服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Cisco ASA 5505上的QoS / VLAN /子网
Intereting Posts
Outlook 07 SP2中的其他邮箱 initctl respawn不重新加载configuration Microsoft Exchange:为** foouser **添加**到收件行 build议MSA70存储和MSA2324fc InnoDb开销? 如何强制SCCM重新安装我已经部署的应用程序? 如何控制IP地址的发送? 如何使sendmail转发本地邮件? 使用PowerShell获取用户Live @ edu上的用户LastLogonTime 没有互联网接入的WiFi接入点 – iOS设备断开 我怎样才能更新我的PHP DOCUMENT_ROOTvariables从VirtualDocumentRoot 您可以多less次格式化硬盘? Keepalived(LVS)+ SPDY 安装PHP libevent PECL包的问题 Ansible条件列表

Cisco ASA 5505上的QoS / VLAN /子网

我的ASA 5505有三个VLAN。 一个连接到outside的互联网,一个是我们办公室的office (连接到公司的VPN),另一个是公共的resource-centre 。 每个VLAN位于一个单独的子网上。

我想确保从office到VPN或互联网的stream量优先于来自resource-centrestream量。 换句话说,我不希望resource-centrestream量压倒officestream量。

我可以为我的两个vlans创buildACL: 

 access-list resource-centre-traffic extended permit ip 192.168.0.0 255.255.255.0 any access-list resource-centre-traffic extended permit ip any 192.168.0.0 255.255.255.0 access-list office-traffic extended permit ip 172.16.0.0 255.255.255.0 any access-list office-traffic extended permit ip any 172.16.0.0 255.255.255.0

我认为我需要做的是确定与办公室stream量相匹配的stream量优先级 – 这意味着stream入/stream出办公室的stream量永远不会受到来自资源中心的stream量中断的影响吗?

我很困惑,因为我也可以在资源中心stream量上设置stream量监pipe,但是我不认为这是我想要做的事情,因为我并不关心资源中心使用多less带宽只要它不影响办公室交通。

虽然我是ASA平台的忠实粉丝,但我将首先承认ASA的QoS范例和function相当有限。 标准IOS ISR围绕ASA在QoS方面的能力运行。

如果您还没有阅读“ ASA QoSconfiguration指南”和“ IOS QoS解决scheme指南”,请阅读它们。 他们需要阅读理解什么思科(和许多其他供应商)意味着真正的“服务质量”的期限。 请注意,IOS指南包含ASA不支持的许多function,并给出了不适用于ASA的示例。 但是,两者都包含大量有用的概念,术语和关于各种QoS范例和概念的细节。

使用IOS,您的情况会非常简单 – 在outside接口上configuration适当的bandwidth ,使用模块化QoS CLI创build与resource-centre-traffic ACL相匹配的类别和shapestream量,其余部分则fair-queue

但是 ,使用ASA是不可能的,因为对ASA上的接口上的所有stream量执行stream量整形。 stream量不能在ASA平台上的特定类别上形成。

在你的情况下,整形不是非常有用,你只剩下警戒和优先级排队,有时称为低延迟排队(LLQ)。

您有以下选项

  • 警方stream量匹配resource-centre-traffic ACL
  • 优先级队列stream量匹配office-traffic ACL
  • 同时做两个警察和优先级队列stream量匹配各自的ACL。

当谈到QoS时,KISS原则仍然适用。 越简单越好。 正因为这个原因,我build议最低限度地开始微调。 从治安开始。

警务

以下警务例子将符合资源中心stream量ACL的stream量限制(警察)stream量限制为1 Mb / s。 知道监pipe将丢弃超过限制的数据包,最终导致主机networking堆栈重新发送,并在监pipe率周围回退。 Shaping通过引入延迟而不是丢弃来避免这种情况,但ASA的整形器不能基于类进行整形。 

 ! create class-map class-map resource-centre-traffic-class match access-list resource-centre-traffic ! create policy-map, advise not using a global policy policy-map outside-policy class resource-centre-traffic-class police input 1000000 ! rate in bits per second, 1 Mb/s listed police output 1000000 ! rate in bits per second, 1 Mb/s listed ! assign policy to interface, in this case outside service-policy outside-policy interface outside

优先队列/ LLQ

优先级队列只适用于接口的发送/接收方向。 在优先级队列中的stream量出口的接口上configuration队列限制和发送环路限制非常重要。 我将假设3 Mb / s传输,并基于256字节的数据包大小创build大约2 Mb / s的优先级队列。 用于优先级队列的大小对于LLQ来说是非常神奇的。 请注意,任何不能放入优先级队列的指定stream量都是尾部丢弃的 – 也就是说,它被丢弃 – 可能不是您想要的办公室stream量。

就这一点而言,优先级队列/ LLQ通常不用于高吞吐量业务类别,而是用于低延迟。 但是,为了覆盖ASA可以做的事情 ,我在这里包含了优先级排队示例 – 我不build议对任何高吞吐量stream量/stream量类使用优先级排队。

  • 通常build议保持一个尽可能小的LLQ,而不要拖尾,因为一个大的LLQ如果太大,会使正常的接口队列挨饿。
  • 资格获得 LLQ但不合格的数据包(如果已满)将从LLQ中删减。 这与警务共享是相同的 – 然而,由于LLQ(软件队列就像正常的接口队列)一直由驱动程序提供服务,并且放置在物理接口中,所以LLQ通信总是“切到线路的前端”首先是硬件队列(硬件环形缓冲区)。

用于queue-limittx-ring-limit数字使用configuration指南中的工作表进行确定,然后进行处理。 

 priority-queue outside queue-limit 500 ! based on factors listed earlier, very important number tx-ring-limit 20 ! based on factors listed earlier ! create class-map class-map office-traffic-class match access-list office-traffic ! create policy-map, advise not using a global policy policy-map outside-policy class office-traffic-class priority ! assign policy to interface, in this case outside service-policy outside-policy interface outside
  • 这两个class-map可以同时列入策略和优先级队列的外部策略中。
  • 您仍然可以实施一项全球政策,并将其设置为全球政策 – 只要全球政策中列出的任何一个class级没有QoS行动 – 那么全球政策的其他行动(检查等)当外部策略(只有QoS动作)被放置在外部接口上时,将在外部接口上保持有效。

TL; DR

ASA在QoS方面确实受到限制。 尝试治安。 如果这不起作用,请仔细阅读或尝试LLQ。 如果这样做不起作用寻找IOS ISR [G2]与塑造,CBWFQ等等