Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

PIX/ASA 7.x: Exemplo de Configuração de QoS para Tráfego VoIP em Túneis VPN

8 Junho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (13 Setembro 2013) | Inglês (26 Setembro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Informações de Apoio
Configuração
      Diagrama de Rede
      Configurações
Verificação
Troubleshooting
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento fornece um exemplo de configuração de Qualidade de Serviço (QoS) para o tráfego de Voz sobre IP (VoIP) em túneis VPN terminados nos PIX/ASA Security Appliances.

Pré-requisitos

Requisitos

Este documento pressupõe que as configurações de VPN IPsec LAN a LAN (L2L) necessárias tenham sido feitas em todos os dispositivos e funcionem corretamente.

Componentes Utilizados

As informações neste documento baseiam-se em um Cisco PIX 500 Series Security Appliance com a versão 7.x do software.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração também pode ser usada com o Cisco Adaptive Security Appliance (ASA) 5500 Series Security Appliance com a versão 7.x do software.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

QoS é uma estratégia de gerenciamento de tráfego que permite alocar recursos de rede para dados de missão crítica ou não com base no tipo do tráfego de rede e na prioridade a ele atribuída. A QoS garante o tráfego prioritário sem impedimentos e possibilita a limitação das taxas (policiamento) do tráfego padrão.

Por exemplo, vídeo e VoIP são formas cada vez mais importantes de comunicação entre escritórios distribuídos geograficamente usando a infra-estrutura da Internet como o mecanismo de transporte. Os firewalls são indispensáveis para a segurança da rede porque controlam o acesso, o que inclui a inspeção dos protocolos de VoIP. A QoS é o ponto focal para o estabelecimento de comunicações de voz e vídeo claras e ininterruptas, ao mesmo tempo em que fornece um nível básico de serviços para todos os demais tipos de tráfego que cruza o dispositivo.

Para que o tráfego de voz e vídeo viaje pelas redes IP de forma segura, confiável e eficiente em termos de custo, a QoS deverá ser habilitada em todos os pontos da rede.

A implementação da QoS permite:

  • Simplificar as operações de rede ao reunir todo o tráfego de rede de dados, voz e vídeo em um único backbone por meio do uso de tecnologias semelhantes.

  • Implementar novos aplicativos de rede, como aplicativos de centrais de atendimento integradas e treinamento com vídeo, que podem ajudar a diferenciar as empresas em seus respectivos nichos de mercado e aumentar a produtividade.

  • Controlar o uso de recursos ao determinar que tipo de tráfego recebe quais recursos. Por exemplo, você pode garantir que tráfego mais importante e crítico em termos de tempo receba os recursos de rede (largura de banda disponível e atraso mínimo) necessários e que todos os outros aplicativos que usam o link recebam uma parcela justa do serviço sem interferir com o tráfego de missão crítica.

Configuração

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

qos-voip-vpn-1.gif

Nota: Os esquemas de endereçamento IP utilizados nesta configuração não são legalmente roteáveis na Internet. Eles são endereços RFC 1918 que foram usados em um ambiente de laboratório.

Nota: Certifique-se de que os telefones IP e os hosts sejam colocados em segmentos diferentes (sub-redes). Esta prática é recomendada para um bom design de rede.

Configurações

Este documento utiliza as seguintes configurações:

Configuração de QoS Baseada em DSCP


!--- Crie um mapa de classe chamado Voice.

PIX(config)#class-map Voice

!--- Especifica o pacote que corresponde aos critérios que
!--- identificam os pacotes de voz que possuem um valor de DSCP de "ef".

PIX(config-cmap)#match dscp ef

!--- Crie uma política para ser aplicada a um conjunto
!--- de tráfego de voz.

PIX(config-cmap)#policy-map Voicepolicy

!--- Especifique o nome da classe criada para aplicar
!--- a ação a ela.

PIX(config-pmap)#class Voice

!--- Prioridade de programação estrita para a classe Voice.

PIX(config-pmap-c)#priority

!--- Aplique a política definida à interface externa.

PIX(config-pmap-c)#service-policy Voicepolicy interface outside
PIX(config)#priority-queue outside

Nota: O valor de DSCP "ef" refere-se ao encaminhamento acelerado correspondente ao tráfego VoIP-RTP.

Configuração de QoS Baseada em DSCP com VPN

PIX#show running-config
: Saved
:
PIX Version 7.2(2)
!
hostname PIX
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet1
 nameif outside
 security-level 0
 ip address 10.1.4.1 255.255.255.0
!

passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive


!--- Esta ACL de permissão de criptografia identifica
!--- os fluxos de tráfego correspondentes a serem protegidos por criptografia.


access-list 110 extended permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
access-list 110 extended permit ip 10.1.5.0 255.255.255.0 10.1.6.0 255.255.255.0

pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
route outside 0.0.0.0 0.0.0.0 10.1.4.2 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

!--- Configuração para políticas de IPsec.

crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto map mymap 10 match address 110

!--- Define o endereço IP da extremidade remota.

crypto map mymap 10 set peer 10.1.2.1

!--- Configura o IPsec para usar o conjunto de transformação
!--- "myset" definido anteriormente nesta configuração.

crypto map mymap 10 set transform-set myset
crypto map mymap interface outside

!--- Configuração para políticas de IKE

crypto isakmp policy 10

!--- Habilita o modo de comandos de configuração de política de IKE (config-isakmp)
!--- que permite especificar os parâmetros que
!--- são usados durante uma negociação de IKE.


authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 86400

!--- Use este comando para criar e gerenciar o banco de dados de
!--- registros específicos de conexão como nome de grupo como
!--- 10.2.1.1, tipo de IPsec como L2L e senha como
!--- chave pré-compartilhada para túneis de IPsec.

tunnel-group 10.1.2.1 type ipsec-l2l
tunnel-group 10.1.2.1 ipsec-attributes

!--- Especifica a chave pré-compartilhada "cisco123" que deveria
!--- ser idêntica em ambos os peers.


 pre-shared-key *

telnet timeout 5
ssh timeout 5
console timeout 0
priority-queue outside
!
class-map Voice
 match dscp ef
class-map inspection_default
 match default-inspection-traffic

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
policy-map Voicepolicy
 class Voice
  priority
!
service-policy global_policy global
service-policy Voicepolicy interface outside
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Configuração de QoS Baseada em Lista de Controle de Acesso (ACL)


!--- Permite chamadas H.323 de entrada.

PIX(config)#access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq h323

!--- Permite chamadas SIP (Session Internet Protocol) de entrada.

PIX(config)#access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq sip

!--- Permite chamadas SCCP (Skinny Call Control Protocol) de entrada.

PIX(config)#access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq 2000

!--- Permite chamadas H.323 de saída.

Pix(config)#access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0
255.255.255.0 eq h323

!--- Permite chamadas SIP de saída.

Pix(config)#access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0
255.255.255.0 eq sip

!--- Permite chamadas SCCP de saída.

Pix(config)#access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0
255.255.255.0 eq 2000

!--- Aplique a ACL 100 para o tráfego de entrada da interface externa.

PIX(config)#access-group 100 in interface outside


!--- Crie um mapa de classe chamado Voice-IN.

PIX(config)#class-map Voice-IN

!--- Especifica o pacote que corresponde aos critérios que
!--- correspondem ao fluxo de tráfego de acordo com a ACL 100.

PIX(config-cmap)#match access-list 100


!--- Crie um mapa de classe chamado Voice-OUT.

PIX(config-cmap)#class-map Voice-OUT

!--- Especifica o pacote que corresponde aos critérios que
!--- correspondem ao fluxo de tráfego de acordo com a ACL 105.

PIX(config-cmap)#match access-list 105


!--- Crie uma política para ser aplicada a um conjunto
!--- de tráfego de voz.

PIX(config-cmap)#policy-map Voicepolicy

!--- Especifique o nome da classe criada para aplicar
!--- a ação a ela.

PIX(config-pmap)#class Voice-IN
PIX(config-pmap)#class Voice-OUT

!--- Prioridade de programação estrita para a classe Voice.

PIX(config-pmap-c)#priority
PIX(config-pmap-c)#end
PIX#configure terminal
PIX(config)#priority-queue outside

!--- Aplique a política definida à interface externa.

PIX(config)#service-policy Voicepolicy interface outside
PIX(config)#end

Configuração de QoS Baseada em ACL com VPN

PIX#show running-config
: Saved
:
PIX Version 7.2(2)
!
hostname PIX
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet1
 nameif outside
 security-level 0
 ip address 10.1.4.1 255.255.255.0
!
interface Ethernet2
 nameif DMZ1
 security-level 95
 ip address 10.1.5.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive


!--- Esta ACL de permissão de criptografia identifica
!--- os fluxos de tráfego correspondentes a serem protegidos por criptografia.


access-list 110 extended permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
access-list 110 extended permit ip 10.1.5.0 255.255.255.0 10.1.6.0 255.255.255.0


!--- Permite chamadas H.323, SIP e SCCP de entrada.

access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq h323
access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq sip
access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq 2000


!--- Permite chamadas H.323, SIP e SCCP de saída.

access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0
255.255.255.0 eq h323
access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0
255.255.255.0 eq sip
access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0
255.255.255.0 eq 2000
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group 100 in interface outside

route outside 0.0.0.0 0.0.0.0 10.1.4.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto map mymap 10 match address 110
crypto map mymap 10 set peer 10.1.2.1
crypto map mymap 10 set transform-set myset
crypto map mymap interface outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 86400
tunnel-group 10.1.2.1 type ipsec-l2l
tunnel-group 10.1.2.1 ipsec-attributes
 pre-shared-key *

telnet timeout 5
ssh timeout 5
console timeout 0
priority-queue outside
!
class-map Voice-OUT
 match access-list 105
class-map Voice-IN
 match access-list 100
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp

!--- Inspeção habilitada para os protocolos H.323, H.225 e H.323 RAS.

  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp

!--- Inspeção habilitada para o protocolo SCCP.

  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp

!--- Inspeção habilitada para o SIP.

  inspect sip
  inspect xdmcp
policy-map Voicepolicy
 class Voice-IN
 class Voice-OUT
  priority
!
service-policy global_policy global
service-policy Voicepolicy interface outside
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Configuração de Roteador com VPN

Router#show running-config
Building configuration...

Current configuration : 1225 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
!
!
ip cef
!
!
!
!
!
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
crypto isakmp key cisco123 address 10.1.4.1
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap 10 ipsec-isakmp
 set peer 10.1.4.1
 set transform-set myset
 match address 110
!
!
!
!
interface Ethernet0/0
 ip address 10.1.6.1 255.255.255.0
 half-duplex
!
interface FastEthernet1/0
 ip address 172.16.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface Serial2/0
 ip address 10.1.2.1 255.255.255.0
ip access-group 100 in
 no fair-queue
 crypto map mymap
!

ip http server
no ip http secure-server
!
ip route 10.1.0.0 255.255.0.0 Serial2/0
!

!--- Permite tráfego IPsec de entrada.

access-list 100 permit esp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 100 permit esp 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255
access-list 100 permit udp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 eq isakmp
access-list 100 permit udp 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255 eq isakmp


!--- Entradas da ACL para o tráfego de interesse.


access-list 110 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 110 permit ip 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255
!
!
control-plane

!
!
line con 0
line aux 0
line vty 0 4
!
!
end

Verificação

Use esta seção para verificar se a sua configuração funciona corretamente.

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

  • show running-config policy-map — Mostra a configuração do mapa de políticas de QoS.

    PIX#show running-config policy-map
    !
    policy-map type inspect dns preset_dns_map
     parameters
      message-length maximum 512
    policy-map global_policy
     class inspection_default
      inspect dns preset_dns_map
      inspect ftp
      inspect h323 h225
      inspect h323 ras
      inspect netbios
      inspect rsh
      inspect rtsp
      inspect skinny
      inspect esmtp
      inspect sqlnet
      inspect sunrpc
      inspect tftp
      inspect sip
      inspect xdmcp
    policy-map Voicepolicy
     class Voice
      priority
    
  • show service-policy interface outside — Mostra a configuração das políticas do serviço de QoS.

    PIX#show service-policy interface outside
    
    Interface outside:
      Service-policy: Voicepolicy
        Class-map: Voice
          Priority:
            Interface outside: aggregate drop 0, aggregate transmit 0

Troubleshooting

A Output Interpreter Tool (somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

Use os comandos debug para fazer o troubleshooting do problema.

  • debug h323 {h225 | h245 | ras} — Exibe as mensagens de depuração para o H.323.

  • debug sip — Exibe as mensagens de depuração para a inspeção de aplicativos SIP.

  • debug skinny — Exibe as mensagens de depuração para a inspeção de aplicativos SCCP (Skinny).


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 82310