Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA 7.x e mais tarde: Gerenciamento de largura de banda (limite de taxa) que usa políticas de QoS

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

A Qualidade de Serviço (QoS) é uma característica de rede que permite classificar a prioridade de certos tipos de tráfego de Internet. Como os usuários do Internet promovem seus Access point do Modems às conexões de faixa larga de alta velocidade como o DSL e os cabografam, os aumentos da probabilidade que a um momento determinado, um usuário único pôde poder absorver a maioria, se não toda a, largura de banda disponível, assim morrendo de fome os outros usuários. A fim impedir que toda a uma conexão do usuário ou da site para site consuma mais do que sua parte justa de largura de banda, QoS fornece uns recursos de vigilância que regulem a largura de banda máxima que qualquer usuário pode usar.

QoS refere a capacidade de uma rede de proporcionar o melhor serviço ao tráfego de rede selecionado sobre várias Tecnologias para os melhores serviços totais com a largura de banda limitada das tecnologias subjacentes.

O objetivo principal de QoS na ferramenta de segurança é fornecer a taxa que limita no tráfego de rede selecionado para que o fluxo individual do fluxo ou do túnel VPN siga que todo o tráfego obtém sua parte justa de largura de banda limitada. Um fluxo pode ser definido em um número de maneiras. Na ferramenta de segurança, QoS pode aplicar-se a uma combinação de origem e aos endereços IP de destino, ao número de porta de origem e de destino, e ao byte do Tipo de serviço (ToS) do cabeçalho IP.

A fim configurar o QoS para a Voz sobre IP (VoIP) trafique nos túneis VPN que terminam nas ferramentas de segurança PIX/ASA, referem PIX/ASA 7.x: QoS para o tráfego voip no VPN escava um túnel o exemplo de configuração.

Nota: QoS não é apoiado em uma subinterface, ele é apoiado somente na interface principal própria. A configuração de QoS em uma relação própria faz todas as subinterfaces afetadas pelo QoS.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada na ferramenta de segurança PIX que executa a versão 7.x e mais recente.

Nota: QoS é apoiado somente em modelos do PIX 515 e mais tarde. Estes modelos apoiam a versão 7.x do Software do firewall Cisco PIX. QoS não é apoiado no PIX 501 e nos 506 modelos.

Nota: QoS é apoiado somente na versão 7.x e mais recente do Software do firewall Cisco PIX.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração pode igualmente ser usada com uma ferramenta de segurança adaptável (ASA) essa versão 7.x e mais recente das corridas.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Conceitos de QoS

QoS é uma estratégia de gerência do tráfego que permite que você atribua recursos de rede para a missão crítica e dados normais, com base no tipo de tráfego de rede e na prioridade que você atribui a esse tráfego. Em curto, QoS assegura tráfego de prioridade desimpedido e fornece a capacidade de tráfego padrão da taxa limite (policiamento).

Por exemplo, vídeo e VoIP são formas cada vez mais importantes de comunicação entre escritórios distribuídos geograficamente usando a infra-estrutura da Internet como o mecanismo de transporte. Os Firewall são chaves a fixar redes porque controlam o acesso, que inclui a inspeção dos protocolos de VoIP. QoS é o ponto focal a fornecer claramente, Voz ininterrupto e comunicações de vídeo, quando ainda fornecer um nível básico do serviço para todo tráfego restante que passa através do dispositivo.

Para que a Voz e o vídeo atravesse redes IP em um seguro, a maneira segura, e da pedágio-qualidade, QoS deve ser permitida em todos os pontos da rede. Quando você executa QoS, permite-o a:

  • Simplificar as operações de rede ao reunir todo o tráfego de rede de dados, voz e vídeo em um único backbone por meio do uso de tecnologias semelhantes.

  • Implementar novos aplicativos de rede, como aplicativos de centrais de atendimento integradas e treinamento com vídeo, que podem ajudar a diferenciar as empresas em seus respectivos nichos de mercado e aumentar a produtividade.

  • Controlar o uso de recursos ao determinar que tipo de tráfego recebe quais recursos. Por exemplo, você pode garantir que tráfego mais importante e crítico em termos de tempo receba os recursos de rede (largura de banda disponível e atraso mínimo) necessários e que todos os outros aplicativos que usam o link recebam uma parcela justa do serviço sem interferir com o tráfego de missão crítica.

QoS fornece o controle da taxa máxima, ou o policiamento, para o tráfego em túnel para cada túnel do usuário individual e cada túnel de site para site. Nesta liberação, não há nenhuma garantia de largura de banda mínima.

A ferramenta de segurança pode policiar o tráfego do usuário individual dentro de um túnel de LAN para LAN configurando os mapas de classe que não são associados com o túnel, mas o cujo o tráfego passa eventualmente através do túnel de LAN para LAN.

O tráfego antes que o túnel de LAN para LAN puder então especificamente ser policiado enquanto passa através do túnel e está policiado outra vez à taxa agregada aplicada ao túnel. A ferramenta de segurança permite que duas filas dos tipos de tráfego para cada relação a fim conseguir QoS — uma fila de latência baixa (LLQ) e uma fila padrão. Somente o tráfego padrão é sujeito avaliar a limitação.

Porque QoS pode consumir grandes quantidades de recursos, que podem degradar o desempenho da ferramenta de segurança, QoS é desabilitado à revelia

Nota: Você deve considerar que em um ambiente de rede nunca-em mudança, QoS não é um único desenvolvimento. É um em curso, parte essencial de projeto de rede.

Implementação de QoS

Geralmente, estas etapas são exigidas quando você provision políticas de QoS:

  1. Especifique classes de tráfego.

  2. Associe ações com cada classe de tráfego para formular políticas.

  3. Ative as políticas.

A especificação do as políticas de classificação (a definição das classes de tráfego) é separada da especificação das políticas que atuam nos resultados da classificação.

Uma classe de tráfego é um grupo de tráfego que é identificável por seu conteúdo de pacote de informação. Por exemplo, o tráfego TCP com um valor de porta de 23 pôde ser classificado como uma classe de tráfego do telnet.

Uma ação é uma atividade específica tomada para proteger a informação ou os recursos. Neste caso, para executar funções de QoS. Uma ação é associada tipicamente com uma classe de tráfego específica.

A configuração de uma política de QoS tradicional para a ferramenta de segurança consiste nestas etapas:

  1. Defina classes de tráfego (comando class-map).

  2. Associe políticas e ações com cada classe de tráfego (comando policy-map).

  3. Anexe políticas a lógico ou às interfaces física (comando service-policy).

O comando class-map

O comando class-map define um objeto Nomeado que represente uma classe de tráfego que especifique o pacote que combina os critérios que identifica os pacotes que pertencem a esta classe. O formulário básico do comando é:

class-map class-map-name-1


	match match-criteria-1


class-map class-map-name-n


	match match-criteria-n

O comando policy-map

O comando policy-map define um objeto Nomeado que represente um grupo de políticas a ser aplicadas a um grupo de classes de tráfego. Um exemplo de tal política está policiando a classe de tráfego a alguma taxa máxima. O formulário básico do comando é:

policy-map policy-map-name
	class class-map-name-1
		policy-1
		policy-n
	class class-map-name-n
		policy-m
		policy-m+1

O comando service-policy

O comando service-policy anexa um mapa de política e suas políticas associadas a um alvo, interface nomeada.

O comando igualmente indica se as políticas se aplicam aos pacotes que vêm de ou são enviados ao alvo. Por exemplo, uma política emissora (aplicada aos pacotes que retiram uma relação) é aplicada enquanto este exemplo mostra:

hostname(config)#service-policy policy-map-name interface outside

Além, se você se diferencia entre o tráfego de prioridade e o tráfego de melhor esforço, você deve definir uma fila de latência baixa (comando priority-queue) em cada Nomeado, a interface física que transmite o tráfego prioritário.

Este exemplo permite uma prioridade-fila do padrão com o limite de fila padrão e o transmitir limite de anel:

priority-queue name-interface

Nota: as políticas QoS-relacionadas sob o Policy-map-name aplicam-se somente ao tráfego de saída, não ao tráfego de entrada da interface nomeada.

Identifique o tráfego para QoS

O comando class-map classifica um grupo de tráfego com que as ações QoS são associadas. Você pode usar vários tipos de critérios de verificação de repetição de dados para classificar o tráfego. Os comandos match identificam o tráfego incluído na classe de tráfego para um mapa da classe. Incluem critérios diferentes para definir o tráfego incluído em um mapa de classe. Defina uma classe de tráfego usando o comando global configuration do mapa de classe como parte de configurar uns recursos de segurança que usam a estrutura de política modular. Do modo da configuração de mapa de classe, você pode definir o tráfego para incluir na classe que usa o comando match.

Depois que uma classe de tráfego é aplicada a uma relação, os pacotes recebidos nessa relação estão comparados aos critérios definidos pelas instruções compatível no mapa da classe. Se o pacote combina os critérios especificados, está incluído na classe de tráfego e sujeitado a todas as ações associadas com essa classe de tráfego. Os pacotes que não combinam alguns dos critérios em nenhuma classe de tráfego são atribuídos à classe do tráfego padrão.

Um tal critério é lista de acesso. Por exemplo, nesta sequência, o comando class-map classifica todo o tráfego TCP NON-em túnel com o uso de uma lista de acesso nomeada tcp_traffic:

hostname(config)#access-list tcp_traffic permit tcp any any
hostname(config)#class-map tcp_traffic
hostname(config-cmap)#match access-list tcp_traffic

Quando um pacote é combinado contra um mapa de classe, o resultado é um fósforo ou um nenhum-fósforo.

Neste exemplo, uns critérios de verificação de repetição de dados outro e mais específicos são usados a fim classificar o tráfego para grupos de túneis específicos, relacionado à segurança. Estes critérios de verificação de repetição de dados específicos estipulam que um fósforo no grupo de túneis (neste caso, o Tunnel-Group-1 precedente-definido) está exigido como a primeira característica do fósforo a fim classificar o tráfego para um túnel específico. Igualmente permite uma linha de compatibilidade adicional classificar o tráfego (Differential Services Code Point, Expedited Forwarding IP).

hostname(config)#class-map TG1-voice
hostname(config-cmap)#match tunnel-group Tunnel-Group-1
hostname(config-cmap)#match dscp ef

Neste exemplo, o comando class-map classifica tráfego escavado um túnel e NON-em túnel de acordo com o tipo de tráfego:

Nota: Alguns dos comandos nesta saída são envolvidos a uma segunda linha devido às razões espaciais.

hostname(config)#access-list tunneled extended permit 
ip 10.10.34.0 255.255.255.0 20.20.10.0 255.255.255.0
hostname(config)#access-list non-tunneled extended permit tcp any any
hostname(config)#tunnel-group tunnel-grp1 type IPSec_L2L

hostname(config)#class-map browse
hostname(config-cmap)#description "This class-map matches all 
non-tunneled tcp traffic."
hostname(config-cmap)#match access-list non-tunneled

hostname(config-cmap)#class-map TG1-voice
hostname(config-cmap)#description "This class-map matches all dscp ef 
traffic for tunnel-grp 1."
hostname(config-cmap)#match dscp ef
hostname(config-cmap)#match tunnel-group tunnel-grp1

hostname(config-cmap)#class-map TG1-BestEffort
hostname(config-cmap)#description "This class-map matches all best-effort 
traffic for tunnel-grp1."
hostname(config-cmap)#match tunnel-group tunnel-grp1
hostname(config-cmap)#match flow ip destination-address

Este exemplo mostra uma maneira de policiar um fluxo dentro de um túnel, desde que o tráfego classificado não é especificado como um túnel, mas atravessa o túnel. Neste exemplo, 192.168.10.10 é o endereço da máquina host no lado privado do túnel remoto, e a lista de acessos é nomeada "host-sobre-l2l". Quando você criar um mapa de classe (nomeado “host-específico”), você pode então policiar a classe host-específica antes que a conexão de LAN para LAN policie o túnel. Neste exemplo, o tráfego host-específico é limite de taxa antes que o túnel, a seguir o túnel estejam limite de taxa:

hostname(config)#access-list host-over-l2l extended permit ip any host 192.168.10.10
hostname(config)#class-map host-specific
hostname(config-cmap)#match access-list host-over-l2l

Esta tabela resume os critérios do comando match disponíveis e relevantes a QoS. Para a lista completa de todos os comandos match e de sua sintaxe, refira a referência de comandos do dispositivo do Cisco Security.

pixasa7x-traffic-mgt-1.gif

Além do que as classes definidas pelo utilizador, uma classe sistema-definida nomeada class-default igualmente existe. Este class-default representa todos os pacotes que não combinam algumas das classes definidas pelo utilizador de modo que as políticas possam ser definidas para estes pacotes.

Defina um mapa da política de QoS

O comando policy-map configura várias políticas, tais como políticas de segurança ou políticas de QoS. Uma política é uma associação de uma classe de tráfego, especificada por um comando class, e umas ou várias ações. Esta seção trata especificamente como usar o comando policy-map a fim definir as políticas de QoS para umas ou várias classes de pacotes.

Quando você inscreve um comando policy-map, você entra no modo da configuração de mapa de política e a alerta muda para indicar esta. Neste modo, você pode inscrever a classe e os comandos description. Um comando policy-map pode especificar políticas múltiplas. O número máximo de mapas da política é 64.

Depois que você inscreve o comando policy-map, você inscreve então um comando class especificar a classificação do tráfego de pacote. O comando class configura políticas de QoS para a classe de tráfego especificada no mapa de classe dado. Uma classe de tráfego é um grupo de tráfego que é identificável por seu conteúdo de pacote de informação. Por exemplo, o tráfego TCP com um valor de porta de 23 pode ser classificado como uma classe de tráfego do telnet. Os comandos class são diferenciados por suas designações previamente Nomeados e construídas do mapa de classe, e as ações associadas aparecem imediatamente depois de.

A ferramenta de segurança avalia mapas de classe na ordem em que foram inscritos na configuração de mapa de política. Classifica um pacote ao primeiro mapa de classe que combine o pacote.

Nota: A ordem em que os tipos diferentes de ações em um mapa de política são executados é independente da ordem em que as ações aparecem nas descrições de comando neste documento.

Nota: O comando priority fornece o Low-Latency Queuing para o tráfego sensível a retardo, tal como a Voz. Este comando seleciona todos os pacotes que combinam a classe associada (TG1-voice no exemplo anterior) e envia-os à fila de latência baixa para o processamento de prioridade.

Aplique a limitação da taxa

O fluxo de tráfego do limite de largura de banda de cada usuário (BLT) pode participar na limitação da largura de banda máxima. Isto é, policiamento restrito, que limites de taxa o tráfego padrão do usuário individual a alguma taxa máxima. Isto impede que BLTs de todo o o um usuário individual oprima qualquer outro. O tráfego LLQ, contudo, é marcado e processado rio abaixo em uma fila de prioridade. Este tráfego não é limite de taxa. Policiar é uma maneira de assegurar-se de que o sem tráfego exceda a taxa máxima (bit/em segundo) essa você configure. Isto assegura-se de que ninguém fluxo de tráfego possa tomar sobre o recurso inteiro. Você usa o comando police especificar a taxa máxima (o limite de taxa para este fluxo de tráfego). Este é um valor na escala 8000-2000000000 e especifica a velocidade máxima (bit por segundo) permitida. Você igualmente especifica que ação (a gota ou transmite) a tomar para o tráfego que se conforma ao limite e para o tráfego que excede o limite.

Nota: Você pode especificar a ação de queda, mas não é funcional. A ação é sempre transmitir, exceto quando a taxa é excedida, e mesmo então, a ação é estrangular o tráfego ao máximo - velocidade permissível.

O comando police igualmente configura o único estouro de tráfego o maior permitido. Um valor de intermitência na escala 1000-512000000 especifica o número máximo de bytes instantâneos reservados em uma explosão sustentada antes de estrangular ao valor de taxa de conformação.

Nota: Policiar é aplicado somente no sentido da saída.

Nota: Você não pode permitir a prioridade e o policiamento junto. Se uma política de serviços é aplicada ou removida de uma relação que tenha VPN existente Client/LAN-to-LAN ou tráfego NON-em túnel já estabelecido, a política de QoS não é aplicada ou removida do fluxo de tráfego. A fim aplicar ou remover a política de QoS para tais conexões, você deve cancelar (gota) as conexões e restabelecê-las.

Nota: Ao policiar é especificado no mapa da classe padrão, class-default, os valores da polícia do class-default estão aplicados ao fluxo agregado do LAN para LAN VPN se não há nenhum comando police definido para o grupo de túneis do LAN para LAN VPN. Ou seja os valores de policiamento do class-default são aplicados nunca ao fluxo individual de um LAN para LAN VPN que existe antes da criptografia.

Construções deste exemplo na configuração desenvolvida na seção anterior. Como no exemplo anterior, há dois mapas de classe nomeados chamados tcp_traffic e TG1-voice. A adição de um mapa de classe do terço fornece uma base definindo uma política de QoS em túnel e NON-em túnel que crie uma política de QoS simples para o tráfego em túnel e NON-em túnel, atribua pacotes da classe TG1-voice à fila de latência baixa, e ajuste limites de taxa nos fluxos de tráfego tcp_traffic e TG1-best-effort.

hostname(config)#class-map TG1-best-effort
hostname(config-cmap)#match tunnel-group Tunnel-Group-1
hostname(config-cmap)#match flow ip destination-address

Nota: " best effort " não garante a entrega de pacotes segura, que não usa um sistema sofisticado do reconhecimento. , Contudo, faz um melhor esforço para entregar pacotes ao destino.

Neste exemplo, a taxa máxima para o tráfego da classe tcp_traffic é 56,000 bit/em segundo e um tamanho de intermitência máxima de 10,500 bytes por segundo. Para a classe TC1-BestEffort, a taxa máxima é 200,000 bit/em segundo, com uma lintermitência máxima de 37,500 bytes/em segundo. O tráfego na classe TC1-voice não tem nenhuma velocidade máxima ou taxa de intermitência policiada porque pertence a uma classe de prioridade:

hostname(config)#policy-map qos
hostname(config-pmap)#class tcp_traffic
hostname(config-pmap-c)#police output 56000 10500

hostname(config-pmap-c)#class TG1-voice
hostname(config-pmap-c)#priority

hostname(config-pmap-c)#class TG1-best-effort
hostname(config-pmap-c)#police output 200000 37500

hostname(config-pmap-c)#class class-default
hostname(config-pmap-c)#police output 1000000 37500

Nota: Você pode ter até os política-mapas 256, e até as classes 256 em um mapa de política. O número máximo de classes em todos os mapas da política é junto 256. Para todo o mapa de classe, você pode ter somente uma instrução compatível associada com ela, à excecpção de uma classe do túnel. Para uma classe do túnel, uma indicação adicional do grupo de túneis do fósforo é permitida.

Ative a política de serviços

O comando service-policy ativa um comando policy-map globalmente em todas as relações ou em uma relação visada. Uma relação pode ser uma relação (VLAN) virtual ou uma interface física. Somente um mapa de política global é permitido. Se você especifica a relação da palavra-chave e um nome da relação, o mapa de política aplica-se somente a essa relação. Um mapa de política da relação herda regras do mapa de política global. Para as regras que sobrepõem com o mapa de política global, as regras da política da relação são aplicadas. Somente um mapa de política da relação pode ser aplicado a uma relação a qualquer altura.

Geralmente, um comando service-policy pode ser aplicado a toda a relação que puder ser definida pelo comando nameif.

Com o uso do exemplo do mapa de política na seção anterior, este comando service-policy ativa o mapa de política “qos,” definido na seção anterior, para o tráfego na interface externa:

hostname(config)#service-policy qos interface outside

Aplique o low latency queueing

A ferramenta de segurança permite duas classes de tráfego chamadas Low Latency Queuing (LLQ) para a prioridade mais alta, o tráfego latência-sensível (tal como a Voz e o vídeo) e o melhor esforço, que é o padrão para todo tráfego restante. Estas duas filas são construídas no sistema. A ferramenta de segurança reconhece o tráfego da prioridade de QoS e reforça políticas de QoS apropriadas.

Porque as filas não são do tamanho infinito, podem encher-se e transbordar. Quando uma fila está completa, nenhuns pacotes adicionais não podem obter na fila e estão deixados cair. Esta é queda traseira. A fim evitar ter a fila encha acima, você pode usar o comando queue-limit aumentar o tamanho de buffer de fila.

Você pode configurar a fila da latência baixa (prioridade) para ajustar o número máximo de pacotes permitido no transmitir fila (que usa o comando tx-ring-limit) e para fazer sob medida a profundidade da fila de prioridade (que usa o comando queue-limit). Isto permite que você controle a latência e o vigor das filas de prioridade.

Nota: O limite superior da escala dos valores para o fila-limite e os comandos tx-ring-limit é determinado dinamicamente no tempo de execução. A fim ver este limite, incorpore a ajuda ou? na linha de comando. As causas determinantes chaves são a memória necessária apoiar as filas e a memória disponível no dispositivo. A escala de valores do fila-limite é até 2048 os pacotes 0. A escala dos valores limite de anel TX é 3 pacotes 128 diretos na plataforma e em 3 PIX aos pacotes 256 na plataforma ASA.

Configurar filas de prioridade

Você identifica o tráfego de alta prioridade quando você usa o comando priority no modo da classe. Este comando instrui a ferramenta de segurança para marcar como a alta prioridade que o tráfego selecionou pelo mapa da classe.

Para que as filas de prioridade ocorram, você deve criar uma fila de prioridade para Nomeado, as interfaces física que transmitem o tráfego de alta prioridade. A fim permitir uma fila de prioridade em uma relação, use o comando priority-queue no modo de configuração global. Você pode aplicar um comando priority-queue a cada interface física definida pelo comando nameif. Todo tráfego restante é entregado em uma base do melhor esforço.

Geralmente, você pode aplicar um comando priority-queue a toda a interface física que puder ser definida pelo comando nameif. Você não pode aplicar um comando priority-queue a uma interface de VLAN. Se um mapa de classe está configurado para a prioridade e a interface física não está configurada para a prioridade-fila, theERROR: A classe que o xyz tem a “prioridade” ajustada sem a “prioridade-fila” em toda a mensagem de erro de interface pode ser considerada ao configurar filas de prioridade. O comando priority-queue entra no modo da prioridade-fila, como mostrado pela alerta, que o deixa configurar o número máximo de pacotes permitido no transmitir fila e no tamanho da fila de prioridade.

Nota: Você não pode permitir filas de prioridade e policiamento junto. Ou seja somente os pacotes com prioridade normal podem ser policiados. Os pacotes com alta prioridade não são policiados.

Faça sob medida a fila de prioridade

O tamanho que você especifica para a fila de prioridade afeta a fila de latência baixa e a fila do melhor esforço. O comando queue-limit especifica um número máximo de pacotes que possa ser enfileirado a uma fila de prioridade antes que deixe cair dados. Este limite deve estar na escala até 2048 dos pacotes 0.

Reduza a latência da fila

O comando tx-ring-limit permite que você configure o número máximo de pacotes (profundidade) permitido ser enfileirado nos Ethernet transmite o anel do direcionador a um momento determinado. Isto permite ajustando o transmitir fila para reduzir o melhor desempenho da latência e da oferta através do direcionador transmitir. Este limite deve estar nos pacotes 128 diretos da escala 3 na plataforma PIX, com um limite dos pacotes 256 na plataforma ASA.

O limite de fila padrão é o número de média, os pacotes do 256-byte que a interface especificada pode transmitir em um intervalo de 500 Senhoras, com um limite superior de 2048 pacotes. Um pacote que ficasse mais da Senhora 500 em um nó de rede pôde provocar um intervalo no aplicativo fim-a-fim. Tal pacote pode ser rejeitado em cada nó de rede.

O tx-anel-limite do padrão é o número de pacotes 1550-byte máximos que a interface especificada pode transmitir em um intervalo da Senhora 10. Isto garante que o transmitir anel com base em hardware impõe não mais do que a Senhora 10 da latência extra para um pacote de alta prioridade.

Este exemplo estabelece uma fila de prioridade na parte externa da relação (a relação GigabitEthernet0/1), com o limite de fila padrão e o TX-anel-limite.

hostname(config)#priority-queue outside

Este exemplo estabelece uma fila de prioridade na parte externa da relação (a relação GigabitEthernet0/1), ajusta o fila-limite a 2048 pacotes, e ajusta o TX-anel-limite ao 256:

hostname(config)#priority-queue outside

hostname(config-priority-queue)#queue-limit 2048

hostname(config-priority-queue)#tx-ring-limit 256

Quando as filas de prioridade são permitidas, a ferramenta de segurança esvazia todos os pacotes em umas filas mais prioritárias antes dos pacotes de transmissão nas filas de baixa prioridade.

Configurar QoS

Este procedimento explica como configurar uma classe de tráfego, um mapa de política, e uma política de serviços que execute o Regulamentação QoS (taxa que limita) ou as filas de prioridade. Além, para filas de prioridade, inclui etapas para que como permita filas de prioridade em relações.

O número de classes de tráfego, de mapas da política, e de políticas de serviços que você precisa de executar QoS varia baseado nas exigências de sua rede. Analise sua rede e determinam quantas classes de tráfego, a política traça, e as políticas de serviços necessárias na ferramenta de segurança você estão configurando, e usam então este procedimento enquanto se aplica a seu desenvolvimento de QoS.

Termine estas etapas a fim configurar o Regulamentação QoS e as filas de prioridade:

  1. Determine que tráfego você quer policiar ou marcar para filas de prioridade. Para uma discussão detalhada na identificação do tráfego de QoS, veja o tráfego da identificação para a seção de QoS deste documento.

  2. Crie um mapa da classe ou altere um mapa existente da classe para identificar o tráfego que você quer policiar ou identificar como o tráfego de prioridade. Use o comando class-map:

    hostname(config)#class-map class_map_name
    
    hostname(config-cmap)#

    Para este comando class-map, o class_map_name é o nome da classe de tráfego. Quando você inscreve o comando class-map, o CLI entra no modo da configuração de mapa da classe.

  3. Use um comando match a fim identificar o tráfego que você determinou em etapa 1. Para uma discussão detalhada na identificação do tráfego de QoS, veja o tráfego da identificação para a seção de QoS deste documento.

    Se você precisa de identificar portas dois ou NON-mais contíguos, crie uma lista de acessos com o comando estendido lista de acesso, adicionar um ACE para combinar cada porta, e use então o comando access-list do fósforo.

    Estes comandos show como usar uma lista de acessos para identificar portas TCP múltiplas com uma lista de acessos:

    hostname(config)#access-list acl-name any any tcp eq port_number_1
    
    hostname(config)#access-list acl-name any any tcp eq port_number_2
    
    hostname(config)#class-map class_map_name
    
    hostname(config-cmap)#match access-list acl-name
    

    Se você precisa de identificar uma porta única, use o comando port do fósforo:

    hostname(config-cmap)#match port {tcp | udp} eq port_number
    

    Para este comando port do fósforo, o port_number do eq é a porta do destino do tráfego que você quer configurar a ferramenta de segurança para policiar ou marcar para filas de prioridade. Se você precisa de identificar uma escala das portas contíguas, use o comando port do fósforo com a palavra-chave da escala como este exemplo mostra:

    
    !--- This command is wrapped to a second line due to spatial reasons:
    
    hostname(config-cmap)#match port {tcp | udp} {eq port | range begin_port_number 
    end_port_number
    

    Para este comando port do fósforo, o begin_port_number é a mais baixa porta na faixa de porta e o end_port_number é a porta a mais alta.

  4. Crie um mapa de política ou altere um mapa da política existente que você queira usar para aplicar o policiamento ou as filas de prioridade ao tráfego identificado em etapa 2. para obter mais informações sobre dos mapas da política de QoS, veem a definição uma seção do mapa da política de QoS deste documento.

    Use o comando policy-map como este exemplo mostra:

    hostname(config-cmap)#policy-map policy_map_name
    
    hostname(config-pmap)# 

    Para este comando policy-map, o policy_map_name é o nome do mapa de política. O CLI incorpora o modo da configuração de mapa de política e as mudanças da alerta em conformidade.

  5. Especifique o mapa da classe que você criou em etapa 2 que identifica o tráfego a ser policiado ou marcado para filas de prioridade. Use o comando class a fim realizar isto:

    hostname(config-pmap)#class class_map_name
    
    hostname(config-pmap-c)# 
  6. Configurar a ação para a classe. Você pode uma ou outra marca a classe de tráfego como o tráfego de prioridade ou para especificar a taxa que limita para a classe de tráfego. Execute uma destas ações:

    • Se você quer o tráfego selecionado pelo mapa da classe para ser marcado como o tráfego de prioridade, inscreva o comando priority:

      hostname(config-pmap-c)#priority
      

      Nota: As filas de prioridade não ocorrem automaticamente para traficar marcado como a prioridade. A fim permitir filas de prioridade, você deve terminar etapa 8, que permite as filas de prioridade.

      Para detalhes sobre filas de prioridade, veja a seção de aplicação do low latency queueing deste documento e da página do comando priority na referência de comandos do dispositivo do Cisco Security.

    • Se você quer a ferramenta de segurança policiar o tráfego selecionado pelo mapa da classe, inscreva o comando police.

      
      !--- This command is wrapped to a second line due to spatial reasons:
      
      hostname(config-pmap-c)#police [output] conform-rate [conform-burst] 
      [conform-action [drop | transmit] [exceed-action {drop | transmit}]]
      

      Para detalhes sobre o uso do comando police, veja a taxa da aplicação limitar a seção deste documento e da página do comando police na referência de comandos do dispositivo do Cisco Security.

  7. Use o comando service-policy aplicar o mapa de política globalmente ou a uma relação específica:

    Nota: Este comando é envolvido a uma segunda linha devido aos interesses espaciais.

    hostname(config-pmap-c)#service-policy policy_map_name 
    [global | interface interface_ID]
    
    hostname(config)#

    Para este comando service-policy, o policy_map_name é o mapa de política que você configurou em etapa 4. Se você quer aplicar o mapa de política para traficar em todas as relações, use a opção global. Se você quer aplicar o mapa de política para traficar em uma relação específica, use a opção do interface_id da relação, onde o interface_id é o nome atribuído à relação com o comando nameif.

    A ferramenta de segurança começa a policiar o tráfego e marcar o tráfego para filas de prioridade, como especificado.

  8. Se você inscreveu o comando priority na etapa 6, você deve permitir filas de prioridade em relações antes que a ferramenta de segurança execute filas de prioridade.

    Para cada relação em que você quer a ferramenta de segurança executar filas de prioridade, termine estas etapas:

    1. Inscreva o comando priority-queue:

      hostname(config)#priority-queue interface
      
      hostname(config-priority-queue)#

      Para este comando priority-queue, a relação é o nome atribuído à interface física cuja a fila de prioridade você quer permitir. As interfaces de VLAN não apoiam filas de prioridade. O CLI incorpora o modo de configuração da prioridade-fila e as mudanças da alerta em conformidade.

    2. (Opcional) se você quer especificar um número máximo não-padrão de pacotes de prioridade que podem ser enfileirados, inscreva o comando queue-limit, como este exemplo mostra:

      hostname(config-priority-queue)#queue-limit number-of-packets
      

      O tamanho de fila padrão é 2048 pacotes.

    3. (Opcional) se você quer especificar um número máximo de pacotes não-padrão permitido no transmitir fila, inscreva o comando tx-ring-limit, como este exemplo mostra:

      hostname(config-priority-queue)#tx-ring-limit number-of-packets
      

      O tamanho do transmitir fila do padrão é os pacotes 128.

      Nas relações onde você permitiu filas de prioridade, a ferramenta de segurança começa a executar filas de prioridade.

Este exemplo cria mapas da classe para a alta prioridade (Voz) e tráfego de melhor esforço para previamente um grupo do túnel configurado, "tunnel-grp1" Nomeado. O mapa da política de QoS inclui o comando police para o melhor esforço e as classes do tráfego padrão e o comando priority para a classe da Voz. A política de serviços é aplicada então à interface externa e a fila de prioridade para a interface externa é permitida.

Configurar o Regulamentação QoS e as filas de prioridade
hostname(config)#class-map TG1-voice


!--- This command is wrapped to a second line due to spatial reasons:

hostname(config-cmap)#description "This class-map matches all dscp ef 
traffic for tunnel-grp 1"

hostname(config-cmap)#match dscp ef

hostname(config-cmap)#match tunnel-group tunnel-grp1


hostname(config-cmap)#class-map TG1-BestEffort


!--- This command is wrapped to a second line due to spatial reasons:

hostname(config-cmap)#description "This class-map matches all best-effort 
traffic for tunnel-grp1"

hostname(config-cmap)#match tunnel-group tunnel-grp1

hostname(config-cmap)#match flow ip destination-address


hostname(config-cmap)#policy-map qos

hostname(config-pmap)#class TG1-voice

hostname(config-pmap-c)#priority

hostname(config-pmap-c)#class TG1-best-effort

hostname(config-pmap-c)#police output 200000 37500

hostname(config-pmap-c)#class class-default

hostname(config-pmap-c)#police output 1000000 37500


hostname(config-pmap-c)#service-policy qos interface outside

hostname(config)#priority-queue outside

hostname(config-priority-queue)#queue-limit 2048

hostname(config-priority-queue)#tx-ring-limit 256



!

Verifique a configuração de QoS

Esta seção contém estes assuntos:

Verifique a configuração da política de serviços de QoS

A fim verificar todas as políticas de serviços atuais, incluindo aquelas que executam mapas da política de QoS, usa o comando service-policy da mostra no modo de exec privilegiado. Você pode limitar a saída às políticas que incluem a polícia ou os comandos priority usando a polícia ou as palavras-chave de prioridade.

Nota: Este é o mesmo comando que você se usa para ver estatísticas da prioridade e da polícia.

Este exemplo mostra a saída do comando service-policy da mostra com a palavra-chave da polícia:

hostname#show service-policy police


Global policy:

	Service-policy: global_fw_policy


Interface outside:

	Service-policy: qos

		Class-map: browse

			police Interface outside:

				cir 56000 bps, bc 10500 bytes

				conformed 10065 packets, 12621510 bytes; actions: transmit

				exceeded 499 packets, 625146 bytes; actions: drop

				conformed 5600 bps, exceed 5016 bps

		Class-map: cmap2

			police Interface outside:

				cir 200000 bps, bc 37500 bytes

				conformed 17179 packets, 20614800 bytes; actions: transmit

				exceeded 617 packets, 770718 bytes; actions: drop

				conformed 198785 bps, exceed 2303 bps

Este exemplo mostra a saída do comando service-policy da mostra com as palavras-chave de prioridade:

hostname#show service-policy priority

Global policy:

	Service-policy: global_fw_policy

Interface outside:

	Service-policy: qos

		Class-map: TG1-voice

			Priority:

				Interface outside: aggregate drop 0, aggregate transmit 9383

Verifique a configuração de mapa da política de QoS

A fim verificar todos os mapas da política, incluindo aqueles que incluem a polícia e os comandos priority, usa o comando policy-map da executar-configuração da mostra no modo de exec privilegiado:

hostname#show running-config policy-map

Para os exemplos antecedentes, a saída deste comando olha qualquer outra coisa semelhante exemplo:

hostname#show running-config policy-map

!

policy-map test

 class class-default

policy-map inbound_policy

 class ftp-port

  inspect ftp strict inbound_ftp

policy-map qos

 class browse

  police 56000 10500

 class TG1-voice

  priority

 class TG1-BestEffort

  police 200000 37500

Verifique a configuração da Prioridade-fila para uma relação

A fim indicar a configuração da prioridade-fila para uma relação, inscreva o comando priority-queue da executar-configuração da mostra no modo de configuração global. Este exemplo mostra a configuração da prioridade-fila para a relação nomeada “teste”:

hostname(config)#show running-config priority-queue test

priority-queue test

  queue-limit   2048

  tx-ring-limit 256

hostname(config)#

Verifique estatísticas de QoS

Esta seção contém estes assuntos:

Verifique estatísticas da polícia de QoS

A fim verificar as estatísticas de QoS para o Policiamento de tráfego, use o comando service-policy da mostra com a palavra-chave da polícia, no modo de exec privilegiado:

hostname#show service-policy police

Nota: Este é o mesmo comando que você se usa para ver a configuração das políticas que incluem a palavra-chave da polícia.

Por exemplo, este comando indica as políticas de serviços que incluem o comando police e as estatísticas relacionadas:

hostname#show service-policy police


Global policy:

	Service-policy: global_fw_policy


Interface outside:

	Service-policy: qos

		Class-map: browse

			police Interface outside:

				cir 56000 bps, bc 10500 bytes

				conformed 10065 packets, 12621510 bytes; actions: transmit

				exceeded 499 packets, 625146 bytes; actions: drop

				conformed 5600 bps, exceed 5016 bps

		Class-map: cmap2

			police Interface outside:

				cir 200000 bps, bc 37500 bytes

				conformed 17179 packets, 20614800 bytes; actions: transmit

				exceeded 617 packets, 770718 bytes; actions: drop

				conformed 198785 bps, exceed 2303 bps

Verifique estatísticas da prioridade de QoS

A fim verificar estatísticas para as políticas de serviços que executam o comando priority, use o comando service-policy da mostra com as palavras-chave de prioridade, no modo de exec privilegiado:

hostname#show service-policy priority

Nota: Este é o mesmo comando que você se usa para ver a configuração das políticas que incluem as palavras-chave de prioridade.

Por exemplo, este comando indica as políticas de serviços que incluem o comando priority e as estatísticas relacionadas:

hostname#show service-policy priority

Global policy:

	Service-policy: global_fw_policy

Interface outside:

	Service-policy: qos

		Class-map: TG1-voice

			Priority:

				Interface outside: aggregate drop 0, aggregate transmit 9383

Nota: “A gota agregada” denota a gota agregada nesta relação. O “agregado transmite” denota o número agregado de pacotes transmitido nesta relação.

Verifique estatísticas da fila de QoS da prioridade

A fim indicar as estatísticas da prioridade-fila para uma relação, use o comando statistics da prioridade-fila da mostra no modo de exec privilegiado. Os resultados mostram às estatísticas para ambos a fila do (Be) do melhor esforço e a fila de latência baixa (LLQ). Estas saídas de exemplo mostram o uso do comando statistics da prioridade-fila da mostra para a relação nomeada teste, e o comando output:

hostname#show priority-queue statistics test


Priority-Queue Statistics interface test


Queue Type        = BE

!--- "Packets Dropped" denotes the overall number 
!--- of packets that have been dropped in this queue. 


Packets Dropped   = 0

!--- "Packets Transmit" denotes the overall number 
!--- of packets that have been transmitted in this queue. 


Packets Transmit  = 0

!--- "Packets Enqueued" denotes the overall number 
!--- of packets that have been queued in this queue. 

Packets Enqueued  = 0

!--- "Current Q Length" denotes the current depth of this queue. 


Current Q Length  = 0

!--- "Max Q Length" denotes the maximum depth that ever 
!--- occurred in this queue. 

Max Q Length      = 0


Queue Type        = LLQ

Packets Dropped   = 0

Packets Transmit  = 0

Packets Enqueued  = 0

Current Q Length  = 0

Max Q Length      = 0

hostname#

Cancele estatísticas da Serviço-política

A fim cancelar estatísticas da serviço-política, use o comando service-policy claro no modo de exec privilegiado:

hostname# clear service-policy [global | interface intf ]

À revelia, este comando cancela todas as estatísticas para todas as políticas de serviços permitidas.

Este exemplo mostra a sintaxe do comando service-policy claro:

hostname# clear service-policy outside_security_map interface outside


Informações Relacionadas


Document ID: 91790