Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

PIX/ASA 7.x: Exemplo de Configuração de QoS para Tráfego VoIP em Túneis VPN

20 Setembro 2014 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (8 Junho 2009) | Inglês (15 Setembro 2014) | Feedback


Índice


Introdução

Este documento fornece um exemplo de configuração de Qualidade de Serviço (QoS) para o tráfego de Voz sobre IP (VoIP) em túneis VPN terminados nos PIX/ASA Security Appliances.

O objetivo principal de QoS na ferramenta de segurança é fornecer a taxa que limita no tráfego de rede selecionado, porque o fluxo individual e o túnel VPN fluem, a fim assegurar-se de que todo o tráfego obtenha sua parte justa de largura de banda limitada. Refira PIX/ASA 7.x e mais tarde: Gerenciamento de largura de banda (limite de taxa) que usa políticas de QoS para mais informação.

Nota: QoS não é apoiado em uma subinterface, somente na interface principal própria. Se você configura QoS em uma relação próprio, todas as subinterfaces estão afetadas igualmente pelo QoS.

Pré-requisitos

Requisitos

Este documento pressupõe que as configurações de VPN IPsec LAN a LAN (L2L) necessárias tenham sido feitas em todos os dispositivos e funcionem corretamente.

Componentes Utilizados

As informações neste documento baseiam-se em um Cisco PIX 500 Series Security Appliance com a versão 7.x do software.

Nota: O QoS está apoiado somente no PIX 515 dos modelos de PIX e mais tarde enquanto apoiam a versão 7.x do Software do firewall Cisco PIX. Não é apoiado no PIX 501 e nos 506 modelos.

Nota: O QoS é apoiado somente na versão 7.x e mais recente do Software do firewall Cisco PIX.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser usada com o Cisco Adaptive Security Appliance (ASA) 5500 Series Security Appliance com a versão 7.x do software.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

QoS é uma estratégia de gerenciamento de tráfego que permite alocar recursos de rede para dados de missão crítica ou não com base no tipo do tráfego de rede e na prioridade a ele atribuída. A QoS garante o tráfego prioritário sem impedimentos e possibilita a limitação das taxas (policiamento) do tráfego padrão.

Por exemplo, vídeo e VoIP são formas cada vez mais importantes de comunicação entre escritórios distribuídos geograficamente usando a infra-estrutura da Internet como o mecanismo de transporte. Os firewalls são indispensáveis para a segurança da rede porque controlam o acesso, o que inclui a inspeção dos protocolos de VoIP. A QoS é o ponto focal para o estabelecimento de comunicações de voz e vídeo claras e ininterruptas, ao mesmo tempo em que fornece um nível básico de serviços para todos os demais tipos de tráfego que cruza o dispositivo.

Para que o tráfego de voz e vídeo viaje pelas redes IP de forma segura, confiável e eficiente em termos de custo, a QoS deverá ser habilitada em todos os pontos da rede.

A implementação da QoS permite:

  • Simplificar as operações de rede ao reunir todo o tráfego de rede de dados, voz e vídeo em um único backbone por meio do uso de tecnologias semelhantes.

  • Implementar novos aplicativos de rede, como aplicativos de centrais de atendimento integradas e treinamento com vídeo, que podem ajudar a diferenciar as empresas em seus respectivos nichos de mercado e aumentar a produtividade.

  • Controlar o uso de recursos ao determinar que tipo de tráfego recebe quais recursos. Por exemplo, você pode garantir que tráfego mais importante e crítico em termos de tempo receba os recursos de rede (largura de banda disponível e atraso mínimo) necessários e que todos os outros aplicativos que usam o link recebam uma parcela justa do serviço sem interferir com o tráfego de missão crítica.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/82310/qos-voip-vpn-1.gif

Nota:  Os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São os endereços da RFC1918 que foram usados em um ambiente de laboratório.

Nota: Assegure-se de que os Telefones IP e os anfitriões estejam colocados em segmentos diferentes (sub-redes). Esta prática é recomendada para um bom design de rede.

Configurações

Este documento utiliza as seguintes configurações:

Configuração de QoS Baseada em DSCP

!--- Create a class map named Voice.

PIX(config)#class-map Voice


!--- Specifies the packet that matches criteria that
!--- identifies voice packets that have a DSCP value of "ef".


PIX(config-cmap)#match dscp ef


!--- Create a class map named Data.


PIX(config)#class-map Data


!--- Specifies the packet that matches data traffic to be passed through 
!--- IPsec tunnel.


PIX(config-cmap)#match tunnel-group 10.1.2.1 
PIX(config-cmap)#match flow ip destination-address


!--- Create a policy to be applied to a set 
!--- of voice traffic.


PIX(config-cmap)#policy-map Voicepolicy


!--- Specify the class name created in order to apply 
!--- the action to it.


PIX(config-pmap)#class Voice


!--- Strict scheduling priority for the class Voice.

PIX(config-pmap-c)#priority

PIX(config-pmap-c)#class Data


!--- Apply policing to the data traffic.


PIX(config-pmap-c)#police output 200000 37500



!--- Apply the policy defined to the outside interface.


PIX(config-pmap-c)#service-policy Voicepolicy interface outside
PIX(config)#priority-queue outside
PIX(config-priority-queue)#queue-limit 2048
PIX(config-priority-queue)#tx-ring-limit 256

Nota: O valor DSCP de “ef” refere o Expedited Forwarding que combina o tráfego VoIP-RTP.

Configuração de QoS Baseada em DSCP com VPN
PIX#show running-config
: Saved
:
PIX Version 7.2(2)
!
hostname PIX
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet1
 nameif outside
 security-level 0
 ip address 10.1.4.1 255.255.255.0
!

passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive


!--- This crypto ACL-permit identifies the 
!--- matching traffic flows to be protected via encryption.


access-list 110 extended permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
access-list 110 extended permit ip 10.1.5.0 255.255.255.0 10.1.6.0 255.255.255.0

pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
route outside 0.0.0.0 0.0.0.0 10.1.4.2 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

!--- Configuration for IPsec policies.

crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto map mymap 10 match address 110

!--- Sets the IP address of the remote end.

crypto map mymap 10 set peer 10.1.2.1

!--- Configures IPsec to use the transform-set 
!--- "myset" defined earlier in this configuration.

crypto map mymap 10 set transform-set myset
crypto map mymap interface outside

!--- Configuration for IKE policies

crypto isakmp policy 10

!--- Enables the IKE policy configuration (config-isakmp) 
!--- command mode, where you can specify the parameters that 
!--- are used during an IKE negotiation.

 
authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 86400

!--- Use this command in order to create and manage the database of 
!--- connection-specific records like group name 
!--- as 10.1.2.1, IPsec type as L2L, and password as 
!--- pre-shared key for IPsec tunnels.

tunnel-group 10.1.2.1 type ipsec-l2l
tunnel-group 10.1.2.1 ipsec-attributes

!--- Specifies the preshared key "cisco123" which should 
!--- be identical at both peers. 


 pre-shared-key *
 
telnet timeout 5
ssh timeout 5
console timeout 0
priority-queue outside
 queue-limit 2048
 tx-ring-limit 256
!
class-map Voice
 match dscp ef
class-map Data
match tunnel-group 10.1.2.1
match flow ip destination-address
class-map inspection_default
 match default-inspection-traffic

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
policy-map Voicepolicy
 class Voice
  priority
class Data
 police output 200000 37500
!
service-policy global_policy global
service-policy Voicepolicy interface outside
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Configuração de QoS Baseada em Lista de Controle de Acesso (ACL)

!--- Permits inbound H.323 calls.

PIX(config)#access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0 
255.255.255.0 eq h323

!--- Permits inbound Session Internet Protocol (SIP) calls.

PIX(config)#access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq sip

!--- Permits inbound Skinny Call Control Protocol (SCCP) calls.

PIX(config)#access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0 
255.255.255.0 eq 2000

!--- Permits outbound H.323 calls.

Pix(config)#access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 
255.255.255.0 eq h323

!--- Permits outbound SIP calls.

Pix(config)#access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 
255.255.255.0 eq sip

!--- Permits outbound SCCP calls.

Pix(config)#access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 
255.255.255.0 eq 2000

!--- Apply the ACL 100 for the inbound traffic of the outside interface.

PIX(config)#access-group 100 in interface outside


!--- Create a class map named Voice-IN.

PIX(config)#class-map Voice-IN

!--- Specifies the packet matching criteria which 
!--- matches the traffic flow as per ACL 100.

PIX(config-cmap)#match access-list 100


!--- Create a class map named Voice-OUT.

PIX(config-cmap)#class-map Voice-OUT

!--- Specifies the packet matching criteria which 
!--- matches the traffic flow as per ACL 105.

PIX(config-cmap)#match access-list 105


!--- Create a policy to be applied to a set 
!--- of Voice traffic.

PIX(config-cmap)#policy-map Voicepolicy

!--- Specify the class name created in order to apply 
!--- the action to it.

PIX(config-pmap)#class Voice-IN
PIX(config-pmap)#class Voice-OUT

!--- Strict scheduling priority for the class Voice.

PIX(config-pmap-c)#priority
PIX(config-pmap-c)#end
PIX#configure terminal
PIX(config)#priority-queue outside


!--- Apply the policy defined to the outside interface.

PIX(config)#service-policy Voicepolicy interface outside
PIX(config)#end

Configuração de QoS Baseada em ACL com VPN
PIX#show running-config
: Saved
:
PIX Version 7.2(2)
!
hostname PIX
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet1
 nameif outside
 security-level 0
 ip address 10.1.4.1 255.255.255.0
!
interface Ethernet2
 nameif DMZ1
 security-level 95
 ip address 10.1.5.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive


!--- This crypto ACL-permit identifies the 
!--- matching traffic flows to be protected via encryption.


access-list 110 extended permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
access-list 110 extended permit ip 10.1.5.0 255.255.255.0 10.1.6.0 255.255.255.0


!--- Permits inbound H.323, SIP and SCCP calls.

access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0 
255.255.255.0 eq h323
access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0 
255.255.255.0 eq sip
access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq 2000


!--- Permit outbound H.323, SIP and SCCP calls.

access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 
255.255.255.0 eq h323
access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 
255.255.255.0 eq sip
access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 
255.255.255.0 eq 2000
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group 100 in interface outside

route outside 0.0.0.0 0.0.0.0 10.1.4.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto map mymap 10 match address 110
crypto map mymap 10 set peer 10.1.2.1
crypto map mymap 10 set transform-set myset
crypto map mymap interface outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 86400
tunnel-group 10.1.2.1 type ipsec-l2l
tunnel-group 10.1.2.1 ipsec-attributes
 pre-shared-key *

telnet timeout 5
ssh timeout 5
console timeout 0
priority-queue outside
!
class-map Voice-OUT
 match access-list 105
class-map Voice-IN
 match access-list 100
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp

!--- Inspection enabled for H.323, H.225 and H.323 RAS protocols.

  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp

!--- Inspection enabled for Skinny protocol.

  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp

!--- Inspection enabled for SIP.

  inspect sip
  inspect xdmcp
policy-map Voicepolicy
 class Voice-IN
 class Voice-OUT
  priority
!
service-policy global_policy global
service-policy Voicepolicy interface outside
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Configuração de Roteador com VPN
Router#show running-config
Building configuration...

Current configuration : 1225 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
!
!
ip cef
!
!
!
!
!
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
crypto isakmp key cisco123 address 10.1.4.1
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap 10 ipsec-isakmp
 set peer 10.1.4.1
 set transform-set myset
 match address 110
!
!
!
!
interface Ethernet0/0
 ip address 10.1.6.1 255.255.255.0
 half-duplex
!
interface FastEthernet1/0
 ip address 172.16.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface Serial2/0
 ip address 10.1.2.1 255.255.255.0
ip access-group 100 in
 no fair-queue
 crypto map mymap
!

ip http server
no ip http secure-server
!
ip route 10.1.0.0 255.255.0.0 Serial2/0
!

!--- Permits inbound IPsec traffic.

access-list 100 permit esp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 100 permit esp 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255
access-list 100 permit udp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 eq isakmp
access-list 100 permit udp 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255 eq isakmp


!--- ACL entries for interesting traffic.


access-list 110 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 110 permit ip 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255
!
!
control-plane

!
!
line con 0
line aux 0
line vty 0 4
!
!
end

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • show running-config policy-map — Mostra a configuração do mapa de políticas de QoS.

    PIX#show running-config policy-map
    !
    policy-map type inspect dns preset_dns_map
     parameters
      message-length maximum 512
    policy-map global_policy
     class inspection_default
      inspect dns preset_dns_map
      inspect ftp
      inspect h323 h225
      inspect h323 ras
      inspect netbios
      inspect rsh
      inspect rtsp
      inspect skinny
      inspect esmtp
      inspect sqlnet
      inspect sunrpc
      inspect tftp
      inspect sip
      inspect xdmcp
    policy-map Voicepolicy
     class Voice
      priority
    
  • show service-policy interface outside — Mostra a configuração das políticas do serviço de QoS.

    PIX#show service-policy interface outside
    
    Interface outside:
      Service-policy: Voicepolicy
        Class-map: Voice
          Priority:
            Interface outside: aggregate drop 0, aggregate transmit 0

Troubleshooting

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Use os comandos debug para fazer o troubleshooting do problema.

  • debugar h323 {h225 | h245 | ras} — os indicadores debugam mensagens para H.323.

  • debug sip — Exibe as mensagens de depuração para a inspeção de aplicativos SIP.

  • debug skinny — Exibe as mensagens de depuração para a inspeção de aplicativos SCCP (Skinny).

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 82310