Colaboración : Dispositivos de seguridad Cisco PIX de la serie 500

PIX/ASA 7.x y posteriores: Administración del ancho de banda (límite de velocidad) usando las directivas de QoS

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

La Calidad de Servicio (QoS) es una función de red que permite dar prioridad a determinados tipos de tráfico de Internet. Como los usuarios de Internet actualizan sus Puntos de acceso de los módems a las conexiones de banda ancha de alta velocidad como el DSL y telegrafían, los aumentos de la probabilidad que en cualquier momento, un único usuario pudo poder absorber la mayoría, si no todo el, ancho de banda disponible, así muriendo de hambre a los otros usuarios. Para evitar que cualquier una conexión del usuario o del sitio a localizar consuma más que su reparto justo del ancho de banda, QoS proporciona una característica de regulación de tráfico que regule el ancho de banda máximo que cualquier usuario puede utilizar.

QoS refiere a la capacidad de una red para proporcionar un mejor servicio al tráfico de la red seleccionada sobre las diversas Tecnologías para los mejores servicios totales con el ancho de banda limitado de las tecnologías subyacentes.

El objetivo principal de QoS en el dispositivo de seguridad es proporcionar la tarifa que limita en el tráfico de la red seleccionada para que el flujo individual del flujo o del túnel VPN siga que todo el tráfico consigue su reparto justo del ancho de banda limitado. Un flujo se puede definir de varias maneras. En el dispositivo de seguridad, QoS puede aplicarse a una combinación de origen y a los IP Address de destino, al número del puerto de origen y de destino, y al byte del Tipo de servicio (ToS) del encabezado IP.

Para configurar el QoS para la voz sobre IP (VoIP) trafique en los túneles VPN que terminan en los dispositivos de seguridad del PIX/ASA, refieren al PIX/ASA 7.x: QoS para el tráfico de VoIP en el VPN hace un túnel el ejemplo de configuración.

Nota: QoS no se soporta en una subinterfaz, él se soporta solamente en la interfaz principal sí mismo. La configuración de QoS en una interfaz sí mismo hace todas las subinterfaces afectadas por el QoS.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en el dispositivo de seguridad PIX que funciona con la versión 7.x y posterior.

Nota: QoS se soporta solamente en los modelos del PIX 515 y posterior. Estos modelos soportan la versión 7.x del Software Cisco PIX Firewall. QoS no se soporta en el PIX 501 y 506 modelos.

Nota: QoS se soporta solamente en la versión 7.x y posterior del Software Cisco PIX Firewall.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Esta configuración se puede también utilizar con un dispositivo de seguridad adaptante (ASA) esa versión 7.x y posterior de los funcionamientos.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Conceptos de QoS

QoS es una estrategia de administración del tráfico que permite que usted afecte un aparato a los recursos de red para la misión crítica y los datos normales, sobre la base del tipo de tráfico de red y de la prioridad que usted asigna a ese tráfico. En fin, QoS asegura el tráfico de prioridad sin obstáculo y proporciona la capacidad del tráfico predeterminado de la limitación de la tarifa (policing).

Por ejemplo, el vídeo y el VoIP son cada vez más importantes para la comunicación entre oficinas entre los sitios geográficamente dispersos, usando la infraestructura de Internet como el mecanismo de transporte. Los Firewall son dominantes a asegurar las redes porque controlan el acceso, que incluye el examen de los protocolos VoIP. QoS es el elemento fundamental a proporcionar claramente, Voz y comunicación mediante video ininterrumpidos, mientras que todavía proporciona un nivel básico de servicio para el resto del tráfico que pase a través del dispositivo.

Para que la Voz y el vídeo atraviesen las redes del IP en un seguro, la manera confiable, y de la peaje-calidad, QoS se debe habilitar en todas las puntas de la red. Cuando usted implementa QoS, le permite a:

  • Simplifique las operaciones de la red derrumbándose todos los datos, Voz, y tráfico de red de video sobre una sola estructura básica con el uso de las Tecnologías similares.

  • Habilite las nuevas aplicaciones de red, tales como aplicaciones integradas del centro de llamadas y entrenamiento de video, que pueden ayudar a distinguir las empresas en sus espacios respectivos del mercado y a aumentar la productividad.

  • Controle el uso de recurso controlando que el tráfico recibe que los recursos. Por ejemplo, usted puede asegurarse de que el tráfico más importante, más de puntualidad crítica reciba a los recursos de red (disponible ancho de banda y retraso mínimo) que necesita, y de que otras aplicaciones que utilizan el link consigan su reparto justo de servicio sin la interferencia con el tráfico crítico.

QoS proporciona el control de la velocidad máxima, o la vigilancia, para el tráfico de túnel para cada túnel del usuario individual y cada túnel del sitio a localizar. En esta versión, no hay garantía mínima del ancho de banda.

El dispositivo de seguridad puede limpiar el tráfico del usuario individual dentro de un túnel de LAN a LAN configurando class-maps que no se asocian al túnel, pero cuyo tráfico pasa eventual a través del túnel de LAN a LAN.

El tráfico antes de que el túnel de LAN a LAN pueda entonces ser limpiado específicamente mientras que pasa a través del túnel y se limpia otra vez a la velocidad total aplicada al túnel. El dispositivo de seguridad no prohibe a dos tipos de tráfico las colas de administración del tráfico para cada interfaz para alcanzar QoS — una cola de tiempo de latencia bajo (LLQ) y una cola predeterminada. Solamente el tráfico predeterminado está conforme a la limitación de la tarifa.

Porque QoS puede consumir una gran cantidad de recursos, que pueden degradar el funcionamiento del dispositivo de seguridad, QoS se inhabilita por abandono

Nota: Usted debe considerar que en un entorno de red siempre cambiante, QoS no es un despliegue de una sola vez. Está un en curso, parte esencial de diseño de red.

Implementación de Calidad de servicio(QoS)

Estos pasos se requieren generalmente cuando usted provision las directivas de QoS:

  1. Especifique las clases de tráfico.

  2. Asocie las acciones a cada clase de tráfico para formular las directivas.

  3. Active las directivas.

La especificación del las políticas de clasificación (la definición de las clases de tráfico) está a parte de la especificación de las directivas que actúan en los resultados de la clasificación.

Una clase de tráfico es un conjunto del tráfico que es identificable por su contenido de paquetes. Por ejemplo, tráfico TCP con un valor de puerto de 23 pudo ser clasificado como clase de tráfico de Telnet.

Una acción es una actividad específica tomada para proteger la información o los recursos. En este caso, realizar las funciones de QoS. Una acción se asocia típicamente a una clase de tráfico específica.

La configuración de un tradicional política de calidad de servicio (QoS) para el dispositivo de seguridad consiste en estos pasos:

  1. Defina las clases de tráfico (comando class-map).

  2. Asocie las directivas y las acciones a cada clase de tráfico (comando policy-map).

  3. Asocie las directivas a lógico o a las interfaces físicas (comando service-policy).

El comando class-map

El comando class-map define un objeto Nombrado que represente una clase de tráfico que especifique el paquete que hace juego los criterios que identifica los paquetes que pertenecen a esta clase. El formato básico del comando es:

class-map class-map-name-1


	match match-criteria-1


class-map class-map-name-n


	match match-criteria-n

El comando policy-map

El comando policy-map define un objeto Nombrado que represente un conjunto de las directivas que se aplicarán a un conjunto de las clases de tráfico. Un ejemplo de tal directiva está limpiando la clase de tráfico a una cierta velocidad máxima. El formato básico del comando es:

policy-map policy-map-name
	class class-map-name-1
		policy-1
		policy-n
	class class-map-name-n
		policy-m
		policy-m+1

El comando service-policy

El comando service-policy asocia un directiva-mapa y sus directivas asociadas a una blanco, interfaz mencionada.

El comando también indica si las directivas se aplican a los paquetes que vienen de o se envían a la blanco. Por ejemplo, una política de resultado (aplicada a los paquetes que salen una interfaz) se aplica mientras que este ejemplo muestra:

hostname(config)#service-policy policy-map-name interface outside

Además, si usted distingue entre el tráfico de prioridad y tráfico Best-Effort (mejor esfuerzo), usted debe definir una cola de tiempo de latencia bajo (comando priority-queue) en cada Nombrado, la interfaz física que transmite el tráfico prioritario.

Este ejemplo habilita una prioridad-cola predeterminada con el límite de cola predeterminado y el límite del anillo de transmisión:

priority-queue name-interface

Nota: las directivas QoS-relacionadas bajo Policy-map-name se aplican solamente al tráfico saliente, no al tráfico entrante de la interfaz mencionada.

Identifique el tráfico para QoS

El comando class-map clasifica un conjunto de tráfico con el cual las acciones de QoS sean asociadas. Usted puede utilizar los diversos tipos de criterios de concordancia para clasificar el tráfico. Los comandos match identifican el tráfico incluido en la clase de tráfico para una correspondencia de la clase. Incluyen diversos criterios para definir el tráfico incluido en un clase-mapa. Defina una clase de tráfico usando el comando global configuration del clase-mapa como parte de configurar una función de seguridad usando el Marco de políticas modular. Del modo del configuración class-map, usted puede definir el tráfico para incluir en la clase usando el comando match.

Después de que una clase de tráfico se aplique a una interfaz, los paquetes recibidos en esa interfaz se comparan a los criterios definidos por las declaraciones de coincidencia en la correspondencia de la clase. Si el paquete hace juego los criterios especificados, se incluye en la clase de tráfico y se sujeta a cualquier acción asociada a esa clase de tráfico. Los paquetes que no hacen juego los criterios uces de los en ninguna clase de tráfico se asignan a la clase del tráfico predeterminado.

Un tal criterio es lista de acceso. Por ejemplo, en esta secuencia, el comando class-map clasifica todo NON-tunneled tráfico TCP con el uso de una lista de acceso nombrada tcp_traffic:

hostname(config)#access-list tcp_traffic permit tcp any any
hostname(config)#class-map tcp_traffic
hostname(config-cmap)#match access-list tcp_traffic

Cuando un paquete se corresponde con contra un clase-mapa, el resultado es una coincidencia o una ninguno-coincidencia.

En este ejemplo, criterios de concordancia otro y más específicos se utilizan para clasificar el tráfico para los grupos de túnel específicos, relacionados con la seguridad. Estos criterios de concordancia específicos estipulan que una coincidencia en el grupo de túnel (en este caso, el Tunnel-Group-1 anterior-definido) está requerida como la primera característica de la coincidencia para clasificar el tráfico para un túnel específico. También permite para que una Línea de coincidencia adicional clasifique el tráfico (Differential Services Code Point, Expedited Forwarding IP).

hostname(config)#class-map TG1-voice
hostname(config-cmap)#match tunnel-group Tunnel-Group-1
hostname(config-cmap)#match dscp ef

En este ejemplo, el comando class-map clasifica el tráfico tunneled y NON-tunneled según el tipo de tráfico:

Nota: Algunos de los comandos en esta salida se envuelven a una segunda línea debido a las razones espaciales.

hostname(config)#access-list tunneled extended permit 
ip 10.10.34.0 255.255.255.0 20.20.10.0 255.255.255.0
hostname(config)#access-list non-tunneled extended permit tcp any any
hostname(config)#tunnel-group tunnel-grp1 type IPSec_L2L

hostname(config)#class-map browse
hostname(config-cmap)#description "This class-map matches all 
non-tunneled tcp traffic."
hostname(config-cmap)#match access-list non-tunneled

hostname(config-cmap)#class-map TG1-voice
hostname(config-cmap)#description "This class-map matches all dscp ef 
traffic for tunnel-grp 1."
hostname(config-cmap)#match dscp ef
hostname(config-cmap)#match tunnel-group tunnel-grp1

hostname(config-cmap)#class-map TG1-BestEffort
hostname(config-cmap)#description "This class-map matches all best-effort 
traffic for tunnel-grp1."
hostname(config-cmap)#match tunnel-group tunnel-grp1
hostname(config-cmap)#match flow ip destination-address

Este ejemplo muestra una manera de limpiar un flujo dentro de un túnel, con tal que el tráfico clasificado no se especifique como túnel, pero pasa a través del túnel. En este ejemplo, 192.168.10.10 es el direccionamiento del equipo del host en el lado privado del túnel remoto, y la lista de acceso se nombra "host-sobre-l2l". Cuando usted crea un clase-mapa (nombrado “host-específico”), usted puede entonces limpiar la clase host-específica antes de que la conexión de LAN a LAN limpie el túnel. En este ejemplo, el tráfico host-específico es tarifa limitada antes del túnel, después el túnel es tarifa limitada:

hostname(config)#access-list host-over-l2l extended permit ip any host 192.168.10.10
hostname(config)#class-map host-specific
hostname(config-cmap)#match access-list host-over-l2l

Esta tabla resume los criterios del comando match disponibles y relevantes a QoS. Para la lista completa de todos los comandos match y de su sintaxis, refiera a la referencia de comandos del dispositivo del Cisco Security.

pixasa7x-traffic-mgt-1.gif

Además de las clases definidas por el usario, una clase sistema-definida nombrada class-default también existe. Este class-default representa todos los paquetes que no hagan juego las clases definidas por el usario unas de los para poder definir las directivas para estos paquetes.

Defina política de calidad de servicio (QoS) un mapa

El comando policy-map configura las diversas directivas, tales como políticas de seguridad o directivas de QoS. Una directiva es una asociación de una clase de tráfico, especificada por un comando class, y una o más acciones. Esta sección trata específicamente de cómo utilizar el comando policy-map para definir las directivas de QoS para una o más clases de paquetes.

Cuando usted ingresa un comando policy-map, usted ingresa el modo de la configuración de correspondencia de políticas y el prompt cambia para indicar esto. En este modo, usted puede ingresar la clase y los comandos description. Un comando policy-map puede especificar las políticas múltiples. El número máximo de correspondencias de políticas es 64.

Después de que usted ingrese el comando policy-map, usted entonces ingresa un comando class de especificar la clasificación del tráfico de paquetes. El comando class configura las directivas de QoS para la clase de tráfico especificada en el clase-mapa dado. Una clase de tráfico es un conjunto del tráfico que es identificable por su contenido de paquetes. Por ejemplo, tráfico TCP con un valor de puerto de 23 puede ser clasificado como clase de tráfico de Telnet. Sus designaciones previamente Nombradas y construidas del clase-mapa distinguen a los comandos class, y las acciones asociadas aparecen inmediatamente después de.

El dispositivo de seguridad evalúa class-maps en la orden en la cual fueron ingresadas en la configuración de correspondencia de políticas. Clasifica un paquete al primer clase-mapa que hace juego el paquete.

Nota: La orden en la cual realizan a diversos tipos de acciones en un directiva-mapa es independiente de la orden en la cual las acciones aparecen en las descripciones de comandos en este documento.

Nota: El comando priority proporciona el Low-Latency Queuing para el tráfico sensible al retardo, tal como Voz. Este comando selecciona todos los paquetes que hagan juego la clase asociada (TG1-voice en el ejemplo anterior) y los envía a la cola de tiempo de latencia bajo para el proceso de prioridad.

Aplique la limitación de la tarifa

El flujo de tráfico de la limitación del ancho de banda de cada usuario (BLT) puede participar en la limitación del ancho de banda máximo. Es decir, policing estricto, que límites de velocidad el tráfico predeterminado del usuario individual a una cierta velocidad máxima. Esto evita que BLTs de cualquier un usuario individual abrume a cualquier otro. El tráfico LLQ, sin embargo, es marcado y procesado rio abajo en un priority queue. Este tráfico no es tarifa limitada. El policing es una manera de asegurarse de que ningún tráfico excede la velocidad máxima (dígitos por segundo) esa usted configuración. Esto se asegura de que nadie flujo de tráfico pueda asumir el control el recurso entero. Usted utiliza el comando police de especificar la velocidad máxima (el límite de velocidad para este flujo de tráfico). Esto es un valor en el rango 8000-2000000000 y especifica la velocidad máxima (bits por segundo) permitida. Usted también especifica qué acción (el descenso o transmite) a tomar para el tráfico que conforma con el límite y para el tráfico que excede el límite.

Nota: Usted puede especificar la acción de descarte, pero no es funcional. La acción es siempre transmitir, excepto cuando se excede la tarifa, e incluso entonces, la acción es estrangular el tráfico a la velocidad máxima permitida.

El comando police también configura la sola ráfaga de tráfico más grande permitida. Un valor de ráfaga en el rango 1000-512000000 especifica el número máximo de bytes instantáneos permitidos en una explosión continua antes de estrangular al valor de velocidad de conformación.

Nota: El policing se aplica solamente en la dirección de la salida.

Nota: Usted no puede habilitar la prioridad y la vigilancia junto. Si una política de servicio es aplicada o quitada de una interfaz que tenga VPN existente Client/LAN-to-LAN o tráfico NON-tunneled establecido ya, política de calidad de servicio (QoS) no es aplicado o quitado del flujo de tráfico. Para aplicar o quitar política de calidad de servicio (QoS) para tales conexiones, usted debe borrar (descenso) las conexiones y restablecerlas.

Nota: Al limpiar se especifica en la correspondencia de la clase predeterminada, class-default, los valores de la policía del class-default se aplican al flujo agregado del LAN a LAN VPN si no hay comando police definido para el grupo de túnel del LAN a LAN VPN. Es decir los valores del policing del class-default nunca se aplican al flujo individual de un LAN a LAN VPN que existe antes del cifrado.

Emplear de este ejemplo la configuración desarrollada en la sección anterior. Como en el ejemplo anterior, hay dos nombrados class-maps llamado tcp_traffic y TG1-voice. La adición de un tercer clase-mapa proporciona una base para definir un tunneled y NON-tunneled política de calidad de servicio (QoS) que crea un simple política de calidad de servicio (QoS) para el tráfico tunneled y NON-tunneled, asigna los paquetes de la clase TG1-voice a la cola de tiempo de latencia bajo, y establece los límites de velocidad en los flujos de tráfico tcp_traffic y TG1-best-effort.

hostname(config)#class-map TG1-best-effort
hostname(config-cmap)#match tunnel-group Tunnel-Group-1
hostname(config-cmap)#match flow ip destination-address

Nota: el " best effort " no garantiza la entrega del paquete confiable, en que no utiliza un sistema sofisticado del acuse de recibo. , Sin embargo, hace un mejor esfuerzo para entregar los paquetes al destino.

En este ejemplo, la velocidad máxima para el tráfico de la clase tcp_traffic es los dígitos por segundo 56,000 y un tamaño máximo de ráfaga de 10,500 bytes por segundo. Para la clase TC1-BestEffort, la velocidad máxima es los dígitos por segundo 200,000, con una ráfaga máxima de 37,500 bytes/en segundo lugar. El tráfico en la clase TC1-voice no tiene ninguna velocidad máxima o velocidad de ráfaga limpiada porque pertenece a una clase de prioridad:

hostname(config)#policy-map qos
hostname(config-pmap)#class tcp_traffic
hostname(config-pmap-c)#police output 56000 10500

hostname(config-pmap-c)#class TG1-voice
hostname(config-pmap-c)#priority

hostname(config-pmap-c)#class TG1-best-effort
hostname(config-pmap-c)#police output 200000 37500

hostname(config-pmap-c)#class class-default
hostname(config-pmap-c)#police output 1000000 37500

Nota: Usted puede tener hasta las correspondencias de políticas 256, y hasta las clases 256 en un directiva-mapa. El número máximo de clases en todas las correspondencias de políticas junto es 256. Para cualquier clase-mapa, usted puede tener solamente una declaración de coincidencia asociada a ella, a excepción de una clase del túnel. Para una clase del túnel, se permite una declaración adicional del grupo de túnel de la coincidencia.

Active la política de servicio

El comando service-policy activa un comando policy-map global en todas las interfaces o en una interfaz apuntada. Una interfaz puede ser una interfaz virtual (del VLA N) o una interfaz física. Se permite solamente un directiva-mapa global. Si usted especifica la interfaz de la palabra clave y un nombre de la interfaz, el directiva-mapa se aplica solamente a esa interfaz. Un directiva-mapa de la interfaz hereda las reglas del directiva-mapa global. Para las reglas que solapan con la correspondencia de la política global, las reglas de la directiva de la interfaz son aplicadas. Solamente un directiva-mapa de la interfaz se puede aplicar a una interfaz a cualquier momento.

Un comando service-policy puede ser aplicado generalmente a cualquier interfaz que se pueda definir por el comando nameif.

Con el uso del ejemplo del directiva-mapa en la sección anterior, este comando service-policy activa el directiva-mapa “qos,” definido en la sección anterior, para el tráfico en la interfaz exterior:

hostname(config)#service-policy qos interface outside

Aplique el low latency queueing

El dispositivo de seguridad permite dos clases de tráfico llamadas Low Latency Queuing (LLQ) para la prioridad más alta, el tráfico tiempo de espera-sensible (tal como Voz y vídeo) y mejor esfuerzo, que es el valor por defecto para el resto del tráfico. Estas dos colas de administración del tráfico se incorporan al sistema. El dispositivo de seguridad reconoce prioridad de Calidad de servicio (QoS) el tráfico y aplica las directivas apropiadas de QoS.

Porque las colas de administración del tráfico no están de tamaño infinito, pueden llenar y desbordar. Cuando una cola es llena, ninguna paquetes adicional no pueden conseguir en la cola y se caen. Ésta es eliminación de cola. Para evitar tener la cola llénese, usted puede utilizar el comando queue-limit de aumentar el tamaño de búfer de cola.

Usted puede configurar la cola de la latencia baja (prioridad) para ajustar la cantidad máxima de paquete permitida en la cola de transmisión (usando el comando tx-ring-limit) y para clasificar la profundidad del priority queue (usando el comando queue-limit). Esto permite que usted controle el tiempo de espera y la robustez de la cola prioritaria.

Nota: El límite superior del rango de los valores para el cola-límite y los comandos tx-ring-limit se determina dinámicamente en el tiempo de ejecución. ¿Para ver este límite, ingrese la ayuda o? en la línea de comando. Los determinantes dominantes son la memoria necesaria para soportar las colas de administración del tráfico y la memoria disponible en el dispositivo. El rango de los valores del cola-límite es hasta el 2048 los paquetes 0. El rango de los valores límites de anillo de transmisión es 3 paquetes directos 128 en la plataforma y 3 PIX a los paquetes 256 en la plataforma ASA.

Cola prioritaria de la configuración

Usted identifica el tráfico de prioridad alta cuando usted utiliza el comando priority en el modo de la clase. Este comando da instrucciones el dispositivo de seguridad para marcar como prioritario el tráfico seleccionado por la correspondencia de la clase.

Para que la cola prioritaria ocurra, usted debe crear un priority queue para Nombrado, las interfaces físicas que transmiten el tráfico de prioridad alta. Para habilitar un priority queue en una interfaz, utilice el comando priority-queue en el modo de configuración global. Usted puede aplicar un comando priority-queue a cada interfaz física definida por el comando nameif. El resto del tráfico se entrega sobre una base de mejor esfuerzo.

Usted puede aplicar generalmente un comando priority-queue a cualquier interfaz física que se pueda definir por el comando nameif. Usted no puede aplicar un comando priority-queue a una interfaz VLAN. Si un clase-mapa se configura para la prioridad y la interfaz física no se configura para la prioridad-cola, theERROR: La clase que el xyz tiene “prioridad” establecida sin la “prioridad-cola” en cualquier mensaje de error de interfaz puede ser considerada mientras que configura la cola prioritaria. El comando priority-queue ingresa el modo de la prioridad-cola, como se muestra por el prompt, que le deja configurar la cantidad máxima de paquete permitida en la cola de transmisión y el tamaño del priority queue.

Nota: Usted no puede habilitar la cola prioritaria y la vigilancia junto. Es decir solamente los paquetes con la prioridad normal pueden ser limpiados. Los paquetes con prioritario no se limpian.

Clasifique el priority queue

El tamaño que usted especifica para el priority queue afecta a la cola de tiempo de latencia bajo y a la cola de mejor esfuerzo. El comando queue-limit especifica una cantidad máxima de paquete que se pueda hacer cola a un priority queue antes de que caiga los datos. Este límite debe estar en el rango hasta el 2048 de los paquetes 0.

Reduzca el tiempo de espera de la cola

El comando tx-ring-limit permite que usted configure la cantidad máxima de paquete (profundidad) permitida ser hecho cola en los Ethernetes transmite el timbre del driver en cualquier momento. Esto permite ajustar la cola de transmisión para reducir el mejor rendimiento del tiempo de espera y de la oferta a través del driver del transmitir. Este límite debe estar en los paquetes directos 128 del rango 3 en la plataforma PIX, con un límite de los paquetes 256 en la plataforma ASA.

El límite de cola predeterminado es el número de media, los paquetes del 256-byte que la interfaz especificada puede transmitir en un intervalo de 500 ms, con un límite superior de 2048 paquetes. Un paquete que permanece más del ms 500 en un nodo de red pudo accionar un descanso en la aplicación de punta a punta. Tal paquete se puede desechar en cada nodo de red.

El tx-timbre-límite predeterminado es el número de paquetes máximos 1550-byte que la interfaz especificada pueda transmitir en un intervalo de 10 ms. Esto garantiza que el anillo de transmisión basado en hardware impone no más al ms que 10 del tiempo de espera adicional para un paquete con prioridad alta.

Este ejemplo establece un priority queue en el exterior de la interfaz (la interfaz GigabitEthernet0/1), con el límite de cola predeterminado y el tx-timbre-límite.

hostname(config)#priority-queue outside

Este ejemplo establece un priority queue en el exterior de la interfaz (la interfaz GigabitEthernet0/1), fija el cola-límite a 2048 paquetes, y fija el tx-timbre-límite al 256:

hostname(config)#priority-queue outside

hostname(config-priority-queue)#queue-limit 2048

hostname(config-priority-queue)#tx-ring-limit 256

Cuando se habilita la cola prioritaria, el dispositivo de seguridad vacia todos los paquetes en colas de administración del tráfico más prioritarias antes de los paquetes transmisores en las colas de menor prioridad.

Configuración QoS

Este procedimiento explica cómo configurar una clase de tráfico, una correspondencia de políticas, y una política de servicio que implemente la Supervisión de QoS (tarifa que limita) o la cola prioritaria. Además, para la cola prioritaria, incluye los pasos para que cómo habilite las colas de administración del tráfico de prioridad en las interfaces.

El número de clases de tráfico, de correspondencias de políticas, y de políticas de servicio que usted necesite para implementar QoS varía basado sobre los requisitos de su red. Analice su red y determine cuántas clases de tráfico, correspondencias de políticas, y políticas de servicio necesarias en el dispositivo de seguridad usted está configurando, y después utilice este procedimiento como se aplica a su despliegue de QoS.

Complete estos pasos para configurar la Supervisión de QoS y la cola prioritaria:

  1. Determine que le trafican quieren limpiar o marcar para la cola prioritaria. Para una explicación detallada en la identificación del tráfico de QoS, vea el tráfico de la identificación para la sección de QoS de este documento.

  2. Cree una correspondencia de la clase o modifique una correspondencia existente de la clase para identificar el tráfico que usted quiere limpiar o identificar como tráfico de prioridad. Utilice el comando class-map:

    hostname(config)#class-map class_map_name
    
    hostname(config-cmap)#

    Para este comando class-map, el class_map_name es el nombre de la clase de tráfico. Cuando usted ingresa el comando class-map, el CLI ingresa el modo de la configuración de asignación de la clase.

  3. Utilice un comando match para identificar el tráfico que usted determinó en el paso 1. Para una explicación detallada en la identificación del tráfico de QoS, vea el tráfico de la identificación para la sección de QoS de este documento.

    Si usted necesita identificar puertos dos o NON-más contiguos, cree una lista de acceso con el comando ampliado lista de acceso, agregue ACE para hacer juego cada puerto, y después utilice el comando access-list de la coincidencia.

    Estos comandos show cómo utilizar una lista de acceso para identificar los puertos TCP múltiples con una lista de acceso:

    hostname(config)#access-list acl-name any any tcp eq port_number_1
    
    hostname(config)#access-list acl-name any any tcp eq port_number_2
    
    hostname(config)#class-map class_map_name
    
    hostname(config-cmap)#match access-list acl-name
    

    Si usted necesita identificar un puerto único, utilice el comando port de la coincidencia:

    hostname(config-cmap)#match port {tcp | udp} eq port_number
    

    Para este comando port de la coincidencia, el port_number del eq es el puerto destino del tráfico que usted quiere configurar el dispositivo de seguridad para limpiar o para marcar para la cola prioritaria. Si usted necesita identificar un rango de los puertos contiguos, utilice el comando port de la coincidencia con la palabra clave del rango como este ejemplo muestra:

    
    !--- This command is wrapped to a second line due to spatial reasons:
    
    hostname(config-cmap)#match port {tcp | udp} {eq port | range begin_port_number 
    end_port_number
    

    Para este comando port de la coincidencia, el begin_port_number es el puerto más bajo en el rango de los puertos y el end_port_number es el puerto más alto.

  4. Cree una correspondencia de políticas o modifique una correspondencia de la política existente que usted quiera utilizar para aplicar el policing o la cola prioritaria al tráfico identificado en el paso 2. Para más información sobre política de calidad de servicio (QoS) las correspondencias, vea la definición política de calidad de servicio (QoS) una sección del mapa de este documento.

    Utilice el comando policy-map como este ejemplo muestra:

    hostname(config-cmap)#policy-map policy_map_name
    
    hostname(config-pmap)# 

    Para este comando policy-map, el policy_map_name es el nombre de la correspondencia de políticas. El CLI ingresa el modo de la configuración de correspondencia de políticas y los cambios del prompt por consiguiente.

  5. Especifique la correspondencia de la clase que usted creó en el paso 2 que identifica el tráfico que se limpiará o marcado para la cola prioritaria. Utilice el comando class para lograr esto:

    hostname(config-pmap)#class class_map_name
    
    hostname(config-pmap-c)# 
  6. Configure la acción para la clase. Usted puede cualquier marca la clase de tráfico como tráfico de prioridad o especificar la tarifa que limita para la clase de tráfico. Realice una de estas acciones:

    • Si usted quiere el tráfico seleccionado por la correspondencia de la clase para ser marcado como tráfico de prioridad, ingrese el comando priority:

      hostname(config-pmap-c)#priority
      

      Nota: La cola prioritaria no ocurre automáticamente para traficar marcado como prioridad. Para habilitar la cola prioritaria, usted debe completar el paso 8, que habilita las colas de administración del tráfico de prioridad.

      Para más información sobre la cola prioritaria, vea la sección de aplicación del low latency queueing de este documento y de la página del comando priority en la referencia de comandos del dispositivo del Cisco Security.

    • Si usted quisiera que el dispositivo de seguridad limpiara el tráfico seleccionado por la correspondencia de la clase, ingrese el comando police.

      
      !--- This command is wrapped to a second line due to spatial reasons:
      
      hostname(config-pmap-c)#police [output] conform-rate [conform-burst] 
      [conform-action [drop | transmit] [exceed-action {drop | transmit}]]
      

      Para más información sobre el uso del comando police, vea la tarifa de la aplicación el limitar de la sección de este documento y de la página del comando police en la referencia de comandos del dispositivo del Cisco Security.

  7. Utilice el comando service-policy de aplicar la correspondencia de políticas global o a una interfaz específica:

    Nota: Este comando se envuelve a una segunda línea debido a las preocupaciones espaciales.

    hostname(config-pmap-c)#service-policy policy_map_name 
    [global | interface interface_ID]
    
    hostname(config)#

    Para este comando service-policy, el policy_map_name es la correspondencia de políticas que usted configuró en el paso 4. Si usted quiere aplicar la correspondencia de políticas para traficar en todas las interfaces, utilice la opción global. Si usted quiere aplicar la correspondencia de políticas para traficar en una interfaz específica, utilice la opción del interface_id de la interfaz, donde está el nombre el interface_id asignado a la interfaz con el comando nameif.

    El dispositivo de seguridad comienza a limpiar el tráfico y a marcar el tráfico para la cola prioritaria, según lo especificado.

  8. Si usted ingresó el comando priority en el paso 6, usted debe habilitar las colas de prioridad en las interfaces antes de que el dispositivo de seguridad realice la cola prioritaria.

    Para cada interfaz en la cual usted quisiera que el dispositivo de seguridad realizara la cola prioritaria, complete estos pasos:

    1. Ingrese el comando priority-queue:

      hostname(config)#priority-queue interface
      
      hostname(config-priority-queue)#

      Para este comando priority-queue, la interfaz es el nombre asignado a la interfaz física cuyo priority queue usted quiere habilitar. Las interfaces VLAN no soportan la cola prioritaria. El CLI ingresa el modo de configuración de la prioridad-cola y los cambios del prompt por consiguiente.

    2. (Opcional) si usted quiere especificar un número máximo no valor por defecto de paquetes prioritarios que puedan ser hechos cola, ingrese el comando queue-limit, como este ejemplo muestra:

      hostname(config-priority-queue)#queue-limit number-of-packets
      

      El tamaño de cola predeterminado es 2048 paquetes.

    3. (Opcional) si usted quiere especificar una cantidad máxima de paquete no valor por defecto permitida en la cola de transmisión, ingrese el comando tx-ring-limit, como este ejemplo muestra:

      hostname(config-priority-queue)#tx-ring-limit number-of-packets
      

      El tamaño predeterminado de la cola de transmisión es los paquetes 128.

      En las interfaces donde usted cola prioritaria habilitada, el dispositivo de seguridad comienza a realizar la cola prioritaria.

Este ejemplo crea las correspondencias de la clase para prioritario (Voz) y el tráfico de máximo esfuerzo para previamente un grupo del Túnel configurado, el "tunnel-grp1" Nombrado. Política de calidad de servicio (QoS) la correspondencia incluye el comando police para el mejor esfuerzo y las clases del tráfico predeterminado y el comando priority para la clase de la Voz. La política de servicio entonces se aplica a la interfaz exterior y el priority queue para la interfaz exterior se habilita.

Supervisión de QoS y cola prioritaria de la configuración
hostname(config)#class-map TG1-voice


!--- This command is wrapped to a second line due to spatial reasons:

hostname(config-cmap)#description "This class-map matches all dscp ef 
traffic for tunnel-grp 1"

hostname(config-cmap)#match dscp ef

hostname(config-cmap)#match tunnel-group tunnel-grp1


hostname(config-cmap)#class-map TG1-BestEffort


!--- This command is wrapped to a second line due to spatial reasons:

hostname(config-cmap)#description "This class-map matches all best-effort 
traffic for tunnel-grp1"

hostname(config-cmap)#match tunnel-group tunnel-grp1

hostname(config-cmap)#match flow ip destination-address


hostname(config-cmap)#policy-map qos

hostname(config-pmap)#class TG1-voice

hostname(config-pmap-c)#priority

hostname(config-pmap-c)#class TG1-best-effort

hostname(config-pmap-c)#police output 200000 37500

hostname(config-pmap-c)#class class-default

hostname(config-pmap-c)#police output 1000000 37500


hostname(config-pmap-c)#service-policy qos interface outside

hostname(config)#priority-queue outside

hostname(config-priority-queue)#queue-limit 2048

hostname(config-priority-queue)#tx-ring-limit 256



!

Verifique la configuración de QoS

Esta sección contiene estos temas:

Verifique la configuración de la política de servicio de QoS

Para verificar todas las políticas de servicio actuales, incluyendo los que implementen política de calidad de servicio (QoS) las correspondencias, utiliza el comando service-policy de la demostración en el modo EXEC privilegiado. Usted puede limitar la salida a las directivas que incluyen la policía o los comandos priority usando la policía o las palabras claves de prioridad.

Nota: Éste es el mismo comando que usted utiliza para ver las estadísticas de la prioridad y de la policía.

Este ejemplo muestra la salida del comando service-policy de la demostración con la palabra clave de la policía:

hostname#show service-policy police


Global policy:

	Service-policy: global_fw_policy


Interface outside:

	Service-policy: qos

		Class-map: browse

			police Interface outside:

				cir 56000 bps, bc 10500 bytes

				conformed 10065 packets, 12621510 bytes; actions: transmit

				exceeded 499 packets, 625146 bytes; actions: drop

				conformed 5600 bps, exceed 5016 bps

		Class-map: cmap2

			police Interface outside:

				cir 200000 bps, bc 37500 bytes

				conformed 17179 packets, 20614800 bytes; actions: transmit

				exceeded 617 packets, 770718 bytes; actions: drop

				conformed 198785 bps, exceed 2303 bps

Este ejemplo muestra la salida del comando service-policy de la demostración con la palabra clave de prioridad:

hostname#show service-policy priority

Global policy:

	Service-policy: global_fw_policy

Interface outside:

	Service-policy: qos

		Class-map: TG1-voice

			Priority:

				Interface outside: aggregate drop 0, aggregate transmit 9383

Verifique política de calidad de servicio (QoS) la configuración de asignación

Para verificar todas las correspondencias de políticas, incluyendo los que incluyan la policía y los comandos priority, utiliza el comando policy-map de los ejecutar-config de la demostración en el modo EXEC privilegiado:

hostname#show running-config policy-map

Por los ejemplos precedentes, la salida de este comando mira algo similar ejemplo:

hostname#show running-config policy-map

!

policy-map test

 class class-default

policy-map inbound_policy

 class ftp-port

  inspect ftp strict inbound_ftp

policy-map qos

 class browse

  police 56000 10500

 class TG1-voice

  priority

 class TG1-BestEffort

  police 200000 37500

Verifique la configuración de la Prioridad-cola para una interfaz

Para visualizar la configuración de la prioridad-cola para una interfaz, ingrese el comando priority-queue de los ejecutar-config de la demostración en el modo de configuración global. Este ejemplo muestra la configuración de la prioridad-cola para la interfaz nombrada “prueba”:

hostname(config)#show running-config priority-queue test

priority-queue test

  queue-limit   2048

  tx-ring-limit 256

hostname(config)#

Verifique las estadísticas de QoS

Esta sección contiene estos temas:

Verifique las estadísticas de la policía de QoS

Para verificar las estadísticas de QoS para la Vigilancia de tráfico, utilice el comando service-policy de la demostración con la palabra clave de la policía, en el modo EXEC privilegiado:

hostname#show service-policy police

Nota: Éste es el mismo comando que usted utiliza para ver la configuración de las directivas que incluyen la palabra clave de la policía.

Por ejemplo, este comando visualiza las políticas de servicio que incluyen el comando police y las estadísticas relacionadas:

hostname#show service-policy police


Global policy:

	Service-policy: global_fw_policy


Interface outside:

	Service-policy: qos

		Class-map: browse

			police Interface outside:

				cir 56000 bps, bc 10500 bytes

				conformed 10065 packets, 12621510 bytes; actions: transmit

				exceeded 499 packets, 625146 bytes; actions: drop

				conformed 5600 bps, exceed 5016 bps

		Class-map: cmap2

			police Interface outside:

				cir 200000 bps, bc 37500 bytes

				conformed 17179 packets, 20614800 bytes; actions: transmit

				exceeded 617 packets, 770718 bytes; actions: drop

				conformed 198785 bps, exceed 2303 bps

Verifique prioridad de Calidad de servicio (QoS) las estadísticas

Para verificar las estadísticas para las políticas de servicio que implementan el comando priority, utilice el comando service-policy de la demostración con la palabra clave de prioridad, en el modo EXEC privilegiado:

hostname#show service-policy priority

Nota: Éste es el mismo comando que usted utiliza para ver la configuración de las directivas que incluyen la palabra clave de prioridad.

Por ejemplo, este comando visualiza las políticas de servicio que incluyen el comando priority y las estadísticas relacionadas:

hostname#show service-policy priority

Global policy:

	Service-policy: global_fw_policy

Interface outside:

	Service-policy: qos

		Class-map: TG1-voice

			Priority:

				Interface outside: aggregate drop 0, aggregate transmit 9383

Nota: El “descenso global” denota el descenso agregado en esta interfaz. El “agregado transmite” denota el número agregado de paquetes transmitidos en esta interfaz.

Verifique las estadísticas de la cola de QoS de la prioridad

Para visualizar las estadísticas de la prioridad-cola para una interfaz, utilice el comando statistics de la prioridad-cola de la demostración en el modo EXEC privilegiado. Los resultados muestran las estadísticas para la cola y la cola de tiempo de latencia bajo (LLQ) de (Be) de mejor esfuerzo. Esta salida de ejemplo muestra el uso del comando statistics de la prioridad-cola de la demostración para la interfaz nombrada prueba, y la salida de comando:

hostname#show priority-queue statistics test


Priority-Queue Statistics interface test


Queue Type        = BE

!--- "Packets Dropped" denotes the overall number 
!--- of packets that have been dropped in this queue. 


Packets Dropped   = 0

!--- "Packets Transmit" denotes the overall number 
!--- of packets that have been transmitted in this queue. 


Packets Transmit  = 0

!--- "Packets Enqueued" denotes the overall number 
!--- of packets that have been queued in this queue. 

Packets Enqueued  = 0

!--- "Current Q Length" denotes the current depth of this queue. 


Current Q Length  = 0

!--- "Max Q Length" denotes the maximum depth that ever 
!--- occurred in this queue. 

Max Q Length      = 0


Queue Type        = LLQ

Packets Dropped   = 0

Packets Transmit  = 0

Packets Enqueued  = 0

Current Q Length  = 0

Max Q Length      = 0

hostname#

Borre las estadísticas de la Servicio-directiva

Para borrar las estadísticas de la servicio-directiva, utilice el comando service-policy claro en el modo EXEC privilegiado:

hostname# clear service-policy [global | interface intf ]

Por abandono, este comando borra todas las estadísticas para todas las políticas de servicio habilitadas.

Este ejemplo muestra el sintaxis del comando service-policy claro:

hostname# clear service-policy outside_security_map interface outside


Información Relacionada


Document ID: 91790