Назад | Перейти на главную страницу

Основы QoS на Cisco ASA

Может ли кто-нибудь вкратце объяснить, как использовать QoS на Cisco ASA 5505? У меня есть основы работы с полицейскими, но как насчет формирования и приоритетов? В основном то, что я пытаюсь сделать, - это выделить некоторую пропускную способность для своих подсетей VPN (в группе объектов, называемой priority-traffic).

я видел этот документ Cisco QoS, однако настройка шейпинга и приоритета очереди, похоже, не повлияла на мой тест. Полная загрузка ядра linux с kernel.org увеличит пинг к серверу через VPN до небес. Этот тест успешно прошел с помощью политик, хотя он не кажется таким эффективным (я ограничиваю трафик без VPN на 3 из моих 4,5 мегабит полосы пропускания). Я неправильно понимаю результаты теста? Я думаю, что есть одна простая концепция, которую я здесь не понимаю.

РЕДАКТИРОВАТЬ:

Вот моя конфигурация (у меня 4,5 мегабита полосы пропускания):

access-list priority-traffic extended permit ip object-group priority-traffic any 
access-list priority-traffic extended permit ip any object-group priority-traffic 
access-list priority-traffic extended permit icmp object-group priority-traffic any 
access-list priority-traffic extended permit icmp any object-group priority-traffic 
access-list non-priority-traffic extended deny ip object-group priority-traffic any 
access-list non-priority-traffic extended deny ip any object-group priority-traffic 
access-list non-priority-traffic extended permit ip any any 

priority-queue outside
  queue-limit   440

class-map non-priority-traffic
 match access-list non-priority-traffic
class-map priority-traffic
 match access-list priority-traffic
class-map inspection_default
 match default-inspection-traffic

policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
policy-map outbound-qos-policy
 class non-priority-traffic
  police input 2500000
  police output 2500000
 class priority-traffic
  priority

service-policy global_policy global
service-policy outbound-qos-policy interface outside

Карта политик в том виде, в каком она написана, не назначает полосу пропускания вашему приоритетному трафику, и вы (скорее всего) используете для нее неправильный механизм QoS. В priority Обозначение предназначено для трафика, который должен быть ускорен, как правило, для передачи аудио по протоколу RTP (чаще всего используется для VoIP, но я видел, что он использовался для перетасовки широковещательного звука из таблицы микширования через WAN для дальнейшего вещания в качестве радио).

Любой трафик, который соответствует классу приоритета, будет отправлен (до установленного лимита, я не знаю, что он по умолчанию, есть два слегка разных способа сделать это, в зависимости от версии IOS, один использует полосу пропускания, а другой полагается на ограничитель в том же классе) перед любым другим трафиком во временном интервале. Cisco настоятельно рекомендует НИКОГДА не использовать priority для трафика, который может быть TCP, поэтому "только UDP". Любой трафик, превышающий (жесткий) лимит для приоритетного трафика, БУДЕТ отброшен.

Кроме того, хотя это и не обязательно, я обнаружил, что запуск моих политик QoS с «наиболее важных» классов в первую очередь упрощает их чтение.

Я бы, вероятно, переписал эту политику в соответствии с предложением Брюса Гроблера.

Формирование трафика в основном используется для сопоставления устройств со скоростью соединения. Это влияет только на интерфейсы и не зависит от типа трафика.

Вы не можете настроить приоритет и применение политик для одних и тех же типов трафика. Другими словами, если вы хотите установить приоритет для вашей группы «приоритетный трафик», вам придется контролировать весь остальной трафик.

С приоритетным трафиком относитесь к QOS как к чашке. Вы определяете, какой трафик сделать приоритетным, помещая его в эту чашку ... но что происходит после этого, вы не можете контролировать. Вы можете только определить, какой трафик добавить в вашу чашку.

Не уверен, что это доступно в AS, но попробуйте использовать CBWFQ, вы можете настроить его, отказавшись от своего класса по умолчанию с помощью встроенной политики обслуживания (также работает с субинтерфейсами), например


policy-map pmap_parent
class class-default
shape 4500000
service-policy pmap_child
policy-map pmap_child
class cmap_priority
bandwidth percent {X percent of total}
class cmap_non-priority
bandwidht percent {X percent of total}

etc,etc,

тогда ваш трафик мусорщика может быть помещен в класс по умолчанию в pmap_child,

Cisco рекомендует, чтобы гарантированный процент не превышал 70%, торрентам по-прежнему нужна пропускная способность: D