Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Пример конфигурации PIX/ASA 7.x: QoS для трафика VoIP в VPN-туннелях

7 апреля 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (13 сентября 2013) | Английский (26 сентября 2008) | Отзыв

Содержание

Введение
Предварительные условия
     Требования
     Используемые компоненты
     Сопутствующие продукты
     Условные обозначения
Общие сведения
Настройка
     Схема сети
     Конфигурации
Проверка
Устранение неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В этом документе представлен пример конфигурации качества обслуживания (QoS) для трафика VoIP в VPN-туннелях, которые подключаются к устройствам защиты PIX/ASA.

Предварительные условия

Требования

В документе предполагается, что необходимые конфигурации IPsec VPN для соединения ЛВС (L2L) применены на всех устройствах и работают верно.

Используемые компоненты

Информация в этом документе относится к устройствам защиты Cisco PIX серии 500 под управлением ПО версии 7.x.

Сведения в этом документе были получены в результате тестирования устройств в специфической лабораторной среде. Все устройства, используемые в этом документе, запускались с чистой конфигурацией (конфигурацией по умолчанию). Если сеть работает в реальных условиях, убедитесь в понимании потенциального воздействия каждой команды.

Сопутствующие продукты

Эту конфигурацию также можно использовать в Cisco Adaptive Security Appliance (ASA) серии 5500 под управлением ПО версии 7.x.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в документе Cisco Technical Tips Conventions (Условные обозначения, используемые в технической документации Cisco).

Общие сведения

QoS — это стратегия управления трафиком, которая позволяет выделять сетевые ресурсы для критических и обычных данных на основе типа сетевого трафика и приоритета, назначенного этому трафику. QoS гарантирует беспрепятственное прохождение приоритетного сетевого трафика и позволяет ограничивать (на базе политик) скорость передачи для стандартного трафика.

Например, объемы передаваемого видео и VoIP между географически распределенными офисами постоянно повышаются. При этом в качестве транспорта используется инфраструктура Интернет. Брандмауэры являются ключевым элементом сетевой безопасности, так как обеспечивают контроль доступа, который подразумевает анализ протоколов VoIP. QoS служит для обеспечения безошибочной и непрерывной видео- и голосовой связи, и в то же время предоставляет базовый уровень обслуживания другим типам трафика, проходящим через устройство.

Чтобы голосовой и видеотрафик мог передаваться через IP-сети с максимальной безопасностью, надежностью и качеством связи, необходимо активировать QoS на всех компонентах сети.

Внедрение QoS позволяет:

  • Упростить эксплуатацию сети, объединив трафик данных, голоса и видео в одной магистрали с использованием одинаковых технологий.

  • Внедрить новые сетевые приложения, такие как интегрированные центры обработки вызовов и видеообучение, которые позволяют выделить предприятие из ряда конкурентов в том или ином сегменте рынка.

  • Управлять ресурсами, контролируя выделение ресурсов для трафика. Например, можно гарантировать, что самый важный и срочный трафик получит сетевые ресурсы (доступную полосу пропускания и минимальную задержку), в которых нуждается, и что другие приложения, использующие данную линию связи, получат соответствующий уровень обслуживания, не мешая передаче критически важного трафика.

Настройка

В этом разделе представлены сведения о настройке функций, описанных в данном документе

Примечание: Используйте инструмент CommandLookup Tool (registered customers only) для получения информации о командах, используемых в этом разделе.

Схема сети

В этом документе используется следующая конфигурация сети:

qos-voip-vpn-1.gif

Примечание:  Схемы IP-адресации, используемые в этом документе, нельзя использовать для маршрутизации в Интернете. Это адреса RFC 1918, используемые в лабораторной среде.

Примечание: Убедитесь, что IP-телефоны и хосты находятся в разных сегментах (подсетях). Это рекомендуется для эффективной работы сети.

Конфигурации

В этом документе используются следующие конфигурации:

Конфигурация QoS на базе DSCP

!--- Create a class map named Voice.

PIX(config)#class-map Voice
!--- Specifies the packet that matches criteria that
!--- identifies voice packets that have a DSCP value of "ef".

PIX(config-cmap)#match dscp ef
!--- Create a policy to be applied to a set 
!--- of voice traffic.

PIX(config-cmap)#policy-map Voicepolicy
!--- Specify the class name created in order to apply 
!--- the action to it.

PIX(config-pmap)#class Voice
!--- Strict scheduling priority for the class Voice.

PIX(config-pmap-c)#priority
!--- Apply the policy defined to the outside interface.

PIX(config-pmap-c)#service-policy Voicepolicy interface outside
PIX(config)#priority-queue outside

Примечание: Значение "ef" параметра DSCP относится к срочной пересылке, соответствующей трафику voip-rtp.

Конфигурация QoS на базе DSCP с VPN

PIX#show running-config
: Saved
:
PIX Version 7.2(2)
!
hostname PIX
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet1
 nameif outside
 security-level 0
 ip address 10.1.4.1 255.255.255.0
!

passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

!--- This crypto ACL-permit identifies the 
!--- matching traffic flows to be protected via encryption.


access-list 110 extended permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
access-list 110 extended permit ip 10.1.5.0 255.255.255.0 10.1.6.0 255.255.255.0

pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
route outside 0.0.0.0 0.0.0.0 10.1.4.2 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
!--- Configuration for IPsec policies.

crypto ipsec transform-set myset esp-des esp-md5-hmaccrypto map mymap 10 match address 110
!--- Sets the IP address of the remote end.

crypto map mymap 10 set peer 10.1.2.1
!--- Configures IPsec to use the transform-set 
!--- "myset" defined earlier in this configuration.

crypto map mymap 10 set transform-set myset
crypto map mymap interface outside
!--- Configuration for IKE policies

crypto isakmp policy 10
!--- Enables the IKE policy configuration (config-isakmp) 
!--- command mode, where you can specify the parameters that 
!--- are used during an IKE negotiation.

 
authentication pre-share encryption 3des hash md5 group 2 lifetime 86400
!--- Use this command in order to create and manage the database of 
!--- connection-specific records like group name 
!--- as 10.2.1.1, IPsec type as L2L, and password as 
!--- pre-shared key for IPsec tunnels.

tunnel-group 10.1.2.1 type ipsec-l2ltunnel-group 10.1.2.1 ipsec-attributes
!--- Specifies the preshared key "cisco123" which should 
!--- be identical at both peers. 


 pre-shared-key *
 
telnet timeout 5
ssh timeout 5
console timeout 0
priority-queue outside
!
class-map Voice match dscp ef
class-map inspection_default
 match default-inspection-traffic

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
policy-map Voicepolicy class Voice priority
!
service-policy global_policy global
service-policy Voicepolicy interface outside
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Конфигурация QoS на базе списков контроля доступа(ACL)

!--- Permits inbound H.323 calls.

PIX(config)#access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0 255.255.255.0 eq h323
!--- Permits inbound Session Internet Protocol (SIP) calls.

PIX(config)#access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq sip
!--- Permits inbound Skinny Call Control Protocol (SCCP) calls.

PIX(config)#access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0 
255.255.255.0 eq 2000
!--- Permits outbound H.323 calls.

Pix(config)#access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0 eq h323
!--- Permits outbound SIP calls.

Pix(config)#access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0 eq sip
!--- Permits outbound SCCP calls.

Pix(config)#access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0 eq 2000
!--- Apply the ACL 100 for the inbound traffic of the outside interface.

PIX(config)#access-group 100 in interface outside

!--- Create a class map named Voice-IN.

PIX(config)#class-map Voice-IN
!--- Specifies the packet matching criteria which 
!--- matches the traffic flow as per ACL 100.

PIX(config-cmap)#match access-list 100

!--- Create a class map named Voice-OUT.

PIX(config-cmap)#class-map Voice-OUT
!--- Specifies the packet matching criteria which 
!--- matches the traffic flow as per ACL 105.

PIX(config-cmap)#match access-list 105

!--- Create a policy to be applied to a set 
!--- of Voice traffic.

PIX(config-cmap)#policy-map Voicepolicy
!--- Specify the class name created in order to apply 
!--- the action to it.

PIX(config-pmap)#class Voice-IN
PIX(config-pmap)#class Voice-OUT
!--- Strict scheduling priority for the class Voice.

PIX(config-pmap-c)#priority
PIX(config-pmap-c)#end
PIX#configure terminal
PIX(config)#priority-queue outside
!--- Apply the policy defined to the outside interface.

PIX(config)#service-policy Voicepolicy interface outside
PIX(config)#end

Конфигурация QoS на базе ACL с VPN

PIX#show running-config
: Saved
:
PIX Version 7.2(2)
!
hostname PIX
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
interface Ethernet1
 nameif outside
 security-level 0
 ip address 10.1.4.1 255.255.255.0
!
interface Ethernet2
 nameif DMZ1
 security-level 95
 ip address 10.1.5.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

!--- This crypto ACL-permit identifies the 
!--- matching traffic flows to be protected via encryption.


access-list 110 extended permit ip 10.1.1.0 255.255.255.0 172.16.1.0 255.255.255.0
access-list 110 extended permit ip 10.1.5.0 255.255.255.0 10.1.6.0 255.255.255.0

!--- Permits inbound H.323, SIP and SCCP calls.

access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0 
255.255.255.0 eq h323
access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0 
255.255.255.0 eq sip
access-list 100 extended permit tcp 172.16.1.0 255.255.255.0 10.1.1.0
255.255.255.0 eq 2000

!--- Permit outbound H.323, SIP and SCCP calls.

access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 
255.255.255.0 eq h323
access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 
255.255.255.0 eq sip
access-list 105 extended permit tcp 10.1.1.0 255.255.255.0 172.16.1.0 
255.255.255.0 eq 2000
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group 100 in interface outside

route outside 0.0.0.0 0.0.0.0 10.1.4.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto map mymap 10 match address 110
crypto map mymap 10 set peer 10.1.2.1
crypto map mymap 10 set transform-set myset
crypto map mymap interface outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 86400
tunnel-group 10.1.2.1 type ipsec-l2l
tunnel-group 10.1.2.1 ipsec-attributes
 pre-shared-key *

telnet timeout 5
ssh timeout 5
console timeout 0
priority-queue outside
!
class-map Voice-OUT
 match access-list 105
class-map Voice-IN
 match access-list 100
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
!--- Inspection enabled for H.323, H.225 and H.323 RAS protocols.

  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
!--- Inspection enabled for Skinny protocol.

  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
!--- Inspection enabled for SIP.

  inspect sip
  inspect xdmcp
policy-map Voicepolicy
 class Voice-IN
 class Voice-OUT
  priority
!
service-policy global_policy global
service-policy Voicepolicy interface outside
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

Конфигурация маршрутизатора с VPN

Router#show running-config
Building configuration...

Current configuration : 1225 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
!
!
ip cef
!
!
!
!
!
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
crypto isakmp key cisco123 address 10.1.4.1
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
!
crypto map mymap 10 ipsec-isakmp
 set peer 10.1.4.1
 set transform-set myset
 match address 110
!
!
!
!
interface Ethernet0/0
 ip address 10.1.6.1 255.255.255.0
 half-duplex
!
interface FastEthernet1/0
 ip address 172.16.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface Serial2/0
 ip address 10.1.2.1 255.255.255.0
ip access-group 100 in
 no fair-queue
 crypto map mymap
!

ip http server
no ip http secure-server
!
ip route 10.1.0.0 255.255.0.0 Serial2/0
!
!--- Permits inbound IPsec traffic.

access-list 100 permit esp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 100 permit esp 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255
access-list 100 permit udp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 eq isakmp
access-list 100 permit udp 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255 eq isakmp

!--- ACL entries for interesting traffic.


access-list 110 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 110 permit ip 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255
!
!
control-plane

!
!
line con 0
line aux 0
line vty 0 4
!
!
end

Проверка

Используйте этот раздел для проверки правильности работы конфигурации.

Интерпретатор выходных данных (registered customers only) (средство OIT) поддерживает некоторые команды show . Используйте средство OIT для анализа выходных данных команд show .

  • show running-config policy-map— показывает конфигурацию карты политик QoS.

    PIX#show running-config policy-map
    !
    policy-map type inspect dns preset_dns_map
     parameters
      message-length maximum 512
    policy-map global_policy
     class inspection_default
      inspect dns preset_dns_map
      inspect ftp
      inspect h323 h225
      inspect h323 ras
      inspect netbios
      inspect rsh
      inspect rtsp
      inspect skinny
      inspect esmtp
      inspect sqlnet
      inspect sunrpc
      inspect tftp
      inspect sip
      inspect xdmcp
    policy-map Voicepolicy
     class Voice
      priority
    
  • show service-policy interface outside— показывает конфигурацию политик обслуживания QoS.

    PIX#show service-policy interface outside
    
    Interface outside:
      Service-policy: Voicepolicy
        Class-map: Voice
          Priority:
            Interface outside: aggregate drop 0, aggregate transmit 0

Устранение неполадок

Интерпретатор выходных данных (registered customers only) (средство OIT) поддерживает некоторые команды show . Используйте средство OIT для анализа выходных данных команд show .

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug .

Используйте команды debug для поиска и устранения неполадок.

  • debug h323 {h225 | h245 | ras}— выводит сообщения отладки для H.323.

  • debug sip— выводит сообщения отладки для анализа приложений SIP.

  • debug skinny— выводит сообщения отладки для анализа приложений SCCP (Skinny).

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 82310