機能の概要
IPsec 暗号化エンジンの LLQ 機能を使用すると、暗号化エンジンの前にキューイングを実行するという考え方により、パケット遅延を軽減できます。以前は、暗号処理エンジンによって、データ トラフィックと音声トラフィックが同じステータスを与えられていました。現在では、管理者は音声トラフィックをプライオリティ指定します。ルータ インターフェイスに到着するデータ パケットは、データ パケット インバウンド キューに送られて暗号化エンジンで処理されます。このキューをベスト エフォート キューといいます。ルータ インターフェイスに到着する音声パケットは、プライオリティ パケット インバウンド キューに送られて暗号化エンジンで処理されます。このキューをプライオリティ キューといいます。暗号化エンジンは、音声パケットに適した速度でパケット処理を実行します。音声パケットには、暗号化エンジンで最小の処理帯域幅が保証されています。
利点
IPsec 暗号化エンジンの LLQ 機能を使用すると、プライオリティを指定したトラフィックに対し、特定レベルの暗号化エンジン処理時間が保証されます。
(注) Cisco 2600 プラットフォーム(Cisco 2691 ルータは除く)では、暗号化エンジンが輻輳する前に CPU 使用率が最大に達するため、遅延は改善されません。
音声パフォーマンスの改善
音声パケットはプライオリティで識別できるため、暗号化エンジンで特定の比率の処理帯域幅を保証できます。この機能では、輻輳したネットワークに音声トラフィックが流れる場合に音声品質を保証すると、エンド ユーザの処理に影響が出ます。
遅延およびジッタの改善
予測可能性はネットワーク パフォーマンスの重要なコンポーネントです。IPsec 暗号化エンジンの Low Latency Queueing(LLQ; 低遅延キューイング)機能を使用すると、VPN のネットワーク トラフィックが予測可能になります。この機能を無効にすると、VPN 経由で IP 電話を使用しているエンド ユーザに、ジッタまたは遅延(ネットワーク全体の遅延および輻輳の症状)が発生する場合があります。この機能をイネーブルにすれば、このような望ましくない特性は生じなくなります。
制約事項
• トンネルごとの QoS ポリシーなし。インターフェイス QoS ポリシーがすべてのトンネルを表す。
• 同じ IP precedence/DSCP がインバウンドおよびアウトバウンドの音声パケットを生成していると想定。
• IP precedence/DSCP による音声パケット生成は発信元で実行されると想定。
• インターフェイス QoS ポリシーの音声トラフィックの一致基準が制限を受ける。
• コール アドミッション制御が企業内に適用されていると想定。
• aggregate ポリシーの帯域幅が暗号化エンジンの帯域幅を超える場合は、厳密なエラー チェックは実行されない。警告が表示されるだけで設定は可能です。
• 音声パケットはすべて暗号化されているか、すべて暗号化されていないかのいずれかであると想定。
関連機能およびテクノロジー
• CBWFQ
• プライオリティ キューイング
• 均等化キューイング
サポートされているプラットフォーム
12.2(14)S 以降
IPsec 暗号化エンジンの LLQ 機能がサポートされているのは次のプラットフォームです。
• Cisco 7200 シリーズ
12.2(13)T
IPsec 暗号化エンジンの LLQ 機能は、Cisco IOS Release 12.2(13)T 以降を使用する、次のすべてのプラットフォームでサポートされています。
• Cisco 2600 シリーズ
• Cisco 3600 シリーズ
• Cisco 7100 シリーズ
• Cisco 7200 シリーズ
ご使用のソフトウェア リリースでは、この章で説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。
プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
Cisco IOS ソフトウェア イメージの可用性
特定の Cisco IOS ソフトウェア リリースをサポートしているプラットフォームは、そのプラットフォーム用のソフトウェア イメージがあるかどうかによります。一部のプラットフォームのソフトウェア イメージは、事前の通知なしに延期、遅延、または変更される場合があります。各 Cisco IOS ソフトウェア リリースのプラットフォーム サポートおよび利用可能なソフトウェア イメージの更新情報は、オンライン リリース ノートまたは Cisco Feature Navigator(サポートされている場合)を参照してください。
サポートされている規格、MIB、および RFC
規格
• この機能によってサポートされる新しい規格や変更された規格はありません。
MIB
• この機能によってサポートされる新しい規格や変更された規格はありません。
選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。
http://www.cisco.com/go/mibs
RFC
• この機能によってサポートされる新しい RFC や変更された RFC はありません。
前提条件
この機能を使用するには、次の内容を理解している必要があります。
• アクセス コントロール リスト
• 帯域幅管理
• CBWFQ
設定作業
IPsec 暗号化エンジンの LLQ を設定するには、以下の項で説明する作業を実行します。
(注) インターフェイスのサーバ ポリシーの設定に関する詳細については、Cisco IOS Release 12.2 の『Quality of Service Solutions Command Reference』を参照してください。
• 「クラス マップの定義」 (必須)
• 「ポリシー マップでのクラス ポリシーの設定」 (必須)
• 「プライオリティ キューのクラス ポリシーの設定」 (必須)
• 「指定した帯域幅を使用するクラス ポリシーの設定」 (任意)
• 「Class-Default クラス ポリシーの設定」 (任意)
• 「サービス ポリシーのアタッチ」 (必須)
• 「ポリシー マップとそのクラスの設定の確認」 (任意)
クラス マップの定義
クラスにパケットが属しているかをチェックする一致基準を含むクラス マップを作成するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
ステップ 1 |
Router(config)# class-map class-map-name |
作成するクラス マップの名前を指定します。 |
ステップ 2 |
Router(config-cmap)# match access-group {access-group | name access-group-name} または Router(config-cmap)# match input-interface interface-name または Router(config-cmap)# match protocol protocol |
クラスにコンテンツ パケットが属しているかをチェックする Access Control List(ACL; アクセス コントロール リスト)の名前を指定します。 クラスにパケットが属しているかをチェックする一致基準として使用する入力インターフェイスの名前を指定します。 クラスにパケットが属しているかをチェックする一致基準として使用するプロトコルの名前を指定します。 |
ポリシー マップでのクラス ポリシーの設定
ポリシー マップを設定し、サービス ポリシーを構成するクラス ポリシーを作成するには、最初に policy-map コマンドを使用してポリシー マップの名前を指定します。次に、次のコマンドを 1 つ以上使い、標準クラスまたはデフォルト クラスのポリシーを設定します。
• priority
• bandwidth
• queue-limit または random-detect
• fair-queue (class-default クラスの場合のみ)
定義するクラスごとに、リストされているコマンドを 1 つ以上使い、クラス ポリシーを設定します。たとえば、あるクラスには帯域幅を、別のクラスには帯域幅およびキュー制限を指定します。
ポリシー マップのデフォルト クラス(一般に class-default クラスといいます)は、ポリシー マップで定義されているその他のクラスの一致基準を満たさない場合にトラフィックが送られるクラスです。
クラス ポリシーはルータで定義可能な数だけ設定できます(最大 64 個)。ただし、ポリシー マップのすべてのクラスに割り当てられている帯域幅の合計は、最小 Committed Information Rate(CIR; 認定情報レート)を超えてはいけません。最小 CIR は、Virtual Circuit(VC; 仮想回線)と、 frame-relay voice bandwidth コマンドおよび frame-relay ip rtp priority コマンドで予約されている帯域幅の差に設定されているレートです。最小 CIR が設定されていない場合は、CIR の半分が帯域幅のデフォルトになります。割り当てられていない帯域幅がある場合は、残っている帯域幅は設定されている帯域幅に応じてクラスに割り当てられます。
ポリシー マップのクラス ポリシーを設定するには、以降の項で説明する作業を実行します。最初の項の作業は必須ですが、残りの項の作業は任意です。
プライオリティ キューのクラス ポリシーの設定
ポリシー マップを設定し、ポリシー マップ内のクラスにプライオリティを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
ステップ 1 |
Router(config)# policy-map policy-map |
作成または変更するポリシー マップの名前を指定します。 |
ステップ 2 |
Router(config-cmap)# class class-name |
作成し、サービス ポリシーで使用するクラスの名前を指定します。 |
ステップ 3 |
Router(config-pmap-c)# priority bandwidth-kbps |
完全プライオリティ クラスを作成し、そのクラスに割り当てる帯域幅の量(kbps)を指定します。 |
指定した帯域幅を使用するクラス ポリシーの設定
ポリシー マップを設定し、サービス ポリシーを構成するクラス ポリシーを作成するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
ステップ 1 |
Router(config)# policy-map policy-map |
作成または変更するポリシー マップの名前を指定します。 |
ステップ 2 |
Router(config-cmap)# class class-name |
作成し、サービス ポリシーで使用するクラスの名前を指定します。 |
ステップ 3 |
Router(config-pmap-c)# bandwidth bandwidth-kbps |
クラスに割り当てる帯域幅の量(kbps)または使用可能な帯域幅のパーセンテージを指定します。帯域幅は kbps またはパーセンテージで指定します。単位はクラス内で統一します(プライオリティ キューの帯域幅は kbps で指定)。 |
同じポリシー マップ内でクラスを複数設定する場合は、ステップ 2 およびステップ 3 を繰り返してください。
Class-Default クラス ポリシーの設定
class-default クラスは、定義したクラスのいずれにも該当しないトラフィックを分類するために使用されます。ポリシー マップの作成時に class-default クラスを事前定義していても、あらためて定義する必要があります。デフォルト クラスを設定していなければ、設定したクラスのいずれにも該当しないトラフィックはベストエフォート扱いになります。ベストエフォート扱いとは、可能な場合はネットワークがそのトラフィックを配信し、信頼性、遅延防止、スループットは保証されないというものです。
ポリシー マップと class-default クラスを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
ステップ 1 |
Router(config)# policy-map policy-map |
作成または変更するポリシー マップの名前を指定します。 |
ステップ 2 |
Router(config-cmap)# class class-default default-class-name |
ポリシーを設定または変更できるようにデフォルト クラスを指定します。 |
ステップ 3 |
Router(config-pmap-c)# bandwidth bandwidth-kbps または Router(config-pmap-c)# fair-queue [number-of-dynamic-queues] |
クラスに割り当てる帯域幅の量(kbps)を指定します。 デフォルト クラスで実行されているフロー ベースの WFQ の使用に予約する、ダイナミック キューの数を指定します。ダイナミック キューの数はインターフェイスの帯域幅から求めます。 |
サービス ポリシーのアタッチ
サービス ポリシーを出力インターフェイスにアタッチし、IPsec 暗号化エンジンの LLQ をイネーブルにするには、マップ クラス コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
ステップ 1 |
Router(config)# interface type number |
IPsec 暗号化エンジンの LLQ を使ってインターフェイスを指定します。 |
ステップ 2 |
Router(config-if)# service-policy output policy-map |
指定したサービス ポリシー マップを出力インターフェイスにアタッチし、IPsec 暗号化エンジンの LLQ をイネーブルにします。 |
ポリシー マップとそのクラスの設定の確認
インターフェイスに設定されている特定のポリシー マップまたはすべてのポリシー マップの内容を表示するには、必要に応じて EXEC モードで次のコマンドを使用します。
|
|
|
ステップ 1 |
Router# show frame-relay pvc dlci |
PVC および特定の Data Link Connection Identifier(DLCI; データリンク接続識別子)のポリシー マップのクラスの設定に関する統計情報を表示します。 |
ステップ 2 |
Router# show policy-map interface interface-name |
LLQ が設定されている場合は、すべてのポリシー マップのクラスの設定を表示します。 |
ステップ 3 |
Router# show policy-map interface interface-name dlci dlci |
LLQ が設定されている場合は、特定の DLCI の、ポリシー マップのクラスの設定を表示します。 |
IPsec 暗号化エンジンの LLQ のモニタおよびメンテナンス
IPsec 暗号化エンジンの LLQ をモニタおよびメンテナンスするには、EXEC モードで次のコマンドを使用します。
|
|
|
ステップ 1 |
Router# show crypto eng qos |
IPsec 暗号化エンジンの LLQ の統計情報をキューイングしているサービスの品質を表示します。 |
IPsec 暗号化エンジンの LLQ のモニタに使用するコマンドの、より詳細なリストについては、「ポリシー マップとそのクラスの設定の確認」 の項を参照してください。
設定例
ここでは、次の設定例について説明します。
• 「IPsec 暗号化エンジンの LLQ の例」
IPsec 暗号化エンジンの LLQ の例
次の例では、保証帯域幅が 50 kbps の完全プライオリティ キューが、ソース アドレス 10.10.10.10 から宛先アドレス 10.10.10.20 に送信される(ポートは 16384 ~ 20000 および 53000 ~ 56000 の範囲)トラフィックに予約されています。
まず、次のコマンドでアクセス リスト 102 を設定して必要な音声トラフィックを一致させます。
Router(config)# access-list 102 permit udp host 10.10.10.10 host 10.10.10.20 range 16384 20000
Router(config)# access-list 102 permit udp host 10.10.10.10 host 10.10.10.20 range 53000 56000
次に、クラス マップ音声を定義し、policy1 というポリシー マップを作成します。続いて、クラス音声の完全プライオリティ キューを予約し、クラス バーに帯域幅 20 kbps を設定し、WFQ のデフォルト クラスを設定します。さらに、service-policy コマンドを使ってポリシー マップを fas0/0 にアタッチします。
Router(config)# class-map voice
Router(config-cmap)# match access-group 102
Router(config)# policy-map policy1
Router(config-pmap)# class voice
Router(config-pmap-c)# priority 50
Router(config-pmap)# class bar
Router(config-pmap-c)# bandwidth 20
Router(config-pmap)# class class-default
Router(config-pmap-c)# fair-queue
Router(config)# interface fas0/0
Router(config-if)# service-policy output policy1
用語集
IKE :Internet Key Exchange(IKE; インターネット キー エクスチェンジ)。IKE は共有セキュリティ ポリシーを確立し、サービス(IPsec など)のキーを認証します。IPsec トラフィックを通過させる前に、ルータ、ファイアウォール、ホストそれぞれでピアの ID を検証する必要があります。それには、事前共有キーを両ホストに手動で入力するか、CA サービスを使用します。
IPsec :IP Security(IP セキュリティ)。オープン規格のフレームワークであり、関与するピア間におけるデータの機密保持、データ整合性、データ認証を実現します。IPsec では、これらのセキュリティ サービスが IP レイヤで実現されます。IPsec では、ローカル ポリシーに基づいたプロトコルやアルゴリズムのネゴシエーションの処理や、IPsec に使用される暗号キーや認証キーの生成が、IKE を通じて行われます。IPsec は、1 組のホスト間、1 組のセキュリティ ゲートウェイ間、またはセキュリティ ゲートウェイとホスト間で 1 つ以上のデータ フローを保護するために使用できます。
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks . Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2009-2010 Cisco Systems, Inc.
All rights reserved.
Copyright © 2009-2011, シスコシステムズ合同会社.
All rights reserved.