157.30.85.35 157.30.85.35 prefix-length 27 ip nat inside source list 1 pool data overload ip nat inside source list 2 pool iptv overload ip nat inside source list 3 pool voip overload ip nat inside source static 192.168.40.20 157.30.85.42 ip nat inside source static 192.168.60.21 157.30.85.43 ip nat inside source static 192.168.60.20 157.30.85.44 ip nat inside source static 192.168.50.20 157.30.85.45 ip nat inside source static 192.168.40.21 157.30.85.46 ip access-list standard ssm-range permit 239.0.0.0 0.255.255.255 access-list 1 permit 192.168.40.0 0.0.0.255 access-list 2 permit 192.168.50.0 0.0.0.255 access-list 3 permit 192.168.60.0 0.0.0.255 access-list 10 permit 157.30.85.33 access-list 10 permit 157.30.85.42 access-list 10 permit 157.30.85.46 access-list 20 permit 157.30.85.34 access-list 20 permit 157.30.85.45 access-list 30 permit 157.30.85.35 access-list 30 permit 157.30.85.43 access-list 30 permit 157.30.85.44 ipv6 route ::/0 2001:D074:11::1 ipv6 mld ssm-map enable ipv6 mld ssm-map static multicast 2001:1337:5:2003::10 no ipv6 mld ssm-map query dns ipv6 access-list multicast permit ipv6 any host FF08::1 42

ipv6 access-list VOIPv6 permit ipv6 2001:1337:5:2001::/64 any ipv6 access-list DATAv6 permit ipv6 2001:1337:5:2002::/64 any ipv6 access-list IPTVv6 permit ipv6 2001:1337:5:2003::/64 any control-plane scheduler allocate 20000 1000 end 43

44 Liite 6. WG2-SW1 konfiguraatio WG2-SW1show run Building configuration... Current configuration : 3496 bytes version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname WG2-SW1 no aaa new-model ip subnet-zero no ip domain-lookup vtp mode transparent crypto pki trustpoint TP-self-signed-3468661504 enrollment selfsigned subject-name cn=ios-self-signed-certificate-3468661504 revocation-check none rsakeypair TP-self-signed-3468661504 crypto pki certificate chain TP-self-signed-3468661504 certificate self-signed 01 30820240 308201A9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 33343638 36363135 3034301E 170D3933 30333031 30303132 33395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 34363836 36313530 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100AD6F 11D9836F 9CAEF00C C7672D83 E2126226 F114BA2E 4A0AF7CC C2F8E22F C7A1302F 46830DD5 11C4A1F2 16F1AB24 8653C537 E7C849E5 2A15AC4B 914AB8EB 9DA2880A 425421EA ED9B28C9 A0997B92 9C472DE9 9E46197D D81C577B 4B2F9D95 BCDD689A A44F0651 50A14C17 4A41D16C 6160B171 A537AAC3 2ABA2026 F70B8FC4 77F10203 010001A3 68306630 0F060355 1D130101 FF040530 030101FF 30130603 551D1104 0C300A82 08574732 2D535731 2E301F06 03551D23 04183016 80148538 F2A40EF1 936922CA 9580E596 7F4C420D AD3E301D 0603551D 0E041604 148538F2 A40EF193 6922CA95 80E5967F 4C420DAD 3E300D06 092A8648 86F70D01 01040500 03818100 874EB7EC 470D9CE6 94AA25AA 09B5062A 5BD66C2E 1DCCC59D FB91EB7B

0814230E 052F05FB 96255DBF AE4F5470 F8E19546 72795DD1 D379BB2B 4D9F7EE8 D29A4445 A461A699 5031E9BA 60AEB24B 7A203F61 F2CD9735 DBAB524A 04157C7E 73875EE2 9A969F9C DE862749 65C886A7 4C618107 BFDD37EE 7AF9F6D5 7F79ACED 97F033DD quit spanning-tree mode pvst spanning-tree extend system-id vlan internal allocation policy ascending vlan 10 name VoIP vlan 20 name DATA vlan 30 name IPTV vlan 50 name Hallinta vlan 250 name Management interface GigabitEthernet0/1 description Trunk-to-R1 switchport trunk encapsulation dot1q switchport mode trunk interface GigabitEthernet0/2 description Trunk-to-SW2 switchport trunk encapsulation dot1q switchport mode trunk interface GigabitEthernet0/3 description Trunk-to-SW3 switchport trunk encapsulation dot1q switchport mode trunk interface GigabitEthernet0/4 switchport mode dynamic desirable interface GigabitEthernet0/5 switchport mode dynamic desirable interface GigabitEthernet0/6 switchport access vlan 30 switchport mode access interface GigabitEthernet0/7 switchport mode dynamic desirable 45

interface GigabitEthernet0/8 switchport mode dynamic desirable interface GigabitEthernet0/9 switchport mode dynamic desirable interface GigabitEthernet0/10 switchport mode dynamic desirable interface GigabitEthernet0/11 switchport mode dynamic desirable interface GigabitEthernet0/12 switchport mode dynamic desirable interface Vlan1 no ip address interface Vlan250 description Management ip address 10.0.251.2 255.255.255.0 ipv6 address 2001:1337:5:2::2/64 ipv6 address FE80:1337:5:2::2 link-local ipv6 enable ip default-gateway 10.0.251.1 ip classless ip http server ip http secure-server control-plane end 46

47 Liite 7. WG2-SW2 konfiguraatio WG2-SW2show run Building configuration... Current configuration : 1922 bytes version 12.1 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption hostname WG2-SW2 ip subnet-zero no ip domain-lookup ip ssh time-out 120 ip ssh authentication-retries 3 vtp mode transparent spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id vlan 10 name VoIP vlan 20 name DATA vlan 30 name IPTV vlan 50 name Hallinta vlan 250 name Management interface FastEthernet0/1 description Trunk-to-SW1 switchport mode trunk interface FastEthernet0/2 interface FastEthernet0/3 interface FastEthernet0/4 interface FastEthernet0/5 interface FastEthernet0/6

interface FastEthernet0/7 interface FastEthernet0/8 interface FastEthernet0/9 interface FastEthernet0/10 switchport access vlan 10 switchport mode access interface FastEthernet0/11 switchport access vlan 30 switchport mode access interface FastEthernet0/12 switchport access vlan 10 switchport mode access interface FastEthernet0/13 switchport access vlan 30 switchport mode access interface FastEthernet0/14 interface FastEthernet0/15 interface FastEthernet0/16 interface FastEthernet0/17 interface FastEthernet0/18 interface FastEthernet0/19 interface FastEthernet0/20 interface FastEthernet0/21 switchport access vlan 10 switchport mode access interface FastEthernet0/22 interface FastEthernet0/23 interface FastEthernet0/24 interface Vlan1 no ip address 48

no ip route-cache interface Vlan250 description Management ip address 10.0.251.3 255.255.255.0 no ip route-cache ip default-gateway 10.0.251.1 ip http server line con 0 line vty 0 4 login line vty 5 15 login end 49

50 Liite 8. WG2-SW3 * WG2-SW3.1 show configuration Module devmgr configuration. configure snmp sysname "WG2-SW3" configure sys-recovery-level switch reset Module vlan configuration. configure vlan default delete ports all configure vr VR-Default delete ports 1-26 configure vr VR-Default add ports 1-26 configure vlan default delete ports 1-26 create vlan "DATA" configure vlan DATA tag 20 create vlan "IPTV" configure vlan IPTV tag 30 create vlan "Managerointi" configure vlan Managerointi tag 250 create vlan "VoIP" configure vlan VoIP tag 10 disable port 1 disable port 2 disable port 3 disable port 4 disable port 5 disable port 6 disable port 7 disable port 8 disable port 9 disable port 10 disable port 11 disable port 12 disable port 13 disable port 14 disable port 15 disable port 16 disable port 17 disable port 18 disable port 19 disable port 20 disable port 21 disable port 22 disable port 23 disable port 24 disable port 25 disable port 26 configure vlan DATA add ports 1-2 tagged configure vlan IPTV add ports 1-2 tagged configure vlan Managerointi add ports 1-2 tagged configure vlan VoIP add ports 1-2 tagged configure vlan Managerointi ipaddress 10.0.251.4 255.255.255.0 configure Managerointi ipaddress fe80:1337:5:2::4/64 configure Managerointi ipaddress 2001:1337:5:2::4/64 Module fdb configuration.

51 Module rtmgr configuration. configure iproute add default 10.0.251.1 Module mcmgr configuration. Module aaa configuration. Module acl configuration. Module bfd configuration. Module cfgmgr configuration. Module dosprotect configuration. Module dot1ag configuration. Module eaps configuration. Module edp configuration. Module elrp configuration. Module ems configuration. Module epm configuration. Module esrp configuration. Module ethoam configuration.

52 Module etmon configuration. Module hal configuration. Module idmgr configuration. Module ipsecurity configuration. Module ipfix configuration. Module lldp configuration. Module msdp configuration. Module netlogin configuration. Module nettools configuration. Module poe configuration. Module rip configuration. Module ripng configuration. Module snmpmaster configuration. Module stp configuration. configure mstp region 000496366549 configure stpd s0 delete vlan default ports all disable stpd s0 auto-bind vlan default enable stpd s0 auto-bind vlan Default

53 Module telnetd configuration. Module tftpd configuration. Module thttpd configuration. Module vmt configuration. Module vsm configuration. * WG2-SW3.2