Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA 7.x и более поздние: Управление пропускной способностью (ограничение скорости) с помощью политик QoS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (22 сентября 2010) | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Качество обслуживания (QoS) — это сетевая функция, которая позволяет назначать приоритет определенным типам интернет-трафика. Так как пользователи Интернета улучшают свои точки доступа с модемов до высокоскоростных широкополосных DSL- и кабельных соединений, возрастает вероятность того, что один пользователь может поглотить большую часть, если не всю, доступной пропускной способности, таким образом подавляя других пользователей. Чтобы предотвратить потребление одним пользователем или соединением типа узел-узел большей части полосы пропускания, QoS предоставляет функцию управления трафиком, регулирующую максимальную полосу пропускания, которую может использовать пользователь.

QoS обращается к возможности сети предоставлять лучшее обслуживание выбранного сетевого трафика с помощью различных технологий для улучшения обслуживания в целом посредством ограничения пропускной способности основных технологий.

Основной целью QoS в устройстве безопасности является обеспечение ограничения скорости выбранного сетевого трафика для отдельного потока или потока через VPN-туннель, чтобы гарантировать, что каждый тип трафика получает предназначенную для него ограниченную часть полосы пропускания. Поток можно определить несколькими способами. В устройстве безопасности QoS может применяться к комбинации IP-адресов отправителя и получателя, номеров портов отправителя и получателя и байтов типа обслуживания (ToS) заголовка IP.

Чтобы настроить QoS для трафика VoIP в VPN-туннелях, которые заканчиваются в устройствах безопасности PIX/ASA, см. раздел PIX/ASA 7.x: Пример конфигурации трафика QoS для VoIP на VPN-туннелях.

Примечание: QoS не поддерживается на подинтерфейсе, оно только поддерживается на самом основном интерфейсе. Настройка QoS на интерфейсе сама создает все субинтерфейсы, на которые распространяется QoS.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в данном документе относятся к устройствам безопасности PIX, работающим под управлениям версии 7.x и выше.

Примечание: QoS поддерживается только на моделях PIX 515 и позже. Эти модели поддерживают ПО Cisco PIX Firewall версии 7.x. QoS не поддерживается на моделях PIX 501 и 506.

Примечание: QoS поддерживается только на Версии 7.x программного обеспечения Cisco PIX Firewall и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Данную конфигурацию также можно использовать с устройством адаптивной безопасности (ASA) под управлением версии 7.x или выше.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Принципы QoS

QoS — это стратегия управления трафиком, которая позволяет выделять сетевые ресурсы для критических и обычных данных на основе типа сетевого трафика и приоритета, назначенного этому трафику. Вкратце, QoS гарантирует беспрепятственное прохождение приоритетного сетевого трафика и позволяет ограничивать (на базе политик) скорость передачи для стандартного трафика.

Например, объемы передаваемого видео и VoIP между географически распределенными офисами постоянно повышаются. При этом в качестве транспорта используется инфраструктура Интернет. Сетевые экраны являются ключевым элементом сетевой безопасности, так как обеспечивают контроль доступа, который подразумевает анализ протоколов VoIP. QoS служит для обеспечения безошибочной и непрерывной видео- и голосовой связи, и в то же время предоставляет базовый уровень обслуживания другим типам трафика, проходящим через устройство.

Чтобы голосовой и видеотрафик мог передаваться через IP-сети с максимальной безопасностью, надежностью и качеством связи, необходимо активировать QoS на всех компонентах сети. Реализация QoS дает следующие возможности:

  • Упростить эксплуатацию сети, объединив трафик данных, голоса и видео в одной магистрали с использованием одинаковых технологий.

  • Внедрить новые сетевые приложения, такие как интегрированные центры обработки вызовов и видеообучение, которые позволяют выделить предприятие из ряда конкурентов в том или ином сегменте рынка и повысить его эффективность.

  • Управлять использованием ресурсов, контролируя выделение ресурсов для трафика. Например, можно гарантировать, что самый важный и срочный трафик получит сетевые ресурсы (доступную полосу пропускания и минимальную задержку), в которых нуждается, и что другие приложения, использующие данную линию связи, получат соответствующий уровень обслуживания, не мешая передаче критически важного трафика.

QoS обеспечивает управление максимальной скоростью, или контроль, туннельного трафика для каждого отдельного пользовательского туннеля и каждого туннеля типа узел-узел. В этой версии гарантия минимальной полосы пропускания отсутствует.

Устройство безопасности может контролировать трафик отдельных пользователей в туннеле сеть-сеть, настраивая карты классов, которые не связаны с туннелем, но трафик которых в итоге проходит через него.

Трафик до туннеля сеть-сеть можно контролировать особенно когда он проходит через туннель, а также управлять суммарной скоростью, применяемой к туннелю. Устройство безопасности разрешает два типа очереди трафика для каждого интерфейса, чтобы достичь эффекта QoS — очередь с низкой задержкой (LLQ) и очередь по умолчанию. Только трафик по умолчанию можно ограничивать по скорости.

Так как QoS может потреблять большое количество ресурсов, что может отрицательно сказаться на производительности устройства безопасности, по умолчанию QoS отключена

Примечание: Необходимо полагать, что в постоянно меняющейся сетевой среде, QoS не является одноразовыми развертываниями. Это постоянно действующая, важная часть структуры сети.

Реализация QoS

Для подготовки политик QoS необходимо выполнить следующие действия:

  1. Задать классы трафика.

  2. С каждым классом трафика связать действия, чтобы сформулировать политики.

  3. Активировать политики.

Спецификация политик классификации (определение классов трафика) выполняется отдельно от спецификации политик, действующих по результатам классификации.

Класс трафика — это совокупность трафика, идентифицируемого по содержимому его пакетов. Например, трафик TCP со значением порта 23 можно классифицировать как трафик Telnet.

Действие — это особые меры, принимаемые для защиты данных или ресурсов. В данном случае — для выполнения функций QoS. Действие обычно свзяано с определенным классом трафика.

Настройка традиционной политики QoS для устройства безопасности состоит из следующих действий:

  1. Определение классов трафика (команда class-map).

  2. Связь политик и действий с каждым классом трафика (команда policy-map).

  3. Привязка политик к логическим или физическим интерфейсам (команда service-policy).

Команда class-map

Команда class-map определяет объект с именем, который представляет класс трафика, который определяет пакет, который удовлетворяет критериям, которые идентифицируют пакеты, принадлежащие к данному классу. Базовая форма команды следующая:

class-map class-map-name-1


	match match-criteria-1


class-map class-map-name-n


	match match-criteria-n

Команда policy-map

Команда policy-map определяет объект с именем, который представляет набор политик, применяемых к набору классов трафика. Примером такой политики является контроль максимальной скорости класса трафика. Базовая форма команды следующая:

policy-map policy-map-name
	class class-map-name-1
		policy-1
		policy-n
	class class-map-name-n
		policy-m
		policy-m+1

Команда service-policy

Команда service-policy привязывает карту политик и связанные с ней политики к цели, называемой интерфейсом.

Эта команда также показывает, применяются ли политики к пакетам, поступающим на цель или исходящим с нее. Например, выходная политика (применяемая к пакетам, выходящим с интерфейса) применяется как показано в следующем примере:

hostname(config)#service-policy policy-map-name interface outside

Кроме того, если необходимо различать приоритетный трафик и обычный трафик, следует определить очередь с низкой задержкой (команда priority-queue) для каждого физического интерфейса с именем, который передает приоритетный трафик.

В этом примере включается очередь с приоритетом со значениями ограничения очереди и ограничения кольца передачи по умолчанию:

priority-queue name-interface

Примечание: Связанная с QoS политика под Policy-map-name применяется только к исходящему трафику, не к входящему трафику именованного интерфейса.

Определение трафика для QoS

Команда class-map классифицирует совокупность трафика, с которым связаны действия QoS. Для классификации трафика можно использовать разные типы критериев соответствия. Команды match определяют трафик, включенный в класс трафика для карты класса. Они содержат различные критерии для определения трафика, включенного в карту класса. Определите класс трафика с помощью команды глобальной настройки class-map как часть настройки функции безопасности с помощью модульной системы политик. Из режима настройки карты класса можно определить трафик, включаемый в класс, с помощью команды match.

После применения класса трафика к интерфейсу, пакеты, получаемые на этом интерфейсе, сравниваются с критериями, определенными утверждениями match в карте класса. Если пакет соответствует критериям, он включается в класс трафика и подвергается действиям, связанным с этим классом. Пакеты, не соответствующие критериям классов трафика, назначаются классу трафика по умолчанию.

Одним из таких критериев является список доступа. Например, в этой последовательности команда class-map классифицирует весь нетуннелируемый трафик TCP с помощью списка доступа с именем tcp_traffic:

hostname(config)#access-list tcp_traffic permit tcp any any
hostname(config)#class-map tcp_traffic
hostname(config-cmap)#match access-list tcp_traffic

Когда пакет сопоставляется с картой класса, результат может быть либо соответствием либо несоответствием.

В этом примере для классификации трафика по специфическим, относящимся к безопасности туннельным группам используются другие, более специфические критерии соответствия. Эти специфические критерии соответствия требуют, чтобы соответствие в туннельной группе (в данном случае это предварительно определенная группа Tunnel-Group-1) выполнялось как первая характеристика соответствия для классификации трафика для определенного туннеля. Они также учитывают дополнительную строку соответствия для классификации трафика (код дифференцирования служб IP, срочность пересылки).

hostname(config)#class-map TG1-voice
hostname(config-cmap)#match tunnel-group Tunnel-Group-1
hostname(config-cmap)#match dscp ef

В этом примере команда class-map классифицирует и туннельный и нетуннельный трафик в соответствии с типом трафика:

Примечание: Некоторые команды в этих выходных данных обернуты к второй линии из-за пространственных причин.

hostname(config)#access-list tunneled extended permit 
ip 10.10.34.0 255.255.255.0 20.20.10.0 255.255.255.0
hostname(config)#access-list non-tunneled extended permit tcp any any
hostname(config)#tunnel-group tunnel-grp1 type IPSec_L2L

hostname(config)#class-map browse
hostname(config-cmap)#description "This class-map matches all 
non-tunneled tcp traffic."
hostname(config-cmap)#match access-list non-tunneled

hostname(config-cmap)#class-map TG1-voice
hostname(config-cmap)#description "This class-map matches all dscp ef 
traffic for tunnel-grp 1."
hostname(config-cmap)#match dscp ef
hostname(config-cmap)#match tunnel-group tunnel-grp1

hostname(config-cmap)#class-map TG1-BestEffort
hostname(config-cmap)#description "This class-map matches all best-effort 
traffic for tunnel-grp1."
hostname(config-cmap)#match tunnel-group tunnel-grp1
hostname(config-cmap)#match flow ip destination-address

В этом примере показан способ контроля потока в туннеле, при условии, что классифицированный трафик не определен как туннель, но проходит через туннель. В этом примере 192.168.10.10 — это адрес локального компьютера на частной стороне удаленного туннеля, а имя списка доступа "host-over-l2l". После создания карты класса (с именем "host-specific") можно контролировать класс, относящийся к узлу, до того, как соединение сеть-сеть проконтролирует туннель. В этом примере трафик, относящийся к узлу, ограничивается по скорости до туннеля, а затем ограничивается скорость туннеля:

hostname(config)#access-list host-over-l2l extended permit ip any host 192.168.10.10
hostname(config)#class-map host-specific
hostname(config-cmap)#match access-list host-over-l2l

В этой таблице приведена сводка доступных критериев команды match, относящихся к QoS. Полный список команд match и их синтаксис см. в Справочнике по командам устройств безопасности Cisco.

pixasa7x-traffic-mgt-1.gif

Кроме пользовательских классов также существует системный класс с именем class-default. Класс class-default представляет все пакеты, которые не соответствуют никакому из пользовательских классов, чтобы и для этих пакетов можно было определить политики.

Определение карты политик QoS

Команда policy-map настраивает различные политики, например политики безопасности или политики QoS. Политика — это связь класса трафика, заданного командой class, с одним или несколькими действиями. В этом разделе рассматривается вопрос использования команды policy-map для определения политик QoS для одного или нескольких классов пакетов.

При вводе команды policy-map происходит вход в режим настройки карты политик и строка приглашения изменяется, указывая на это. В этом режиме можно вводить команды class и description. Команда policy-map может задавать несколько политик. Максимальное число карт политик — 64.

После ввода команды policy-map вводится команда class, чтобы задать классификацию пакетного трафика. Команда class настраивает политики QoS для класса трафика, указанного в данной карте классов. Класс трафика — это совокупность трафика, идентифицируемого по содержимому его пакетов. Например, трафик TCP со значением порта 23 можно классифицировать как трафик Telnet. Команды class различаются по своим предварительно названным и созданным обозначениям карты класса, а также связанным действиям, назначенным в процессе создания.

Устройство безопасности вычисляет карты классов в порядке их ввода в конфигурацию карты политик. Оно классифицирует пакет по первой карте классов, которой соответствует пакет.

Примечание: Заказ, в которых различных типах действий в policy-map выполнены, независим от заказа, в котором действия появляются в описаниях команды в этом документе.

Примечание: Приоритетная команда предоставляет организацию очереди с малой задержкой для трафика чувствительный к задержке, такого как голос. Эта команда выбирает все пакеты, которые соответствуют связанному классу (TG1-voice в предыдущем примере) и отправляет их в очередь с низкой задержкой для приоритетной обработки.

Применение ограничения скорости

Каждый пользовательский поток трафика с ограниченной полосой пропускания (BLT) может участвовать в ограничении максимальной полосы пропускания. То есть в контроле ограничения, который ограничивает скорость трафика по умолчанию отдельных пользователей некоторой максимальной скоростью. Это предотвращает подавление отдельными пользовательскими BLT друг друга. Однако трафик LLQ маркируется и обрабатывается в потоке в приоритетной очереди. Этот трафик не ограничивается по скорости. Контроль — это способ гарантировать, что никакой трафик не превысит заданную максимальную скорость (в бит/сек). Это гарантирует, что ни один поток трафика не сможет захватить весь ресурс. Можно использовать команду police, чтобы задать максимальную скорость (ограничение скорости для данного потока трафика). Это значение в диапазоне 8000-2000000000, которое задает максимальную допустимую скорость (в бит/сек). Также можно указать, какое действие (сброс или передача) применять к трафику, который соответствует ограничению и к трафику, который превышает ограничение.

Примечание: Можно задать действие сброса, но это не функционально. Действием всегда является передача, за исключением тех случаев, когда скорость превышена, и даже тогда действие только замедляет трафик до максимальной разрешенной скорости.

Команда police также настраивает наибольший допустимый размер одиночного всплеска трафика. Значение всплеска в диапазоне 1000-512000000 задает максимальное число байт в непрерывном всплеске, после накопления которого скорость замедляется до соответствующего значения.

Примечание: Применение политик применено только в выходном направлении.

Примечание: Вы не можете включить и приоритет и определяющий политику вместе. Если служебная политика применяется/удаляется с интерфейса, на котором уже установлено соединение VPN-клиент/сеть-сеть или нетуннелируемый трафик, политика QoS не применяется/удаляется из потока трафика. Чтобы применить или удалить политику QoS для таких соединений, необходимо сбросить соединения и установить их повторно.

Примечание: Когда применение политик задано в карте класса по умолчанию, class-default, значения политики class-default применены к объединенному потоку VPN LAN-LAN, если нет никакой команды политики, определенной для туннельной группы VPN LAN-LAN. Другими словами, значения контроля class-default никогда не применяются к отдельному потоку VPN сеть-сеть, существующему до шифрования.

Этот пример построен на конфигурации, разработанной в предыдущем разделе. Как и в предыдущем примере, имеются две карты классов с названиями tcp_traffic и TG1-voice. Кроме того, третья карта классов обеспечивает основу для определения туннельной и нетуннельной политики QoS, которая создает простую политику QoS для туннельного и нетуннельного трафика, назначает для пакетов класса TG1-voice очередь с низкой задержкой и задает ограничения скорости для потоков трафика tcp_traffic и TG1-best-effort.

hostname(config)#class-map TG1-best-effort
hostname(config-cmap)#match tunnel-group Tunnel-Group-1
hostname(config-cmap)#match flow ip destination-address

Примечание: "Best effort" не гарантирует надежную доставку пакетов, в которой он не использует сложную систему подтверждения. Тем не менее этот способ делает все возможное для доставки пакетов по назначению.

В этом примере максимальная скорость для трафика класса tcp_traffic составляет 56000 бит/сек, а максимальный размер всплеска — 10500 байт/сек. Для класса TC1-BestEffort максимальная скорость составляет 200000 бит/сек, а максимальный всплеск — 37500 байт/сек. Максимальная скорость трафика и всплеска в классе TC1-voice не контролируется, так как он принадлежит к приоритетному классу:

hostname(config)#policy-map qos
hostname(config-pmap)#class tcp_traffic
hostname(config-pmap-c)#police output 56000 10500

hostname(config-pmap-c)#class TG1-voice
hostname(config-pmap-c)#priority

hostname(config-pmap-c)#class TG1-best-effort
hostname(config-pmap-c)#police output 200000 37500

hostname(config-pmap-c)#class class-default
hostname(config-pmap-c)#police output 1000000 37500

Примечание: У вас может быть до 256 policy-map и до 256 классов в policy-map. Максимальное число классов во всех картах политик составляет 256. С любой картой классов может быть связано только одно утверждение match, за исключением туннельного класса. Для туннельного класса допускается дополнительное утверждение tunnel-group.

Активация служебной политики

Команда service-policy активирует карту политик глобально на всех интерфейсах или на целевом интерфейсе. Интерфейс может быть виртуальным (VLAN) или физическим. Допускается только одна глобальная карта политик. Если указать ключевое слово interface и имя интерфейса, карта политик применяется только к этому интерфейсу. Карта политик интерфейса наследует правила из глобальной карты политик. Для правил, которые перекрываются с глобальной картой политик, применяются правила политики интерфейса. Только одна карта политик интерфейса может применяться к интерфейсу за один раз.

Как правило, команда service-policy может применяться к любому интерфейсу, который можно определить командой nameif.

Используя пример карты политик из предыдущего раздела, эта команда service-policy активирует карту политик "qos", определенную в предыдущем разделе, для трафика на внешнем интерфейсе:

hostname(config)#service-policy qos interface outside

Применение очереди с низкой задержкой

Устройство безопасности допускает два класса трафика, называемые очередностью с низкой задержкой (LLQ) — высокоприоритетный, чувствительный к задержкам трафик (например голосовой и видео трафик), и обычный — весь остальной трафик по умолчанию. Эти две очереди создаются в системе. Устройство безопасности распознает приоритетный трафик QoS и задействует соответствующие политики QoS.

Так как размер очередей конечен, они могут переполниться. Когда очередь заполнена, дополнительные пакеты не могут попасть в нее и сбрасываются. Это называется "отбрасыванием хвоста". Чтобы избежать заполнения очереди, можно использовать команду queue-limit для увеличения размера буфера очереди.

Для очереди с низкой задержкой (приоритетной) можно выполнить точную настройку максимального числа пакетов, допустимых в очереди передачи (с помощью команды tx-ring-limit), а также задать глубину приоритетной очереди (с помощью команды queue-limit). Это позволяет управлять задержкой и ошибкоустойчивостью приоритетной очередности.

Примечание: Верхний предел диапазона значений для команд queue-limit и tx-ring-limit определен динамично во время выполнения. Чтобы просмотреть этот предел, введите help или ? в командной строке. Ключевыми определяющими факторами являются память, необходимая для поддержки очередей, и память, доступная на устройстве. Диапазон значений queue-limit — от 0 до 2048 пакетов. Диапазон значений tx-ring-limit — от 3 до 128 пакетов на платформе PIX и от 3 до 256 на платформе ASA.

Настройка приоритетной очередности

Высокоприоритетный трафик определяется командой priority в режиме Class. Эта команда указывает устройству безопасности на необходимость маркировки в качестве приоритетного трафика, выбранного картой классов.

Для возникновения приоритетной очередности необходимо создать приоритетную очередь для физических интерфейсов с именами, которые передают высокоприоритетный трафик. Чтобы включить приоритетную очередь на интерфейсе, используйте команду priority-queue в режиме глобальной настройки. Можно применить по одной команде priority-queue к каждому физическому интерфейсу, определенному командой nameif. Весь остальной трафик доставляется как обычный.

Как правило, команда priority-queue может применяться к любому физическому интерфейсу, который можно определить командой nameif. Команду priority-queue нельзя применить к интерфейсу VLAN. Если карта классов настроена на приоритет, а физический интерфейс не настроен на приоритетную очередь, можно увидеть сообщение об ошибке ОШИБКА: Класс xyz задан как "приоритетный" при отсутствии "приоритетной очереди" на интерфейсах во время настройки приоритетной очередности. Команда priority-queue входит в режим приоритетной очереди, что показывается строкой приглашения, который позволяет настроить максимальное число пакетов, допустимых в очереди отправки, и размер приоритетной очереди.

Примечание: Вы не можете включить и постановку в очередь с установлением приоритетa и определяющий политику вместе. Другими словами, контролироваться могут только пакеты с обычным приоритетом. Высокоприоритетные пакеты не контролируются.

Определение размера приоритетной очереди

Размер, заданный для приоритетной очереди, действует и для очереди с низкой задержкой и для обычной очереди. Команда queue-limit задает максимальное число пакетов, которые могут быть поставлены в приоритетную очередь, пока она не начнет сбрасывать данные. Это ограничение должно находиться в диапазоне от 0 до 2048 пакетов.

Уменьшение задержки очереди

Команда tx-ring-limit позволяет настроить максимальное число пакетов (глубину), допустимых для постановки в очередь на кольце драйвера передачи Ethernet в любое заданное время. Это позволяет точно настроить очередь передачи, чтобы уменьшить задержку и попытаться улучшить производительность за счет драйвера передачи. Это ограничение должно находиться в диапазоне от 3 до 128 пакетов на платформе PIX и до 256 пакетов на платформе ASA.

Ограничение очереди по умолчанию является средним числом 256-байтных пакетов, которые заданный интерфейс может передать за 500 мс, с верхним ограничением в 2048 пакетов. Пакет, который остается в узле сети более 500 мс, может инициировать простой в непрерывном приложении. Такой пакет может быть отброшен в любом узле сети.

Значение tx-ring-limit по умолчанию — это максимальное число 1550-байтных пакетов, которые заданный интерфейс может передать за 10 мс. Это гарантирует, что аппаратное кольцо передачи налагает на высокоприоритетный пакет дополнительную задержку не более 10 мс.

В этом примере устанавливается приоритетная очередь на внешнем интерфейсе (на интерфейсе GigabitEthernet0/1), со значениями queue-limit и tx-ring-limit по умолчанию.

hostname(config)#priority-queue outside

В этом примере устанавливается приоритетная очередь на внешнем интерфейсе (на интерфейсе GigabitEthernet0/1), со значением 2048 пакетов для queue-limit и 256 для tx-ring-limit:

hostname(config)#priority-queue outside

hostname(config-priority-queue)#queue-limit 2048

hostname(config-priority-queue)#tx-ring-limit 256

Когда приоритетная очередность включена, устройство безопасности освобождает все пакеты в очередях с высоким приоритетом перед передачей пакетов в очереди с низким приоритетом.

Настройка QoS

В этой процедуре объясняется, как настроить класс трафика, карту политик и служебную политику, которые реализуют контроль QoS (ограничение скорости) или приоритетную очередность. Кроме того, для случая приоритетной очередности объясняется, как включить приоритетные очереди на интерфейсах.

Число классов трафика, карт политик и служебных политик, необходимых для реализации QoS, зависит от требований сети. Проанализируйте сеть и определите, сколько классов трафика, карт политик и служебных политик необходимо настраиваемому устройству безопасности, а затем используйте эту процедуру для своей реализации QoS.

Чтобы настроить контроль QoS и приоритетную очередность, выполните следующие действия:

  1. Определите, какой трафик необходимо контролировать или маркировать для приоритетной очередности. Подробные сведения об определении трафика QoS см. в разделе Определение трафика для QoS этого документа.

  2. Создайте карту классов или измените существующую, чтобы определить трафик, который необходимо контролировать или распознавать как приоритетный. Используйте команду class-map:

    hostname(config)#class-map class_map_name
    
    hostname(config-cmap)#

    Для этой команды class-mapclass_map_name — это имя класса трафика. При вводе команды class-map интерфейс командной строки входит в режим настройки карты классов.

  3. Используйте команду match, чтобы идентифицировать трафик, определенный на шаге 1. Подробные сведения об определении трафика QoS см. в разделе Определение трафика для QoS этого документа.

    Если необходимо определить два или более несмежных порта, создайте список доступа с помощью расширенной команды access-list , добавьте записи ACE, соответствующие всем портам, а затем используйте команду match access-list.

    Эти команды показывают, как использовать список доступа для определения нескольких портов TCP:

    hostname(config)#access-list acl-name any any tcp eq port_number_1
    
    hostname(config)#access-list acl-name any any tcp eq port_number_2
    
    hostname(config)#class-map class_map_name
    
    hostname(config-cmap)#match access-list acl-name
    

    Если необходимо определить один порт, используйте команду match port:

    hostname(config-cmap)#match port {tcp | udp} eq port_number
    

    Для этой команды match port eq port_number — это порт назначения трафика, который настраиваемое устройство безопасности будет контролировать или маркировать для приоритетной очередности. Если необходимо определить диапазон смежных портов, используйте команду match port с ключевым словом range, как показано в этом примере:

    
    !--- This command is wrapped to a second line due to spatial reasons:
    
    hostname(config-cmap)#match port {tcp | udp} {eq port | range begin_port_number 
    end_port_number
    

    Для этой команды match portbegin_port_number — это самый нижний порт в диапазоне, а end_port_number — самый верхний.

  4. Создайте карту политик или измените существующую, чтобы использовать ее для применения контроля или приоритетной очередности к трафику, определенному на шаге 2. Дополнительные сведения о картах политик QoS см. в разделе Определение карты политик QoS этого документа.

    Используйте команду policy-map, как показано в этом примере:

    hostname(config-cmap)#policy-map policy_map_name
    
    hostname(config-pmap)# 

    Для этой команды policy-mappolicy_map_name — это имя карты политик. Интерфейс командной строки входит в режим настройки карты политик и строка приглашения изменяется.

  5. Задайте карту классов, созданную на шаге 2, которая определяет контролируемый или маркируемый для приоритетной очередности трафик. Для выполнения этого действия используйте команду class:

    hostname(config-pmap)#class class_map_name
    
    hostname(config-pmap-c)# 
  6. Настройте действие для класса. Можно либо маркировать класс трафика как приоритетный трафик, либо задать для него ограничение скорости. Выполните одно из следующих действий:

    • Если трафик, выбранный картой классов, необходимо маркировать как приоритетный — введите команду priority:

      hostname(config-pmap-c)#priority
      

      Примечание: Постановка в очередь с установлением приоритетa не происходит автоматически с трафиком, отмеченным как приоритет. Чтобы включить приоритетную очередность, необходимо выполнить шаг 8, который включает приоритетные очереди.

      Подробные сведения о приоритетной очередности см. в разделе Применение очереди с низкой задержкой этого документа и на странице команды priority в справочном руководстве по командам системы безопасности Cisco.

    • Если необходимо, чтобы устройство безопасности контролировало трафик, выбранный картой классов, введите команду police.

      
      !--- This command is wrapped to a second line due to spatial reasons:
      
      hostname(config-pmap-c)#police [output] conform-rate [conform-burst] 
      [conform-action [drop | transmit] [exceed-action {drop | transmit}]]
      

      Подробные сведения о команде police см. в разделе Применение ограничения скорости этого документа и на странице команды police в справочном руководстве по командам системы безопасности Cisco.

  7. Используйте команду service-policy, чтобы применить карту политик глобально или на определенном интерфейсе:

    Примечание: Эта команда обернута к второй линии из-за пространственных проблем.

    hostname(config-pmap-c)#service-policy policy_map_name 
    [global | interface interface_ID]
    
    hostname(config)#

    Для этой команды service-policypolicy_map_name — это карта политик, настроенная на шаге 4. Если необходимо применить карту политик к трафику на всех интерфейсах, используйте параметр global. Если необходимо применить карту политик к трафику на определенном интерфейсе, используйте параметр interface interface_ID, где interface_ID — имя, присвоенное интерфейсу командой nameif.

    Устройство безопасности начинает контролировать трафик и маркировать трафик для приоритетной очередности в соответствии с настройками.

  8. Если на шаге 6 была введена команда priority, необходимо включить приоритетные очереди на интерфейсах для того, чтобы устройство безопасности начало выполнять приоритетную очередность.

    Для каждого интерфейса, на котором устройство безопасности должно выполнять приоритетную очередность, выполните следующие действия:

    1. Введите команду priority-queue:

      hostname(config)#priority-queue interface
      
      hostname(config-priority-queue)#

      Для этой команды priority-queueinterface — это имя, присвоенное физическому интерфейсу, на котором необходимо включить приоритетную очередь. Интерфейсы VLAN не поддерживают приоритетную очередность. Интерфейс командной строки входит в режим настройки приоритетной очереди и строка приглашения изменяется.

    2. Необязательно) Если необходимо задать максимальное число приоритетных пакетов, которые могут быть поставлены в очередь, отличное от значения по умолчанию, введите команду queue-limit, как показано в этом примере:

      hostname(config-priority-queue)#queue-limit number-of-packets
      

      Размер очереди по умолчанию — 2048 пакетов.

    3. Необязательно) Если необходимо задать максимальное число пакетов, допустимых в очереди передачи, отличное от значения по умолчанию, введите команду tx-ring-limit, как показано в этом примере:

      hostname(config-priority-queue)#tx-ring-limit number-of-packets
      

      Размер очереди передачи по умолчанию — 128 пакетов.

      На интерфейсах с включенной приоритетной очередностью устройство безопасности начинает выполнять приоритетную очередность. .

В этом примере создаются карты классов для высокоприоритетного трафика (голосового) и для обычного трафика, для ранее настроенной туннельной группы с именем "tunnel-grp1". Карта политик QoS включает команду police для обычного класса и класса трафика по умолчанию, а также команду priority для класса голосового трафика. Затем применяется служебная политика для внешнего интерфейса, и приоритетная очередь для внешнего интерфейса включается.

Настройка контроля QoS и приоритетной очередности
hostname(config)#class-map TG1-voice


!--- This command is wrapped to a second line due to spatial reasons:

hostname(config-cmap)#description "This class-map matches all dscp ef 
traffic for tunnel-grp 1"

hostname(config-cmap)#match dscp ef

hostname(config-cmap)#match tunnel-group tunnel-grp1


hostname(config-cmap)#class-map TG1-BestEffort


!--- This command is wrapped to a second line due to spatial reasons:

hostname(config-cmap)#description "This class-map matches all best-effort 
traffic for tunnel-grp1"

hostname(config-cmap)#match tunnel-group tunnel-grp1

hostname(config-cmap)#match flow ip destination-address


hostname(config-cmap)#policy-map qos

hostname(config-pmap)#class TG1-voice

hostname(config-pmap-c)#priority

hostname(config-pmap-c)#class TG1-best-effort

hostname(config-pmap-c)#police output 200000 37500

hostname(config-pmap-c)#class class-default

hostname(config-pmap-c)#police output 1000000 37500


hostname(config-pmap-c)#service-policy qos interface outside

hostname(config)#priority-queue outside

hostname(config-priority-queue)#queue-limit 2048

hostname(config-priority-queue)#tx-ring-limit 256



!

Проверка настройки QoS

В этом разделе содержатся следующие темы:

Проверка настройки служебной политики QoS

Чтобы проверить все текущие служебные политики, включая реализующие карты политик QoS, используйте команду show service-policy в привилегированном режиме EXEC. Можно ограничить выходные данные политиками, которые включают команды police или priority, с помощью ключевых слов police или priority.

Примечание: Это - та же команда, которую вы используете для просмотра статистики политики и приоритета.

В этом примере показаны выходные данные команды show service-policy с ключевым словом police:

hostname#show service-policy police


Global policy:

	Service-policy: global_fw_policy


Interface outside:

	Service-policy: qos

		Class-map: browse

			police Interface outside:

				cir 56000 bps, bc 10500 bytes

				conformed 10065 packets, 12621510 bytes; actions: transmit

				exceeded 499 packets, 625146 bytes; actions: drop

				conformed 5600 bps, exceed 5016 bps

		Class-map: cmap2

			police Interface outside:

				cir 200000 bps, bc 37500 bytes

				conformed 17179 packets, 20614800 bytes; actions: transmit

				exceeded 617 packets, 770718 bytes; actions: drop

				conformed 198785 bps, exceed 2303 bps

В этом примере показаны выходные данные команды show service-policy с ключевым словом priority:

hostname#show service-policy priority

Global policy:

	Service-policy: global_fw_policy

Interface outside:

	Service-policy: qos

		Class-map: TG1-voice

			Priority:

				Interface outside: aggregate drop 0, aggregate transmit 9383

Проверка настройки карты политик QoS

Чтобы проверить все карты политик, включая содержащие команды police и priority, используйте команду show running-config policy-map в привилегированном режиме EXEC:

hostname#show running-config policy-map

Для вышеприведенных примеров выходные данные этой команды выглядят подобно этому примеру: :

hostname#show running-config policy-map

!

policy-map test

 class class-default

policy-map inbound_policy

 class ftp-port

  inspect ftp strict inbound_ftp

policy-map qos

 class browse

  police 56000 10500

 class TG1-voice

  priority

 class TG1-BestEffort

  police 200000 37500

Проверка настройки приоритетной очереди для интерфейса

Чтобы отобразить настройку приоритетной очереди на интерфейсе, введите команду show running-config priority-queue в режиме глобальной настройки. В этом примере показана настройка приоритетной очереди для интерфейса с именем "test":

hostname(config)#show running-config priority-queue test

priority-queue test

  queue-limit   2048

  tx-ring-limit 256

hostname(config)#

Проверка статистики QoS

В этом разделе содержатся следующие темы:

Проверка статистики контроля QoS

Чтобы проверить статистику контроля трафика QoS, используйте команду show service-policy с ключевым словом police в привилегированном режиме EXEC:

hostname#show service-policy police

Примечание: Это - та же команда, которую вы используете для просмотра конфигурации политики, которая включает ключевое слово политики.

Например, эта команда отображает служебные политики, включающие команду police и соответствующую статистику:

hostname#show service-policy police


Global policy:

	Service-policy: global_fw_policy


Interface outside:

	Service-policy: qos

		Class-map: browse

			police Interface outside:

				cir 56000 bps, bc 10500 bytes

				conformed 10065 packets, 12621510 bytes; actions: transmit

				exceeded 499 packets, 625146 bytes; actions: drop

				conformed 5600 bps, exceed 5016 bps

		Class-map: cmap2

			police Interface outside:

				cir 200000 bps, bc 37500 bytes

				conformed 17179 packets, 20614800 bytes; actions: transmit

				exceeded 617 packets, 770718 bytes; actions: drop

				conformed 198785 bps, exceed 2303 bps

Проверка статистики приоритета QoS

Чтобы проверить статистику служебных политик, реализующих команду priority, используйте команду show service-policy с ключевым словом priority в привилегированном режиме EXEC:

hostname#show service-policy priority

Примечание: Это - та же команда, которую вы используете для просмотра конфигурации политики, которая включает ключевое слово priority .

Например, эта команда отображает служебные политики, включающие команду priority и соответствующую статистику:

hostname#show service-policy priority

Global policy:

	Service-policy: global_fw_policy

Interface outside:

	Service-policy: qos

		Class-map: TG1-voice

			Priority:

				Interface outside: aggregate drop 0, aggregate transmit 9383

Примечание: "Составное отбрасывание" обозначает объединенное понижение этого интерфейса. "Aggregate transmit" означает общее число переданных пакетов на данном интерфейсе.

Проверка статистики приоритетной очереди QoS

Чтобы отобразить статистику приоритетной очереди на интерфейсе, введите команду show priority-queue statistics в привилегированном режиме EXEC. Результат показывает статистику для обычной очереди (BE) и очереди с низкой задержкой (LLQ). В этом примере выходных данных показано использование команды show priority-queue statistics для интерфейса с именем test, а также ее выходные данные:

hostname#show priority-queue statistics test


Priority-Queue Statistics interface test


Queue Type        = BE

!--- "Packets Dropped" denotes the overall number 
!--- of packets that have been dropped in this queue. 


Packets Dropped   = 0

!--- "Packets Transmit" denotes the overall number 
!--- of packets that have been transmitted in this queue. 


Packets Transmit  = 0

!--- "Packets Enqueued" denotes the overall number 
!--- of packets that have been queued in this queue. 

Packets Enqueued  = 0

!--- "Current Q Length" denotes the current depth of this queue. 


Current Q Length  = 0

!--- "Max Q Length" denotes the maximum depth that ever 
!--- occurred in this queue. 

Max Q Length      = 0


Queue Type        = LLQ

Packets Dropped   = 0

Packets Transmit  = 0

Packets Enqueued  = 0

Current Q Length  = 0

Max Q Length      = 0

hostname#

Удаление статистики служебной политики

Чтобы удалить статистику служебной политики, используйте команду clear service-policy в привилегированном режиме EXEC:

hostname# clear service-policy [global | interface intf ]

По умолчанию эта команда удаляет всю статистику для всех включенных служебных политик.

В этом примере показан синтаксис команды clear service-policy:

hostname# clear service-policy outside_security_map interface outside

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 91790