Может ли кто-нибудь вкратце объяснить, как использовать QoS на Cisco ASA 5505? У меня есть основы работы с полицейскими, но как насчет формирования и приоритетов? В основном то, что я пытаюсь сделать, - это выделить некоторую пропускную способность для своих подсетей VPN (в группе объектов, называемой priority-traffic
).
я видел этот документ Cisco QoS, однако настройка шейпинга и приоритета очереди, похоже, не повлияла на мой тест. Полная загрузка ядра linux с kernel.org увеличит пинг к серверу через VPN до небес. Этот тест успешно прошел с помощью политик, хотя он не кажется таким эффективным (я ограничиваю трафик без VPN на 3 из моих 4,5 мегабит полосы пропускания). Я неправильно понимаю результаты теста? Я думаю, что есть одна простая концепция, которую я здесь не понимаю.
РЕДАКТИРОВАТЬ:
Вот моя конфигурация (у меня 4,5 мегабита полосы пропускания):
access-list priority-traffic extended permit ip object-group priority-traffic any
access-list priority-traffic extended permit ip any object-group priority-traffic
access-list priority-traffic extended permit icmp object-group priority-traffic any
access-list priority-traffic extended permit icmp any object-group priority-traffic
access-list non-priority-traffic extended deny ip object-group priority-traffic any
access-list non-priority-traffic extended deny ip any object-group priority-traffic
access-list non-priority-traffic extended permit ip any any
priority-queue outside
queue-limit 440
class-map non-priority-traffic
match access-list non-priority-traffic
class-map priority-traffic
match access-list priority-traffic
class-map inspection_default
match default-inspection-traffic
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
policy-map outbound-qos-policy
class non-priority-traffic
police input 2500000
police output 2500000
class priority-traffic
priority
service-policy global_policy global
service-policy outbound-qos-policy interface outside
Карта политик в том виде, в каком она написана, не назначает полосу пропускания вашему приоритетному трафику, и вы (скорее всего) используете для нее неправильный механизм QoS. В priority
Обозначение предназначено для трафика, который должен быть ускорен, как правило, для передачи аудио по протоколу RTP (чаще всего используется для VoIP, но я видел, что он использовался для перетасовки широковещательного звука из таблицы микширования через WAN для дальнейшего вещания в качестве радио).
Любой трафик, который соответствует классу приоритета, будет отправлен (до установленного лимита, я не знаю, что он по умолчанию, есть два слегка разных способа сделать это, в зависимости от версии IOS, один использует полосу пропускания, а другой полагается на ограничитель в том же классе) перед любым другим трафиком во временном интервале. Cisco настоятельно рекомендует НИКОГДА не использовать priority
для трафика, который может быть TCP, поэтому "только UDP". Любой трафик, превышающий (жесткий) лимит для приоритетного трафика, БУДЕТ отброшен.
Кроме того, хотя это и не обязательно, я обнаружил, что запуск моих политик QoS с «наиболее важных» классов в первую очередь упрощает их чтение.
Я бы, вероятно, переписал эту политику в соответствии с предложением Брюса Гроблера.
Формирование трафика в основном используется для сопоставления устройств со скоростью соединения. Это влияет только на интерфейсы и не зависит от типа трафика.
Вы не можете настроить приоритет и применение политик для одних и тех же типов трафика. Другими словами, если вы хотите установить приоритет для вашей группы «приоритетный трафик», вам придется контролировать весь остальной трафик.
С приоритетным трафиком относитесь к QOS как к чашке. Вы определяете, какой трафик сделать приоритетным, помещая его в эту чашку ... но что происходит после этого, вы не можете контролировать. Вы можете только определить, какой трафик добавить в вашу чашку.
Не уверен, что это доступно в AS, но попробуйте использовать CBWFQ, вы можете настроить его, отказавшись от своего класса по умолчанию с помощью встроенной политики обслуживания (также работает с субинтерфейсами), например
policy-map pmap_parent
class class-default
shape 4500000
service-policy pmap_child
policy-map pmap_child
class cmap_priority
bandwidth percent {X percent of total}
class cmap_non-priority
bandwidht percent {X percent of total}
etc,etc,
тогда ваш трафик мусорщика может быть помещен в класс по умолчанию в pmap_child,
Cisco рекомендует, чтобы гарантированный процент не превышал 70%, торрентам по-прежнему нужна пропускная способность: D