Качество обслуживания (QoS) : QoS Packet Marking

Справочник по выполнению шифрования и QoS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (20 октября 2015) | Отзыв


Содержание


Введение

Когда VPN растут для включения данных, голоса и видеотрафика, различные типы трафика должны быть обработаны по-другому в сети. Качество обслуживания (QoS) и характеристики управления пропускной способностью позволяют VPN отправлять высокое качество передачи для критичных по времени приложений, таких как голос и видео. Каждый пакет помечен для определения приоритета и чувствительности времени его информационного наполнения, и трафик сортируется и маршрутизируется на основе его приоритета доставки. Решения Cisco VPN поддерживают широкий диапазон Характеристик QoS.

Этот документ разработан для служения в качестве отдельной ссылки для пользователей, которые настраивают Cisco шифрование IOS� и Характеристики QoS в той же сети или наборе маршрутизаторов. Будут показаны основы настройки как входных, так и выходных политик QoS при наличии системы IP-безопасности (IPSec) и GRE-туннелей (туннелей инкапсуляции основных маршрутов). Этот документ помогает понять задачи настройки. Это также предоставляет сведения об ограничениях и известных неполадках, для обеспечения оптимальной производительности и успешного внедрения сервисов улучшенного IP с помощью маршрутизаторов Cisco.

Предварительные условия

Требования

Для использования данного документа требуется знание следующих тем:

  • Технология IPSec

Для большего количества полной документации на IPSec обратитесь к Введению в защитное IP - шифрованию (IPSec).

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Протоколы IPSec

Подробное обсуждение Протоколов IPSec выходит за рамки этого документа. Однако обзор предоставлен в этом разделе. Посмотрите раздел "Дополнительных сведений" этого документа для дальнейших ресурсов IPSec.

IPSec определяет аутентификацию сетевого уровня и модель шифрования. Это состоит из обмена ключа шифрования для построения безопасного соединения, и аутентификации и протоколов шифрования, о которых два узла выполняют согласование и затем используют всюду по сроку действия зашифрованного соединения.

Протокол ISAKMP выполняет согласование о политике шифрования и предоставляет общую структуру для генерации ключей, разделенных Узлами IPsec. Результатом согласований ISAKMP является Сопоставление безопасности (SA). В этом примере выходных данных команды show crypto isakmp policy" содержатся параметры, используемые при согласовании SA:

P5R0#show crypto isakmp policy 
Protection suite of priority 100 
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys). 
        hash algorithm:         Secure Hash Standard 
        authentication method:  Pre-Shared Key 
        
!--- Supports pre-shared keys or a public/private 

		
!--- key mechanism such as RSA.
 
        Diffie-Hellman group:   #1 (768 bit) 
        lifetime:               86400 seconds, no volume limit 
        
!--- Lifetime can be based on time or on the  number of transmitted bytes.
 
Default protection suite 
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys). 
        hash algorithm:         Secure Hash Standard 
        authentication method:  Rivest-Shamir-Adleman Signature 
        Diffie-Hellman group:   #1 (768 bit) 
        lifetime:               86400 seconds, no volume limit

Согласования ISAKMP приводят к зашифрованному соединению (и SA), через который узлы выполняют согласование о дополнительных Параметрах IPSec. Сюда относятся фактические протоколы, используемые для защиты IP-датаграм. В частности эти два однорангового шифрования выполняет согласование о параметрах в этой таблице.

Параметр Опции
Набор протокола IPSec
  • Протокол аутентификации заголовка (AH)
  • Инкапсуляция защищенной полезной нагрузки (протокол ESP)
Для большинства приложений, или AH или ESP достаточно.
Режим
  • Туннельный режим — вставка нового, инкапсулированного IP-заголовка с сохранением и шифрованием исходного IP-заголовка.
  • Транспортный режим – сохраняет исходный IP-заголовок, но изменяет поле протокола на значение 51 или 50, чтобы отразить заголовок AH или ESP соответственно.
В фазе согласования ISAKMP автоматически возвращается в туннельный режим, если транспортный режим желателен, но не может быть установлен.

Примечание: RFC 2401 leavingcisco.comиспользует термины "внешний" или "инкапсулирующий" заголовок для описания нового IP - заголовка с туннельным режимом и "внутреннего" заголовка для описания исходного заголовка IP. Пример из спецификации RFC: "Внешний Адрес источника IP - заголовка и Адрес назначения (DA) определяют "оконечные точки" туннеля (encapsulator и decapsulator). Исходный адрес внутреннего заголовка IP и конечные адреса определяют исходного отправителя и получателя дейтаграммы (с точки зрения этого туннеля) соответственно. Данные термины используются в оставшейся части документа.

Набор для преобразования
  • AH для аутентификации только.
  • ESP для аутентификации и шифрования.

Выходные данные от команды show crypto ipsec sa address иллюстрируют КОНТЕКСТ БЕЗОПАСНОСТИ IPSEC, каждый из которых определен индексом параметров безопасности (SPI). Например, соединение, определенное с SPI 0x21A85375 (564679541) использование алгоритм MD5-HMAC для AH и DES для ESP.

P5R0#show crypto ipsec sa address 
dest address: 10.1.1.1 

!--- Address of the IPSec peer.
 
   protocol: AH 
      spi: 0x93B90183(2478375299) 
        transform: ah-md5-hmac , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 2808, flow_id: 405, crypto map: testibm 
        sa timing: remaining key lifetime (k/sec): (4607901/1654) 
        replay detection support: Y 
      spi: 0x21A85375(564679541) 
        transform: ah-md5-hmac , 
        
!--- AH  uses the MD5-HMAC algorithm.
 
        in use settings ={Transport, } 
        slot: 0, conn id: 2812, flow_id: 407, crypto map: testibm 
        sa timing: remaining key lifetime (k/sec): (4607915/1604) 
        replay detection support: Y 

   protocol: ESP 
      spi: 0xDFF0FEC3(3757113027) 
        transform: esp-des , 
        in use settings ={Tunnel, } 
        slot: 0, conn id: 2810, flow_id: 405, crypto map: testibm 
        sa timing: remaining key lifetime (k/sec): (4607901/1654) 
        IV size: 8 bytes 
        replay detection support: Y 
      spi: 0xDB00B862(3674257506) 
        transform: esp-des , 
        
!--- ESP  uses DES.
 
        in use settings ={Transport, } 
        
!--- Transport mode accepted for this flow.
 
        slot: 0, conn id: 2814, flow_id: 407, crypto map: testibm 
        sa timing: remaining key lifetime (k/sec): (4607914/1568) 
        IV size: 8 bytes 
        replay detection support: Y

AH и ESP

Как обращено внимание в таблице выше, AH и ESP может использоваться независимо или вместе. Однако для большинства приложений только один достаточен. Для обоих из этих протоколов IPSec не определяет определенные алгоритмы безопасности для использования. Вместо этого это предоставляет открытую архитектуру для осуществления алгоритмов соответствующий промышленным стандартам.

AH предоставляет строгую целостность и аутентификацию для дейтаграмм IP с помощью алгоритмов хэширования MD5 или SHA. Это также предоставляет невозможность отрицать факт отправки. AH занимает как минимум 12 байт и показан на этом рисунке. Центр по присвоению номеров Internet (IANA) присвоил AH номер протокола 51. Таким образом, при наличии заголовка AH как в режиме туннеля, так и в транспортном режиме, IP-заголовок использует значение 51 в поле протокола.

На следующем рисунке показан формат пакета с AH-заголовком IPSec. С туннельным режимом значение в байтах типа обслуживания (ToS) скопировано автоматически от исходного заголовка IP до заголовка туннеля. Для получения дополнительных сведений см. раздел "Классификация пакетов" данного документа.

http://www.cisco.com/c/dam/en/us/support/docs/quality-of-service-qos/qos-packet-marking/18667-crypto-qos-01.gif

ESP состоит из незашифрованного заголовка, придерживавшегося зашифрованными данными и зашифрованным трейлером. ESP предоставляет и шифрование и аутентификацию. Как с AH, ESP SHA поддержек и алгоритмы хэширования MD5 для аутентификации. Это поддерживает DES и 3DES как протоколы шифрования. Заголовок ESP составляет по крайней мере 8 байтов и проиллюстрирован в этом рисунке. IANA присвоил процессору ESP номер протокола 50. Таким образом, в присутствии (только) заголовка ESP и с туннельным режимом и с транспортным режимом, IP - заголовок использует значение 50 в поле протокола.

Этот рисунок показы формат пакета с заголовком IPSec ESP и трейлером. В туннельном режиме значение байта ToS автоматически копируется из исходного заголовка IP в заголовок туннеля. Для получения дополнительных сведений см. раздел "Классификация пакетов" данного документа.

http://www.cisco.com/c/dam/en/us/support/docs/quality-of-service-qos/qos-packet-marking/18667-crypto-qos-02.gif

Используйте туннели GRE с протоколом IPSec

IPSec не поддерживает групповую адресацию или не-IP трафик, такой как Internetwork Packet Exchange (IPA) и AppleTalk. Факт, что IPSec не поддерживает групповую адресацию, означает, что это не может перенести информацию о протоколе маршрутизации, которая передана в многоадресном режиме как EIGRP (224.0.0.10) и OSPF (224.0.0.5 и 224.0.0.6). GRE используется для инкапсуляции многоадресного трафика. Затем его можно зашифровать с помощью IPSec, чтобы трафик протокола маршрутизации мог проходить через VPN. Для примера конфигурации IPSec и GRE, обратитесь к Настройке Туннель GRE По IPSec с OSPF.

Заголовок Туннеля GRE представляет второй уровень инкапсуляции. При использовании только Туннелей GRE и никакого IPSec обратитесь к Опциям Качества обслуживания на Туннельных интерфейсах GRE. На этом рисунке показан пакет, инкапсулированный с IPSec, GRE и исходными заголовками IP:

http://www.cisco.com/c/dam/en/us/support/docs/quality-of-service-qos/qos-packet-marking/18667-crypto-qos-03.gif

Классифицируйте пакеты

Классификация определяет процесс соответствия с тем или большим количеством полей в Уровне 2 пакета, 3, или 4 заголовка и затем размещение того пакета в группе или классе трафика. С помощью классификации пакетов можно разделить сетевой трафик на несколько уровней приоритета или классов обслуживания.

Во время настройки IPSec с GRE простейший классификационный подход заключается в сопоставлении приоритета IP или значений DSCP. Cisco IOS Software Release 11.3T представил поддержку IPSec и вместе с ним функция сохранения байт ToS. С помощью этого средства маршрутизатор автоматически копирует значение заголовка ToS из исходного IP-пакета в формируемый IP-заголовок при использовании IPSec в режиме туннеля.

Версия 5.1 Межсетевого экрана Cisco PIX и позже и версия 3.5 Концентратора серии VPN 3000 и более позднее копирование байта ToS поддержки. Раздел 5. 1.2, "Структура заголовка для Туннельного режима", в RFC 2401 leavingcisco.com передает под мандат копирование битов ToS IP.

Сохранение байта типа обслуживания ToS также применяется к AH. Также обратите внимание, что ESP в транспортном режиме сохраняет исходный заголовок IP, и исходное значение ToS передано даже без сохранения байт ToS.

Если пакеты достигают маршрутизатора без IP precedence набора или DSCP-значений, можно отметить на основе класса для замечания заголовков пакета перед шифрованием или инкапсуляцией. Когда пакеты достигают исходящего интерфейса, политика вывода QoS может тогда совпасть и действовать на повторно помеченные значения.

При настройке политики QoS га основании IP-приоритетов применяются две политики.

Тип политики Действия политики Местонахождение политики
Ввод IP precedence Марка в исходном заголовке IP. Входной интерфейс
Выходные данные Обеспечение гарантии минимальной полосы пропускания для класса трафика, отличающегося старшинством IP. Исходящий интерфейс

Эта таблица показывает конфигурацию для политики QoS на основе IP precedence:

Основанное на ToS QoS
Входящая политика
access-list 150 permit tcp any any eq www
access-list 150 permit tcp any eq www any
access-list 151 permit tcp any any eq telnet
access-list 151 permit tcp any eq telnet any 
!
class-map match-any ingress-web
  match access-group 150
class-map match-any ingress-telnet
  match access-group 151
!
policy-map setToS
  class ingress-web
   set ip precedence 1
  class ingress-telnet
   set ip precedence 2
!
interface ethernet 0/0
  service-policy in setToS
Политика вывода
class-map match-any egress-web
  match ip precedence 1
class-map match-any egress-telnet
  match ip precedence 2
!
policy-map useToS
  class egress-web
    bandwidth percent 25
  class egress-telnet
    bandwidth percent 15
!
interface serial 1/0
  bandwidth 512
  service-policy out useToS
  crypto-map TEST

Несмотря на то, что не показанный, можно также применить Взвешенное произвольное раннее обнаружение (WRED) к каждому классу как альтернативный механизм отбрасывания к отбрасыванию остатка.

Повторно помеченное значение приоритета IP передается по сети. Поэтому, чтобы избежать непредвиденных классификаций и изменений производительности, убедитесь, что через домен QoS внедрены соответствующие политики.

Поочередно, можно хотеть классифицировать трафик на основе значений кроме IP precedence или DSCP. Например, можно хотеть классифицировать пакеты на основе IP flow или информации сетевого уровня 3, такие как IP - адрес источника и получателя. Для этого нужно использовать QoS для функции VPN. Эта опция активирована с командой qos pre-classify и доступна для маршрутизаторов Cisco серии 7100 с поддержкой VPN и маршрутизаторов Cisco серии 7200 начиная с программного обеспечения Cisco IOS версии 12.1(5)T и для маршрутизаторов "серий 2600 и 3600" начиная с программного обеспечения Cisco IOS версии 12.2(2)T. Обратитесь к качеству обслуживания (QoS) виртуальных частных сетей Настройки.

Механизм qos pre-classify позволяет маршрутизаторам Cisco создавать копию внутреннего IP-заголовка и выполнять перед шифрованием классификацию QoS на основе полей во внутреннем IP-заголовке. Без этой функции модуль классификации видит только одиночный зашифрованный и туннелируемый поток начиная со всех пакетов, которые пересекают по тому же туннелю, имеют тот же заголовок туннеля и проходят то же лечение в случае перегрузки.

Если политика классификации совпадает с байтом ToS, вы не должны использовать команду qos pre-classify, так как значение ToS скопировано к внешнему заголовку по умолчанию. Можно создать простую стратегию качества сервиса QoS, которая сортирует трафик на классы на основе IP старшинства. Однако, чтобы дифференцировать трафик в классе и разделить его на множественные очереди на основе потока, команда qos pre-classify требуется.

Примечание: Копирование байта ToS выполняется с помощью механизма туннелирования, а не команды qos pre-classify.

Команда qos pre-classify может использоваться в различных точках конфигурации, как показано ниже.

  • GRE только - Настраивает команду qos pre-classify на туннельном интерфейсе.

    interface Tunnel0
      ip address 1.1.1.1 255.255.255.252
      qos pre-classify
      tunnel source 12.2.2.8
      tunnel destination 12.2.2.6
    !
    interface serial 0/0
      ip address 12.2.2.8 255.255.255.0
      fair-queue
  • IPSec только - Настраивает команду qos pre-classify под криптокартой.

    crypto map TEST 10 ipsec-isakmp
      set peer 5.5.5.5
      set transform-set SET
      match address Test
      qos pre-classify
    !
    interface serial 0/0
      ip address 5.5.5.4 255.255.255.0
      crypto map TEST
      random-detect
      random-detect flow
  • IPSec и GRE - Настраивают команду qos pre-classify на туннельном интерфейсе и под криптокартой.

    crypto map TEST 10 ipsec-isakmp
      set peer 12.2.2.6
      set transform-set SET
      match address Test
      qos pre-classify
    !
    interface Tunnel0
      ip address 1.1.1.1 255.255.255.252
      qos pre-classify
      tunnel source 12.2.2.8
      tunnel destination 12.2.2.6
      crypto map TEST
    !
    interface serial 0/0
      ip address 12.2.2.8 255.255.255.0
      service-policy out matchPORTnumbers
      crypto map TEST

Выполните эти шаги для настройки преклассификации QoS с IPSec и GRE.

  1. Настройте криптокарту и задайте команду qos pre-classify в режиме конфигурации карты.

    crypto map cryptomap_gre1 10 ipsec-isakmp
    	set peer 172.32.241.9
    	set transform-set transf_GRE1_transport
    	match address 130
    	qos pre-classify
  2. Используйте команду show crypto map для подтверждения конфигурации.

    2621vpn1#show crypto map
    Crypto Map: "cryptomap_gre1" idb: Loopback0 local address: 172.31.247.1
    Crypto Map "cryptomap_gre1" 10 ipsec-isakmp
            Description: Crypto map on GRE1 tunnel mode transport - 10.240.252.0->3/30
            Peer = 172.32.241.9
            Extended IP access list 130
                access-list 130 permit gre host 172.31.247.1 host 172.32.241.9
            Current peer: 172.32.241.9
            Security association lifetime: 4608000 kilobytes/3600 seconds
            PFS (Y/N): N
            Transform sets={ transf_GRE1_transport, }
            QOS pre-classification
  3. Определите Туннельный интерфейс GRE и примените криптокарту и команды qos pre-classify.

    interface Tunnel0
    ip address 10.240.252.1 255.255.255.252
    qos pre-classify
    tunnel source Loopback0
    tunnel destination 172.32.241.9
    crypto map cryptomap_gre1
  4. Используйте команду show interface tunnel 0, чтобы подтвердить, что включена преклассификация QoS.

    2621vpn1#show interface tunnel 0
    Tunnel0 is up, line protocol is up
      Hardware is Tunnel
      Description: VPN resilience test - 1st GRE tunnel Interface mode transport - 10.240.252.0->3/3
      Internet address is 10.240.252.1/30
      Tunnel source 172.31.247.1 (Loopback0), destination 172.32.241.9
      Tunnel protocol/transport GRE/IP, key disabled, sequencing disabled
      Checksumming of packets disabled,  fast tunneling enabled
      Last input 00:00:04, output 00:00:04, output hang never
      Last clearing of "show interface" counters 00:00:51
      Queueing strategy: fifo (QOS pre-classification)
      Output queue 0/0, 0 drops; input queue 0/75, 0 drops

Выходные данные, приведенные выше, показывают, что туннельный интерфейс продолжает использовать FIFO в качестве стратегии организации очереди, даже в случае предварительной классификации QoS и нестандартной очереди. Это проиллюстрировано в выходных данных команды show со стратегией Организации очереди линии: FIFO (предварительная классификация QOS). И GRE и Туннели IPSec требуют организации очереди FIFO, так как целевое устройство отбрасывает Пакеты ipsec, которые поступают не в порядке.

В Среде VPN можно применить политику обслуживания QoS к туннельному интерфейсу или к базовому физическому интерфейсу. Решение о настройке команды qos pre-classify зависит от того, какой заголовок и какие значения заголовка планируется использовать для классификации.

  • Если вы хотите классифицировать пакеты на основе внутреннего заголовка, применить политику к туннельному интерфейсу без команды qos pre-classify.

  • Если вы хотите классифицировать пакеты на основе внешнего заголовка, применить политику к физическому интерфейсу без команды qos pre-classify.

  • Если вы хотите классифицировать пакеты на основе внутреннего заголовка и применить политику к физическому интерфейсу, так как физический интерфейс может быть точкой перегрузки, применить политику к физическому интерфейсу и включить команду qos pre-classify.

С мая 2002 Cisco рекомендует приложение иерархической политики к физическому интерфейсу в Среде VPN. Именуйте Политику трафика как политику QoS (Иерархическая политика трафика) Пример. В этой конфигурации родительская политика включает один класс на туннель, чтобы классифицировать или совпасть на всем трафике, который принадлежит тому туннелю и использует команду формы для ограничения выходных данных туннеля. Классификация потоков в туннеле применена с помощью дочерней политики и может основываться на внутреннем IP - заголовке с командой qos pre-classify или на внешнем IP - заголовке без команды qos pre-classify. Гарантируйте, что указанная величина полосы пропускания в команде формы каждой родительской политики для туннелей не превышает намеченную сумму интерфейсной скорости.

Вот шаги в эту конфигурацию.

  1. Создайте классы дочерней политики. Например, примите решение совпасть на определенном DSCP или значениях приоритета IP-трафика, если те значения уже установлены на трафиках.

    class-map ef 
      match ip dscp ef 
    class-map af 
      match ip dscp af31
  2. Создайте карту дочерней политики. Укажите классы, использованные на первом шаге. Примените к ним действия QoS. Примеры таких действий включают спецификацию постановки в очередь с установлением приоритетa с приоритетной командой или спецификацию минимальной пропускной способности с командой bandwidth.

    policy-map QoS 
      class ef 
        priority percent a% 
      class af 
        bandwidth percent b%
  3. Создайте классы родительской политики. Используйте команду access-list для указания ACL, классифицирующих весь трафик определенного туннеля путем сопоставления источника туннеля и IP-адресов получателя. Затем создайте схему классов и используйте команду match access-group для ссылки ACL.

    class-map class-tunnel1 
      match access-group 101 
    class-map class-tunnel2 
      match access-group 102 
    class-map class-tunnel3 
      match access-group 103
  4. Создайте карту родительской политики. Задайте классы, которые вы использовали в шаге 3. Примените команду формы к каждому классу для ограничения выходных данных всего трафика, который прибывает из туннельного интерфейса.

    policy-map main 
      class class-tunnel1 
        shape average x1 bps 
        service-policy QoS 
      class class-tunnel2 
        shape average x2 bps 
        service-policy QoS 
      class class-tunnel3 
        shape average x3 bps 
        service-policy QoS 
      class class-default 
        shape average x4 bps
  5. Примените карту родительской политики с физическим интерфейсом с помощью команды service-policy.

    interface serial 1/0 
      service-policy out main

Примечание: Если приложение требует преклассификации QoS в IPSec или IPSec со средой GRE, включите команду qos pre-classify на криптокарте. Условия соответствия родительского класса должны иметь ту же группу доступа, что и криптокарта. В примере условия соответствия для класса-tunnel1 используют ту же группу доступа в качестве криптокарты, которую вы подключаете к физическому интерфейсу или Туннельному интерфейсу GRE. Cisco поддерживает и программное шифрование и аппаратное шифрование, также известное как ускорители шифрования. Данная таблица содержит аппаратные средства шифрования Cisco и поддержку для предварительной классификации:

Платформа Аппаратное обеспечение шифрования Поддержка предварительной классификации QoS
Серия Cisco 1700 Скорость передачи данных по кабелю VPN с использованием аппаратного шифрования. Cisco IOS Software Release 12.2T поддерживает организацию очереди с малой задержкой (LLQ) прежде крипто-.
Cisco 2600 и серии 3600 Cisco 2600 поддерживает один внутренний AIM-слот. Cisco 3660 поддерживает два AIM-слота.
  • AIM-VPN/BP (Базовая производительность)
  • AIM-VPN/EP (Повышенная производительность)
  • AIM-VPN/MP (Середина Производительности)
  • AIM-VPN/Высокая производительность (HP)
Премьер-министр маршрутизатора Cisco серии 7200 приложение оборудования в помещении заказчика Модуль многофункционального модульного маршрутизатора виртуальной частной сети для Cisco 2600 и серии 3600 Бандлы VPN маршрутизатор Cisco 2600 и 3600
Доступный, с программного обеспечения Cisco IOS версии 12.2(2)T.
Cisco 7100 и серии 7200 SA-VAM – это модуль ускорения VPN. Это устанавливает в слоте адаптера порта на Cisco 7200 или серии 7100 и устанавливает в слоте сервисного модуля на серии Cisco 7100. Cisco IOS Software Release 12.2T поддерживает LLQ перед крипто-функцией.
Cisco 7100 и серии 7200 SA-ISA(=) и SA-ISM(=) являются адаптером интегрированной службы и интегрированным модулем службы соответственно. Доступный в программном обеспечении Cisco IOS версии 12.2, 12.2T, 12.1E, и 12.0 (5) XE.

Поведение политик QoS изменяется в присутствии аппаратного шифрования при изменении коммутируемого пути пакетов в маршрутизаторе. С аппаратным шифрованием ЦПУ перенаправляет пакет к зашифрованному модулю, прежде чем это будет помещено в очередь на исходящем интерфейсе. Таким образом, в IPSec в среде GRE с аппаратным шифрованием имеются две точки потенциальной перегруженности:

  • Очередь шифрования — Поддерживает FIFO только. При использовании или аппаратных средств или программного шифрования, чувствительных к задержке пакет, таких как Передача голоса по IP (VoIP) потоки Протокола RTP, можно встретиться с некоторой задержкой в одиночной очереди FIFO процесса инкапсуляции. Когда очередь уже держит большое количество трафика данных, эти увеличения задержки как чувствительные к задержке пакет поступают. Для уменьшения любого влияния выберите Серию маршрутизаторов Cisco соответственно масштабированной архитектурой и используйте аппаратное ускорение. Если ядро шифрования не переполнено, то оно не излагает проблемы иметь FIFO для ядра шифрования, пока FIFO не является слишком маленьким для поглощения всплеска трафика. При выполнении VoIP через ядро шифрования можно хотеть понять задержку через механизм.

  • Очередь на уровне интерфейса — Поддерживает методы организации сложных очередей. По умолчанию туннельный интерфейс является логическим интерфейсом с параметром пропускной способности 9 кбит/с. Этот параметр пропускной способности используется только протоколами высшего уровня, такими как EIGRP и OSPF. Это фактически не ограничивает скорость передачи выходного сигнала или полосу пропускания интерфейса, которую может использовать туннельный трафик. Поэтому для интерфейса туннеля может понадобиться реализация механизма формирования трафика на основе классов, для создания "искусственных" очередей перегрузок или очередей формирования. Формирование на основе классов ограничивает скорость передачи выходного сигнала и приводит к состоянию перегрузки на логическом туннельном интерфейсе. Затем интерфейс туннеля начинает помещать в очередь избыточные пакеты, удерживаемые ограничителем трафика, и к избыточным пакетам применяется политика формирования очереди.

Аппаратное ядро шифрования поддерживает организацию очереди FIFO только. Таким образом, если политика обслуживания с LLQ применяется к физическому интерфейсу, через который передается туннельный трафик, следует убедиться, что скорость обработки IPSec превышает скорость обработки на выходном интерфейсе. Это обеспечивает действенный механизм ведения очередей интерфейса по приоритету, что позволяет криптографическому модулю избегать критических параметров FIFO.

В программном обеспечении Cisco IOS версии 12.1 общая классификация была представлена, чтобы гарантировать, что пакетное соответствие к единому классу в policy-map (обращаются к Порядку операций по реализации качества обслуживания для получения дополнительной информации). В Среде VPN один результат этого усовершенствования состоит в том, что классификация потоков зашифрованного потока данных в Туннеле IPSec отказывает, даже когда политика обслуживания задает соответствие на IP precedence или DSCP-значениях в заголовке туннеля. Эта проблема была решена в Cisco IOS Software Release 12.2(10) в идентификаторах ошибок Cisco CSCdw90486 (только для зарегистрированных клиентов) и CSCdx08427 (только для зарегистрированных клиентов). В Cisco IOS Software Release, которые включают изменения, внедренные из-за них, прослушивают, механизм классификации с защитой программного и аппаратного обеспечения шифрованием является теперь непротиворечивым.

Эта таблица описывает поведение функций MQC с и без преклассификации QoS после исправления. Для платформ, которые не поддерживают предварительную классификацию или не включать предварительную классификацию, поведение MQC в "нет предварительно классифицирует" столбец, ожидается. В этой таблице использованы те же определения заголовков входящих и исходящих, что и во всем документе.

Предварительно классифицировать Нет предварительно классифицируйте
Аппаратные ускорители шифрования и CEF
общая классификация внутри снаружи
команды "set" и "police" внутри снаружи
организация очереди внутри снаружи
wFQ на основе потоков внутри снаружи
Аппаратные ускорители шифрования и коммутация в контексте процесса
общая классификация внутри снаружи
команды "set" и "police" внутри (1) снаружи
организация очереди внутри снаружи
wFQ на основе потоков внутри снаружи
Шифрование ПО и CEF
общая классификация внутри снаружи
команды "set" и "police" внутри снаружи
организация очереди внутри снаружи
wFQ на основе потоков внутри снаружи
Шифрование программного обеспечения и коммутация процессов
общая классификация внутри снаружи
команды "set" и "police" внутри (1) снаружи
организация очереди внутри снаружи
wFQ на основе потоков внутри снаружи

Примечание: Несмотря на то, что набор и действие команд политики на предварительно классифицированном классе, маркировка пакета происходит только при внешнем заголовке.

Пример конфигурации

В данном примере конфигурации описываются команды, используемые для создания служебных политик QoS для протокола IPSec с окружением GRE.

  • Туннель GRE подключает Узлы IPsec, и туннелируемые пакеты зашифрованы с помощью IPSec.

  • Создайте политику для входящих пакетов, которая применяет маркировку на основе классов для установки IP precedence.

  • Создайте политику вывода, которая ограничивает каждый зашифрованный туннель максимальной пропускной способностью с помощью формирования на основе классов и также применяет минимальные пропускные способности через Взвешенную организацию очереди на основе классов (CBWFQ).

Входящая политика

Выполните эти шаги для создания политики для входящих пакетов, которая применяет маркировку на основе классов.

  1. Активируйте CEF с помощью команды ip cef. CEF требуется для маркировки на основе классов. Обратитесь к тому, Когда CEF будет Требоваться для Качества обслуживания? дополнительные сведения.

  2. Определите критерии, на которых можно сортировать трафик в классы. Эта конфигурация определяет класс "flow-hi" для трафика Telnet и класс "flow-low" для трафика ICMP.

  3. Определите карту политик и определите действия QoS к определенным классам.

  4. Примените политику к интерфейсу. В этом случае это - последовательный подчиненный интерфейс.

Эта таблица показывает конфигурацию для политики для входящих пакетов маркировки на основе классов.

Политика для входящих пакетов маркировки на основе классов
ip cef 

! 
class-map match-any flow-low 
 match protocol icmp  
! 
class-map match-any flow-hi 
  match protocol telnet 

! 
policy-map qos-in 
 class flow-hi  
  set ip precedence 4 
! 
class flow-low 
  set ip precedence 2 
! 
int s0/0.1 
 service-policy input qos-in 

  
router#show policy-map interface s0/0.1 

Serial0/0.1  

Service-policy input: qos-in) 

!--- Apply input policy named "qos-in."
 

     Class-map: flow-hi (match-any) 
      447 packets, 227851 bytes 
      30 second offered rate 5000 bps, drop rate 0 bps  

!--- Input rate for class named "flow-hi."
 

      Match: protocol telnet 
        447 packets, 227851 bytes 
        30 second rate 5000 bps 

!--- Input rate for class named "flow-hi."
 
      QoS Set 
        ip precedence 4 
          Packets marked 447  

!--- Number of packets marked.
  

   Class-map: flow-low (match-any 
      237 packets, 337898 bytes 
      30 second offered rate 21000 bps, drop rate 0 bps 
      Match: protocol icmp 
        237 packets, 337898 bytes 
        30 second rate 21000 bps 
      QoS Set 
        ip precedence 2 
          Packets marked 237  

    Class-map: class-default (match-any) 

!--- The default class is automatically defined.
 
      1 packets, 48 bytes 
      30 second offered rate 0 bps, drop rate 0 bps 
      Match: any

Политика вывода

Данная конфигурация создает иерархическую политику выхода, известную также как вложенная политика (дополнительные сведения см. в разделе "Пример политики трафика как политики QoS (иерархические политики трафика)"). Родительская политика использует регулировку на основе классов для ограничения суммарной выходной скорости туннельного интерфейса. В дочерней политике используется минимальная гарантированная пропускная способность с применением CBWFQ для превышения очереди.

Это шаги для этой конфигурации.

  1. Создайте дочернюю политику.

    • Эта конфигурация определяет класс "ipsec-hi" для повторно маркированного трафика Telnet и класс "ipsec-low" для повторно маркированного трафика ICMP.

    • Эта конфигурация использует карту политик "поток ipsec" для применения CBWFQ к трафику Telnet и трафику ICMP с помощью команды bandwidth.

  2. Создайте родительскую политику. Эта конфигурация определяет класс "ipsec" и формирует равноценный трафик на 16 кбит/сек.

  3. Примените дочернюю политику в родительской политике. Эта конфигурация применяет дочернюю политику "ipsec-flow" как действие QoS внутри родительской политики "qos-out.". Действие QoS заключается в применении алгоритма CBWFQ к сохраняемым пакетам, поставленным в очередь устройством формирования.

  4. Примените родительскую политику к интерфейсу. В этом случае это - последовательный подчиненный интерфейс.

Эта таблица показывает конфигурацию для политики вывода, чтобы сформировать и применить CBWFQ, на основе повторно помеченных значений.

Формирование и политики исходящего трафика по алгоритму CBWFQ
class-map match-all ipsec-hi 
  match ip precedence 4  
class-map match-all ipsec-low 
  match ip precedence 2  
! 
policy-map ipsec-flow  
  class ipsec-hi 
   bandwidth 8  
  class ipsec-low 
   bandwidth 8 
! 
class-map match-all ipsec  
 match protocol gre 
!  
policy-map qos-out 
 class ipsec 
  shape average 16000 
   service-policy ipsec-flow 
! 
int fa0/0 
 service-policy output qos-out

!--- Apply the policy to the physical interface through
 

!--- which the tunnel traffic is transmitted.
 
router#show policy-map interface fast 0/0 
 FastEthernet0/0  

  Service-policy output: qos-out  

!--- "Parent" policy named "qos-out."
 

    Class-map: ipsec (match-all)  
      1422 packets, 1390125 bytes 
      30 second offered rate 38000 bps, drop rate 0 bps  

!--- Egress rate before shaping.


      Match: protocol gre  
      Traffic Shaping 

      Target  Byte   Sustain   Excess    Interval  Increment Adapt 
      Rate    Limit  bits/int  bits/int  (ms)      (bytes)   Active 
      16000   2000   8000      8000      500       1000      - 
  

      Queue  Packets   Bytes   Packets  Bytes     Shaping 
      Depth                     Delayed  Delayed   Active 
        69     641      611106  582      535364    yes  

  Service-policy : ipsec-flow  

!--- "Child" policy named "ipsec-flow." 


        Class-map: ipsec-hi (match-all)  
          788 packets, 464485 bytes 
          30 second offered rate 15000 bps, drop rate 0 bps 
          Match: ip precedence 4  
          Weighted Fair Queueing 
            Output Queue: Conversation 25  
            Bandwidth 8 (kbps) Max Threshold 64 (packets) 
            (pkts matched/bytes matched) 389/241922 
            (depth/total drops/no-buffer drops) 4/0/0 

        Class-map: ipsec-low (match-all)  
          634 packets, 925640 bytes 
          30 second offered rate 25000 bps, drop rate 0 bps 
          Match: ip precedence 2  
          Weighted Fair Queueing 
            Output Queue: Conversation 26  
            Bandwidth 8 (kbps) Max Threshold 64 (packets) 
            (pkts matched/bytes matched) 270/400140 
            (depth/total drops/no-buffer drops) 64/2/0 

        Class-map: class-default (match-any)  
          0 packets, 0 bytes 
          30 second offered rate 0 bps, drop rate 0 bps 
          Match: any  

       Class-map: class-default (match-any)  
         115 packets, 14827 bytes 
         30 second offered rate 0 bps, drop rate 0 bps 
         Match: any

Примечание: Родительская политика использует команду match protocol gre для определения совпадения для значения протокола, которое назначено для GRE в IP-заголовке. На основе заказа выполнения характеристик Cisco IOS ACL и Характеристики QoS видят незашифрованные пакеты. Таким образом конфигурация ACL, которые совпадают на AH или ESP значении протокола (51 и 50, соответственно) не работает (Идентификаторы ошибок Cisco CSCdu63385 (только зарегистрированные клиенты) и CSCdv20737 (только зарегистрированные клиенты)). Ограничение применяется и к аппаратному, и к программному шифрованию. В редких случаях Характеристики QoS классифицировали пакеты на основе модифицированного IP - заголовка зашифрованных пакетов на маршрутизаторе, настроенном для коммутации CEF. Причина состоит в том, что пакеты CEF фактически были процессом, коммутированным, когда крипто-код и CEF неправильно не могли определить местоположение допустимой CEF смежности.

Примечание: При использовании команду match protocol в карте классов, чтобы совпасть на протоколах не-IP, таких как IPX и AppleTalk, и также позволить qos pre-classify совпасть на значениях во внутреннем заголовке, классификация на основе внутреннего заголовка не работают.

Ограничения и относящиеся к ним вопросы

В этом разделе рассматриваются известные неполадки и обходит отнесенный к приложению крипто-и QoS на том же маршрутизатор.

QoS и защита от антиответа

Некоторые настройки преобразования шифратора обеспечивают защиту воспроизведения, которая срабатывает при применении порядкового номера для заголовка шифратора. На перегруженном интерфейсе с организацией сложной очереди пакета с низким приоритетом может быть задержана в очереди и затем достигнуть маршрутизатора, который дешифрует после того, как окно защиты Антиответ было превышено. В этом случае устройство, которое получает, отбросит пакет. Кроме того, если зашифрованный пакет прибывает к месту назначения из последовательности определенным, некоторый окном (в настоящее время набор к 64 пакетам), пакет отброшен. Cisco в настоящее время в поисках методов для преодоления этих ограничений. Обратите внимание на то, что защита Антиответ не может быть отключена от этих преобразований, в которых она внедрена.

  • esp-sha-hmac

  • esp-md5-hmac

  • ah-md5-hmac

  • Ah-sha-hmac

Используйте команду show crypto ipsec sa, чтобы определить, включена ли поддержка антивоспроизведения для каждого КОНТЕКСТА БЕЗОПАСНОСТИ IPSEC.

2611-ch5#show crypto ipsec sa
interface: Tunnel0
Crypto map tag: Test, local addr. 12.2.2.6
inbound esp sas:
spi: 0xDE92271(233382513)
transform: esp-des esp-sha-hmac ,
in use settings ={Transport, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: Test
sa timing: remaining key lifetime (k/sec): (4607996/99)
IV size: 8 bytes 
replay detection support: Y

NBAR

NBAR не конфигурируем на логических интерфейсах, где используется туннелирование или шифрование. Это также не поддерживается ни на каком физическом интерфейсе, настроенном с криптокартой. Таким образом, нельзя использовать NBAR для классификации трафика на основании информации пакета более высокого уровня, например имя хоста URL- или веб-сервера, для любой политики QoS, использующей GRE и/или IPSec. Это ограничение основано на количестве байт в заголовке пакета, которое сохраняет и затем обращается к нему функция предварительной классификации. В частности преклассификация QoS вызывает API в IOS, прежде чем будет инкапсулироваться пакет. Данный интерфейс API выполняет копирование данных, содержащихся в заголовке исходного пакета. Когда пакет в конечном счете поражает выходную функцию QoS, QoS может быть применено к пакету на основе любой сохраненной информации, такой как порт TCP или реальный IP - адрес назначения.

Двойной учет

Счетчики классификации в выходных данных команды show policy-map interface могут отображать числа, вдвое превышающие количество туннельных пакетов, зашифрованных в конфигурации с помощью CEF, GRE и IPSec. Приведенные выходные данные иллюстрируют эту ситуацию.

router#show policy-map interface fa0/0 
  FastEthernet0/0 

   Service-policy output: qos-out 

     Class-map: ipsec (match-all) 
       44 packets, 8580 bytes 
       30 second offered rate 1000 bps, drop rate 0 bps 
       Match: protocol gre 
       Traffic Shaping 
         Target    Byte   Sustain   Excess    Interval  Increment Adapt 
         Rate      Limit  bits/int  bits/int  (ms)      (bytes)   Active 
         16000     2000   8000      8000      500       1000      - 

         Queue     Packets   Bytes     Packets   Bytes     Shaping 
         Depth                         Delayed   Delayed   Active 
         0         22        4796      0         0         no 

Эти условия следуют из классификации выходных пакетов, которая происходит сначала при переключении пути CEF и повторно, когда шифрующий процесс извлекает пакет из очереди. Эта проблема решена в этих идентификаторах ошибок Cisco.

Кроме того, когда оба Туннеля GRE и IPSec настроены, пакет выполнен два раза через процесс поиска CEF, один раз после GRE-инкапсуляции и один раз после Инкапсуляции IPSec. Так как пакет передается только после инкапсуляции IPSec, балансировка нагрузки по пакетам CEF не работает, и пакеты всегда используют тот же интерфейс.

Шифрование ПО и технология Fast Switching/CEF

При использовании программного шифрования, функции предварительной классификации QoS и CBWFQ пакет с механизмом обработки fast-switched (быстрая коммутация) может быть некорректно классифицирован. Эта проблема замечена в выходных данных команды show policy-map interface:

3640-ch1#show policy-map interface 
 {snip} 
      Class-map: precedence (match-all) 
        5 packets, 520 bytes 
        
!--- Five packets matched the class.
 
        30 second offered rate 0 bps, drop rate 25000 bps 
        Match: ip precedence 5 
        Weighted Fair Queueing 
          Output Queue: Conversation 26 
          Bandwidth 10 (%) 
          Bandwidth 1 (kbps) Max Threshold 64 (packets) 
          (pkts matched/bytes matched) 11756/14350192 
          
!--- Many packets actually are  queued.
 
          (depth/total drops/no-buffer drops) 63/6359/0 

Как обходной путь, используйте модуль аппаратного шифрования, вызовите коммутацию в контексте процесса с командой no ip route-cache cef или отключите предварительную классификацию QoS. В результате формируется равномерная система очередности, которая рассматривает единый зашифрованный поток в классе class-default.

Для получения дополнительной информации по устранению данной ошибки см. идентификатор ошибки Cisco CSCdw28771 (только для зарегистрированных клиентов).

Обычная постановка в очередь по приоритету и предварительная классификация QoS

Традиционная функция организации очередей по приоритету Cisco, которая использует команды priority-list и priority-group и функцию предварительной классификации QoS, не поддерживается вместе. Вместо этого LLQ внедрения путем настройки карты политик с приоритетной командой MQC.

Аппаратное шифрование и QoS

Это решенные проблемы с аппаратным шифрованием и QoS.

  • Когда аппаратное шифрование также используется, CSCdv25358 идентификатора ошибки Cisco (только зарегистрированные клиенты) - при использовании команды rate-limit для осуществления мониторинга трафика через функцию согласованной скорости доступа (CAR) традиционного синтаксиса Cisco, команда qos pre-classify не работает. Эта комбинация функций предотвращает возможность шифрования. Как обходной путь, внедрите основанное на классе применение политик с помощью команды политики в policy-map, настроенном с интерфейсом командной строки (CLI) модульного QoS (MQC). Другие функции качества сервиса QoS (MQC или отличные от MQC) не повреждены.

  • Когда программное обеспечение Cisco IOS версии 12.2 (6.8) используется с картой аппаратного шифрования, идентификатор ошибки Cisco CSCdw29595 (только зарегистрированные клиенты) - производительность зашифрованного пути ухудшается. Снижение производительности вызвано тем, что механизм обработки зашифрованных пакетов - process-switched, а не fast-switched. Эта ситуация имеет место, если IPSec применяется к интерфейсам при использовании плат с аппаратным шифрованием. Обхода нет.

  • Идентификатор ошибки Cisco CSCdw30566 (только зарегистрированные клиенты) - В IPSec со средой GRE при включении CEF он приводит к уменьшению скорости переадресации, так как пакеты фактически являются процессной коммутацией. Это условие следует, как обработанные пакеты CEF после того, как они инкапсулировались GRE. Как обходной путь, отключите CEF и позвольте пакетам быть выполненными быструю коммутацию.

При использовании ускорителей шифрования посмотрите Классифицировать Пакетный раздел этого документа и обсуждение изменений, внедренных в идентификаторах ошибок Cisco CSCdw90486 (только зарегистрированные клиенты) и CSCdx08427 (только зарегистрированные клиенты).

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 18667