VLAN /サブネットによるCiscoASA5505のQoS
私のASA5505には3つのVLANがあります。 1つはoutsideと呼ばれるインターネットに接続され、もう1つはoffice(企業VPNに接続する)と呼ばれるオフィス用で、もう1つは一般にアクセス可能なresource-centre用です。各VLANは別々のサブネット上にあります。
officeからVPNまたはインターネットへのトラフィックがresource-centreからのトラフィックよりも優先されるようにしたい。言い換えれば、resource-centreトラフィックがofficeトラフィックを圧倒することを望まないのです。
2つのACLを作成できますinside vlans:
access-list resource-centre-traffic extended permit ip 192.168.0.0 255.255.255.0 any
access-list resource-centre-traffic extended permit ip any 192.168.0.0 255.255.255.0
access-list office-traffic extended permit ip 172.16.0.0 255.255.255.0 any
access-list office-traffic extended permit ip any 172.16.0.0 255.255.255.0
私がする必要があるのは、オフィスのトラフィックと一致するトラフィックに優先順位を設定することだと思います。つまり、オフィスとの間のトラフィックが、リソースセンターとの間のトラフィックによって中断されることはありません。
リソースセンターのトラフィックにトラフィックポリシングを設定することもできるので混乱していますが、リソースセンターが使用している帯域幅を実際には気にしないので、それは私がやりたいことではないと思います。それがオフィスのトラフィックを妨害しない限り。
私はASAプラットフォームの大ファンですが、QoSのパラダイムと機能がASAでかなり制限されていることを最初に認めます。標準IOS ISRの実行は、ASAがQoSに関してできることを中心に回っています。
ASA QoS設定ガイド と IOS QoSソリューションガイド の両方を読んでいない場合は、それらをお読みください。シスコ(および他の多くのベンダー)が真にロードされた「サービス品質」という用語の意味を理解するには、これらを読む必要があります。 IOSガイドには、ASAがサポートしていない多くの機能が含まれていることに注意してください。また、ASAで機能しない例を示しています。ただし、どちらにも、役立つ概念、用語、詳細が豊富に含まれています。さまざまなQoSパラダイムと概念に関して。
IOSの場合、ケースは非常に単純です。bandwidthインターフェイスで適切なoutsideを構成し、Modular QoS CLIを使用して、resource-centre-trafficACLに一致するクラスとshapeトラフィックを作成します。 fair-queue残り。
ただし、トラフィックシェーピングが実行されるため不可能なASAの場合すべてのトラフィックオンASAのインターフェイス。 ASAプラットフォームの特定のクラスでトラフィックを整形することはできません。
シェーピングがあなたのケースでひどく役に立たないので、あなたはポリシングと優先キューイング(時々低遅延キューイング(LLQ)と呼ばれる)を残されます。
次のオプションがあります
resource-centre-trafficACLに一致する警察のトラフィックoffice-trafficACLに一致する優先キュートラフィック- 両方を同時に実行します。つまり、それぞれのACLに一致するポリシングキュートラフィックとプライオリティキュートラフィックです。
QoSに関しては、KISSの原則が引き続き適用されます。単純な方が良いです。そのため、最小限の調整から始めることをお勧めします。最初にポリシングから始めます。
ポリシング
次のポリシングの例では、リソースセンターのトラフィックACLに一致するトラフィックを1 Mb/sにレート制限(ポリシング)します。ポリシングにより、制限を超えるパケットがドロップされ、最終的にホストネットワークスタックが再送信され、ポリシングされたレートでセトリングがバックオフされることを理解してください。シェーピングは、遅延を導入してドロップしないことでこれを回避しますが、ASAのシェーパーはクラスに基づいてシェーピングできません。
! create class-map
class-map resource-centre-traffic-class
match access-list resource-centre-traffic
! create policy-map, advise not using a global policy
policy-map outside-policy
class resource-centre-traffic-class
police input 1000000 ! rate in bits per second, 1 Mb/s listed
police output 1000000 ! rate in bits per second, 1 Mb/s listed
! assign policy to interface, in this case outside
service-policy outside-policy interface outside
優先キューイング/ LLQ
プライオリティキューイングは、インターフェイスの送信/出力方向にのみ適用できます。プライオリティキューのトラフィックが出力されるインターフェイスで、キュー制限とTXリング制限を設定することが重要です。 3 Mb/sの送信を想定し、256バイトのパケットサイズに基づいて約2 Mb/sの優先度キューを作成します。優先キューに使用するサイズは、LLQに関しては多くの魔法です。プライオリティキューに収まらない指定されたトラフィックはテールドロップされることに注意してください。つまり、ドロップされるということです。おそらく、オフィスのトラフィックに必要なトラフィックではない可能性があります。
この点で、優先キューイング/ LLQは通常、高スループットのトラフィッククラスでは使用されませんが、代わりに低遅延で使用されます。 ただし、ASAでできることを説明するために、ここに優先キューイングの例を含めています-しません高スループットのフロー/トラフィッククラスには、プライオリティキューイングを使用することをお勧めします。
- 一般的にはLLQをできるだけ小さくすることをお勧めします-大きなLLQは大きすぎると通常のインターフェイスキューを枯渇させる可能性があるため、テールドロップなしで。
- LLQに対してqualifyであるが、適合しない(満杯の場合)パケットは、LLQからテールドロップされます。これはポリシングと共通ですが、LLQ(通常のインターフェイスキューと同じようにソフトウェアキュー)は常にドライバによって処理され、物理インターフェイスに配置されるため、LLQトラフィックは常に「最前線にカット」されます。最初にハードウェアキュー(ハードウェアリングバッファ)。
queue-limitおよびtx-ring-limitに使用される番号は、構成ガイドのワークシートを使用して決定され、マッサージされます。
priority-queue outside
queue-limit 500 ! based on factors listed earlier, very important number
tx-ring-limit 20 ! based on factors listed earlier
! create class-map
class-map office-traffic-class
match access-list office-traffic
! create policy-map, advise not using a global policy
policy-map outside-policy
class office-traffic-class
priority
! assign policy to interface, in this case outside
service-policy outside-policy interface outside
- 両方のクラスマップは、ポリシングとプライオリティキューイングの両方の外部ポリシーに同時にリストできます。
- グローバルポリシーを実装し、グローバルとして設定することができます(グローバルポリシーにリストされているクラスのいずれにもQoSアクションがない限り)。その後、グローバルポリシーの他のアクション(検査など)外部ポリシー(QoSアクションのみ)が外部インターフェイスに配置されている場合、外部インターフェイスでも引き続き有効です。
TL; DR
ASAは、QoSの面で実際に制限されています。ポリシングを試してください。それでも問題が解決しない場合は、LLQを追加するか、慎重に試してください。それでも問題が解決しない場合は、シェーピング、CBWFQなどを使用してIOS ISR [G2]を探してください。