Quality of Service ソリューション ガイド、 Cisco IOS Release 15.1S
IPsec 暗号化エンジンの 低遅延キューイング (LLQ)
IPsec 暗号化エンジンの 低遅延キューイング(LLQ)
発行日;2012/02/02 | 英語版ドキュメント(2011/04/26 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

IPsec 暗号化エンジンの 低遅延キューイング(LLQ)

機能の概要

利点

制約事項

関連機能およびテクノロジー

関連資料

サポートされているプラットフォーム

Cisco Feature Navigator を使用したプラットフォーム サポートの特定

Cisco IOS ソフトウェア イメージの可用性

サポートされている規格、MIB、および RFC

前提条件

設定作業

クラス マップの定義

ポリシー マップでのクラス ポリシーの設定

プライオリティ キューのクラス ポリシーの設定

指定した帯域幅を使用するクラス ポリシーの設定

Class-Default クラス ポリシーの設定

サービス ポリシーのアタッチ

ポリシー マップとそのクラスの設定の確認

IPsec 暗号化エンジンの LLQ のモニタおよびメンテナンス

設定例

IPsec 暗号化エンジンの LLQ の例

コマンド リファレンス

用語集

IPsec 暗号化エンジンの 低遅延キューイング(LLQ)

機能の履歴

リリース
変更点

12.2(13)T

この機能が追加されました。

12.2(14)S

この機能は、Cisco IOS Release 12.2(14)S に統合されました。

このフィーチャ モジュールでは、Cisco IOS Release 12.2(13)T および 12.2(14)S に導入されている IPsec 暗号化エンジンの Low Latency Queueing(LLQ; 低遅延キューイング)機能について説明します。次の項で構成されています。

「機能の概要」

「サポートされているプラットフォーム」

「サポートされている規格、MIB、および RFC」

「前提条件」

「設定作業」

「IPsec 暗号化エンジンの LLQ のモニタおよびメンテナンス」

「設定例」

「コマンド リファレンス」

「用語集」

機能の概要

IPsec 暗号化エンジンの Low Latency Queueing(LLQ; 低遅延キューイング)機能を使用すると、暗号化エンジンの前にキューイングを実行するという考え方により、パケット遅延を軽減できます。以前は、暗号処理エンジンによって、データ トラフィックと音声トラフィックが同じステータスを与えられていました。現在では、管理者は音声トラフィックをプライオリティ指定します。ルータ インターフェイスに到着するデータ パケットは、データ パケット インバウンド キューに送られて暗号化エンジンで処理されます。このキューをベスト エフォート キューといいます。ルータ インターフェイスに到着する音声パケットは、プライオリティ パケット インバウンド キューに送られて暗号化エンジンで処理されます。このキューをプライオリティ キューといいます。暗号化エンジンは、音声パケットに適した速度でパケット処理を実行します。音声パケットには、暗号化エンジンで最小の処理帯域幅が保証されています。

利点

IPsec 暗号化エンジンの Low Latency Queueing(LLQ; 低遅延キューイング)機能を使用すると、プライオリティを指定したトラフィックに対し、特定レベルの暗号化エンジン処理時間が保証されます。


) Cisco 2600 プラットフォーム(Cisco 2691 ルータは除く)では、暗号化エンジンが輻輳する前に CPU 使用率が最大に達するため、遅延は改善されません。


音声パフォーマンスの改善

音声パケットはプライオリティで識別できるため、暗号化エンジンで特定の比率の処理帯域幅を保証できます。この機能では、輻輳したネットワークに音声トラフィックが流れる場合に音声品質を保証すると、エンド ユーザの処理に影響が出ます。

遅延およびジッタの改善

予測可能性はネットワーク パフォーマンスの重要なコンポーネントです。IPsec 暗号化エンジンの Low Latency Queueing(LLQ; 低遅延キューイング)機能を使用すると、VPN のネットワーク トラフィックが予測可能になります。この機能を無効にすると、VPN 経由で IP 電話を使用しているエンド ユーザに、ジッタまたは遅延(ネットワーク全体の遅延および輻輳の症状)が発生する場合があります。この機能をイネーブルにすれば、このような望ましくない特性は生じなくなります。

制約事項

トンネルごとの QoS ポリシーなし。インターフェイス QoS ポリシーがすべてのトンネルを表す。

同じ IP precedence/DSCP がインバウンドおよびアウトバウンドの音声パケットを生成していると想定。

IP precedence/DSCP による音声パケット生成は発信元で実行されると想定。

インターフェイス QoS ポリシーの音声トラフィックの一致基準が制限を受ける。

コール アドミッション制御が企業内に適用されていると想定。

aggregate ポリシーの帯域幅が暗号化エンジンの帯域幅を超える場合は、厳密なエラー チェックは実行されない。警告が表示されるだけで設定は可能です。

音声パケットはすべて暗号化されているか、すべて暗号化されていないかのいずれかであると想定。

関連機能およびテクノロジー

CBWFQ

プライオリティ キューイング

重み付け均等化キューイング

サポートされているプラットフォーム

12.2(14)S 以降

IPsec 暗号化エンジンの LLQ 機能がサポートされているのは次のプラットフォームです。

Cisco 7200 シリーズ

12.2(13)T

IPsec 暗号化エンジンの LLQ 機能は、Cisco IOS Release 12.2(13)T 以降を使用する、次のすべてのプラットフォームでサポートされています。

Cisco 2600 シリーズ

Cisco 3600 シリーズ

Cisco 7100 シリーズ

Cisco 7200 シリーズ

Cisco Feature Navigator を使用したプラットフォーム サポートの特定

Cisco IOS ソフトウェアは、特定のプラットフォームがサポートされている機能セットにパッケージングされています。この機能のプラットフォーム サポートに関連した更新情報を取得するには、Cisco Feature Navigator にアクセスします。新しいプラットフォーム サポートが機能に追加されると、Cisco Feature Navigator によって、サポートされているプラットフォームのリストが自動的に更新されます。

Cisco Feature Navigator は Web ベースのツールであり、特定の機能セットがサポートされている Cisco IOS ソフトウェア イメージ、および、特定の Cisco IOS イメージ内でサポートされている機能を素早く特定できます。機能またはリリースごとに検索できます。リリース セクションでは、各リリースを横に並べて比較し、各ソフトウェア リリースに固有の機能と共通機能の両方を表示できます。

Cisco Feature Navigator にアクセスするには、Cisco.com のアカウントが必要です。アカウント情報を忘れたり、紛失したりした場合は、空の E メールを cco-locksmith@cisco.com に送信してください。自動チェックによって、E メール アドレスが Cisco.com に登録されているかどうかが確認されます。チェックが正常に終了したら、ランダムな新しいパスワードとともにアカウントの詳細が E メールで届きます。資格のあるユーザは、Cisco.com のアカウントを作成できます。次の URL にある指示に従ってください。

http://www.cisco.com/register

Cisco Feature Navigator は定期的に更新されています(Cisco IOS ソフトウェアの主要なリリース時およびテクノロジー リリース時)。最新情報については、次の URL から Cisco Feature Navigator ホームページにアクセスしてください。

http://www.cisco.com/go/fn

Cisco IOS ソフトウェア イメージの可用性

特定の Cisco IOS ソフトウェア リリースをサポートしているプラットフォームは、そのプラットフォーム用のソフトウェア イメージがあるかどうかによります。一部のプラットフォームのソフトウェア イメージは、事前の通知なしに延期、遅延、または変更される場合があります。各 Cisco IOS ソフトウェア リリースのプラットフォーム サポートおよび利用可能なソフトウェア イメージの更新情報は、オンライン リリース ノートまたは Cisco Feature Navigator(サポートされている場合)を参照してください。

サポートされている規格、MIB、および RFC

規格

この機能によってサポートされる新しい規格や変更された規格はありません。

MIB

この機能によってサポートされる新しい規格や変更された規格はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://tools.cisco.com/ITDIT/MIBS/servlet/index

Cisco MIB Locator で必要な MIB 情報がサポートされていない場合、サポート対象 MIB のリストを取得し、次の URL にある Cisco MIB ページから MIB をダウンロードすることもできます。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

Cisco MIB Locator にアクセスするには、Cisco.com のアカウントが必要です。アカウント情報を忘れたり、紛失したりした場合は、空の E メールを cco-locksmith@cisco.com に送信してください。自動チェックによって、E メール アドレスが Cisco.com に登録されているかどうかが確認されます。チェックが正常に終了したら、ランダムな新しいパスワードとともにアカウントの詳細が E メールで届きます。資格のあるユーザは、Cisco.com のアカウントを作成できます。次の URL にある指示に従ってください。

http://www.cisco.com/register

RFC

この機能によってサポートされる新しい RFC や変更された RFC はありません。

前提条件

この機能を使用するには、次の内容を理解している必要があります。

アクセス コントロール リスト

帯域幅管理

CBWFQ

設定作業

IPsec 暗号化エンジンの LLQ を設定するには、以下の項で説明する作業を実行します。


) インターフェイスでのポリシー マップの設定方法については、『Applying QoS Features Using the MQC』を参照してください。


クラス マップの定義(必須)

ポリシー マップでのクラス ポリシーの設定(必須)

プライオリティ キューのクラス ポリシーの設定(必須)

指定した帯域幅を使用するクラス ポリシーの設定(任意)

Class-Default クラス ポリシーの設定(任意)

サービス ポリシーのアタッチ(必須)

ポリシー マップとそのクラスの設定の確認(任意)

クラス マップの定義

クラスにパケットが属しているかをチェックする一致基準を含むクラス マップを作成するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# class-map class-map-name

作成するクラス マップの名前を指定します。

ステップ 2

Router(config-cmap)# match access-group {access-group | name access-group-name}

 

または

 

Router(config-cmap)# match input-interface interface-name

 

または

 

Router(config-cmap)# match protocol protocol

クラスにコンテンツ パケットが属しているかをチェックする Access Control List(ACL; アクセス コントロール リスト)の名前を指定します。


クラスにパケットが属しているかをチェックする一致基準として使用する入力インターフェイスの名前を指定します。

クラスにパケットが属しているかをチェックする一致基準として使用するプロトコルの名前を指定します。

ポリシー マップでのクラス ポリシーの設定

ポリシー マップを設定し、サービス ポリシーを構成するクラス ポリシーを作成するには、最初に policy-map コマンドを使用してポリシー マップの名前を指定します。次に、次のコマンドを 1 つ以上使い、標準クラスまたはデフォルト クラスのポリシーを設定します。

priority

bandwidth

queue-limit または random-detect

fair-queue (class-default クラスの場合のみ)

定義するクラスごとに、リストされているコマンドを 1 つ以上使い、クラス ポリシーを設定します。たとえば、あるクラスには帯域幅を、別のクラスには帯域幅およびキュー制限を指定します。

ポリシー マップのデフォルト クラス(一般に class-default クラスといいます)は、ポリシー マップで定義されているその他のクラスの一致基準を満たさない場合にトラフィックが送られるクラスです。

クラス ポリシーはルータで定義可能な数だけ設定できます(最大 64 個)。ただし、ポリシー マップのすべてのクラスに割り当てられている帯域幅の合計は、最小 Commited Information Rate(CIR; 認定情報レート)を超えてはいけません。最小 CIR は、Virtual Circuit(VC; 仮想回線)と、 frame-relay voice bandwidth コマンドおよび frame-relay ip rtp priority コマンドで予約されている帯域幅の差に設定されているレートです。最小 CIR が設定されていない場合は、CIR の半分が帯域幅のデフォルトになります。割り当てられていない帯域幅がある場合は、残っている帯域幅は設定されている帯域幅に応じてクラスに割り当てられます。

ポリシー マップのクラス ポリシーを設定するには、以降の項で説明する作業を実行します。最初の項の作業は必須ですが、残りの項の作業は任意です。

プライオリティ キューのクラス ポリシーの設定

ポリシー マップを設定し、ポリシー マップ内のクラスにプライオリティを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# policy-map policy-map

作成または変更するポリシー マップの名前を指定します。

ステップ 2

Router(config-cmap)# class class-name

作成し、サービス ポリシーで使用するクラスの名前を指定します。

ステップ 3

Router(config-pmap-c)# priority bandwidth-kbps

完全プライオリティ クラスを作成し、そのクラスに割り当てる帯域幅の量(kbps)を指定します。

指定した帯域幅を使用するクラス ポリシーの設定

ポリシー マップを設定し、サービス ポリシーを構成するクラス ポリシーを作成するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# policy-map policy-map

作成または変更するポリシー マップの名前を指定します。

ステップ 2

Router(config-cmap)# class class-name

作成し、サービス ポリシーで使用するクラスの名前を指定します。

ステップ 3

Router(config-pmap-c)# bandwidth bandwidth-kbps

クラスに割り当てる帯域幅の量(kbps)または使用可能な帯域幅のパーセントを指定します。帯域幅は kbps またはパーセントで指定します。単位はクラス内で統一します(プライオリティ キューの帯域幅は kbps で指定)。

同じポリシー マップ内でクラスを複数設定する場合は、ステップ 2 および ステップ 3 を繰り返してください。

Class-Default クラス ポリシーの設定

class-default クラスは、定義したクラスのいずれにも該当しないトラフィックを分類するために使用されます。ポリシー マップの作成時に class-default クラスを事前定義していても、あらためて定義する必要があります。デフォルト クラスを設定していなければ、設定したクラスのいずれにも該当しないトラフィックはベストエフォート扱いになります。ベストエフォート扱いとは、可能な場合はネットワークがそのトラフィックを配信し、信頼性、遅延防止、スループットは保証されないというものです。

ポリシー マップと class-default クラスを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# policy-map policy-map

作成または変更するポリシー マップの名前を指定します。

ステップ 2

Router(config-cmap)# class class-default default-class-name

ポリシーを設定または変更できるようにデフォルト クラスを指定します。

ステップ 3

Router(config-pmap-c)# bandwidth bandwidth-kbps

 

または

 

Router(config-pmap-c)# fair-queue [number-of-dynamic-queues]

クラスに割り当てる帯域幅の量(kbps)を指定します。


デフォルト クラスで実行されているフロー ベースの WFQ の使用に予約する、ダイナミック キューの数を指定します。ダイナミック キューの数はインターフェイスの帯域幅から求めます。

サービス ポリシーのアタッチ

サービス ポリシーを出力インターフェイスにアタッチし、IPsec 暗号化エンジンの LLQ をイネーブルにするには、マップ クラス コンフィギュレーション モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router(config)# interface type number

IPsec 暗号化エンジンの LLQ を使ってインターフェイスを指定します。

ステップ 2

Router(config-if)# service-policy output policy-map

指定したサービス ポリシー マップを出力インターフェイスにアタッチし、IPsec 暗号化エンジンの LLQ をイネーブルにします。

ポリシー マップとそのクラスの設定の確認

インターフェイスに設定されている特定のポリシー マップまたはすべてのポリシー マップの内容を表示するには、必要に応じて EXEC モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router# show frame-relay pvc dlci

PVC および特定の Data-Link Connection Identifier(DLCI; データリンク接続識別子)のポリシー マップのクラスの設定に関する統計情報を表示します。

ステップ 2

Router# show policy-map interface interface-name

LLQ が設定されている場合は、すべてのポリシー マップのクラスの設定を表示します。

ステップ 3

Router# show policy-map interface interface-name dlci dlci

LLQ が設定されている場合は、特定の DLCI の、ポリシー マップのクラスの設定を表示します。

IPsec 暗号化エンジンの LLQ のモニタおよびメンテナンス

IPsec 暗号化エンジンの LLQ をモニタおよびメンテナンスするには、EXEC モードで次のコマンドを使用します。

 

コマンド
目的

ステップ 1

Router# show crypto eng qos

IPsec 暗号化エンジンの LLQ の統計情報をキューイングしているサービスの品質を表示します。

IPsec 暗号化エンジンの LLQ のモニタに使用するコマンドの、より詳細なリストについては、「ポリシー マップとそのクラスの設定の確認」 の項を参照してください。

設定例

ここでは、次の設定例について説明します。

IPsec 暗号化エンジンの LLQ の例

IPsec 暗号化エンジンの LLQ の例

次の例では、保証帯域幅が 50 kbps の完全プライオリティ キューが、ソース アドレス 10.10.10.10 から宛先アドレス 10.10.10.20 に送信される(ポートは 16384 ~ 20000 および 53000 ~ 56000 の範囲)トラフィックに予約されています。

まず、次のコマンドでアクセス リスト 102 を設定して必要な音声トラフィックを一致させます。

Router(config)# access-list 102 permit udp host 10.10.10.10 host 10.10.10.20 range 16384 20000
Router(config)# access-list 102 permit udp host 10.10.10.10 host 10.10.10.20 range 53000 56000
 

次に、クラス マップ音声を定義し、policy1 というポリシー マップを作成します。続いて、クラス音声の完全プライオリティ キューを予約し、クラス バーに帯域幅 20 kbps を設定し、WFQ のデフォルト クラスを設定します。さらに、service-policy コマンドを使ってポリシー マップを fas0/0 にアタッチします。

 
Router(config)# class-map voice
Router(config-cmap)# match access-group 102
Router(config)# policy-map policy1
Router(config-pmap)# class voice
Router(config-pmap-c)# priority 50
Router(config-pmap)# class bar
Router(config-pmap-c)# bandwidth 20
Router(config-pmap)# class class-default
Router(config-pmap-c)# fair-queue
Router(config)# interface fastethernet0/0
Router(config-if)# service-policy output policy1

コマンド リファレンス

次のコマンドは、このモジュールで説明した機能で導入または修正されたものです。これらのコマンドの詳細については、 http://www.cisco.com/en/US/docs/ios/qos/command/reference/qos_book.html にある『 Cisco IOS Quality of Service Solutions Command Reference 』を参照してください。Cisco IOS の全コマンドを参照する場合は、参照先( http://tools.cisco.com/Support/CLILookup Command Lookup Tool を使用するか、または『 Cisco IOS Master Command List 』にアクセスしてください。

show crypto eng qos

用語集

IKE :Internet Key Exchange(インターネット キー エクスチェンジ)。IKE は共有セキュリティ ポリシーを確立し、サービス(IPsec など)のキーを認証します。IPsec トラフィックを通過させる前に、ルータ、ファイアウォール、ホストそれぞれでピアの ID を検証する必要があります。それには、事前共有キーを両ホストに手動で入力するか、CA サービスを使用します。

IPsec :IP Security(IP セキュリティ)。オープン規格のフレームワークであり、関与するピア間におけるデータの機密保持、データ整合性、データ認証を実現します。IPsec では、これらのセキュリティ サービスが IP レイヤで実現されます。IPsec では、ローカル ポリシーに基づいたプロトコルやアルゴリズムのネゴシエーションの処理や、IPsec に使用される暗号キーや認証キーの生成が、IKE を通じて行われます。IPsec は、1 組のホスト間、1 組のセキュリティ ゲートウェイ間、またはセキュリティ ゲートウェイとホスト間で 1 つ以上のデータ フローを保護するために使用できます。