Мой ASA 5505 имеет три сети VLAN. Один подkeyен к Интерlessу, который вызывается outside. один для офиса, который называется office (который подkeyается к корпоративной VPN), и один для общедоступного resource-centre. Каждая VLAN находится в отдельной подсети.
Я хочу, чтобы трафик из office в vpn или Интерless имел приоритет над трафиком из resource-centre. Другими словами, я не хочу, чтобы трафик resource-centre перегружал office трафик.
Я могу создать списки ACL для двух внутренних vlans:
Я думаю, что мне нужно настроить приоритет на трафик, который соответствует офисному трафику — это означает, что трафик в / из офиса никогда не будет нарушен трафиком в / из центра resources?
Я смущен, так как я мог бы также настроить отслеживание трафика в трафике ресурсного центра, но я не думаю, что это то, что я хочу сделать, поскольку мне действительно неинтересно, сколько пропускной способности ресурсный центр использует как поскольку это не нарушает работу офиса.
Please enable JavaScript to view the comments powered by Disqus.
One Solution collect form web for “QoS на Cisco ASA 5505 по VLAN / подсети”
Хотя я большой поклонник платforms ASA, я буду первым, кто признает, что парадигмы и возможности QoS довольно ограничены в ASA. Стандартные IOS ISR запускают круги вокруг того, что ASA способно в отношении QoS.
Если вы не прочитали Руководство по настройке QoS ASA и Руководство по решениям QoS IOS, прочитайте их. Они необходимы для понимания того, что означает Cisco (и многие другие поставщики) по истинно загруженному термину «качество обслуживания». Обратите внимание, что руководство IOS содержит множество функций, которые ASA не поддерживает — и дает примеры, которые не будут работать в ASA. Однако оба содержат множество полезных понятий, терминов и деталей, касающихся различных парадигм QoS и концепций.
С IOS ваше дело будет довольно простым — настройте соответствующую bandwidth на outside interfaceе, используйте moduleный QoS CLI, чтобы создать трафик classа и shape который соответствует ACL resource-centre-traffic. остальная fair-queue .
Однако с ASA это невозможно, потому что формирование трафика выполняется для всего трафика на interfaceе ASA. Трафик не может формироваться на определенном classе на платформе ASA.
При формировании, не являющемся ужасно полезным в вашем случае, вы остаетесь с политикой и приоритетной queueю, иногда называемой Queueing Low Latency Queuing (LLQ).
У вас есть следующие parameters
- Полицейский трафик, соответствующий ACL resource-centre-traffic
- Трафик очереди приоритетов, соответствующий ACL office-traffic
- Сделайте оба, то есть полицию и трафик приоритетной очереди, соответствующий соответствующим ACL.
Когда дело доходит до QoS, принцип KISS по-прежнему применяется. Чем проще, тем лучше. Именно по этой причине я бы посоветовал начать минимальную и точную мелодию. Начните сначала с полицейской работы.
Полицейская
Следующий пример полицейской деятельности будет оценивать лимитный (полицейский) трафик, соответствующий ACL ресурса-центра трафика, до 1 Мбит / с. Знайте, что в полицейском processе будут выпадать пакеты, которые превышают лимит, в конечном счете приводя к тому, что столы сети хостинга будут ретранслироваться и возвращаться к установленному порядку. Shaping избегает этого, вводя латентность и не снижая, но формирователь ASA не может формироваться на основе classов.
Приоритетная queue / LLQ
Приоритетная очередность применяется только в направлении передачи / вывода interfaceа. Важно настроить ограничения очереди и предел TX Ring на interfaceе, из которого будет выходить трафик в очереди приоритетов. Я собираюсь принять передачу 3 Мбит / с и создать примерно 2 Мбит / с приоритетную queue на основе 256-байтового размера пакета. Размер, используемый для очереди приоритетов, — это много волшебства, когда дело доходит до LLQ. Обратите внимание, что любой указанный трафик, который не может вписаться в queue приоритетов, отбрасывается — то есть он отбрасывается — скорее всего, не то, что вы хотите для своего офисного трафика.
Именно в этом отношении приоритетная queue / LLQ обычно не используется в classах трафика с высокой пропускной способностью, а вместо этого используется для низкой задержки. Тем не менее, я вkeyаю пример приоритетной очереди в целях покрытия того, что может сделать ASA. Я бы не рекомендовал использовать приоритетную queue для любых высокопроизводительных streamов / classов трафика.
- Как правило, желательно, чтобы LLQ был как можно меньшим — без возврата хвоста, поскольку большой LLQ может голодать в нормальной очереди interfaceа, если он слишком большой.
- Пакеты, которые подходят для LLQ, но не подходят (если они полны), отбрасываются с LLQ. Это совместно используется с политикой — однако при этом трафик LLQ всегда «сокращается до фронта», поскольку LLQ (queue программного обеспечения, как и обычная queue interfaceа) всегда обслуживается драйвером и помещается в физический interface аппаратной очереди (аппаратный кольцевой буфер).
Числа, используемые для queue-limit и tx-ring-limit определяются с использованием листа в руководстве по настройке, а затем массируются.
- Обе maps classов могут быть перечислены во внешней политике для одновременной работы в режиме охраны и приоритета.
- Вы все равно можете реализовать глобальную политику и установить ее как глобальную — если на какой-либо из classов, перечисленных в глобальной политике, less действий QoS, тогда другие действия (проверки и т. Д.) Глобальной политики будет оставаться в силе на внешнем interfaceе, когда внешняя политика (только с действиями QoS) будет размещена на внешнем interfaceе.
ASA действительно ограничен на фронте QoS. Попробуйте полицию. Если это не работает, добавьте или попробуйте LLQ очень осторожно. Если это не работает, найдите IOS ISR [G2] с формированием, CBWFQ и т. Д.