Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

PIX/ASA 7.x et versions ultérieures : Gestion de la bande passante (limite de débit) à l'aide de stratégies QoS

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Le Qualité de service (QoS) est une fonctionnalité de réseau qui vous permet d'accorder la priorité à certains types de trafic Internet. Comme les internautes mettent à niveau leurs Points d'accès des modems aux connexions haut débit ultra-rapides comme le câble et DSL, il y a une augmentation de la probabilité de voir qu'un utilisateur unique soit capable à n'importe quel moment d'absorber la majeure partie, si ce n'est la totalité, de la largeur de bande disponible, privant ainsi les autres utilisateurs. Afin d'empêcher n'importe quel une utilisateur ou connexion de site à site de consommer plus que sa partie équitable de largeur de bande, QoS fournit une fonctionnalité de régulation qui règle la largeur de bande maximale que n'importe quel utilisateur peut utiliser.

QoS se rapporte à la capacité d'un réseau à fournir un meilleur service à un trafic de réseau sélectionné parmi diverses technologies pour les meilleurs services globaux avec une largeur de bande limitée des technologies sous-jacentes.

L'objectif principal de la QoS dans l'appliance de sécurité est de fournir la limitation de débit sur le trafic de réseau sélectionné, aussi bien pour le flux individuel que pour le flux du tunnel VPN, afin de s'assurer que l'ensemble du trafic dispose d'une partie équitable de largeur de bande limitée. Un flux peut être défini de plusieurs façons. Dans l'appliance de sécurité, QoS peut s'appliquer à une combinaison des adresses IP source et de destination, des numéros de port de destination et l'octet de Type de service (ToS) de l'en-tête IP.

Afin de configurer le QoS pour la voix sur le trafic IP(VoIP) sur les tunnels VPN qui se terminent sur les Appliances de sécurité PIX/ASA, reportez-vous à PIX/ASA 7.x : Exemple de configuration de QoS pour le trafic VoIP sur les tunnels VPN.

Remarque: La QoS n'est pas pris en charge sur une sous-interface, il est pris en charge seulement sur l'interface principale elle-même. La configuration de QoS sur une interface elle-même fait que toutes les sous-interfaces sont affectées par le QoS.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations de ce document sont basées sur l'Appliance de sécurité PIX qui exécute la version 7.x et ultérieures.

Remarque: QoS est pris en charge seulement sur les modèles PIX 515 et ultérieurs Ces modèles prennent en charge le logiciel Pare-feu Cisco PIX version 7.x. QoS n'est pas pris en charge sur Les modèles PIX 501 et 506.

Remarque: La qualité de service est uniquement prise en charge sur le logiciel de pare-feu Cisco PIX, version 7.x et ultérieures.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

Cette configuration peut également être utilisée avec une Appliance de sécurité adaptable (ASA) qui exécute la version 7.x et ultérieures

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Concepts de QoS

QoS est une stratégie de gestion du trafic qui permet d'allouer des ressources réseau pour des données de missions critiques et normales, en se basant sur le type de trafic et la priorité que vous attribuez à ce trafic. En bref, QoS garantit l'acheminement sans entrave du trafic prioritaire et permet de réglementer la limitation de débit (mise en place de la stratégie) du trafic par défaut.

Par exemple, la vidéo et la VoIP sont des fonctionnalités de plus en plus essentielles pour la transmission inter-bureaux entre des sites géographiquement distants, en se basant sur l'infrastructure Internet comme mécanisme de transport. Les Pare-feux sont essentiels pour sécuriser les réseaux parce qu'ils contrôlent l'accès qui inclut l'inspection des protocoles de routage VoIP. QoS est le point central qui permet d'offrir des communications voix et vidéo claires et ininterrompues, tout en continuant à fournir un niveau de service de base pour l'ensemble du trafic qui transite par le périphérique.

Afin que la voix et la vidéo puissent transiter par les réseaux IP de manière fiable et sécurisée, et avec une qualité commerciale, QoS doit être activée à tous les points du réseau. Quand vous mettez en œuvre QoS, cela vous permet de:

  • Simplifier l'exploitation du réseau en réunissant l'ensemble du trafic réseau (données, voix et vidéo) sur un réseau fédérateur utilisant des technologies similaires.

  • Mettre en place de nouvelles applications réseau, telles que les applications intégrées pour les centres d'appels et la formation basée sur la vidéo, qui peuvent aider les entreprises à se différencier sur leurs marchés respectifs et à augmenter leur productivité.

  • Contrôler l'utilisation des ressources en vérifiant quel trafic reçoit quelles ressources. Par exemple, vous pouvez vous assurer que le trafic de routage le plus important et le plus critique reçoit les ressources réseau (bande passante disponible et délai minimal) dont il a besoin, et que les autres applications qui utilisent la liaison obtiennent une partie équitable du service sans gêner le trafic vital.

QoS fournit le contrôle de débit maximal, ou la stratégie, pour le trafic tunnelisé pour chaque tunnel d'utilisateur individuel et chaque tunnel de site à site. Dans cette version, il n'y a aucune garantie de largeur de bande minimale.

L'appliance de sécurité peut assurer une stratégie du trafic de routage d'utilisateur individuel dans un tunnel entre réseaux locaux en configurant les class-maps qui ne sont pas associés au tunnel, mais dont le trafic de routage traverse par la suite le tunnel entre réseaux locaux.

Le trafic de routage avant le tunnel entre réseaux locaux peut alors être spécifiquement réglementé quand il traverse le tunnel et qu'il est à nouveau réglementé selon le débit agrégé appliqué au tunnel. L'appliance de sécurité permet deux types de files d'attente du trafic pour chaque interface afin de réaliser QoS - une file d'attente de faible latence (LLQ) et une file d'attente par défaut. Seulement le trafic par défaut est sujet à la limitation du débit.

Puisque QoS peut consommer un grand nombre de ressources, qui peuvent dégrader des performances d'appliance de sécurité, QoS est désactivé par défaut

Remarque: Vous devez considérer que dans un environnement de réseau toujours changeant, QoS n'est pas un déploiement n'intervenant qu'une fois. C'est une partie actuelle essentielle de la conception de réseaux.

Mise en œuvre de QoS

Généralement, les étapes suivantes sont requises quand vous configurez les stratégies QoS:

  1. Spécifiez les classes de trafic.

  2. Associez les actions à chaque classe de trafic pour formuler des stratégies.

  3. Activez les stratégies.

La spécification des routages de classification (la définition des classes de trafic) est séparée de la spécification des routages qui agissent sur les résultats de la classification.

Une classe de trafic est un ensemble du trafic de routage qui est identifiable par son contenu de paquet. Par exemple, le trafic TCP avec une valeur du port de 23 pourrait être classifié comme classe de trafic de Telnet.

Une action est une activité spécifique prise pour protéger les informations ou des ressources. Dans ce cas, pour remplir des fonctions de QoS. Une action est généralement associée à une classe de trafic spécifique.

La configuration d'une stratégie QoS traditionnelle pour l'appliance de sécurité se compose de ces étapes :

  1. Définissez les classes de trafic (commande class-map).

  2. Associez les stratégies et les actions à chaque classe du trafic de routage (commande policy-map).

  3. Associez les stratégies aux interfaces logiques ou physiques (commande service-policy).

La commande class-map

La commande class-map définit un objet nommé qui représente une classe du trafic de routage qui spécifie le paquet qui correspond aux critères identifiant les paquets qui appartiennent à cette classe. La forme de base de la commande est :

class-map class-map-name-1


	match match-criteria-1


class-map class-map-name-n


	match match-criteria-n

La commande policy-map

La commande policy-map définit un objet nommé qui représente un ensemble de stratégies à appliquer à un ensemble de classes de trafic. Un exemple d'un tel routage spécifique réglemente la classe de trafic à un certain débit maximal. La forme de base de la commande est :

policy-map policy-map-name
	class class-map-name-1
		policy-1
		policy-n
	class class-map-name-n
		policy-m
		policy-m+1

La commande service-policy

La commande service-policy associe à une interface cible nommée une carte de stratégie et les stratégies associées.

La commande indique également si les stratégies s'appliquent aux paquets qui proviennent de la cible ou qui lui sont envoyés. Par exemple, une stratégie de sortie (appliquée aux paquets qui quittent une interface) est appliquée comme le montre cet exemple:

hostname(config)#service-policy policy-map-name interface outside

En outre, si vous différenciez le trafic prioritaire du trafic minimal, vous devez définir une file d'attente de faible latence (commande priority-queue) sur chaque interface physique nommée qui transmet le routage prioritaire.

Cet exemple active une priority-queue de routage par défaut avec la limite de file d'attente et la limite de ring de transmission:

priority-queue name-interface

Remarque: Les stratégies QoS associées à la carte de stratégie s'appliquent seulement au trafic sortant, non au trafic entrant de l'interface nommée.

Identifier le trafic pour QoS

La commande class-map classifie un ensemble du trafic de routage auquel les actions de QoS sont associées. Vous pouvez utiliser divers types de critères de correspondance pour classifier le trafic. Les commandes de correspondance identifient le trafic de routage inclus dans la classe de trafic pour un class map Elles incluent différents critères pour définir le trafic de routage inclus dans un class-map. Définissez une classe de trafic en utilisant la commande de configuration globale de class-map en tant qu'élément de configuration d'une fonction de sécurité en utilisant le cadre de routage spécifique modulaire. A partir du mode class-map configuration vous pouvez définir le trafic à inclure dans la classe en utilisant la commande match .

Après qu'une classe de trafic est appliquée à une interface, les paquets reçus sur cette interface sont comparés aux critères définis par les instructions de correspondance dans le class map. Si le paquet correspond aux critères spécifiés, il est inclus dans la classe de trafic et est soumis à toutes les actions liées à cette classe de trafic. Des paquets qui ne correspondent pas aux critères dans une classe de trafic sont attribués à la classe du trafic par défaut.

Un de ces critères est la liste d'accès. Par exemple, dans cette séquence, la commande class-map classifie tout le trafic TCP non tunnelisé avec l'utilisation d'une liste d'accès nommée top trafic:

hostname(config)#access-list tcp_traffic permit tcp any any
hostname(config)#class-map tcp_traffic
hostname(config-cmap)#match access-list tcp_traffic

Quand un paquet est considéré pour voir s'il correspond à un class-map, le résultat est soit une correspondance soit une absence de correspondance.

Dans cet exemple, des critères de correspondance autres et plus spécifiques sont utilisés afin de classifier le trafic pour des groupes de tunnel spécifiques liés à la sécurité. Ces critères de correspondance spécifiques stipulent qu'une correspondance sur groupe de tunnel (dans ce cas, le Tunnel-Group-1 précédemment définir) est requise comme la première caractéristique de correspondance afin de classifier le trafic pour un tunnel spécifique. Elle permet également à une ligne de correspondance supplémentaire de classifier le trafic (point de code de service différentiel d'IP, transfert expédié).

hostname(config)#class-map TG1-voice
hostname(config-cmap)#match tunnel-group Tunnel-Group-1
hostname(config-cmap)#match dscp ef

Dans cet exemple, la commande class-map classifie le trafic tunnelisé et le trafic non tunnelisé selon le type de trafic:

Remarque: Certaines des commandes dans cette sortie sont renvoyées vers une deuxième ligne pour des raisons d'espace.

hostname(config)#access-list tunneled extended permit 
ip 10.10.34.0 255.255.255.0 20.20.10.0 255.255.255.0
hostname(config)#access-list non-tunneled extended permit tcp any any
hostname(config)#tunnel-group tunnel-grp1 type IPSec_L2L

hostname(config)#class-map browse
hostname(config-cmap)#description "This class-map matches all 
non-tunneled tcp traffic."
hostname(config-cmap)#match access-list non-tunneled

hostname(config-cmap)#class-map TG1-voice
hostname(config-cmap)#description "This class-map matches all dscp ef 
traffic for tunnel-grp 1."
hostname(config-cmap)#match dscp ef
hostname(config-cmap)#match tunnel-group tunnel-grp1

hostname(config-cmap)#class-map TG1-BestEffort
hostname(config-cmap)#description "This class-map matches all best-effort 
traffic for tunnel-grp1."
hostname(config-cmap)#match tunnel-group tunnel-grp1
hostname(config-cmap)#match flow ip destination-address

Cet exemple montre une façon de réglementer un flux à l'intérieur d'un tunnel, si le trafic classé n'est pas spécifié comme tunnel, mais passe par le tunnel. Dans cet exemple, 192.168.10.10 est l'adresse de l'ordinateur hôte du côté privé du tunnel distant, et la liste d'accès est nommée "host-over-l2l" . Quand vous créez un class-map (nommé « spécifique à l'hôte »), vous pouvez alors réglementer la classe spécifique à l'hôte avant que la connexion entre réseaux locaux réglemente le tunnel. Dans cet exemple, le trafic spécifique à l'hôte a un débit limité avant le tunnel, puis le tunnel a un débit limité:

hostname(config)#access-list host-over-l2l extended permit ip any host 192.168.10.10
hostname(config)#class-map host-specific
hostname(config-cmap)#match access-list host-over-l2l

Ce tableau récapitule les critères de commande match disponibles et qui concernent QoS. Pour la liste complète de toutes les commandes match et de leur syntaxe, consultez la référence des commandes d'appliance de sécurité Cisco.

pixasa7x-traffic-mgt-1.gif

En plus des classes définies par l'utilisateur, un classe définie par le système nommée classe par défaut existe également. Cette classe par défaut représente tous les paquets qui ne correspondent pas aux classes définies par l'utilisateur de sorte que les stratégies puissent être définies pour ces paquets.

Définir une carte de stratégie QoS

La commande policy-map configure diverses stratégies, telles que des stratégies de sécurité ou des stratégies QoS. Un routage spécifique est une association d'une classe de trafic, spécifiée par une commande class et une ou plusieurs actions. Cette section aborde spécifiquement la façon d'utiliser la commande policy-map afin de définir les routages QoS pour une ou plusieurs classes de paquets.

Quand vous sélectionnez une commande policy-map, vous entrez en mode de configuration de la carte de stratégie et l'invite se modifie pour indiquer ceci. Dans ce mode, vous pouvez sélectionner les commandes class et description. Une commande policy-map peut spécifier plusieurs stratégies. Le nombre maximal de cartes de stratégie est 64.

Après que vous avez sélectionné la commande policy-map, vous sélectionnez ensuite une commande class pour spécifier la classification du trafic de paquets. La commande class configure des routages QoS pour la classe du trafic spécifiée dans le class-map donné. Une classe de trafic est un ensemble du trafic de routage qui est identifiable par son contenu de paquet. Par exemple, le trafic TCP avec une valeur du port de 23 peut être classifié comme une classe de trafic de Telnet. Les commandes de class sont différenciées par leurs désignations de class map précédemment nommées et construites, et les actions associées apparaissent juste après.

L'appliance de sécurité évalue des class-map dans l'ordre dans lequel ils ont été présentés dans la configuration de la carte de stratégie. Elle classifie un paquet dans le premier class-map qui correspond au paquet.

Remarque: L'ordre dans lequel différents types d'actions sont effectués dans une carte de stratégie est indépendant de l'ordre dans lequel les actions apparaissent dans les descriptions de commande dans ce document.

Remarque: La commande priority fournit une file d'attente de faible latence pour le trafic sensible au délai, tel que la voix. Cette commande sélectionne tous les paquets qui correspondent à la classe associée (TG1-voice dans l'exemple précédent) et les envoie à la file d'attente à faible latence pour un traitement prioritaire.

Appliquer la limitation de débit

Le flux de trafic limitant la largeur de bande de chaque utilisateur (BLT) peut participer à la limitation de largeur de bande maximale. C'est-à-dire, une réglementation stricte, qui limite le débit du trafic par défaut de l'utilisateur individuel à un certain débit maximal. Ceci empêche les BLTs de n'importe quel utilisateur individuel de submerger un autre utilisateur. Le trafic LLQ, cependant, est marqué et traité en aval dans une file d'attente prioritaire. Ce trafic n'est pas limité à un débit. La réglementation est une façon de s'assurer qu'aucun trafic ne dépasse le débit maximal (bits/seconde) que vous configurez. Ceci garantit qu'aucun flux de trafic ne peut prendre le relais de la ressource entière. Vous utilisez la commande police pour spécifier le débit maximal (la limite de débit pour ce flux de trafic). C'est une valeur dans la portée 8000-2000000000 et elle spécifie la vitesse maximale (bits par seconde) autorisée. Vous spécifiez également quelle action (abandon ou transmission) à prendre pour le trafic de routage qui se conforme à la limite et pour le trafic de routage qui dépasse la limite.

Remarque: Vous pouvez spécifier l'action d'abandon, mais elle n'est pas fonctionnelle. L'action est toujours de transmettre, excepté quand le débit est dépassé, et même dans ce cas, l'action est de réguler le trafic à la vitesse maximale permise.

La commande police configure également la plus grande rafale de trafic simple permise. Une valeur de rafale dans la portée 1000-512000000 spécifie le nombre maximal d'octets instantanés permis dans une salve soutenue avant de réguler à la valeur de débit conforme.

Remarque: La réglementation est appliquée seulement dans la direction sortie.

Remarque: Vous ne pouvez pas activer à la fois la priorité et la réglementation. Si un routage spécifique de services est appliqué ou supprimé d'une interface qui a le VPN existant Client/LAN-to-LAN ou le trafic non tunnelisé déjà établi, le routage QoS n'est pas appliqué ni supprimé du flux de trafic. Afin d'appliquer ou de supprimer le routage QoS pour de telles connexions, vous devez effacer (abandonner) les connexions et les rétablir.

Remarque: Quand la réglementation est spécifiée dans le class map par défaut, les valeurs de routage de la classe par défaut sont appliquée au flux regroupé VPN de LAN à LAN s'il n'y a aucune commande police définie pour le groupe du tunnel VPN de LAN à LAN. En d'autres termes, les valeurs de réglementation du classe par défaut ne sont jamais appliquées au flux individuel d'un VPN de LAN à LAN qui existe avant le chiffrement.

Cet exemple se construit sur la configuration développée dans la partie précédente. Comme dans l'exemple précédent, il y a deux class-map Nommées appelées tcp_traffic et TG1-voice. L'ajout d'un troisième class-map constitue une base pour définir un routage QoS tunnelisé et non tunnelisé qui crée un routage QoS simple pour le trafic tunnelisé et le trafic non tunnelisé, attribue des paquets de la classe TG1-voice à la file d'attente à faible latence, et fixe des limites de débit sur les flux de trafic tcp_traffic et TG1-best-effort.

hostname(config)#class-map TG1-best-effort
hostname(config-cmap)#match tunnel-group Tunnel-Group-1
hostname(config-cmap)#match flow ip destination-address

Remarque: Le "meilleur effort" ne garantit pas l'acheminement fiable des paquets car il n'utilise pas un système de reconnaissance sophistiqué. Il fait cependant un "meilleur effort" pour délivrer les paquets vers la destination.

Dans cet exemple, le débit maximal pour le trafic de routage de la classe tcp_traffic est 56.000 bits/seconde et une taille de rafale maximale de 10.500 octets par seconde. Pour la classe TC1-BestEffort, le débit maximum est 200.000 bits/seconde, avec une rafale maximum de 37.500 octets/seconde. Le trafic dans la classe TC1-voice class n'a pas de vitesse maximum ou de débit de rafale maximum car il fait partie de la classe prioritaire:

hostname(config)#policy-map qos
hostname(config-pmap)#class tcp_traffic
hostname(config-pmap-c)#police output 56000 10500

hostname(config-pmap-c)#class TG1-voice
hostname(config-pmap-c)#priority

hostname(config-pmap-c)#class TG1-best-effort
hostname(config-pmap-c)#police output 200000 37500

hostname(config-pmap-c)#class class-default
hostname(config-pmap-c)#police output 1000000 37500

Remarque: Vous pouvez avoir jusqu'à 256 cartes de stratégie, et jusqu'à 256 classes dans une carte de stratégie. Le nombre maximal de classes dans toutes les cartes de stratégie est de 256. Pour n'importe quelle class-map, vous pouvez avoir seulement une instruction de correspondance qui y est associée excepté une classe de tunnel. Pour une classe de tunnel, on permet une instruction supplémentaire de correspondancegroupe de tunnel.

Activer la stratégie de service

La commande service-policy active une commande policy-map globalement sur toutes les interfaces ou sur une interface ciblée. Une interface peut être une interface virtuelle (de VLAN) ou une interface physique. On permet seulement une carte de stratégie globale. Si vous spécifiez le mot clé interface et un nom d'interface, la policy-map s'applique seulement à cette interface. Une carte de stratégie d'interface hérite des règles de la carte de stratégie globale. Pour les règles qui superposent avec la carte de stratégie globale, les règles de routage spécifique d'interface sont appliquées. Seulement une carte de stratégie d'interface peut être appliqué à une interface en même temps.

Généralement une commande service-policy peut être appliquée à n'importe quelle interface qui peut être définie par la commande nameif.

Avec l'utilisation de l'exemple de policy-map dans la partie précédente, cette commande service-policy active la carte de stratégie « qos, » défini dans la partie précédente, pour le trafic sur l'interface externe:

hostname(config)#service-policy qos interface outside

Appliquer la mise en file d'attente à faible latence

L'appliance de sécurité permet deux classes de trafic appelées Low Latency Queuing (LLQ) pour une haute priorité, le trafic sensible à la latence (tel que la voix et la vidéo) et le meilleur effort, qui est le routage par défaut pour tout autre trafic. Ces deux files d'attente sont construites dans le système. L'appliance de sécurité identifie le trafic prioritaire QoS et impose des stratégies QoS appropriées.

Puisque les files d'attente ne sont pas de taille infinie, elles peuvent se remplir et déborder. Quand une file d'attente est pleine, aucun paquet supplémentaire ne peut entrer dans la file d'attente et ces paquets sont abandonnés. C'est une perte de destination. Afin d'éviter d'avoir que la file d'attente se remplisse, vous pouvez utiliser la commande queue-limit pour augmenter la taille du tampon de file d'attente.

Vous pouvez configurer la file d'attente de faible latence (priorité) pour régler avec précision le nombre maximal de paquets permis dans la file d'attente de transmission (en utilisant la commande tx-ring-limit) et pour classer la profondeur de la file d'attente prioritaire (en utilisant la commande queue-limit). Ceci vous permet de contrôler la latence et la robustesse de la mise en file d'attente prioritaire.

Remarque: La limite supérieure de la portée des valeurs pour les commandes queue-limit et tx-ring-limit est déterminée dynamiquement lors de l'exécution. Afin d'afficher cette limite, écrivez l'aide ou ? sur la ligne de commande. Les éléments clés sont la mémoire requise pour prendre en charge les files d'attente et la mémoire disponible sur le périphérique. La portée des valeurs queue-limit est de 0 jusqu'à 2048 paquets. La portée des valeurs de tx-ring-limit est de 3 à 128 paquets sur la plate-forme de routage PIX et 3 à 256 paquets sur la plate-forme de routage ASA.

Configurer la mise en file d'attente par priorité

Vous identifiez le trafic de routage prioritaire quand vous utilisez la commande priority en mode de classe. Cette commande demande à l'appliance de sécurité de marquer comme haute priorité le trafic sélectionné par le class map.

Pour que la mise en file d'attente par priorité se produise, vous devez créer une file d'attente prioritaire pour des interfaces physiques nommées qui transmettent le trafic de haute priorité. Afin d'activer une file d'attente prioritaire sur une interface, utilisez la commande priority-queue en mode de configuration globale. Vous pouvez s'appliquer une commande priority-queue à chaque interface physique définie par la commande nameif. Tout autre trafic de routage est fourni sur une base du meilleur effort.

Généralement vous pouvez appliquer une commande priority-queue à n'importe quelle interface physique qui peut être définie par la commande nameif. Vous ne pouvez pas appliquer une commande priority-queue à une interface VLAN. Si un class-map est configuré pour la priorité et si l'interface physique n'est pas configurée pour la file d'attente prioritaire, l'ERREUR : Class xyz has 'priority' set without 'priority-queue' in any interface ce message d'erreur peut être consulté tout en configurant la mise en file d'attente par priorité. La commande priority-queue sélectionne le mode de file d'attente prioritaire, comme cela est montré par l'invite, qui vous laisse configurer le nombre maximal de paquets permis dans la file d'attente de transmission et la taille de la file d'attente prioritaire.

Remarque: Vous ne pouvez pas activer à la fois la mise en file d'attente et la réglementation. En d'autres termes, seulement des paquets avec la priorité normale peuvent être réglementés. Des paquets avec une haute priorité ne sont pas réglementés.

Déterminer la taille de la file d'attente prioritaire

La taille que vous spécifiez pour la file d'attente prioritaire affecte la file d'attente à faible latence et la file d'attente de meilleur effort. La commande queue-limit spécifie un nombre maximal de paquets qui peut être mis en attente dans une file d'attente prioritaire avant qu'elle abandonne des données. Cette limite doit être de l'ordre de 0 paquet à 2048 paquets.

Réduire la latence de la file d'attente

La commande tx-ring-limit vous permet pour configurer le nombre maximal de paquets (profondeur) qui peuvent être mis en file d'attente dans le driver ring de transmission d'Ethernet à un moment donné. Ceci permet de régler avec précision la file d'attente de transmission pour réduire la latence et pour offrir de meilleures performances du gestionnaire de transmission. Cette limite doit être de l'ordre de 3 à 128 paquets sur la plate-forme PIX, avec une limite de 256 paquets sur la plate-forme ASA.

La limite de la file d'attente par défaut est le nombre moyen de paquets de 256 octets que l'interface spécifiée peut transmettre dans un intervalle de 500 ms, avec une limite supérieure de 2048 paquets. Un paquet qui reste plus de 500 ms dans un noeud de réseau pourrait déclencher un timeout dans l'application de bout en bout. Un tel paquet peut être ignoré dans chaque noeud de réseau.

Le tx-ring-limit de par défaut est le nombre de paquets de 1550 octets maximaux que l'interface spécifiée peut transmettre dans un intervalle de 10 ms. Ceci garantit que la boucle de transmission basée sur le matériel n'impose pas plus de 10 ms de latence supplémentaire pour un paquet de haute priorité.

Cet exemple établit une file d'attente prioritaire sur l'extérieur de l'interface (l'interface GigabitEthernet0/1), avec la queue-limit de par défaut et la tx-ring-limit.

hostname(config)#priority-queue outside

Cet exemple établit une file d'attente prioritaire sur l'extérieur de l'interface (l'interface GigabitEthernet0/1), fixe la queue-limit à 2048 paquets et définit la tx-ring-limit à 256 :

hostname(config)#priority-queue outside

hostname(config-priority-queue)#queue-limit 2048

hostname(config-priority-queue)#tx-ring-limit 256

Quand la mise en file d'attente par priorité est activée, l'appliance de sécurité vide tous les paquets dans des files d'attente de haute priorité avant de transmettre des paquets dans les files d'attente de basse priorité.

Configurer QoS

Cette procédure explique comment configurer une classe de trafic, une carte de stratégie, et une stratégie de service qui met en oeuvre la réglementation QoS (limitation de débit) ou la mise en file d'attente par priorité. En outre, pour la mise en file d'attente par priorité, elle inclut des étapes pour prévoir comment activer les files d'attente prioritaires sur les interfaces.

Le nombre de classes de trafic, de cartes de stratégie, et de stratégies de service dont vous avez besoin pour mettre en oeuvre QoS varie en fonction de la configuration de votre réseau. Analysez votre réseau et déterminez combien de classes de trafic, de cartes de stratégie et de stratégies de service sont requises sur l'appliance de sécurité que vous configurez, et utilisez cette procédure car elle s'applique à votre déploiement de QoS.

Complétez ces étapes afin de configurer la Réglementation QoS et la mise en file d'attente par priorité:

  1. Déterminez quel trafic de routage vous voulez réglementer ou marquer pour la mise en file d'attente par priorité. Pour une analyse détaillée sur l'identification du trafic de QoS, consultez la partie Identifier le trafic pour QoS de ce document.

  2. Créez un class map ou modifiez un class map existant pour identifier le trafic que vous voulez réglementer ou identifier comme trafic prioritaire. Utilisez la commandeclass-map

    hostname(config)#class-map class_map_name
    
    hostname(config-cmap)#

    Pour cette commande class-map, le class_map_name est le nom de la classe de trafic. Quand vous sélectionnez la commande class-map, le CLI entre le mode de configuration de class map.

  3. Utilisez une commande match afin d'identifier le trafic que vous avez déterminé dans l'étape 1. Pour une analyse détaillée sur l'identification du trafic de QoS, consultez la partie Identifier le trafic pour QoS de ce document.

    Si vous devez identifier deux ports non-contigus ou plus, créez une liste d'accès avec la commande access-list extended, ajoutez ACE pour une correspondance à chaque port et utilisez la commande match access-list.

    Ces commandes montrent comment utiliser une liste d'accès pour identifier les ports multiples TCP avec une liste d'accès:

    hostname(config)#access-list acl-name any any tcp eq port_number_1
    
    hostname(config)#access-list acl-name any any tcp eq port_number_2
    
    hostname(config)#class-map class_map_name
    
    hostname(config-cmap)#match access-list acl-name
    

    Si vous devez identifier un seul port, utilisez la commande match port :

    hostname(config-cmap)#match port {tcp | udp} eq port_number
    

    Pour cette commande match port, le eq. port_number est la destination port du trafic de routage que vous voulez pour configurer l'appliance de sécurité afin de réglementer ou de marquer la mise en file d'attente par priorité. Si vous devez identifier une portée de ports contigus, utilisez la commande match port avec le mot clé de range comme cet exemple le montre:

    
    !--- This command is wrapped to a second line due to spatial reasons:
    
    hostname(config-cmap)#match port {tcp | udp} {eq port | range begin_port_number 
    end_port_number
    

    Pour cette commande match port, le begin_port_number est le port le plus bas dans la plage de ports et end_port_number est le port le plus élevé.

  4. Créez une carte de stratégie ou modifiez une carte de stratégie existante que vous voulez employer pour appliquer la réglementation ou la mise en file d'attente par priorité au trafic de routage identifié dans l'étape 2. Pour plus d'informations sur des cartes de stratégies QoS, consultez la section Définir une carte de stratégie QoS de ce document .

    Utilisez la commande policy-map comme cet exemple le montre :

    hostname(config-cmap)#policy-map policy_map_name
    
    hostname(config-pmap)# 

    Pour cette commande policy-map, le policy_map_name est le nom de la carte de stratégie. Le CLI entre le mode de configuration de la carte de stratégie et l'invite change en conséquence.

  5. Spécifiez le class map que vous avez créé dans l'étape 2 qui identifie le trafic à réglementer ou à marquer pour la mise en file d'attente par priorité. Utilisez la commande class afin d'accomplir ceci :

    hostname(config-pmap)#class class_map_name
    
    hostname(config-pmap-c)# 
  6. Configurez l'action pour la classe. Vous pouvez marquer la classe de trafic comme trafic prioritaire ou spécifier la limitation de débit pour la classe de trafic. Exécutez l´une de ces actions:

    • Si vous voulez le trafic de routage sélectionné par le class map soit marqué comme trafic prioritaire, sélectionnez la commande prioriy :

      hostname(config-pmap-c)#priority
      

      Remarque: La mise en file d'attente par priorité ne se produit pas automatiquement pour le trafic marqué comme prioritaire. Afin d'activer la mise en file d'attente par priorité, vous devez exécuter l'étape 8, qui active les files d'attente prioritaires.

      Pour des informations sur la mise en file d'attente par priorité, consultez la partie de ce document Appliquer la mise en file d'attente de faible latence et la page de commande priority dans les Références des commandes de Cisco Security Appliance.

    • Si vous voulez que l'appliance de sécurité réglemente le trafic sélectionné par le class map, sélectionnez la commande police.

      
      !--- This command is wrapped to a second line due to spatial reasons:
      
      hostname(config-pmap-c)#police [output] conform-rate [conform-burst] 
      [conform-action [drop | transmit] [exceed-action {drop | transmit}]]
      

      Pour des informations sur l'utilisation de la commande police, consultez la partie Appliquer la limitation du débit dans ce document et la page de commande police dans les Références des commandes de Cisco Security Appliance.

  7. Utilisez la commande service-policy pour appliquer la carte de stratégie globalement ou à une interface spécifique:

    Remarque: Cette commande est renvoyée vers une deuxième ligne en raison de préoccupations d'espace.

    hostname(config-pmap-c)#service-policy policy_map_name 
    [global | interface interface_ID]
    
    hostname(config)#

    Pour cette commande service-policy, le policy_map_name est la carte de stratégie vous avez configurée dans l'étape 4. Si vous voulez appliquer la carte de stratégie au trafic sur toutes les interfaces, utilisez l'option globale. Si vous voulez appliquer la carte de stratégie au trafic sur une interface spécifique, utilisez l'option d'interface_ID d'interface, où l'interface_ID est le nom attribué à l'interface avec la commande nameif.

    L'Appliance de sécurité commence à réglementer le trafic et à marquer le trafic pour la mise en file d'attente par priorité, comme cela a été spécifié.

  8. Si vous avez sélectionné la commande priority dans l'étape 6, vous devez activer des files d'attente prioritaires sur des interfaces avant que l'appliance de sécurité effectue la mise en file d'attente par priorité.

    Pour chaque interface sur laquelle vous voulez que l'appliance de sécurité effectue la mise en file d'attente par priorité, exécutez ces étapes:

    1. Sélectionnez la commande priority-queue :

      hostname(config)#priority-queue interface
      
      hostname(config-priority-queue)#

      Pour cette commande priority-queue, l'interface est le nom attribué à l'interface physique pour laquelle vous voulez activer la file d'attente prioritaire. Les interfaces VLAN ne prennent pas en charge la mise en file d'attente par priorité. Le CLI entre le mode de configuration de la file d'attente prioritaire et l'invite se modifie en conséquence.

    2. (Facultatif) si vous voulez spécifier un nombre maximal ,qui n'est pas par défaut, de paquets prioritaires pouvant être mis en file d'attente, sélectionnez la commande queue-limit, comme cet exemple le montre:

      hostname(config-priority-queue)#queue-limit number-of-packets
      

      La taille de la file d'attente par défaut est 2048 paquets.

    3. (Facultatif) si vous voulez spécifier un nombre maximal qui n'est pas par défaut de paquets permis dans la file d'attente de transmission, sélectionnez la commande tx-ring-limit, comme cet exemple le montre:

      hostname(config-priority-queue)#tx-ring-limit number-of-packets
      

      La taille de file d'attente de transmissionpar défaut est 128 paquets.

      Sur les interfaces où vous avez activé la mise en file d'attente par priorité, l'appliance de sécurité commence à effectuer la mise en file d'attente par priorité.

Cet exemple crée des class maps pour le trafic de haute priorité (Voix) et le trafic de meilleur effort pour un groupe de tunnel précédemment configuré nommé, "tunnel-grp1" La carte de stratégie du routage QoS Policy inclut la commande police pour les classes de trafic du meilleur effort et les classes du trafic par défaut, et la commande priority pour la classe de voix. Le routage spécifique de service est alors appliqué à l'interface externe et la file d'attente prioritaire pour l'interface externe est activée.

Configurez la Réglementation QoS et la mise en file d'attente par priorité
hostname(config)#class-map TG1-voice


!--- This command is wrapped to a second line due to spatial reasons:

hostname(config-cmap)#description "This class-map matches all dscp ef 
traffic for tunnel-grp 1"

hostname(config-cmap)#match dscp ef

hostname(config-cmap)#match tunnel-group tunnel-grp1


hostname(config-cmap)#class-map TG1-BestEffort


!--- This command is wrapped to a second line due to spatial reasons:

hostname(config-cmap)#description "This class-map matches all best-effort 
traffic for tunnel-grp1"

hostname(config-cmap)#match tunnel-group tunnel-grp1

hostname(config-cmap)#match flow ip destination-address


hostname(config-cmap)#policy-map qos

hostname(config-pmap)#class TG1-voice

hostname(config-pmap-c)#priority

hostname(config-pmap-c)#class TG1-best-effort

hostname(config-pmap-c)#police output 200000 37500

hostname(config-pmap-c)#class class-default

hostname(config-pmap-c)#police output 1000000 37500


hostname(config-pmap-c)#service-policy qos interface outside

hostname(config)#priority-queue outside

hostname(config-priority-queue)#queue-limit 2048

hostname(config-priority-queue)#tx-ring-limit 256



!

Vérifier la configuration QoS

Cette section contient ces sujets :

Vérifier la configuration de la stratégie de service QoS

Afin de vérifier toutes les stratégies de service actuelles, y compris celles qui mettent en oeuve les cartes de stratégie QoS, utilisez la commande show service-policy en mode EXEC privilégié. Vous pouvez limiter le résultat aux stratégies qui incluent les commandes police ou priority à l'aide des mots clés police ou priority.

Remarque: C'est la même commande que vous utilisez pour afficher des statistiques sur la priorité et sur la réglementation.

Cet exemple montre la sortie de la commande show service-policy avec le mot clé de police :

hostname#show service-policy police


Global policy:

	Service-policy: global_fw_policy


Interface outside:

	Service-policy: qos

		Class-map: browse

			police Interface outside:

				cir 56000 bps, bc 10500 bytes

				conformed 10065 packets, 12621510 bytes; actions: transmit

				exceeded 499 packets, 625146 bytes; actions: drop

				conformed 5600 bps, exceed 5016 bps

		Class-map: cmap2

			police Interface outside:

				cir 200000 bps, bc 37500 bytes

				conformed 17179 packets, 20614800 bytes; actions: transmit

				exceeded 617 packets, 770718 bytes; actions: drop

				conformed 198785 bps, exceed 2303 bps

Cet exemple montre le résultat de la commande show service-policy avec le mot clé de priority :

hostname#show service-policy priority

Global policy:

	Service-policy: global_fw_policy

Interface outside:

	Service-policy: qos

		Class-map: TG1-voice

			Priority:

				Interface outside: aggregate drop 0, aggregate transmit 9383

Vérifier la configuration de la carte de stratégie QoS

Afin de vérifier toutes les cartes de stratégie, y compris celles qui incluent les commandes police et priority, utilisez la commande show running-config policy-mapen mode EXEC privilégié:

hostname#show running-config policy-map

Pour les exemples précédents, la sortie de cette commande ressemble à quelque chose comme cet exemple:

hostname#show running-config policy-map

!

policy-map test

 class class-default

policy-map inbound_policy

 class ftp-port

  inspect ftp strict inbound_ftp

policy-map qos

 class browse

  police 56000 10500

 class TG1-voice

  priority

 class TG1-BestEffort

  police 200000 37500

Vérifiez la configuration de la file d'attente prioritaire pour une interface

Afin d'afficher la configuration de file d'attente prioritaire pour une interface, sélectionnez la commande show running-config priority-queueen mode de configuration globale. Cet exemple montre la configuration de file d'attente prioritaire pour l'interface nommée « test »:

hostname(config)#show running-config priority-queue test

priority-queue test

  queue-limit   2048

  tx-ring-limit 256

hostname(config)#

Vérifier les statistiques de QoS

Cette section contient ces sujets :

Vérifier les statistiques de la stratégie QoS

Afin de vérifier les statistics QoS pour la réglementation du trafic, utilisez la commande show service-policy avec le mot clé de police, en mode EXEC privilégié:

hostname#show service-policy police

Remarque: C'est la même commande que vous utilisez pour afficher la configuration des stratégies qui incluent le mot clé police.

Par exemple, cette commande affiche les stratégies de service qui incluent la commande police et les statistiques s'y rapportant :

hostname#show service-policy police


Global policy:

	Service-policy: global_fw_policy


Interface outside:

	Service-policy: qos

		Class-map: browse

			police Interface outside:

				cir 56000 bps, bc 10500 bytes

				conformed 10065 packets, 12621510 bytes; actions: transmit

				exceeded 499 packets, 625146 bytes; actions: drop

				conformed 5600 bps, exceed 5016 bps

		Class-map: cmap2

			police Interface outside:

				cir 200000 bps, bc 37500 bytes

				conformed 17179 packets, 20614800 bytes; actions: transmit

				exceeded 617 packets, 770718 bytes; actions: drop

				conformed 198785 bps, exceed 2303 bps

Vérifier les statistiques prioritaires de QoS

Afin de vérifier des statistiques pour des stratégies de service mettant en application la commande priority, utilisez la commande show service-policy avec le mot clé priority, en mode EXEC privilégié :

hostname#show service-policy priority

Remarque: C'est la même commande que vous utilisez pour afficher la configuration des stratégies qui incluent le mot clé priority.

Par exemple, cette commande affiche les stratégies de service qui incluent la commande priority et les statistiques s'y rapportant :

hostname#show service-policy priority

Global policy:

	Service-policy: global_fw_policy

Interface outside:

	Service-policy: qos

		Class-map: TG1-voice

			Priority:

				Interface outside: aggregate drop 0, aggregate transmit 9383

Remarque: « Aggregate drop » dénote l'abandon agrégé dans cette interface. « Aggregate transmit » dénote le nombre agrégé de paquets transmis dans cette interface.

Vérifier les statistiques de file d'attente de QoS prioritaires

Afin d'afficher les statistiques de file d'attente prioritaire pour une interface, utilisez la commande show priority-queue statistics en mode EXEC privilégié. Les résultats montrent les statistiques pour chacune des deux files d'attente de Best Effort (BE) et la file d'attente de faible latence (LLQ). Cet exemple de résultat montre l'utilisation de la commande show priority-queue statistics pour le test nommé d'interface et la sortie de commande:

hostname#show priority-queue statistics test


Priority-Queue Statistics interface test


Queue Type        = BE

!--- "Packets Dropped" denotes the overall number 
!--- of packets that have been dropped in this queue. 


Packets Dropped   = 0

!--- "Packets Transmit" denotes the overall number 
!--- of packets that have been transmitted in this queue. 


Packets Transmit  = 0

!--- "Packets Enqueued" denotes the overall number 
!--- of packets that have been queued in this queue. 

Packets Enqueued  = 0

!--- "Current Q Length" denotes the current depth of this queue. 


Current Q Length  = 0

!--- "Max Q Length" denotes the maximum depth that ever 
!--- occurred in this queue. 

Max Q Length      = 0


Queue Type        = LLQ

Packets Dropped   = 0

Packets Transmit  = 0

Packets Enqueued  = 0

Current Q Length  = 0

Max Q Length      = 0

hostname#

Effacer les Statistiques de stratégie de service

Pour effacer les statistiques sur la stratégie de service, utilisez la commande clear service-policy en mode EXEC privilégié :

hostname# clear service-policy [global | interface intf ]

Par défaut, cette commande efface toutes les statistiques pour toutes les stratégies de service activées.

Cet exemple montre la syntaxe de la commande clear service-policy :

hostname# clear service-policy outside_security_map interface outside

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 91790