Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

PIX/ASA 7.x: QoS para el tráfico de VoIP en el VPN hace un túnel el ejemplo de configuración

20 Septiembre 2014 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (20 Junio 2008) | Inglés (15 Septiembre 2014) | Comentarios


Contenido


Introducción

Este documento proporciona una configuración de muestra para el Calidad de Servicio (QoS) para el tráfico de la voz sobre IP (VoIP) en los túneles VPN que terminan en los dispositivos de seguridad del PIX/ASA.

El objetivo principal de QoS en el dispositivo de seguridad es proporcionar la tarifa que limita en el tráfico de la red seleccionada, para el flujo individual del flujo y del túnel VPN, para asegurarse de que todo el tráfico consigue su reparto justo del ancho de banda limitado. Refiera al PIX/ASA 7.x y posterior: Administración del ancho de banda (límite de velocidad) usando las directivas de QoS para más información.

Nota: QoS no se soporta en una subinterfaz, solamente en la interfaz principal sí mismo. Si usted configura QoS en una interfaz sí mismo, todas las interfaces secundarias también son afectadas por el QoS.

prerrequisitos

Requisitos

Este documento asume que las configuraciones necesarias del IPSec VPN del LAN a LAN (L2L) están hechas en todos los dispositivos y trabajan correctamente.

Componentes Utilizados

La información en este documento se basa en un dispositivo de seguridad de la serie del Cisco PIX 500 que funcione con la versión de software 7.x.

Nota: El QOS se soporta solamente en el PIX 515 de los modelos de PIX y posterior mientras que soportan la versión 7.x del Software Cisco PIX Firewall. No se soporta en el PIX 501 y 506 modelos.

Nota: El QOS se soporta solamente en la versión 7.x y posterior del Software Cisco PIX Firewall.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Esta configuración se puede también utilizar con el dispositivo de seguridad adaptante de las 5500 Series del dispositivo de seguridad de Cisco (ASA) que funciona con la versión de software 7.x.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Antecedentes

QoS es una estrategia de administración del tráfico que permite que usted afecte un aparato a los recursos de red para la misión crítica y los datos normales, sobre la base del tipo de tráfico de red y de la prioridad que usted asigna a ese tráfico. QoS asegura el tráfico de prioridad sin obstáculo y proporciona la capacidad del tráfico predeterminado de la limitación de la tarifa (policing).

Por ejemplo, el vídeo y el VoIP son cada vez más importantes para la comunicación entre oficinas entre los sitios geográficamente dispersos, usando la infraestructura de Internet como el mecanismo de transporte. Los Firewall son dominantes a la seguridad de la red pues controlan el acceso, que incluye el examen de los protocolos VoIP. QoS es el elemento fundamental a proporcionar claramente, Voz y comunicaciones mediante video ininterrumpidas, mientras que todavía proporciona a un nivel básico de servicio para el resto del tráfico que pase a través del dispositivo.

Para que la Voz y el vídeo atraviesen las redes IP en un seguro, la manera confiable, y de la peaje-calidad, QoS se debe habilitar en todas las puntas de la red.

La implementación de QoS le permite a:

  • Simplifique las operaciones de la red derrumbándose todos los datos, Voz, y tráfico de red de video sobre una sola estructura básica con el uso de las Tecnologías similares.

  • Habilite las nuevas aplicaciones de red, tales como aplicaciones integradas del centro de llamadas y entrenamiento de video, que pueden ayudar a distinguir las empresas en sus espacios respectivos del mercado y a aumentar la productividad.

  • Controle el uso de recurso controlando que el tráfico recibe que los recursos. Por ejemplo, usted puede asegurarse de que el tráfico más importante, más de puntualidad crítica reciba a los recursos de red (disponible ancho de banda y retraso mínimo) que necesita, y de que otras aplicaciones que utilizan el link consigan su reparto justo de servicio sin la interferencia con el tráfico crítico.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/82310/qos-voip-vpn-1.gif

Nota:  Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son las direcciones RFC1918 que se han utilizado en un entorno de laboratorio.

Nota: Asegúrese de que los Teléfonos IP y los hosts estén puestos en diversos segmentos (subredes). Esto se recomienda para un buen diseño de red.

Configuraciones

En este documento, se utilizan estas configuraciones:

Configuración de QoS basada en el DSCP

!--- Create a class map named Voice.

PIX(config)#class-map Voice


!--- Specifies the packet that matches criteria that
!--- identifies voice packets that have a DSCP value of "ef".


PIX(config-cmap)#match dscp ef


!--- Create a class map named Data.


PIX(config)#class-map Data


!--- Specifies the packet that matches data traffic to be passed through 
!--- IPsec tunnel.


PIX(config-cmap)#match tunnel-group 10.1.2.1 
PIX(config-cmap)#match flow ip destination-address


!--- Create a policy to be applied to a set 
!--- of voice traffic.


PIX(config-cmap)#policy-map Voicepolicy


!--- Specify the class name created in order to apply 
!--- the action to it.


PIX(config-pmap)#class Voice


!--- Strict scheduling priority for the class Voice.

PIX(config-pmap-c)#priority

PIX(config-pmap-c)#class Data


!--- Apply policing to the data traffic.


PIX(config-pmap-c)#police output 200000 37500



!--- Apply the policy defined to the outside interface.


PIX(config-pmap-c)#service-policy Voicepolicy interface outside
PIX(config)#priority-queue outside
PIX(config-priority-queue)#queue-limit 2048
PIX(config-priority-queue)#tx-ring-limit 256

Nota: El valor DSCP de “ef” refiere al Expedited Forwarding que haga juego el tráfico VoIP-RTP.

QoS basó en el DSCP con la configuración VPN
PIX#show running-config
: Saved
:
PIX Version 7.2(2)
!
hostname PIX
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet1
 nameif outside
 security-level 0
 ip address 10.1.4.1 255.255.255.0
!

passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive


!--- This crypto ACL-permit identifies the 
!--- matching traffic flows to be protected via encryption.


access-list 110 extended permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
access-list 110 extended permit ip 10.1.5.0 255.255.255.0 10.1.6.0 255.255.255.0

pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
route outside 0.0.0.0 0.0.0.0 10.1.4.2 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

!--- Configuration for IPsec policies.

crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto map mymap 10 match address 110

!--- Sets the IP address of the remote end.

crypto map mymap 10 set peer 10.1.2.1

!--- Configures IPsec to use the transform-set 
!--- "myset" defined earlier in this configuration.

crypto map mymap 10 set transform-set myset
crypto map mymap interface outside

!--- Configuration for IKE policies

crypto isakmp policy 10

!--- Enables the IKE policy configuration (config-isakmp) 
!--- command mode, where you can specify the parameters that 
!--- are used during an IKE negotiation.

 
authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 86400

!--- Use this command in order to create and manage the database of 
!--- connection-specific records like group name 
!--- as 10.1.2.1, IPsec type as L2L, and password as 
!--- pre-shared key for IPsec tunnels.

tunnel-group 10.1.2.1 type ipsec-l2l
tunnel-group 10.1.2.1 ipsec-attributes

!--- Specifies the preshared key "cisco123" which should 
!--- be identical at both peers. 


 pre-shared-key *
 
telnet timeout 5
ssh timeout 5
console timeout 0
priority-queue outside
 queue-limit 2048
 tx-ring-limit 256
!
class-map Voice
 match dscp ef
class-map Data
match tunnel-group 10.1.2.1
match flow ip destination-address
class-map inspection_default
 match default-inspection-traffic

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
policy-map Voicepolicy
 class Voice
  priority
class Data
 police output 200000 37500
!
service-policy global_policy global
service-policy Voicepolicy interface outside
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Configuración de QoS basada en la lista de control de acceso (ACL)

!--- Permits inbound H.323 calls.

PIX(config)#access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0 
255.255.255.0 eq h323

!--- Permits inbound Session Internet Protocol (SIP) calls.

PIX(config)#access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq sip

!--- Permits inbound Skinny Call Control Protocol (SCCP) calls.

PIX(config)#access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0 
255.255.255.0 eq 2000

!--- Permits outbound H.323 calls.

Pix(config)#access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 
255.255.255.0 eq h323

!--- Permits outbound SIP calls.

Pix(config)#access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 
255.255.255.0 eq sip

!--- Permits outbound SCCP calls.

Pix(config)#access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 
255.255.255.0 eq 2000

!--- Apply the ACL 100 for the inbound traffic of the outside interface.

PIX(config)#access-group 100 in interface outside


!--- Create a class map named Voice-IN.

PIX(config)#class-map Voice-IN

!--- Specifies the packet matching criteria which 
!--- matches the traffic flow as per ACL 100.

PIX(config-cmap)#match access-list 100


!--- Create a class map named Voice-OUT.

PIX(config-cmap)#class-map Voice-OUT

!--- Specifies the packet matching criteria which 
!--- matches the traffic flow as per ACL 105.

PIX(config-cmap)#match access-list 105


!--- Create a policy to be applied to a set 
!--- of Voice traffic.

PIX(config-cmap)#policy-map Voicepolicy

!--- Specify the class name created in order to apply 
!--- the action to it.

PIX(config-pmap)#class Voice-IN
PIX(config-pmap)#class Voice-OUT

!--- Strict scheduling priority for the class Voice.

PIX(config-pmap-c)#priority
PIX(config-pmap-c)#end
PIX#configure terminal
PIX(config)#priority-queue outside


!--- Apply the policy defined to the outside interface.

PIX(config)#service-policy Voicepolicy interface outside
PIX(config)#end

QoS basó en el ACL con la configuración VPN
PIX#show running-config
: Saved
:
PIX Version 7.2(2)
!
hostname PIX
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet1
 nameif outside
 security-level 0
 ip address 10.1.4.1 255.255.255.0
!
interface Ethernet2
 nameif DMZ1
 security-level 95
 ip address 10.1.5.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive


!--- This crypto ACL-permit identifies the 
!--- matching traffic flows to be protected via encryption.


access-list 110 extended permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
access-list 110 extended permit ip 10.1.5.0 255.255.255.0 10.1.6.0 255.255.255.0


!--- Permits inbound H.323, SIP and SCCP calls.

access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0 
255.255.255.0 eq h323
access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0 
255.255.255.0 eq sip
access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq 2000


!--- Permit outbound H.323, SIP and SCCP calls.

access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 
255.255.255.0 eq h323
access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 
255.255.255.0 eq sip
access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 
255.255.255.0 eq 2000
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group 100 in interface outside

route outside 0.0.0.0 0.0.0.0 10.1.4.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto map mymap 10 match address 110
crypto map mymap 10 set peer 10.1.2.1
crypto map mymap 10 set transform-set myset
crypto map mymap interface outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 86400
tunnel-group 10.1.2.1 type ipsec-l2l
tunnel-group 10.1.2.1 ipsec-attributes
 pre-shared-key *

telnet timeout 5
ssh timeout 5
console timeout 0
priority-queue outside
!
class-map Voice-OUT
 match access-list 105
class-map Voice-IN
 match access-list 100
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp

!--- Inspection enabled for H.323, H.225 and H.323 RAS protocols.

  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp

!--- Inspection enabled for Skinny protocol.

  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp

!--- Inspection enabled for SIP.

  inspect sip
  inspect xdmcp
policy-map Voicepolicy
 class Voice-IN
 class Voice-OUT
  priority
!
service-policy global_policy global
service-policy Voicepolicy interface outside
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Router con la configuración VPN
Router#show running-config
Building configuration...

Current configuration : 1225 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
!
!
ip cef
!
!
!
!
!
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
crypto isakmp key cisco123 address 10.1.4.1
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap 10 ipsec-isakmp
 set peer 10.1.4.1
 set transform-set myset
 match address 110
!
!
!
!
interface Ethernet0/0
 ip address 10.1.6.1 255.255.255.0
 half-duplex
!
interface FastEthernet1/0
 ip address 172.16.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface Serial2/0
 ip address 10.1.2.1 255.255.255.0
ip access-group 100 in
 no fair-queue
 crypto map mymap
!

ip http server
no ip http secure-server
!
ip route 10.1.0.0 255.255.0.0 Serial2/0
!

!--- Permits inbound IPsec traffic.

access-list 100 permit esp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 100 permit esp 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255
access-list 100 permit udp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 eq isakmp
access-list 100 permit udp 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255 eq isakmp


!--- ACL entries for interesting traffic.


access-list 110 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 110 permit ip 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255
!
!
control-plane

!
!
line con 0
line aux 0
line vty 0 4
!
!
end

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

  • muestre el directiva-mapa de los ejecutar-config — Muestra política de calidad de servicio (QoS) la configuración de asignación.

    PIX#show running-config policy-map
    !
    policy-map type inspect dns preset_dns_map
     parameters
      message-length maximum 512
    policy-map global_policy
     class inspection_default
      inspect dns preset_dns_map
      inspect ftp
      inspect h323 h225
      inspect h323 ras
      inspect netbios
      inspect rsh
      inspect rtsp
      inspect skinny
      inspect esmtp
      inspect sqlnet
      inspect sunrpc
      inspect tftp
      inspect sip
      inspect xdmcp
    policy-map Voicepolicy
     class Voice
      priority
    
  • muestre el exterior de la interfaz de la servicio-directiva — Muestra la configuración de la política de servicio de QoS.

    PIX#show service-policy interface outside
    
    Interface outside:
      Service-policy: Voicepolicy
        Class-map: Voice
          Priority:
            Interface outside: aggregate drop 0, aggregate transmit 0

Troubleshooting

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Utilice los comandos debug para resolver problemas el problema.

  • haga el debug del h323 {h225 | h245 | ras} — las visualizaciones hacen el debug de los mensajes para H.323.

  • sorbo del debug — Mensajes del debug de las visualizaciones para la Inspección de la aplicación del SORBO.

  • debug flaco — Mensajes del debug de las visualizaciones para la Inspección de la aplicación (flaca) del SCCP.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 82310