Calidad de servicio (QoS) : Marcación de paquetes QoS

Guía de referencia para implementar Crypto y QoS

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (20 Octubre 2015) | Comentarios


Contenido


Introducción

A medida que las VPN crecen e incluyen tráfico de datos, voz y video, es necesario manejar de manera diferente los distintos tipos de tráfico en la red. Las características de administración de ancho de banda y Calidad de Servicio (QoS) permiten a la VPN proporcionar una transmisión de alta calidad para aplicaciones sensibles a las demoras tales como voz y vídeo. Cada paquete está etiquetado para identificar la prioridad y el límite de duración de su contenido, y el tráfico se ordena y rutea según su prioridad de entrega. Las soluciones de Cisco VPN soportan una amplia gama de características de QoS.

Este documento se diseña para servir como referencia única para los usuarios que configuran el cifrado del � del Cisco IOS y las características de QoS en la misma red o conjunto de routers. Verá configuraciones básicas de políticas de Calidad de servicio (QoS) de entrada y salida en presencia de Seguridad IP (IPSec) y túneles de Encapsulación de ruteo genérico (GRE). Este documento ayuda a comprender las tareas de configuración. También proporciona la información sobre las restricciones y los problemas conocidos, para asegurar el rendimiento óptimo y la instrumentación satisfactoria de los servicios del IP mejorado usando los routeres Cisco.

prerrequisitos

Requisitos

Quienes lean este documento deben tener conocimiento de los siguientes temas:

  • Tecnología IPSec

Para un más documento exhaustivo en el IPSec, refiera a una Introducción al encripción de seguridad IP (IPSec).

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte las Convenciones de Consejos Técnicos de Cisco.

Protocolos IPSec

Una explicación detallada de los Protocolos IPSec está fuera del alcance de este documento. Sin embargo, una descripción se proporciona en esta sección. Vea la sección de la “información relacionada” de este documento para otros recursos IPSec.

El IPSec define un modelo de la autenticación y del cifrado de la capa de red. Consiste en un intercambio de la clave de encripción para construir una conexión segura, y la autenticación y los protocolos de encripción que los dos pares negocien y después utilicen en el curso de la vida de la conexión encriptada.

El Internet Security Association and Key Management Protocol (ISAKMP) negocia la política de encripción y proporciona una estructura común para generar las claves compartidas por los peeres IPSec. El resultado de las negociaciones ISAKMP es una asociación de seguridad (SA). Este ejemplo de resultado del comando show crypto isakmp policy ilustra los parámetros empleados durante la negociación de una SA:

P5R0#show crypto isakmp policy 
Protection suite of priority 100 
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys). 
        hash algorithm:         Secure Hash Standard 
        authentication method:  Pre-Shared Key 
        
!--- Supports pre-shared keys or a public/private 

		
!--- key mechanism such as RSA.
 
        Diffie-Hellman group:   #1 (768 bit) 
        lifetime:               86400 seconds, no volume limit 
        
!--- Lifetime can be based on time or on the  number of transmitted bytes.
 
Default protection suite 
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys). 
        hash algorithm:         Secure Hash Standard 
        authentication method:  Rivest-Shamir-Adleman Signature 
        Diffie-Hellman group:   #1 (768 bit) 
        lifetime:               86400 seconds, no volume limit

Las negociaciones ISAKMP dan lugar a una conexión encriptada (y al SA) a través de los cuales los pares negocien los parámetros de IPSec adicionales. Esto incluye los protocolos reales que se utilizan para proteger los datagramas IP. Específicamente, los dos peeres de encripción negocian los parámetros en esta tabla.

Parámetro Opciones
Conjunto del Protocolo IPSec
  • Encabezado de autenticación
  • Encapsulating Security Payload (ESP)
Para la mayoría de las aplicaciones, AH o el ESP es suficiente.
Modo
  • Modo de túnel - Inserta un nuevo encabezado de encapsulación IP mientras retiene y cifra el encabezado IP original.
  • Modo de transporte: mantiene el encabezado de IP original, pero modifica el campo del protocolo a un valor de 51 ó 50 para reflejar los encabezados AH o ESP, respectivamente.
Mientras está en la fase de negociación, ISAKMP automáticamente "vuelve" al modo de túnel si se desea el modo de transporte, pero no puede establecerse.

Nota:  El RFC 2401leavingcisco.com utiliza los términos “externos” o “encapsulando” la encabezado para describir el nuevo encabezado IP con el modo túnel y la encabezado “interna” para describir el encabezado IP original. Cotización de RFC: “La dirección de origen y la dirección destino externas del encabezado IP identifican “los puntos finales” del túnel (el encapsulator y el decapsulator). La dirección de origen y las direcciones destino internas del encabezado IP identifican el emisor original y al beneficiario del datagrama, (desde la perspectiva de este túnel), respectivamente.” Estos términos se utilizan en el resto de este documento.

Transforme la configuración:
  • AH para la autenticación solamente.
  • ESP para la autenticación y el cifrado.

La salida del comando show crypto ipsec sa address ilustra IPSec SA, que es identificado por un Security Parameter Index (SPI). Por ejemplo, la conexión identificada con SPI de 0x21A85375 (564679541) utiliza el algoritmo del MD5-HMAC para AH y el DES para el ESP.

P5R0#show crypto ipsec sa address 
dest address: 10.1.1.1 

!--- Address of the IPSec peer.
 
   protocol: AH 
      spi: 0x93B90183(2478375299) 
        transform: ah-md5-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 2808, flow_id: 405, crypto map: testibm 
        sa timing: remaining key lifetime (k/sec): (4607901/1654) 
        replay detection support: Y 
      spi: 0x21A85375(564679541) 
        transform: ah-md5-hmac , 
        
!--- AH  uses the MD5-HMAC algorithm.
 
        in use settings ={Transport, } 
        slot: 0, conn id: 2812, flow_id: 407, crypto map: testibm 
        sa timing: remaining key lifetime (k/sec): (4607915/1604) 
        replay detection support: Y 

   protocol: ESP 
      spi: 0xDFF0FEC3(3757113027) 
        transform: esp-des , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 2810, flow_id: 405, crypto map: testibm 
        sa timing: remaining key lifetime (k/sec): (4607901/1654) 
        IV size: 8 bytes 
        replay detection support: Y 
      spi: 0xDB00B862(3674257506) 
        transform: esp-des , 
        
!--- ESP  uses DES.
 
        in use settings ={Transport, } 
        
!--- Transport mode accepted for this flow.
 
        slot: 0, conn id: 2814, flow_id: 407, crypto map: testibm 
        sa timing: remaining key lifetime (k/sec): (4607914/1568) 
        IV size: 8 bytes 
        replay detection support: Y

AH y ESP

Como se apunta en la tabla arriba, AH y el ESP puede ser utilizado independientemente o junto. Sin embargo, porque la mayoría de las aplicaciones solamente una es suficiente. Para ambos protocolos, el IPSec no define los algoritmos de seguridad específicos para utilizar. En lugar, proporciona un marco abierto para implementar los algoritmos estándars de la industria.

AH proporciona la fuerte integridad y la autenticación para los datagramas IP usando los algoritmos de troceo SHA o MD5. También proporciona la no renegación. El AH tiene 12 bytes como mínimo y está ilustrado en este gráfico. La Agencia de asignación de números Internet (IANA) ha asignado el número de protocolo 51 a AH. Por lo tanto, en la presencia de un encabezado AH con modo de túnel y modo de transporte, el encabezado IP utiliza un valor de 51 en el campo del protocolo.

Este gráfico muestra el formato de un paquete con un AH de IPSec. Con el modo túnel, el valor de byte del Tipo de servicio (ToS) se copia automáticamente del encabezado IP original al encabezado de túnel. Consulte la sección Clasificación de paquetes de este documento para más información.

http://www.cisco.com/c/dam/en/us/support/docs/quality-of-service-qos/qos-packet-marking/18667-crypto-qos-01.gif

El ESP consiste en un encabezado sin encripción seguido por los datos encriptados y un remolque cifrado. El ESP proporciona el cifrado y la autenticación. Como con AH, el ESP soporta los algoritmos de troceo SHA y MD5 para la autenticación. Soporta el DES y el 3DES como protocolos de encripción. El encabezado ESP es por lo menos 8 bytes y se ilustra en este gráfico. La IANA ha asignado un número de protocolo 50 a ESP. Así, en presencia (solamente) de un encabezado ESP con el modo túnel y el modo de transporte, el encabezado IP utiliza un valor de 50 en el campo del protocolo.

Este gráfico muestra el formato de un paquete con encabezado IPSec ESP y el remolque. En el modo túnel, el valor de byte de Tipo de servicio (ToS) se copia automáticamente desde el encabezado IP original al encabezado de túnel. Consulte la sección Clasificación de paquetes de este documento para más información.

http://www.cisco.com/c/dam/en/us/support/docs/quality-of-service-qos/qos-packet-marking/18667-crypto-qos-02.gif

Usar túneles GRE con IPSec

El IPSec no soporta el Multicast o el tráfico no IP, tal como Internetwork Packet Exchange (IPA) y APPLETALK. El hecho de que el IPSec no soporte el Multicast significa que no puede llevar la información del Routing Protocol que es Multicast como el EIGRP (224.0.0.10) y el OSPF (224.0.0.5 y 224.0.0.6). El GRE se utiliza para encapsular el tráfico Multicast. Esto puede cifrarse por medio de IPSec para que el tráfico del protocolo de ruteo pueda fluir a través de una VPN. Para una configuración de muestra del IPSec y del GRE, refiera a configurar un túnel GRE sobre el IPSec con el OSPF.

La encabezado del túnel GRE introduce un segundo nivel de encapsulación. Si usted utiliza solamente los túneles GRE y ningún IPSec, refiera a las opciones de calidad de servicio en las interfaces de túnel GRE. Esta figura ilustra el paquete encapsulado con los encabezados IPSec, GRE e IP original:

http://www.cisco.com/c/dam/en/us/support/docs/quality-of-service-qos/qos-packet-marking/18667-crypto-qos-03.gif

Clasifique los paquetes

La clasificación define el proceso de corresponder con uno o más campos en la capa 2,3 de un paquete, o 4 encabezados y después la colocación de ese paquete en un grupo o una clase de tráfico. Con la ayuda de la clasificación de paquetes, puede dividir el tráfico de la red en varios niveles de prioridad o clases de servicio.

Cuando configura IPSec con GRE, el enfoque de clasificación más simple consiste en unir la precedencia IP o los valores de punto de código de servicios diferenciados (DSCP). El Cisco IOS Software Release 11.3T introdujo el soporte para el IPSec y junto con él conservación de byte de tipo de servicio (ToS) la característica. Con esta característica, el router copia automáticamente el valor de encabezado Tipo de servicio (ToS) del paquete IP original en el encabezado IP de encapsulado cuando se utiliza IPSec en modo de túnel.

La versión 5.1 y posterior del Cisco PIX Firewall y la versión 3.5 y posterior del concentrador VPN de la serie 3000 soportan el copiado del Byte ToS. Sección 5.1.2, “Construcción de encabezados para el modo túnel,” en el RFC 2401leavingcisco.com asigna el copiado por mandato de los bits TOS IP.

La conservación de bytes ToS también se aplica a AH. También observe que el ESP en el modo de transporte conserva el encabezado IP original, y el valor original TOS se transmite incluso fuera conservación de byte de tipo de servicio (ToS).

Si los paquetes llegan el router sin una Prioridad IP del conjunto o los valores DSCP, usted puede marcar basado en la clase para comentar los encabezados de paquete antes del cifrado o de la encapsulación. Cuando los paquetes alcanzan la interfaz de egreso, la política de resultado de QoS puede después hacer juego y actuar en los valores observados.

Cuando configure una política QoS basada en precedencia IP, se aplican dos políticas.

Tipo de política Acciones de política Ubicación de la política
Entrada Marque la Prioridad IP en el encabezado IP original. Interfaz de ingreso
Resultado Proporcione garantías de ancho de banda mínimo para clases de tráfico diferenciado por precedencia IP. Interfaz de egreso

Esta tabla muestra una configuración para política de calidad de servicio (QoS) basado en la Prioridad IP:

QoS basado en TOS
Política de entrada
access-list 150 permit tcp any any eq www
access-list 150 permit tcp any eq www any
access-list 151 permit tcp any any eq telnet
access-list 151 permit tcp any eq telnet any 
!
class-map match-any ingress-web
  match access-group 150
class-map match-any ingress-telnet
  match access-group 151
!
policy-map setToS
  class ingress-web
   set ip precedence 1
  class ingress-telnet
   set ip precedence 2
!
interface ethernet 0/0
  service-policy in setToS
Política de salida
class-map match-any egress-web
  match ip precedence 1
class-map match-any egress-telnet
  match ip precedence 2
!
policy-map useToS
  class egress-web
    bandwidth percent 25
  class egress-telnet
    bandwidth percent 15
!
interface serial 1/0
  bandwidth 512
  service-policy out useToS
  crypto-map TEST

Aunque no esté mostrado, usted pueda también aplicar el Weighted Random Early Detection (WRED) a cada clase como mecanismo de desconexión alternativo a la eliminación de cola.

El valor de precedencia de IP remarcado es transportado a través de la red. De esta manera, asegúrese de que implementa políticas consistentes a través del dominio de Calidad de servicio (QoS) para evitar una clasificación y rendimiento inesperados.

Alternativamente, usted puede querer clasificar el tráfico basado en los valores con excepción de la Prioridad IP o del DSCP. Por ejemplo, usted puede querer clasificar los paquetes basados en el flujo IP o acodar la información 3, tal como IP Address de origen y de destino. Para realizar esto, debe utilizar QoS para la función VPN. Esta característica se habilita con el comando qos pre-classify y está disponible para el Routers Cisco VPN de la serie 7100 y los Cisco 7200 Series Router desde el Cisco IOS Software Release 12.1(5)T y para los 2600 y 3600 Series Router desde el Cisco IOS Software Release 12.2(2)T. Refiera a configurar el QoS para Red privada virtual.

El mecanismo de qos pre-classify permite que los routers de Cisco realicen una copia del encabezado IP interno y que ejecuten una clasificación de calidad de servicio (QoS) antes del encripción basándose en los campos en el encabezado IP interno. Sin esta característica, el motor de clasificación ve solamente un solo flujo cifrado y tunneled puesto que todos los paquetes que transversal a través del mismo túnel tenga el mismo encabezado de túnel y reciba el mismo tratamiento en caso de congestión.

Si su política de clasificación hace juego con el Byte ToS, usted no necesita utilizar el comando qos pre-classify puesto que el valor TOS se copia al encabezado exterior por abandono. Puede crear una política de calidad de servicio (QoS) simple que ordene el tráfico en clases, en función de la precedencia de IP. Sin embargo, para distinguir el tráfico dentro de una clase y para separarlo en las colas basadas en flujo múltiples, requieren al comando qos pre-classify.

Nota: La copia del byte ToS es realizada mediante el mecanismo de tunelización y no por el comando qos pre-classify.

El comando qos pre-classify se puede aplicar a varios puntos en su configuración, como se ilustra aquí.

  • GRE solamente - Configure el comando qos pre-classify en la interfaz del túnel.

    interface Tunnel0
      ip address 1.1.1.1 255.255.255.252
      qos pre-classify
      tunnel source 12.2.2.8
      tunnel destination 12.2.2.6
    !
    interface serial 0/0
      ip address 12.2.2.8 255.255.255.0
      fair-queue
  • IPSec solamente - Configure el comando qos pre-classify bajo correspondencia de criptografía.

    crypto map TEST 10 ipsec-isakmp
      set peer 5.5.5.5
      set transform-set SET
      match address Test
      qos pre-classify
    !
    interface serial 0/0
      ip address 5.5.5.4 255.255.255.0
      crypto map TEST
      random-detect
      random-detect flow
  • IPSec y GRE - Configure el comando qos pre-classify en la interfaz del túnel y bajo correspondencia de criptografía.

    crypto map TEST 10 ipsec-isakmp
      set peer 12.2.2.6
      set transform-set SET
      match address Test
      qos pre-classify
    !
    interface Tunnel0
      ip address 1.1.1.1 255.255.255.252
      qos pre-classify
      tunnel source 12.2.2.8
      tunnel destination 12.2.2.6
      crypto map TEST
    !
    interface serial 0/0
      ip address 12.2.2.8 255.255.255.0
      service-policy out matchPORTnumbers
      crypto map TEST

Complete estos pasos para configurar la preclasificación de QoS (Calidad de servicio) con el IPSec y el GRE.

  1. Configure una correspondencia de criptografía y especifique el comando qos pre-classify en el modo de la configuración de asignación.

    crypto map cryptomap_gre1 10 ipsec-isakmp
    	set peer 172.32.241.9
    	set transform-set transf_GRE1_transport
    	match address 130
    	qos pre-classify
  2. Utilice el comando show crypto map de confirmar su configuración.

    2621vpn1#show crypto map
    Crypto Map: "cryptomap_gre1" idb: Loopback0 local address: 172.31.247.1
    Crypto Map "cryptomap_gre1" 10 ipsec-isakmp
            Description: Crypto map on GRE1 tunnel mode transport - 10.240.252.0->3/30
            Peer = 172.32.241.9
            Extended IP access list 130
                access-list 130 permit gre host 172.31.247.1 host 172.32.241.9
            Current peer: 172.32.241.9
            Security association lifetime: 4608000 kilobytes/3600 seconds
            PFS (Y/N): N
            Transform sets={ transf_GRE1_transport, }
            QOS pre-classification
  3. Defina una interfaz de túnel GRE y aplique los comandos crypto map y qos pre-classify.

    interface Tunnel0
    ip address 10.240.252.1 255.255.255.252
    qos pre-classify
    tunnel source Loopback0
    tunnel destination 172.32.241.9
    crypto map cryptomap_gre1
  4. Utilice el comando show interface tunnel 0 de confirmar que la preclasificación de QoS (Calidad de servicio) está habilitada.

    2621vpn1#show interface tunnel 0
    Tunnel0 is up, line protocol is up
      Hardware is Tunnel
      Description: VPN resilience test - 1st GRE tunnel Interface mode transport - 10.240.252.0->3/3
      Internet address is 10.240.252.1/30
      Tunnel source 172.31.247.1 (Loopback0), destination 172.32.241.9
      Tunnel protocol/transport GRE/IP, key disabled, sequencing disabled
      Checksumming of packets disabled,  fast tunneling enabled
      Last input 00:00:04, output 00:00:04, output hang never
      Last clearing of "show interface" counters 00:00:51
      Queueing strategy: fifo (QOS pre-classification)
      Output queue 0/0, 0 drops; input queue 0/75, 0 drops

El resultado anterior le muestra que la interfaz del túnel sigue utilizando FIFO como la estrategia de colocación en cola incluso con clasificaciones previas de la Calidad de servicio (QoS) y la habilitación de un envío a cola elaborado. Esto se ilustra en la salida del comando show con la línea Estrategia de almacenamiento en cola: primero en entrar, primero en salir (PRE-clasificación QOS). El GRE y los túneles IPsec requieren las colas primero en entrar, primero en salir puesto que un dispositivo de destino cae los paquetes IPsec que llegan fuera de servicio.

En un entorno VPN, usted puede aplicar una política de servicio de QoS a la interfaz del túnel o a la interfaz física subyacente. La decisión sobre si necesita configurar el comando qos pre-classify depende de qué encabezado y qué valores de encabezado desea utilizar para la clasificación.

  • Si usted quiere clasificar los paquetes basados en el encabezado interno, aplique la directiva a la interfaz del túnel sin el comando qos pre-classify.

  • Si usted quiere clasificar los paquetes basados en el encabezado exterior, aplique la directiva a la interfaz física sin el comando qos pre-classify.

  • Si usted quiere clasificar los paquetes basados en el encabezado interno y aplicar la directiva a la interfaz física puesto que la interfaz física puede ser un punto de congestión, aplique la directiva a una interfaz física y habilite el comando qos pre-classify.

En mayo 2002, Cisco recomienda la aplicación de una política de jerarquía a la interfaz física en un entorno VPN. Refiera a la política de tráfico como ejemplo a política de calidad de servicio (QoS) (las políticas de tráfico de jerarquía). En esta configuración, la política controlante incluye una clase por el túnel para clasificar o para hacer juego en todo el tráfico que pertenezca a ese túnel y utilice el comando shape de limitar la salida del túnel. La clasificación de los flujos dentro del túnel es aplicada con la ayuda de una política hija y se puede basar en el encabezado IP interno con el comando qos pre-classify o en el encabezado IP externo sin el comando qos pre-classify. Asegúrese de que no lo haga el valor del ancho de banda especificado en el comando shape de cada uno de las políticas controlantes para los túneles oversubscribe la tarifa de la interfaz.

Aquí están los pasos a esta configuración.

  1. Cree las clases de la política hija. Por ejemplo, elija hacer juego en el DSCP determinado o los valores de precedencia IP si esos valores se fijan ya en los flujos de tráfico.

    class-map ef 
      match ip dscp ef 
    class-map af 
      match ip dscp af31
  2. Cree la correspondencia de la política hija. Especifique las clases que usó en el paso 1. Aplíquele acciones de calidad de servicio (QoS). Los ejemplos de tales acciones incluyen la especificación de la cola prioritaria con el comando priority o la especificación de una garantía mínima del ancho de banda con el comando bandwidth.

    policy-map QoS 
      class ef 
        priority percent a% 
      class af 
        bandwidth percent b%
  3. Cree las clases de la política controlante. Utiliza el comando access-list para especificar los ACL que clasifican todo el tráfico de un túnel en particular a través de la coincidencia de las direcciones de IP de la fuente y del destino del túnel. Luego, cree un mapa de clases y use el comando match access-group para referirse a la ACL.

    class-map class-tunnel1 
      match access-group 101 
    class-map class-tunnel2 
      match access-group 102 
    class-map class-tunnel3 
      match access-group 103
  4. Cree la correspondencia de la política controlante. Especifique las clases que usted utilizó en el paso 3. aplica el comando shape a cada clase de limitar la salida de todo el tráfico que viene de la interfaz del túnel.

    policy-map main 
      class class-tunnel1 
        shape average x1 bps 
        service-policy QoS 
      class class-tunnel2 
        shape average x2 bps 
        service-policy QoS 
      class class-tunnel3 
        shape average x3 bps 
        service-policy QoS 
      class class-default 
        shape average x4 bps
  5. Aplique la correspondencia de la política controlante a la interfaz física con la ayuda del comando service-policy.

    interface serial 1/0 
      service-policy out main

Nota: Si su aplicación requiere la preclasificación de QoS (Calidad de servicio) en un IPSec o el IPSec con el entorno de GRE, habilite el comando qos pre-classify en la correspondencia de criptografía. El criterio de concordancia de la clase original debe ser el mismo grupo de acceso que usa la correspondencia de criptografía. En el ejemplo, los criterios de concordancia para class-tunnel1 utilizan al mismo grupo de acceso que la correspondencia de criptografía, que usted asocia a la interfaz física o a la interfaz de túnel GRE. Cisco soporta el cifrado basado en software y la encripción por hardware, también conocidos como aceleradores de encripción. Esta tabla enumera los aceleradores de hardware de criptografía de Cisco y soporta la preclasificación.

Plataforma Hardware de encripción Soporte de preclasificación de calidad de servicio (QoS)
Cisco serie 1700 Velocidad de cable VPN a través del encripción de hardware. El Cisco IOS Software Release 12.2T soporta el Low Latency Queuing (LLQ) antes de crypto.
Cisco y Series La serie 2600 de Cisco soporta una ranura interna de módulo de integración avanzada (AIM). El dispositivo Cisco 3660 admite dos ranuras AIM.
  • AIM-VPN/BP (Rendimiento base)
  • AIM-VPN/EP (Rendimiento mejorado)
  • AIM-VPN/MP (mediados de funcionamiento)
  • Funcionamiento AIM-VPN/High (HP)
Módulo de red privada virtual con router multiservicio modular primero de la aplicación del equipo en las instalaciones del cliente del Cisco 7200 Series Router para los conjuntos del Router VPN 2600 y 3600 de Cisco de las Cisco y Series
Disponible, a partir del Cisco IOS Software Release 12.2(2)T.
Cisco y Series SA-VAM es el Módulo de aceleración VPN. Instala en un slot de adaptador de puerto en las Cisco o Series y instala en el slot del módulo de servicio en las Cisco 7100 Series. El Cisco IOS Software Release 12.2T soporta el LLQ antes de la característica crypto.
Cisco y Series SA-ISA(=) y SA-ISM(=) son el Adaptador de servicio integrado y el Módulo de servicio integrado, respectivamente. Disponible en el Cisco IOS Software Release 12.2, 12.2T, 12.1E, y 12.0(5)XE.

El comportamiento de los cambios policiales de QoS en presencia de la encripción por hardware cuando usted modifica el trayecto de Switching de los paquetes dentro del router. Con la encripción por hardware, el CPU reorienta un paquete al módulo de encripción antes de que se haga cola en la interfaz de salida. Por lo tanto, en una IPSec con un entorno GRE con encripción de hardware, existen dos puntos de congestión potenciales:

  • Cola criptográfica — Soportes (Primero en Entrar, Primero en Salir FIFO) solamente. Cuando usted utiliza o el hardware o criptografía de software, los paquetes sensibles al retraso, tales como secuencias del Real-Time Transport Protocol (RTP) de la voz sobre IP (VoIP), usted puede encontrar un cierto tiempo de espera en la sola cola primero en entrar, primero en salir del proceso de la encapsulación. Este tiempo de espera aumenta mientras que llegan los paquetes sensibles al retraso cuando la cola lleva a cabo ya una gran cantidad de tráfico de datos. Para minimizar cualquier impacto, seleccione a las series de routers de Cisco con una aceleración por hardware apropiadamente escalada de la arquitectura y del uso. Si el motor de criptografía no se congestiona, después no plantea ningún problema para tener un (Primero en Entrar, Primero en Salir FIFO) para el motor de criptografía, a menos que el (Primero en Entrar, Primero en Salir FIFO) sea demasiado pequeño absorber la ráfaga de tráfico. Si usted ejecuta el VoIP a través del motor de criptografía, usted puede querer entender el tiempo de espera a través del motor.

  • Cola en el nivel de la interfaz — Soporta los métodos de colocación en cola elaborados. Por abandono, una interfaz del túnel es una interfaz lógica con un parámetro de ancho de banda de 9 kbps. Este parámetro de ancho de banda es utilizado solamente por los protocolos de la capa superiores tales como EIGRP y OSPF. No limita realmente la velocidad de salida o el ancho de banda de la interfaz que el tráfico de túnel puede utilizar. De esta manera, podría necesitar implementar el modelado basado en la clase en la interfaz del túnel para crear las colas de congestión “artificial” o colas de modelado. La modelación basada en la clase limita la velocidad de salida y lleva a un estado de congestión en la interfaz del túnel lógico. Luego la interfaz de túnel comienza a enviar a la cola los paquetes en exceso que están a cargo del conformador, y la sofisticada política de envío a la cola se aplica a los paquetes en exceso.

Las colas primero en entrar, primero en salir de los soportes de motor de criptografía del hardware solamente. Así, si utiliza una política de servicio con LLQ en la interfaz de egreso física a través de la cual se transmite el tráfico del túnel, asegúrese de que el rendimiento del procesamiento IPSec es mayor que la interfaz de salida. Esto permite que el mecanismo de cola por prioridad de la interfaz sea operativo y evite convertir al motor de criptografía en un cuello de botella FIFO.

En el Cisco IOS Software Release 12.1, la clasificación típica fue introducida para asegurarse de que los paquetes hacen juego a una sola clase en un directiva-mapa (refiera al Orden de Operación de Calidad de Servicio para más información). En un entorno VPN, un resultado de esta mejora es que la clasificación de los flujos del tráfico encriptado dentro de un túnel IPsec falla, incluso cuando una política de servicio especifica corresponder con en la Prioridad IP o los valores DSCP en el encabezado de túnel. La solución a este problema se encuentra en la Versión de software 12.2(10) del IOS de Cisco en las ID de fallas de Cisco CSCdw90486 (sólo para clientes registrados) y CSCdx08427 (sólo para clientes registrados). En las versiones de Cisco IOS Software que incluyen los cambios implementaron debido a estos el bug, la conducta de clasificación con la encripción de hardware y software son constantes ahora.

Esta tabla describe el comportamiento de las características MQC con y sin la preclasificación de QoS (Calidad de servicio) después del arreglo. Para las Plataformas que no soportan el preclassification ni tienen preclassification habilitado, la conducta de MQC en el “ningún preclassify” la columna se espera. En esta tabla se utilizan las mismas definiciones para el encabezado interno y externo que se usaron en el resto del documento.

Preclasificación Ningún Preclassify
Aceleradores criptográficos por hardware y CEF
clasificación típica dentro fuera
comandos set y police dentro fuera
envío a cola dentro fuera
WFQ basado en flujos dentro fuera
Aceleradores criptográficos por hardware y process switching
clasificación típica dentro fuera
comandos set y police inside (1) fuera
envío a cola dentro fuera
WFQ basado en flujos dentro fuera
SRC_INVALID
clasificación típica dentro fuera
comandos set y police dentro fuera
envío a cola dentro fuera
WFQ basado en flujos dentro fuera
Cifrado de software y conmutación de procesos
clasificación típica dentro fuera
comandos set y police inside (1) fuera
envío a cola dentro fuera
WFQ basado en flujos dentro fuera

Nota: Aunque los comandos set and police actúen en una clase preclassified, la marca del paquete ocurre solamente en el encabezado exterior.

Configuración de muestra:

Esta configuración de ejemplo ilustra los comandos para crear políticas de servicio de QoS para un IPSec con entorno GRE.

  • Un túnel GRE conecta a los peeres IPSec, y los paquetes tunneled se cifran con la ayuda del IPSec.

  • Cree una política de entrada que aplique el Marcado basado en clases para fijar la Prioridad IP.

  • Cree una política de resultado que limite cada túnel encriptado a un ancho de banda máximo usando la modelación basada en la clase y también aplique las garantías mínimas del ancho de banda vía el Class-Based Weighted Fair Queuing (CBWFQ).

Política de entrada

Complete estos pasos para crear una política de entrada que aplique el Marcado basado en clases.

  1. Habilite el CEF con el comando ip cef. El CEF se requiere para el Marcado basado en clases. ¿Refiérase a cuando es el CEF requerido para la calidad de servicio? para más información.

  2. Defina los criterios en los cuales clasificar el tráfico en las clases. Esta configuración define la clase "flujo alto” para el tráfico de Telnet y la clase "flujo bajo" para el tráfico ICPM.

  3. Defina una correspondencia de políticas y defina las acciones de QoS a las clases definidas.

  4. Aplique su directiva a la interfaz. En este caso, es el Subinterfaz serial.

Esta tabla muestra una configuración para una política de entrada del Marcado basado en clases.

Política de entrada del Marcado basado en clases
ip cef 

! 
class-map match-any flow-low 
 match protocol icmp  
! 
class-map match-any flow-hi 
  match protocol telnet 

! 
policy-map qos-in 
 class flow-hi  
  set ip precedence 4 
! 
class flow-low 
  set ip precedence 2 
! 
int s0/0.1 
 service-policy input qos-in 

  
router#show policy-map interface s0/0.1 

Serial0/0.1  

Service-policy input: qos-in) 

!--- Apply input policy named "qos-in."
 

     Class-map: flow-hi (match-any) 
      447 packets, 227851 bytes 
      30 second offered rate 5000 bps, drop rate 0 bps  

!--- Input rate for class named "flow-hi."
 

      Match: protocol telnet 
        447 packets, 227851 bytes 
        30 second rate 5000 bps 

!--- Input rate for class named "flow-hi."
 
      QoS Set 
        ip precedence 4 
          Packets marked 447  

!--- Number of packets marked.
  

   Class-map: flow-low (match-any 
      237 packets, 337898 bytes 
      30 second offered rate 21000 bps, drop rate 0 bps 
      Match: protocol icmp 
        237 packets, 337898 bytes 
        30 second rate 21000 bps 
      QoS Set 
        ip precedence 2 
          Packets marked 237  

    Class-map: class-default (match-any) 

!--- The default class is automatically defined.
 
      1 packets, 48 bytes 
      30 second offered rate 0 bps, drop rate 0 bps 
      Match: any

Política de salida

Esta configuración crea una política de salida jerárquica, también conocida como política anidada (para mayor información, consulte Política de tráfico como un ejemplo de política de QoS (Políticas de tráfico jerárquico)). La política principal aplica un modelado basado en la clase para limitar la velocidad de salida general de la interfaz del túnel y la política secundaria aplica garantías de ancho de banda mínimo mediante el uso de CBWFQ para los excesos en cola.

Éstos son los pasos para esta configuración.

  1. Cree la política hija.

    • Esta configuración define la clase "ipsec-hi" para el tráfico Telnet remarcado y la clase "ipsec-low" para el tráfico ICMP remarcado.

    • Esta configuración utiliza la correspondencia de políticas “IPSec-flujo” para aplicar el CBWFQ a Telnet y el tráfico ICMP usando el comando bandwidth.

  2. Cree la política controlante. Esta configuración define la clase “ispec” y las formas que coinciden con el tráfico de 16 kbps.

  3. Aplique la política hija dentro de la política controlante. Esta configuración aplica la política hija “IPSec-flujo” como acción de QoS dentro de la política controlante “qos-out.” La acción de calidad de servicio (QoS) es CBWFQ para paquetes retenidos y en cola por el diseñador.

  4. Aplique la política controlante a la interfaz. En este caso, es el Subinterfaz serial.

Esta tabla muestra una configuración para que una política de resultado forme y aplique el CBWFQ, sobre la base de los valores observados.

Regulación y política de salida de CBWFQ.
class-map match-all ipsec-hi 
  match ip precedence 4  
class-map match-all ipsec-low 
  match ip precedence 2  
! 
policy-map ipsec-flow  
  class ipsec-hi 
   bandwidth 8  
  class ipsec-low 
   bandwidth 8 
! 
class-map match-all ipsec  
 match protocol gre 
!  
policy-map qos-out 
 class ipsec 
  shape average 16000 
   service-policy ipsec-flow 
! 
int fa0/0 
 service-policy output qos-out

!--- Apply the policy to the physical interface through
 

!--- which the tunnel traffic is transmitted.
 
router#show policy-map interface fast 0/0 
 FastEthernet0/0  

  Service-policy output: qos-out  

!--- "Parent" policy named "qos-out."
 

    Class-map: ipsec (match-all)  
      1422 packets, 1390125 bytes 
      30 second offered rate 38000 bps, drop rate 0 bps  

!--- Egress rate before shaping.


      Match: protocol gre  
      Traffic Shaping 

      Target  Byte   Sustain   Excess    Interval  Increment Adapt 
      Rate    Limit  bits/int  bits/int  (ms)      (bytes)   Active 
      16000   2000   8000      8000      500       1000      - 
  

      Queue  Packets   Bytes   Packets  Bytes     Shaping 
      Depth                     Delayed  Delayed   Active 
        69     641      611106  582      535364    yes  

  Service-policy : ipsec-flow  

!--- "Child" policy named "ipsec-flow." 


        Class-map: ipsec-hi (match-all)  
          788 packets, 464485 bytes 
          30 second offered rate 15000 bps, drop rate 0 bps 
          Match: ip precedence 4  
          Weighted Fair Queueing 
            Output Queue: Conversation 25  
            Bandwidth 8 (kbps) Max Threshold 64 (packets) 
            (pkts matched/bytes matched) 389/241922 
            (depth/total drops/no-buffer drops) 4/0/0 

        Class-map: ipsec-low (match-all)  
          634 packets, 925640 bytes 
          30 second offered rate 25000 bps, drop rate 0 bps 
          Match: ip precedence 2  
          Weighted Fair Queueing 
            Output Queue: Conversation 26  
            Bandwidth 8 (kbps) Max Threshold 64 (packets) 
            (pkts matched/bytes matched) 270/400140 
            (depth/total drops/no-buffer drops) 64/2/0 

        Class-map: class-default (match-any)  
          0 packets, 0 bytes 
          30 second offered rate 0 bps, drop rate 0 bps 
          Match: any  

       Class-map: class-default (match-any)  
         115 packets, 14827 bytes 
         30 second offered rate 0 bps, drop rate 0 bps 
         Match: any

Nota:  La política controlante utiliza el comando match protocol gre para especificar coincidencias en el valor del protocolo asignado a GRE en el encabezado IP. Basado por orden de la ejecución de las características deL Cisco IOS, las características ACL y de QoS consideran los paquetes no encriptados. Así, la configuración del valor del protocolo ACL que hagan juego en AH o ESP (51 y 50, respectivamente) no trabaja (el bug Cisco ID CSCdu63385 (clientes registrados solamente) y CSCdv20737 (clientes registrados solamente)). Esta restricción se aplica tanto a encripción de hardware como de software. En los casos pocos probables, QoS presentos paquetes confidenciales basados en el encabezado IP modificado de los paquetes encriptados en un router configurado para el CEF Switching. La razón es que los paquetes CEF eran realmente proceso conmutado cuando el código y el CEF crypto no podrían localizar incorrecto una adyacencia del CEF válido.

Nota: Si usted utiliza el comando match protocol en una correspondencia de la clase de hacer juego en los protocolos del no IP, tales como IPX y APPLETALK, y también habilita los qos PRE-clasifica para hacer juego en los valores en el encabezado interno, la clasificación basada en el encabezado interno no trabaja.

Restricciones y problemas relacionados

Esta sección discute los problemas conocidos y las soluciones alternativas relacionados con la aplicación de crypto y de QoS en el mismo router.

Protección QoS y Anti-replay

Algunos conjuntos para transformación de criptografía proporcionan protección anticopia, la cual funciona cuando se aplica un número de secuencia al encabezado criptográfico. En una interfaz congestionada con el envío a cola elaborado, un paquete de prioridad baja puede ser retrasado en una cola y después llegar el router que desencripta después de que se haya excedido la ventana contra repetición. En este caso, el dispositivo que recibe caerá el paquete. Además, si un paquete encriptado llega el destino fuera de la secuencia por cierta ventana (fijada actualmente a 64 paquetes), se cae el paquete. Cisco está actualmente en la búsqueda de métodos para superar estas limitaciones. Observe que la Protección Anti-Replay no se puede inhabilitar de éstos transforma en cuál se implementa.

  • esp-sha-hmac

  • esp-md5-hmac

  • ah-md5-hmac

  • Ah-sha-hmac

Utilice el comando show crypto ipsec sa de determinar si el soporte de la anti-respuesta está habilitado para cada IPSec SA.

2611-ch5#show crypto ipsec sa
interface: Tunnel0
Crypto map tag: Test, local addr. 12.2.2.6
inbound esp sas:
spi: 0xDE92271(233382513)
transform: esp-des esp-sha-hmac ,
in use settings ={Transport, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: Test
sa timing: remaining key lifetime (k/sec): (4607996/99)
IV size: 8 bytes 
replay detection support: Y

NBAR

El NBAR no es configurable en las interfaces lógicas donde se utiliza el hacer un túnel o el cifrado. También no se soporta en ninguna interfaz física configurada con una correspondencia de criptografía. Así, no puede utilizar NBAR para clasificar el tráfico basado en información de paquetes de mayor nivel como una URL o un nombre de host de servidor Web para cualquier política de QoS donde se esté utilizando GRE o IPSec. Esta restricción proviene de la cantidad de bytes del encabezado del paquete que la característica pre-classify guarda y luego consulta. Específicamente, la preclasificación de QoS (Calidad de servicio) llama un API en el IOS antes de que se encapsule un paquete. Esta API toma una copia de la información del encabezado del paquete original. Cuando el paquete golpea eventual la función de QoS de la salida, QoS se puede aplicar al paquete basado en la información guardada ua de los tal como puerto TCP o IP Address de destino real.

Doble contabilidad

Es posible que los contadores de clasificación en el resultado del comando show policy-map interface muestren el doble de los paquetes tunelizados conocidos que están encripcións en una configuración con CEF, GRE e IPSec. Este resultado ilustra esta condición.

router#show policy-map interface fa0/0 
  FastEthernet0/0 

   Service-policy output: qos-out 

     Class-map: ipsec (match-all) 
       44 packets, 8580 bytes 
       30 second offered rate 1000 bps, drop rate 0 bps 
       Match: protocol gre 
       Traffic Shaping 
         Target    Byte   Sustain   Excess    Interval  Increment Adapt 
         Rate      Limit  bits/int  bits/int  (ms)      (bytes)   Active 
         16000     2000   8000      8000      500       1000      - 

         Queue     Packets   Bytes     Packets   Bytes     Shaping 
         Depth                         Delayed   Delayed   Active 
         0         22        4796      0         0         no 

Esta condición surge de la clasificación de paquetes de salida que ocurre una vez en el trayecto de conmutación de CEF y luego cuando el proceso criptográfico hace que el paquete salga de la cola. Este problema se resuelve en este bug Cisco ID.

Además, cuando se configuran los túneles GRE y el IPSec, un paquete se funciona con dos veces con el proceso de búsqueda CEF, una vez después de la encapsulación GRE y una vez después de la encapsulación de IPSec. Dado que el paquete se transmite sólo después de la encapsulación de IPSec, el equilibrio de carga por paquete de CEF falla y los paquetes siempre se utilizan en la misma interfaz.

Encripción de Software y Fast Switching/CEF

Cuando usa el encripción por software, la función de preclasificación QoS y CBWQ, los paquetes conmutados rápidamente pueden no clasificarse en forma adecuada. Este problema se considera en la salida del comando show policy-map interface:

3640-ch1#show policy-map interface 
 {snip} 
      Class-map: precedence (match-all) 
        5 packets, 520 bytes 
        
!--- Five packets matched the class.
 
        30 second offered rate 0 bps, drop rate 25000 bps 
        Match: ip precedence 5 
        Weighted Fair Queueing 
          Output Queue: Conversation 26 
          Bandwidth 10 (%) 
          Bandwidth 1 (kbps) Max Threshold 64 (packets) 
          (pkts matched/bytes matched) 11756/14350192 
          
!--- Many packets actually are  queued.
 
          (depth/total drops/no-buffer drops) 63/6359/0 

Como solución alternativa, utilice un módulo de encripción por hardware, fuerce el process switching con el comando no ip route-cache cef, o inhabilite la preclasificación de la Calidad de servicio (QoS). Estos resultados en el sistema de colocación en cola adecuado se ven en un flujo encripción único en la clase class-default.

Este problema se resuelve en el error de Cisco ID CSCdw28771 (sólo para usuarios registrados).

Cola prioritaria heredada y preclasificación de QoS

Cisco función de envío a cola de prioridad heredada, que utiliza los comandos priority-list and priority-group, y la característica de la preclasificación de la Calidad de servicio (QoS) no se soportan juntos. En lugar, implemente el LLQ configurando una correspondencia de políticas con el comando priority del MQC.

Cifrado por hardware y calidad del servicio (QoS)

Éstos son Problemas resueltos con la encripción por hardware y QoS.

  • Id. de bug Cisco CSCdv25358 (clientes registrados solamente) - Cuando usted utiliza el comando rate-limit de implementar la Vigilancia de tráfico a través de la característica del Committed Access Rate (CAR) del legado de Cisco, el comando qos pre-classify no trabaja cuando la encripción por hardware también se utiliza. Esta combinación de características evita que se produzca el encripción. Como workaround, implemente el class-based policing con la ayuda del comando police en un directiva-mapa configurado con la interfaz de línea del comando modular qos (CLI) (MQC). Otras características de QoS (MQC o no MQC) no resultan afectadas.

  • Id. de bug Cisco CSCdw29595 (clientes registrados solamente) - El funcionamiento del trayecto de encripción degrada cuando el Cisco IOS Software Release 12.2(6.8) se utiliza con una placa de encripción por hardware. La pérdida de rendimiento ocurre porque los paquetes encripcións son conmutados por proceso en vez de conmutados en forma rápida. Esta condición se da cuando se aplica IPSec a las interfaces mientras se utiliza la tarjeta de encripción de hardware. No hay soluciones alternativas.

  • Id. de bug Cisco CSCdw30566 (clientes registrados solamente) - En un IPSec con el entorno de GRE, si usted habilita el CEF, lleva al rendimiento de reenvío reducido puesto que los paquetes son realmente process-switched. Esta condición resulta de cómo los paquetes procesados CEF después de que GRE-fueran encapsulados. Como solución alternativa, inhabilite el CEF, y permita que los paquetes sean Fast-Switched.

Cuando usted utiliza los aceleradores criptográficos, vea la sección de los paquetes del clasificar de este documento y la discusión de los cambios implementados en el bug Cisco ID CSCdw90486 (clientes registrados solamente) y CSCdx08427 (clientes registrados solamente).

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 18667