Cisco ASA シリーズ ファイアウォール ASDM コンフィギュレーション ガイド ソフトウェア バージョン 7.1 ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5580、ASA 5585-X、および ASA サービス モジュール用
QoS の設定
QoS の設定
発行日;2013/10/09 | 英語版ドキュメント(2013/09/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

QoS の設定

QoS に関する情報

サポートされる QoS 機能

トークン バケットとは

ポリシングに関する情報

プライオリティ キューイングに関する情報

トラフィック シェーピングに関する情報

QoS 機能の相互作用のしくみ

DSCP および DiffServ の維持

QoS のライセンス要件

ガイドラインと制限事項

QoS の設定

標準プライオリティ キューのプライオリティ キューおよび TX リング制限の決定

インターフェイス用の標準プライオリティ キューの設定

標準プライオリティ キューイングとポリシング用のサービス ルールの設定

トラフィック シェーピングと階層型プライオリティ キューイング用のサービス ルールの設定

QoS のモニタリング

QoS ポリシング統計情報の表示

QoS 標準プライオリティ統計情報の表示

QoS シェーピング統計情報の表示

QoS 標準プライオリティ キュー統計情報の表示

QoS の機能履歴

QoS の設定

衛星接続を使用した長距離電話では、 会話が、短い間ですが認識できる程度に割り込みされ、不定期に中断されることがあります。このような中断は、ネットワークで送信されるパケットが到着する間隔の時間で、遅延と呼ばれます。音声やビデオなどのネットワーク トラフィックでは、長時間の遅延は許容されません。 Quality of Service(QoS)機能を使用すると、重要なトラフィックのプライオリティを高くし、帯域幅の過剰な使用を防ぎ、ネットワーク ボトルネックを管理してパケットのドロップを防止できます。


) ASASM については、ASASM の代わりにスイッチで QoS を実行することを推奨します。スイッチの方が、この領域においては多機能です。


この章では、QoS ポリシーを適用する方法について説明します。次の項目を取り上げます。

「QoS に関する情報」

「QoS のライセンス要件」

「ガイドラインと制限事項」

「QoS の設定」

「QoS のモニタリング」

「QoS の機能履歴」

QoS に関する情報

常に変化するネットワーク環境では、QoS は 1 回限りの構成ではなく、ネットワーク設計の継続的で不可欠な要素であることを考慮する必要があります。

この項では、ASA でサポートされる QoS 機能について説明します。次の項目を取り上げます。

「サポートされる QoS 機能」

「トークン バケットとは」

「ポリシングに関する情報」

「プライオリティ キューイングに関する情報」

「トラフィック シェーピングに関する情報」

「DSCP および DiffServ の維持」

サポートされる QoS 機能

ASAは、次の QoS の機能をサポートしています。

ポリシング:特定のフローがネットワーク帯域幅を大量に使用するのを防ぐため、フローごとの最大使用帯域幅を制限できます。詳細については、「ポリシングに関する情報」を参照してください。

プライオリティ キューイング:Voice over IP(VoIP)のような遅延を許されない重要なトラフィックについて、トラフィックを Low Latency Queuing(LLQ; 低遅延キューイング)に指定することで、常に他のトラフィックより先に送信できます。詳細については、「プライオリティ キューイングに関する情報」を参照してください。

トラフィック シェーピング:ファスト イーサネットでのASAなどのように高速でパケットを送信するデバイスがあり、それがケーブル モデムのような低速デバイスに接続されている場合、ケーブル モデムがボトルネックになって頻繁にパケットがドロップされます。異なる速度の回線を含むネットワークを管理するには、低めの固定レートでパケットを送信するようにASAを設定できます。詳細については、「トラフィック シェーピングに関する情報」を参照してください。

トークン バケットとは

トークン バケットは、フロー内のデータを規制するデバイスの管理に使用されます。規制機能としては、たとえばトラフィック ポリシング機能やトラフィック シェーパーなどがあります。トークン バケット自体には、廃棄ポリシーまたはプライオリティ ポリシーはありません。むしろ、トークン バケットは、フローによって規制機能が過剰に働く場合に、トークンを廃棄し、送信キューの管理の問題はフローに任せます。

トークン バケットは、転送レートの正式な定義です。トークン バケットには、バースト サイズ、平均レート、時間間隔という 3 つのコンポーネントがあります。平均レートは通常 1 秒間のビット数で表されますが、次のような関係によって、任意の 2 つの値を 3 番目の値から求めることができます。

平均レート = バースト サイズ / 時間間隔

ここで、これらの用語について定義します。

平均レート:Committed Information Rate(CIR; 認定情報レート)とも呼ばれ、単位時間に送信または転送できるデータ量の平均値を指定します。

バースト サイズ:Committed Burst(Bc; 認定バースト)サイズとも呼ばれ、スケジューリングに関する問題を発生させることなく単位時間内に送信できるトラフィックの量を、バーストあたりのビット数またはバイト数で指定します (トラフィック シェーピングの場合はバーストごとのビット数を指定し、ポリシングの場合はバーストごとのバイト数を指定します)。

時間間隔:測定間隔とも呼ばれ、バーストごとの時間を秒単位で指定します。

トークン バケットのたとえで言えば、トークンは特定のレートでバケットに入れられます。バケット自体には指定された容量があります。バケットがいっぱいになると、新しく到着するトークンは廃棄されます。各トークンは、送信元が一定の数のビットをネットワークに送信するための権限です。パケットを送信するため、規制機能はパケット サイズに等しい数のトークンをバケットから削除する必要があります。

パケットを送信するのに十分なトークンがバケット内にない場合、パケットはバケットに十分なトークンが溜まるまで待機するか(トラフィック シェーピングの場合)、または廃棄されるかダウンとマークされます(ポリシングの場合)。バケットがすでにトークンで満たされている場合、着信トークンはオーバーフローし、以降のパケットには使用できません。したがって、いつでも、送信元がネットワークに送信できる最大のバーストは、バケットのサイズにほぼ比例します。

トラフィック シェーピングに使用されるトークン バケット メカニズムは、トークン バケットとデータ バッファまたはキューの両方を持っています。データ バッファを持たない場合は、ポリシング機能になります。トラフィック シェーピングの場合、到着したパケットですぐに送信できないものは、データ バッファで遅延されます。

トラフィック シェーピングでは、トークン バケットはバースト性を許可する一方で、それを抑制します。トラフィック シェーピングは、トークン バケットの容量を時間間隔で割った値に設定されているトークン バケットへのトークンの格納レートを加えた値より速くフローが送信しないように、バースト性を抑制します。次の式を参照してください。

(ビット単位のトークン バケット容量 / 秒単位の時間間隔)+ 設定されている bps 単位のレート = bps 単位の最大フロー速度

このようなバースト性抑制方法は、長期的な送信レートが設定されているバケットへのトークン格納レートを超えないことも保証します。

ポリシングに関する情報

ポリシングは、設定した最大レート(ビット/秒)を超えるトラフィックが発生しないようにして、1 つのトラフィック フローまたはクラスが全体のリソースを占有しないようにする方法です。トラフィックが最大レートを超えると、ASAは超過した分のトラフィックをドロップします。また、ポリシングでは、許可されるトラフィックの最大単一バーストも設定されます。

プライオリティ キューイングに関する情報

LLQ プライオリティ キューイングを使用すると、特定のトラフィック フロー(音声やビデオのような遅延の影響を受けやすいトラフィックなど)をその他のトラフィックよりも優先できます。

ASA は、次の 2 つのタイプのプライオリティ キューイングをサポートしています。

標準プライオリティ キューイング:標準プライオリティ キューイングはインターフェイスの LLQ プライオリティ キューを使用しますが(「インターフェイス用の標準プライオリティ キューの設定」を参照)、他のすべてのトラフィックは「ベスト エフォート」キューに入れられます。キューは無限大ではないため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、以降のパケットはキューに入ることができず、すべてドロップされます。これは テール ドロップ と呼ばれます。キューがいっぱいになることを避けるには、キューのバッファ サイズを大きくします。送信キューに入れることのできるパケットの最大数も微調整できます。これらのオプションを使用して、プライオリティ キューイングの遅延と強固さを制御できます。LLQ キュー内のパケットは、常に、ベストエフォート キュー内のパケットよりも前に送信されます。

階層型プライオリティ キューイング:階層型プライオリティ キューイングは、トラフィック シェーピング キューがイネーブルなインターフェイスで使用されます。シェーピングされるトラフィックのサブセットに優先順位を付けることができます。標準プライオリティ キューは使用されません。階層型プライオリティ キューイングについては、次のガイドラインを参照してください。

プライオリティ パケットは常にシェープ キューの先頭に格納されるので、常に他の非プライオリティ キュー パケットよりも前に送信されます。

プライオリティ トラフィックの平均レートがシェープ レートを超えない限り、プライオリティ パケットがシェープ キューからドロップされることはありません。

IPsec-encrypted パケットの場合、DSCP または先行する設定に基づいてのみトラフィックを照合することができます。

プライオリティ トラフィック分類では、IPsec-over-TCP はサポートされません。

トラフィック シェーピングに関する情報

トラフィック シェーピングは、デバイスとリンクの速度を一致させることで、ジッターや遅延の原因になる可能性のあるパケット損失、可変遅延、およびリンク飽和を制御するために使用されます。


) ASA 5580 では、トラフィック シェーピングはサポートされていません。


トラフィック シェーピングは、1 つの物理インターフェイス(ASA 5505 や ASASM の場合は 1 つの VLAN)上のすべての発信トラフィックに適用する必要があります。特定のタイプのトラフィックにはトラフィック シェーピングを設定できません。

トラフィック シェーピングは、パケットがインターフェイスで送信する準備ができている場合に実装されます。そのため、レートの計算は、IPSec ヘッダーや L2 ヘッダーなどの潜在的なすべてのオーバーヘッドを含む、送信されるパケットの実際のサイズに基づいて実行されます。

シェーピングされるトラフィックには、through-the-box トラフィックと from-the-box トラフィックの両方が含まれます。

シェープ レートの計算は、標準トークン バケット アルゴリズムに基づいて行われます。トークン バケットのサイズは、バースト サイズの値の 2 倍です。「トークン バケットとは」を参照してください。

バースト性のトラフィックが指定されたシェープ レートを超えると、パケットはキューに入れられて、後で送信されます。次に、シェープ キューに関するいくつかの特性を示します(階層型プライオリティ キューイングについては、「プライオリティ キューイングに関する情報」を参照してください)。

キューのサイズは、シェープ レートに基づいて計算されます。キューは、1500 バイトのパケットとして 200 ミリ秒に相当するシェープ レート トラフィックを保持できます。最小キュー サイズは 64 です。

キューの制限に達すると、パケットはキューの末尾からドロップされます。

OSPF Hello パケットなどの一部の重要なキープアライブ パケットは、ドロップされません。

時間間隔は、 time_interval = burst_size / average_rate によって求められます。時間間隔が長くなるほど、シェープ トラフィックのバースト性は高くなり、リンクのアイドル状態が長くなる可能性があります。この効果は、次のような誇張した例を使うとよく理解できます。

平均レート = 1000000

バースト サイズ = 1000000

この例では、時間間隔は 1 秒であり、これは、100 Mbps の FE リンクでは 1 Mbps のトラフィックを時間間隔 1 秒の最初の 10 ミリ秒内にバースト送信できることを意味し、残りの 990 ミリ秒間はアイドル状態になって、次の時間間隔になるまでパケットを送信できません。したがって、音声トラフィックのように遅延が問題になるトラフィックがある場合は、バースト サイズを平均レートと比較して小さくし、時間間隔を短くする必要があります。

QoS 機能の相互作用のしくみ

ASAで必要な場合は、個々の QoS 機能を単独で設定できます。ただし、普通は、たとえば一部のトラフィックを優先させて、他のトラフィックによって帯域幅の問題が発生しないようにするために、複数の QoS 機能をASAに設定します。

次に、インターフェイスごとにサポートされる機能の組み合わせを示します。

標準プライオリティ キューイング(特定のトラフィックについて)+ ポリシング(その他のトラフィックについて)

同じトラフィックのセットに対して、プライオリティ キューイングとポリシングを両方設定することはできません。

トラフィック シェーピング(1 つのインターフェイス上のすべてのトラフィック)+ 階層型プライオリティ キューイング(トラフィックのサブセット)。

同じインターフェイスに対して、トラフィック シェーピングと標準プライオリティ キューイングを設定することはできません。階層型プライオリティ キューイングのみを設定できます。たとえば、グローバル ポリシーに標準プライオリティ キューイングを設定して、特定のインターフェイスにトラフィック シェーピングを設定する場合、最後に設定した機能は拒否されます。これは、グローバル ポリシーがインターフェイス ポリシーと重複するためです。

通常、トラフィック シェーピングをイネーブルにした場合、同じトラフィックに対してはポリシングをイネーブルにしません。ただし、このような設定はASAでは制限されていません。

DSCP および DiffServ の維持

DSCP のマーキングは、ASAを通過するすべてのトラフィックで維持されます。

ASAは分類済みのトラフィックをローカルにマーク付けまたは再マーク付けすることはなく、すべてのパケットの緊急転送(EF)DSCP ビットを使用して、「優先的な」処理が必要かどうかを判断し、必要なパケットは LLQ に送ります。

搬送中に QoS を適用できるように(QoS トンネル事前分類)、パケットの DiffServ マーキングはサービス プロバイダーのバックボーンを通過するときに維持されます。

QoS のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードでだけサポートされます。マルチ コンテキスト モードをサポートしません。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードでだけサポートされています。トランスペアレント ファイアウォール モードはサポートされません。

IPv6 のガイドライン

IPv6 はサポートされません。

モデルのガイドライン

(マルチプロセッサ モデル、たとえば ASA 5500-X、ASA 5580、ASA 5585-X および ASASM)トラフィック シェーピングはサポートされていません。

(ASA 5580)10 ギガビット イーサネット インターフェイスには、標準プライオリティ キューを作成できません。 :ASA 5585-X では、10 ギガビット イーサネット インターフェイス上の標準プライオリティ キューがサポートされます。

(ASA 5512-X ~ ASA 5555-X)プライオリティ キューイングは、Management 0/0 インターフェイスでサポートされていません。

(ASASM)ポリシングだけがサポートされます。

その他のガイドラインと制限事項

QoS は単方向に適用されます。ポリシー マップを適用するインターフェイスに出入りする(QoS 機能によって異なります)トラフィックだけが影響を受けます。詳細については、「機能の方向」を参照してください。

トラフィック シェーピングの場合は、 class-default クラス マップだけを使用できます。このクラス マップはASAによって自動的に作成され、すべてのトラフィックを照合します。

プライオリティ トラフィックに対しては、 class-default クラス マップは使用できません。

階層型プライオリティ キューイングの場合、暗号化された VPN トラフィックについては、DSCP または先行する設定に基づいてのみトラフィックを照合することができます。トンネル グループを照合することはできません。

階層型プライオリティ キューイングの場合、IPsec-over-TCP トラフィックはサポートされません。

同じインターフェイスに対して、トラフィック シェーピングと標準プライオリティ キューイングを設定することはできません。階層型プライオリティ キューイングのみを設定できます。

標準プライオリティ キューイングの場合、キューは物理インターフェイス用または ASA 5505 や ASASM の場合には VLAN 用に設定する必要があります。

ポリシングでは、to-the-box トラフィックはサポートされません。

ポリシングでは、VPN トンネル バイパス インターフェイスとの間のトラフィックはサポートされません。

ポリシングでは、トンネル グループ クラス マップを照合する場合、出力ポリシングのみがサポートされます。

QoS の設定

この項は、次の内容で構成されています。

「標準プライオリティ キューのプライオリティ キューおよび TX リング制限の決定」

「インターフェイス用の標準プライオリティ キューの設定」

「標準プライオリティ キューイングとポリシング用のサービス ルールの設定」

「トラフィック シェーピングと階層型プライオリティ キューイング用のサービス ルールの設定」

標準プライオリティ キューのプライオリティ キューおよび TX リング制限の決定

プライオリティ キューおよび TX リング制限を決定するには、次のワークシートを使用します。

表 22-1 は、プライオリティ キューのサイズを計算する方法を示しています。キューは無限大ではないため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、以降のパケットはキューに入ることができず、すべてドロップされます( テール ドロップ と呼ばれます)。キューがいっぱいになることを避けるには、「インターフェイス用の標準プライオリティ キューの設定」に従ってキューのバッファ サイズを調節します。

 

表 22-1 キュー制限のワークシート

ステップ 1

 

__________

アウトバウンド帯域幅(Mbps または Kbps)1

 

Mbps

 
x

 

125

 
=

 

__________

バイト数/ミリ秒

 

 

 

Kbps

 
x

 

.125

 
=

 

__________

バイト数/ミリ秒

 

 

ステップ 2

 

___________

ステップ 1 からのバイト数/ミリ秒

 

 
÷

 

__________

平均パケット サイズ(バイト)2

 
x

 

__________

遅延(ミリ秒)3

 
=

 

__________

キュー制限
(パケット数)

1.たとえば、DSL のアップリンク速度は 768 Kbps などです。プロバイダーに確認してください。

2.この値はコーデックまたはサンプリング サイズから決定します。たとえば、VoIP over VPN の場合は、160 バイトなどを使用します。使用するサイズがわからない場合は、256 バイトにすることをお勧めします。

3.遅延はアプリケーションによって決まります。たとえば、VoIP の場合の推奨される最大遅延は 200 ミリ秒です。使用する遅延がわからない場合は、500 ミリ秒にすることをお勧めします。

表 22-2 は、TX リング制限を計算する方法を示しています。この制限により、イーサネット送信ドライバが受け入れるパケットの最大数が決まります。この制限に達すると、ドライバはパケットをインターフェイスのキューに差し戻し、輻輳が解消されるまでパケットをバッファに格納できるようにします。この設定により、ハードウェアベースの送信リングがプライオリティの高いパケットに対して制限以上の余分な遅延を発生させないことが保証されます。

 

表 22-2 TX リング制限のワークシート

ステップ 1

 

__________

アウトバウンド帯域幅(Mbps または Kbps)4

 

Mbps

 
x

 

125

 
=

 

__________

バイト数/ミリ秒

 

 

 

Kbps

 
x

 

0.125

 
=

 

__________

バイト数/ミリ秒

 

 

ステップ 2

 

___________

ステップ 1 からのバイト数/ミリ秒

 

 
÷

 

__________

最大パケット サイズ(バイト)5

 
x

 

__________

遅延(ミリ秒)6

 
=

 

__________

TX リング制限
(パケット数)

4.たとえば、DSL のアップリンク速度は 768 Kbps などです。プロバイダーに確認してください。

5.通常、タグ付けされたイーサネットの最大サイズは 1538 バイトまたは 1542 バイトです。ジャンボ フレームを許可する場合(プラットフォームでサポートされている場合)、パケット サイズはさらに大きくなる場合があります。

6.遅延はアプリケーションによって決まります。たとえば、VoIP のジッターを制御するには、20 ミリ秒を使用します。

インターフェイス用の標準プライオリティ キューの設定

物理インターフェイスでトラフィックに対する標準プライオリティ キューイングをイネーブルにする場合は、各インターフェイスでプライオリティ キューを作成する必要もあります。各物理インターフェイスは、プライオリティ トラフィック用と、他のすべてのトラフィック用に、2 つのキューを使用します。他のトラフィックについては、必要に応じてポリシングを設定できます。


) トラフィック シェーピングでの階層型プライオリティ キューイングには、標準プライオリティ キューは必要ありません。詳細については、「プライオリティ キューイングに関する情報」を参照してください。


制限事項

(ASASM)ASASM では、プライオリティ キューイングはサポートされません。

(ASA 5580)10 ギガビット イーサネット インターフェイスには、標準プライオリティ キューを作成できません。 :ASA 5585-X では、10 ギガビット イーサネット インターフェイス上の標準プライオリティ キューがサポートされます。

(ASA 5512-X ~ ASA 5555-X)プライオリティ キューイングは、Management 0/0 インターフェイスでサポートされていません。

手順の詳細

 


ステップ 1 [Configuration] > [Device Management] > [Advanced] > [Priority Queue] に移動し、[Add] をクリックします。

[Add Priority Queue] ダイアログボックスが表示されます。

ステップ 2 [Interface] ドロップダウン リストから、プライオリティ キューをイネーブルにする物理インターフェイス名を選択します(ASA 5505 や ASASM の場合は、VLAN インターフェイス名)。

ステップ 3 プライオリティ キューのサイズを変更するには、[Queue Limit] フィールドに、指定したインターフェイスが 500 ミリ秒の間隔で送信できる 256 バイトの平均パケット数を入力します。

ネットワーク ノードに 500 ミリ秒よりも長く留まるパケットは、エンドツーエンド アプリケーションでタイムアウトをトリガーする可能性があります。そのようなパケットは、各ネットワーク ノードで破棄できます。

キューは無限大ではないため、いっぱいになってオーバーフローすることがあります。キューがいっぱいになると、以降のパケットはキューに入ることができず、すべてドロップされます( テール ドロップ と呼ばれます)。キューがいっぱいになることを避けるため、このオプションを使用してキューのバッファ サイズを大きくできます。

このオプションの範囲の上限値は実行時に動的に決まります。主な決定要素は、キューのサポートに必要となるメモリと、デバイス上で使用可能なメモリの量です。

キューの制限を指定すると、優先順位の高い低遅延のキューとベストエフォート キューの両方に影響が及びます。

ステップ 4 プライオリティ キューの深さを指定するには、[Transmission Ring Limit] フィールドに、指定したインターフェイスが 10 ミリ秒の間隔で送信できる 1550 バイトの最大パケット数を入力します。

この設定により、ハードウェア ベースの伝送リングが優先順位の高いパケットに課す余分な遅延が 10 ミリ秒を超えないことが保証されます。

このオプションは、Ethernet 伝送ドライバに送ることができる低遅延または通常プライオリティのパケットの最大数を設定します。この最大数を超えると、Ethernet 伝送ドライバがインターフェイスのキューにパケットを押し戻し、輻輳が解消されるまでパケットをキューにバッファします。

値の範囲の上限は、実行時にダイナミックに決定されます。主な決定要素は、キューのサポートに必要となるメモリと、デバイス上で使用可能なメモリの量です。

伝送リング制限の制限値を指定すると 優先順位の高い低遅延のキューとベストエフォート キューの両方に影響が及びます。


 

標準プライオリティ キューイングとポリシング用のサービス ルールの設定

同じポリシー マップ内の異なるクラス マップに対し、標準プライオリティ キューイングとポリシングを設定できます。有効な QoS 設定については、「QoS 機能の相互作用のしくみ」を参照してください。

ポリシー マップを作成するには、次の手順を実行します。

制限事項

プライオリティ トラフィックに対しては、 class-default クラス マップは使用できません。

同じインターフェイスに対して、トラフィック シェーピングと標準プライオリティ キューイングを設定することはできません。階層型プライオリティ キューイングのみを設定できます。

(ASASM)ASASM はポリシングだけをサポートします。

ポリシングでは、to-the-box トラフィックはサポートされません。

ポリシングでは、VPN トンネル バイパス インターフェイスとの間のトラフィックはサポートされません。

ポリシングでは、トンネル グループ クラス マップを照合する場合、出力ポリシングのみがサポートされます。

ガイドライン

プライオリティ トラフィックの場合は、遅延が問題になるトラフィックだけを指定します。

ポリシング トラフィックの場合は、他のすべてのトラフィックをポリシングすることも、トラフィックを特定のタイプに制限することもできます。

手順の詳細

 


ステップ 1 プライオリティ キューイングを設定するには、「サービス ポリシーの設定」に従って [Configuration] > [Firewall] > [Service Policy Rules] ペインでサービス ポリシー ルールを設定します。

新しいサービス ポリシー ルールの一部として QoS を設定できます。または、既存のサービス ポリシーを編集することもできます。

ステップ 2 [Rule Actions] ダイアログボックスで、[QoS] タブをクリックします。

ステップ 3 [Enable priority for this flow] をクリックします。

このサービス ポリシー ルールが個別のインターフェイス用の場合、ASDM は自動的にこのインターフェイス用のプライオリティ キューを作成します([Configuration] > [Device Management] > [Advanced] > [Priority Queue]。詳細については、「インターフェイス用の標準プライオリティ キューの設定」を参照してください)。このルールがグローバル ポリシー用の場合は、サービス ポリシー ルールを設定する に、1 つ以上のインターフェイスにプライオリティ キューを手動で追加する必要があります。

ステップ 4 [Finish] をクリックします。サービス ポリシー ルールがルール テーブルに追加されます。

ステップ 5 ポリシングを設定するには、「サービス ポリシーの設定」に従って [Configuration] > [Firewall] > [Service Policy Rules] ペインで同じインターフェイスのサービス ポリシー ルールを設定します。

ポリシング トラフィックに関しては、優先していない全トラフィックをポリシングするように選択するか、トラフィックを一定の種類に制限できます。

ステップ 6 [Rule Actions] ダイアログボックスで、[QoS] タブをクリックします。

ステップ 7 指定したタイプのトラフィック ポリシングをイネーブルにするには、[Enable policing] をクリックして、[Input policing] または [Output policing](または両方の)チェックボックスをオンにします。トラフィック ポリシングのタイプごとに、次のフィールドを設定します。

[Committed Rate]:このトラフィック フローのレート制限。これは、8000 ~ 2000000000 の範囲の値で、許容最大速度(bps)を指定します。

[Conform Action]:レートが適合バースト値未満の場合に実行するアクション。値は、transmit または drop です。

[Exceed Action]:レートが適合レート値と適合バースト値の間になっている場合に、このアクションを実行します。値は、transmit または drop です。

[Burst Rate]:1000 ~ 512000000 の範囲の値で、適合レート値までトラフィックを抑制するまでに、持続したバーストにおいて許可される瞬間的なバイト数を指定します。

ステップ 8 [Finish] をクリックします。サービス ポリシー ルールがルール テーブルに追加されます。

ステップ 9 [Apply] をクリックしてコンフィギュレーションをデバイスに送信します。


 

トラフィック シェーピングと階層型プライオリティ キューイング用のサービス ルールの設定

インターフェイスのすべてのトラフィックにトラフィック シェーピングを設定でき、必要に応じて遅延が問題になるトラフィックのサブセットに階層型プライオリティ キューイングを設定できます。

ガイドライン

プライオリティ キューイングには、パケットの並べ替えという副作用があります。IPsec パケットでは、アンチ リプレイ ウィンドウ内にない不連続パケットにより、警告 syslog メッセージが生成されます。このような警告は、プライオリティ キューイングの場合は不正アラームです。不正アラームが発生しないように、IPsec のリプレイ攻撃防止ウィンドウのサイズを設定できます。 VPN コンフィギュレーション ガイドのに示す [Configuration] > [VPN] > [IPsec] > [IPsec Rules] > [Enable Anti-replay window size] オプションを参照してください。

階層型プライオリティ キューイングについては、インターフェイスにプライオリティ キューを作成する必要はありません。

制限事項

階層型プライオリティ キューイングの場合、暗号化された VPN トラフィックについては、DSCP または先行する設定に基づいてのみトラフィックを照合することができます。トンネル グループを照合することはできません。

階層型プライオリティ キューイングの場合、IPsec-over-TCP トラフィックはサポートされません。

ASA 5580 では、トラフィック シェーピングはサポートされていません。

トラフィック シェーピングの場合は、 class-default クラス マップだけを使用できます。このクラス マップはASAによって自動的に作成され、すべてのトラフィックを照合します。

同じインターフェイスに対して、トラフィック シェーピングと標準プライオリティ キューイングを設定することはできません。階層型プライオリティ キューイングのみを設定できます。有効な QoS 設定については、「QoS 機能の相互作用のしくみ」を参照してください。

グローバル ポリシーではトラフィック シェーピングを設定できません。

手順の詳細

 


ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] ペインで、「サービス ポリシーの設定」に従ってサービス ポリシーを設定します。

新しいサービス ポリシー ルールの一部として QoS を設定できます。または、既存のサービス ポリシーを編集することもできます。

ステップ 2 [Rule Actions] ダイアログボックスで、[QoS] タブをクリックします。

ステップ 3 [Enable traffic shaping] をクリックし、次のフィールドを設定します。

[Average Rate]:一定の期間にわたるトラフィックの平均速度を 64000 ~ 154400000 bps の間で設定します。8000 の倍数の値を指定します。

[Burst Size]:一定の期間にわたって送信が可能なトラフィックの平均バースト サイズを 2048 ~ 154400000 bps の間で設定します。128 の倍数の値を指定します。バースト サイズを指定しないと、デフォルト値は指定した平均速度でのトラフィックの 4 ミリ秒に相当する値になります。たとえば、平均レートが 1000000 ビット/秒の場合、4 ミリ秒では 1000000 * 4/1000 = 4000 になります。

ステップ 4 (任意)シェーピングされたトラフィックのサブセットにプライオリティ キューイングを設定するには、次の手順を実行します。

a. [Enforce priority to selected shape traffic] をクリックします。

b. [Configure] をクリックし、優先するトラフィックを特定します。

プライオリティ キューイングを適用するトラフィックを特定するように要求されます。

c. トラフィックを特定したら(「通過トラフィックのサービス ポリシー ルールの追加」を参照)、[Next] をクリックします。

d. [Enable priority for this flow] をクリックします。

e. [Finish] をクリックします。

[QoS] タブに戻ります。

ステップ 5 [Finish] をクリックします。サービス ポリシー ルールがルール テーブルに追加されます。

ステップ 6 [Apply] をクリックしてコンフィギュレーションをデバイスに送信します。


 

QoS のモニタリング

ASDM の QoS をモニタするには、コマンドライン インターフェイス ツールでコマンドを入力します。この項は、次の内容で構成されています。

「QoS ポリシング統計情報の表示」

「QoS 標準プライオリティ統計情報の表示」

「QoS シェーピング統計情報の表示」

「QoS 標準プライオリティ キュー統計情報の表示」

QoS ポリシング統計情報の表示

トラフィック ポリシングの QoS 統計情報を表示するには、 show service-policy コマンドと police キーワードを使用します。

hostname# show service-policy police
 

次に、 show service-policy police コマンドの出力例を示します。

hostname# show service-policy police
 
Global policy:
Service-policy: global_fw_policy
 
Interface outside:
Service-policy: qos
Class-map: browse
police Interface outside:
cir 56000 bps, bc 10500 bytes
conformed 10065 packets, 12621510 bytes; actions: transmit
exceeded 499 packets, 625146 bytes; actions: drop
conformed 5600 bps, exceed 5016 bps
Class-map: cmap2
police Interface outside:
cir 200000 bps, bc 37500 bytes
conformed 17179 packets, 20614800 bytes; actions: transmit
exceeded 617 packets, 770718 bytes; actions: drop
conformed 198785 bps, exceed 2303 bps
 

QoS 標準プライオリティ統計情報の表示

priority コマンドを実装するサービス ポリシーの統計情報を表示するには、 show service-policy コマンドと priority キーワードを使用します。

hostname# show service-policy priority
 

次に、 show service-policy priority コマンドの出力例を示します。

hostname# show service-policy priority
Global policy:
Service-policy: global_fw_policy
Interface outside:
Service-policy: qos
Class-map: TG1-voice
Priority:
Interface outside: aggregate drop 0, aggregate transmit 9383
 

) 「aggregate drop」は、このインターフェイスでの合計ドロップ数を示しています。「aggregate transmit」は、このインターフェイスで送信されたパケットの合計数を示しています。


QoS シェーピング統計情報の表示

shape コマンドを実装するサービス ポリシーの統計情報を表示するには、 show service-policy コマンドと shape キーワードを使用します。

hostname# show service-policy shape
 

次に、 show service-policy shape コマンドの出力例を示します。

hostname# show service-policy shape
Interface outside
Service-policy: shape
Class-map: class-default
Queueing
queue limit 64 packets
(queue depth/total drops/no-buffer drops) 0/0/0
(pkts output/bytes output) 0/0
 
shape (average) cir 2000000, bc 8000, be 8000
 

次に、 show service policy shape コマンドの出力例を示します。この例には、階層型プライオリティ ポリシーと関連する統計情報を呼び出す shape コマンドおよび service-policy コマンドを含むサービス ポリシーが含まれます。

hostname# show service-policy shape
 
Interface outside:
Service-policy: shape
Class-map: class-default
 
Queueing
queue limit 64 packets
(queue depth/total drops/no-buffer drops) 0/0/0
(pkts output/bytes output) 0/0
 
shape (average) cir 2000000, bc 16000, be 16000
Service-policy: voip
Class-map: voip
 
Queueing
queue limit 64 packets
(queue depth/total drops/no-buffer drops) 0/0/0
(pkts output/bytes output) 0/0
Class-map: class-default
 
queue limit 64 packets
(queue depth/total drops/no-buffer drops) 0/0/0
(pkts output/bytes output) 0/0
 

QoS 標準プライオリティ キュー統計情報の表示

インターフェイスのプライオリティ キュー統計情報を表示するには、特権 EXEC モードで show priority-queue statistics コマンドを実行します。ベストエフォート(BE)キューと低遅延キュー(LLQ)の両方の統計情報が表示されます。次の例に、test という名前のインターフェイスに対する show priority-queue statistics コマンドの使用方法とコマンド出力を示します。

hostname# show priority-queue statistics test
 
Priority-Queue Statistics interface test
 
Queue Type = BE
Packets Dropped = 0
Packets Transmit = 0
Packets Enqueued = 0
Current Q Length = 0
Max Q Length = 0
 
Queue Type = LLQ
Packets Dropped = 0
Packets Transmit = 0
Packets Enqueued = 0
Current Q Length = 0
Max Q Length = 0
hostname#
 

この統計情報レポートの項目の意味は、次のとおりです。

「Packets Dropped」は、このキューでドロップされたパケットの合計数を示します。

「Packets Transmit」は、このキューで送信されたパケットの合計数を示します。

「Packets Enqueued」は、このキューに入れられたパケットの合計数を示します。

「Current Q Length」は、このキューの現在の深さを示します。

「Max Q Length」は、このキューで発生した最大の深さを示します。

QoS の機能履歴

表 22-3 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。

 

表 22-3 QoS の機能履歴

機能名
プラットフォーム リリース
機能情報

プライオリティ キューイングとポリシング

7.0(1)

QoS プライオリティ キューイングとポリシングが導入されました。

次の画面が導入されました。

[Configuration] > [Device Management] > [Advanced] > [Priority Queue]
[Configuration] > [Firewall] > [Service Policy Rules]

シェーピングおよび階層型プライオリティ キューイング

7.2(4)/8.0(4)

QoS シェーピングおよび階層型プライオリティ キューイングが導入されました。

次の画面が変更されました。[Configuration] > [Firewall] > [Service Policy Rules]。

ASA 5585-X の標準プライオリティ キューの 10 ギガビット イーサネットのサポート

8.2(3)/8.4(1)

ASA 5585-X の 10 ギガビット イーサネット インターフェイスの標準プライオリティ キューのサポートが追加されました。