Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

PIX/ASA 7.x: Ejemplo de configuración de QoS para tráfico VoIP en túneles VPN

20 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (13 Septiembre 2013) | Inglés (26 Septiembre 2008) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Productos relacionados
     Convenciones
Antecedentes
Configuración
     Diagrama de la red
     Configuraciones
Verificación
Resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento se incluye una configuración de ejemplo para tráfico de Calidad de Servicio (QoS) para Voz por IP (VoIP) en túneles VPN que terminan en los dispositivos de seguridad PIX/ASA.

Requisitos previos

Requisitos

En el documento se asume que las configuraciones de VPN IPSec LAN a LAN (L2L) necesarias se han realizado en todos los dispositivos y que funcionan correctamente.

Componentes utilizados

La información del documento se basa en un dispositivo de seguridad Cisco PIX serie 500 que ejecuta la versión 7.x del software.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.

Productos relacionados

Esta configuración también se puede emplear con el dispositivo de seguridad adaptable Cisco (ASA) serie 5500 que ejecuta la versión 7.x del software.

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Antecedentes

QoS es una estrategia de gestión de tráfico que permite asignar recursos de red a datos normales y de vital importancia en función del tipo de tráfico de red y de la prioridad asignada a dicho tráfico. QoS garantiza un tráfico de prioridad sin obstáculos y ofrece la capacidad de limitar la velocidad (políticas) del tráfico predeterminado.

Por ejemplo, el vídeo y la voz por IP (VoIP) son cada vez más importantes en la comunicación entre oficinas en lugares de zonas geográficas diferentes, donde la infraestructura de Internet se utiliza como mecanismo de transporte. Los firewall son esenciales en la seguridad de la red, ya que controlan el acceso, lo que incluye la inspección de protocolos VoIP. QoS es el elemento fundamental para proporcionar una comunicación de voz y vídeo clara y sin interrupciones, al tiempo que ofrece un nivel básico de servicio para el resto del tráfico que se transmite a través del dispositivo.

Para que voz y vídeo atraviesen las redes IP con calidad y de forma fiable y segura, QoS se debe habilitar en todos los puntos de la red.

La implementación de QoS permite:

  • Simplificar las operaciones de red, contrayendo todo el tráfico de datos, voz y vídeo en una sola estructura básica con el uso de tecnologías similares.

  • Habilitar nuevas aplicaciones de red, por ejemplo, aplicaciones de centro de llamadas integradas y formación basada en vídeo, que puedan ayudar a diferenciar a las empresas en sus respectivos espacios de mercado y aumentar la productividad.

  • Supervisar el uso de recursos controlando qué tráfico recibe cada tipo de recurso. Por ejemplo, puede asegurarse de que el tráfico de vital importancia recibe los recursos de red necesarios (retraso mínimo y ancho de banda disponible) y que otras aplicaciones que utilizan el enlace obtienen el servicio que les corresponde sin interferir con el tráfico importante.

Configuración

En esta sección se presenta la información para configurar las funciones descritas en este documento.

Nota: emplee la herramienta de búsqueda de comandos ( sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

Este documento utiliza esta configuración de red:

qos-voip-vpn-1.gif

Nota: los esquemas de direccionamiento IP utilizados en esta configuración no son legalmente enrutables en Internet. Son direcciones RFC 1918 que se han utilizado en un entorno de laboratorio.

Nota: compruebe que los teléfonos IP y los host se sitúen en segmentos distintos (subredes). Se recomienda para un buen diseño de la red.

Configuraciones

Este documento usa estas configuraciones:

Configuración de QoS basada en DSCP

                  
                     !--- Cree una correspondencia de clases denominada Voice.
                  
PIX(config)#class-map Voice

                  
                     !--- Especifica el paquete que coincide con los criterios que
!--- identifican paquetes de voz que tienen un valor DSCP de "ef".
                  
PIX(config-cmap)#match dscp ef

                  
                     !--- Cree una política que se aplique a una parte de
!--- tráfico de voz.
                  
PIX(config-cmap)#policy-map Voicepolicy

                  
                     !--- Especifique el nombre de clase creado para poder
!--- aplicarle la acción.
                  
PIX(config-pmap)#class Voice

                  
                     !--- Programación de prioridad estricta de la clase Voice.
                  
PIX(config-pmap-c)#priority

                  
                     !--- Aplique la política definida en la interfaz externa.
                  
PIX(config-pmap-c)#service-policy Voicepolicy interface outside
PIX(config)#priority-queue outside
               

Nota: el valor DSCP de "ef" hace referencia al reenvío acelerado que coincide con el tráfico voip-rtp.

QoS basado en DSCP con configuración de VPN

PIX#show running-config
: Saved
:
PIX Version 7.2(2)
!
hostname PIX
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet1
 nameif outside
 security-level 0
 ip address 10.1.4.1 255.255.255.0
!

passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive


                     !--- Esta ACL de cifrado -permit identifica los flujos
!--- de tráfico coincidentes que se van a proteger mediante cifrado.

                  

                  access-list 110 extended permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
access-list 110 extended permit ip 10.1.5.0 255.255.255.0 10.1.6.0 255.255.255.0

pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
route outside 0.0.0.0 0.0.0.0 10.1.4.2 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart

                     !--- Configuración para políticas IPSec.
                  

                  crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto map mymap 10 match address 110

                  
                     !--- Especifica la dirección IP del extremo remoto.
                  

                  crypto map mymap 10 set peer 10.1.2.1

                  
                     !--- Configura IPSec para que utilice el conjunto de transformaciones
!--- "myset" definido anteriormente en esta configuración.
                  

                  crypto map mymap 10 set transform-set myset

                  crypto map mymap interface outside

                  
                     !--- Configuración para políticas IKE
                  

                  crypto isakmp policy 10

                  
                     !--- Habilita el modo de comando de configuración de políticas IKE (config-isakmp)
!--- donde se pueden especificar los parámetros que
!--- se utilizan durante las negociaciones IKE.

                  

                  authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 86400

                  
                     !--- Use este comando para crear y administrar la base de datos de
!--- registros específicos de conexión, por ejemplo, nombre de grupo
!--- como 10.2.1.1, tipo IPSec como L2L y contraseña como
!--- clave previamente compartida para túneles IPSec.
                  

                  tunnel-group 10.1.2.1 type ipsec-l2l
tunnel-group 10.1.2.1 ipsec-attributes

                  
                     !--- Especifica la clave previamente compartida "cisco123" que debe
!--- ser idéntica en ambos pares.

                  

                   pre-shared-key *

telnet timeout 5
ssh timeout 5
console timeout 0
priority-queue outside
!
class-map Voice
 match dscp ef
class-map inspection_default
 match default-inspection-traffic

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
policy-map Voicepolicy
 class Voice
  priority
!
service-policy global_policy global
service-policy Voicepolicy interface outside
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Configuración de QoS basada en una lista de control de acceso (ACL)

                  
                     !--- Permite llamadas entrantes H.323.
                  
PIX(config)#access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq h323

                  
                     !--- Permite llamadas entrantes de Protocolo de inicio de sesión (SIP).
                  
PIX(config)#access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq sip

                  
                     !--- Permite llamadas entrantes de Protocolo Skinny de control de llamadas (SCCP).
                  
PIX(config)#access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq 2000

                  
                     !--- Permite llamadas salientes H.323.
                  
Pix(config)#access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0
255.255.255.0 eq h323

                  
                     !--- Permite llamadas salientes SIP.
                  
Pix(config)#access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0
255.255.255.0 eq sip

                  
                     !--- Permite llamadas salientes SCCP.
                  
Pix(config)#access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0
255.255.255.0 eq 2000

                  
                     !--- Aplique ACL 100 para el tráfico entrante de la interfaz externa.
                  
PIX(config)#access-group 100 in interface outside


                  
                     !--- Cree una correspondencia de clases denominada Voice-IN.
                  
PIX(config)#class-map Voice-IN

                  
                     !--- Especifica el paquete que coincide con los criterios que,
!--- a su vez, coinciden con el flujo de tráfico según ACL 100.
                  
PIX(config-cmap)#match access-list 100


                  
                     !--- Cree una correspondencia de clases denominada Voice-OUT.
                  
PIX(config-cmap)#class-map Voice-OUT

                  
                     !--- Especifica el paquete que coincide con los criterios que,
!--- a su vez, coinciden con el flujo de tráfico según ACL 105.
                  
PIX(config-cmap)#match access-list 105


                  
                     !--- Cree una política que se aplique a una parte de
!--- tráfico de voz.
                  
PIX(config-cmap)#policy-map Voicepolicy

                  
                     !--- Especifique el nombre de clase creado para poder
!--- aplicarle la acción.
                  
PIX(config-pmap)#class Voice-IN
PIX(config-pmap)#class Voice-OUT

                  
                     !--- Programación de prioridad estricta de la clase Voice.
                  
PIX(config-pmap-c)#priority
PIX(config-pmap-c)#end
PIX#configure terminal
PIX(config)#priority-queue outside

                  
                     !--- Aplique la política definida en la interfaz externa.
                  
PIX(config)#service-policy Voicepolicy interface outside
PIX(config)#end
               

QoS basado en ACL con configuración de VPN

PIX#show running-config
: Saved
:
PIX Version 7.2(2)
!
hostname PIX
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet1
 nameif outside
 security-level 0
 ip address 10.1.4.1 255.255.255.0
!
interface Ethernet2
 nameif DMZ1
 security-level 95
 ip address 10.1.5.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive


                     !--- Esta ACL de cifrado -permit identifica los flujos
!--- de tráfico coincidentes que se van a proteger mediante cifrado.

                  

                  access-list 110 extended permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
access-list 110 extended permit ip 10.1.5.0 255.255.255.0 10.1.6.0 255.255.255.0


                  
                     !--- Permite llamadas entrantes H.323, SIP y SCCP.
                  

                  access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq h323
access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq sip
access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq 2000

                  
                     !--- Permite llamadas salientes H.323, SIP y SCCP.
                  

                  access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0
255.255.255.0 eq h323
access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0
255.255.255.0 eq sip
access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0
255.255.255.0 eq 2000
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group 100 in interface outside

route outside 0.0.0.0 0.0.0.0 10.1.4.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto map mymap 10 match address 110
crypto map mymap 10 set peer 10.1.2.1
crypto map mymap 10 set transform-set myset
crypto map mymap interface outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 86400
tunnel-group 10.1.2.1 type ipsec-l2l
tunnel-group 10.1.2.1 ipsec-attributes
 pre-shared-key *

telnet timeout 5
ssh timeout 5
console timeout 0
priority-queue outside
!
class-map Voice-OUT
 match access-list 105
class-map Voice-IN
 match access-list 100
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp

                     !--- Inspección habilitada para los protocolos RAS H.323, H.225 y H.323.
                  

                   inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp

                     !--- Inspección habilitada para el protocolo Skinny.
                  

                  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp

                     !--- Inspección habilitada para SIP.
                  

                  inspect sip
  inspect xdmcp
policy-map Voicepolicy
 class Voice-IN
 class Voice-OUT
  priority
!
service-policy global_policy global
service-policy Voicepolicy interface outside
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Router con configuración de VPN

Router#show running-config
Building configuration...

Current configuration : 1225 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
!
!
ip cef
!
!
!
!
!
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
crypto isakmp key cisco123 address 10.1.4.1
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap 10 ipsec-isakmp
 set peer 10.1.4.1
 set transform-set myset
 match address 110
!
!
!
!
interface Ethernet0/0
 ip address 10.1.6.1 255.255.255.0
 half-duplex
!
interface FastEthernet1/0
 ip address 172.16.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface Serial2/0
 ip address 10.1.2.1 255.255.255.0
ip access-group 100 in
 no fair-queue
 crypto map mymap
!

ip http server
no ip http secure-server
!
ip route 10.1.0.0 255.255.0.0 Serial2/0
!

                     !--- Permite el tráfico entrante IPSec.
                  

                  access-list 100 permit esp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 100 permit esp 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255
access-list 100 permit udp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 eq isakmp
access-list 100 permit udp 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255 eq isakmp


                  
                     !--- Entradas de ACL para tráfico interesante.
                  


                  access-list 110 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 110 permit ip 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255
!
!
control-plane

!
!
line con 0
line aux 0
line vty 0 4
!
!
end

Verificación

Utilice esta sección para confirmar que la configuración funciona de manera adecuada.

La herramienta intérprete de resultados ( sólo para clientes registrados) (OIT) admite algunos comandos show. Utilice OIT para ver un análisis de los resultados del comando show.

  • show running-config policy-map: muestra la configuración de correspondencia de políticas de QoS.

    PIX#show running-config policy-map
    !
    policy-map type inspect dns preset_dns_map
     parameters
      message-length maximum 512
    policy-map global_policy
     class inspection_default
      inspect dns preset_dns_map
      inspect ftp
      inspect h323 h225
      inspect h323 ras
      inspect netbios
      inspect rsh
      inspect rtsp
      inspect skinny
      inspect esmtp
      inspect sqlnet
      inspect sunrpc
      inspect tftp
      inspect sip
      inspect xdmcp
    policy-map Voicepolicy
     class Voice
      priority
                   
  • show service-policy interface outside: muestra la configuración de políticas de servicio de QoS.

    PIX#show service-policy interface outside
    
    Interface outside:
      Service-policy: Voicepolicy
        Class-map: Voice
          Priority:
            Interface outside: aggregate drop 0, aggregate transmit 0

Resolución de problemas

La herramienta intérprete de resultados ( sólo para clientes registrados) (OIT) admite algunos comandos show. Utilice OIT para ver un análisis de los resultados del comando show.

Nota: consulte Important Information on Debug Commands (Información importante sobre los comandos de depuración) antes de utilizar los comandos debug.

Utilice los comandos debug para solucionar el problema.

  • debug h323 {h225 | h245 | ras}: muestra mensajes de depuración para H.323.

  • debug sip: muestra mensajes de depuración para la inspección de aplicaciones SIP.

  • debug skinny: muestra mensajes de depuración para la inspección de aplicaciones SCCP (Skinny).


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 82310