シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA QoS

 

 

概要

この記事は、ASA により提供される QoS 機能について ASA 管理者に説明することを目的としています。サポートされる QoS メカニズムについて簡単に説明し、使用方法を示す例をいくつか挙げます。

 

    • トラフィック ポリシング

ト ラフィックの総量が一定の制限を超えると、多くの場合ポリシングが不可欠になります。その場合、帯域幅は 1 人のユーザまたは 1  つのアプリケーションによって消費されず、帯域幅を維持するためにトラフィックの制限が適用されます。ファイアウォールにより、インターフェイスへの着信 トラフィックおよび発信トラフィックをポリシングできます。ファイアウォール上で制限を超えたトラフィックをドロップ、または許可することができます。

 

    • トラフィック シェーピング

ト ラフィック シェーピングは ASA 7.2.4 で導入され、8.0 および 8.1 トレインでもサポートされています。トラフィック  シェーピングを使用すると、一定の制限を超えるトラフィックはキューに格納/バッファリングされ、トラフィックがしきい値を下回ると送信されます。このオ プションは、しきい値を超えるパケットをドロップしないため、パケット損失によって悪影響を受けるアプリケーションに対し、より適切に機能します。

 

    • プライオリティ キューイング

プ ライオリティ  キューイングとは、優先設定が必要なパケットに優先順位を付ける機能です。音声など、遅延による影響が大きなアプリケーションが該当します。より高度な優 先順位付けメカニズム(WFQ、CBWFQ など)を提供できるルータとは異なり、ファイアウォールでは Low Latency  Queueing(LLQ; 低遅延キューイング)だけを実行できます。

 

注 1:イ ンターフェイス上でインバウンド  ポリシングされたトラフィックは、多くを提供できません。これは、パケットがすでにインターフェイスに到達しているためで、利用可能な帯域幅がすでに使用 されているからです。利用可能なダウンロード帯域幅より少し小さい値にポリシングすることの利点は、リンクをオーバーサブスクライブする前にドロップを開 始することで、TCP が最適なスループット値に収束することです。ただし、パイプを通過する複数のフローがある場合、現実には困難です。

注 2:優 先キューイングは、ポリシングまたはトラフィック シェーピングと併用する必要があります。これは、LLQ  が飽和状態のリンクを除いては、パケットに優先順位が付けられないためです。通常、ASA のインターフェイスは 100Mbps または 1Gbps  以上ですが、これらのリンクが飽和状態になることはあまりありません。しかし、LLQ とともにポリシングまたはトラフィック  シェーピングを実行すると、ポリシングまたはシェーピング制限に達した時点で LLQ が作動します。

注 3:プ ライオリティ キューイングを 2 つのサイト間で実行されるアプリケーションに適用する場合は、この両方のサイトのアプリケーション  トラフィックに優先順位を付けることをお勧めします。その理由は、一方だけに優先順位を付けた場合、リターン  トラフィックが遅延することがあり、優先順位を付けない場合と同じ結果になることがあるからです。

 

優先順位を付けたトラフィック ポリシング

VPN トンネルを介して音声を実行している ASA があり、 VPN を通過する音声トラフィックに優先順位を付けるとします。また、音声ではない VPN トラフィックおよび残りの TCP トラフィックもポリシングします。

外 部インターフェイスで利用できるアップロード帯域幅は 1Mbps とします。VPN に 300kbps を割り当て、そのうち 100kbps  を音声用に確保し(したがって、音声ではない VPN トラフィック用に 200kbps)、TCP トラフィックに  500kbps、残りのトラフィックに 200kbps を割り当てます。また、音声トラフィックの [dscp] フィールドに ef  というフラグが付けられるとします(ほとんどの場合、このフィールドがデフォルトであるため)。トンネル グループ名は tunnel-grp1 です。

 

 

 

 

ASA(config)# priority-queue outside

ASA(config)# access-list tcp-traffic-acl permit tcp any any
ASA(config)# class-map tcp-traffic-class
ASA(config-cmap)# match access-list tcp-traffic-acl

ASA(config)# class-map TG1-voice-class
ASA(config-cmap)# match tunnel-group tunnel-grp1
ASA(config-cmap)# match dscp ef

ASA(config-cmap)# class-map TG1-rest-class
ASA(config-cmap)# match tunnel-group tunnel-grp1
ASA(config-cmap)# match flow ip destination-address

ASA(config)# policy-map police-priority-policy
ASA(config-pmap)# class tcp-traffic-class
ASA(config-pmap-c)# police output 500000
ASA(config-pmap-c)# class TG1-voice-class
ASA(config-pmap-c)# priority
ASA(config-pmap-c)# class TG1-rest-class
ASA(config-pmap-c)# police output 200000
ASA(config-pmap-c)# class class-default
ASA(config-pmap-c)# police output 200000

ASA(config-pmap-c)# service-policy police-priority-policy interface outside

優先順位を付けたトラフィック シェーピング

 

前述の場合と同じ ASA があるとします。ここでは、すべてのトラフィックにトラフィック シェーピングを行い、VPN  を通過する音声に優先順位を付けます。つまり、すべてのトラフィックのトラフィック シェーピングに 900kbps  を割り当て、音声に優先順位を付け、音声用に 100kbps を確保します。ここでも、音声トラフィックの [dhcp] フィールドに ef  というフラグが付けられ、トンネル グループ名は tunnel-grp1 です。

 

 

 

 

ASA(config)# priority-queue outside

ASA(config)# class-map TG1-voice-class
ASA(config-cmap)# match tunnel-group tunnel-grp1
ASA(config-cmap)# match dscp ef

ASA(config-cmap)# policy-map priority-policy
ASA(config-pmap)# class TG1-voice-class
ASA(config-pmap-c)# priority

ASA(config-pmap-c)# policy-map shape-priority-policy
ASA(config-pmap)# class class-default
ASA(config-pmap-c)# shape average 900000
ASA(config-pmap-c)# service-policy priority-policy

ASA(config-pmap-c)# service-policy shape-priority-policy interface outside

 

QoS 統計情報の表示

 

統計情報を表示するには、「show」コマンドを実行します(次の例は上記の例と関連していません)。

ポリシングの統計情報を表示する場合:

 

 

 

 

ASA# show service-policy police

Global policy:
     Service-policy: global_fw_policy

Interface outside:
     Service-policy: qos
          Class-map: browse
               police Interface outside:
                    cir 56000 bps, bc 10500 bytes
                    conformed 10065 packets, 12621510 bytes; actions: transmit
                    exceeded 499 packets, 625146 bytes; actions: drop
                    conformed 5600 bps, exceed 5016 bps
          Class-map: cmap2
               police Interface outside:
                    cir 200000 bps, bc 37500 bytes
                    conformed 17179 packets, 20614800 bytes; actions: transmit
                    exceeded 617 packets, 770718 bytes; actions: drop
                    conformed 198785 bps, exceed 2303 bps

 

 

優先順位付けの統計情報を表示する場合:

 

 

 

 

ASA# show service-policy priority
Global policy:
     Service-policy: global_fw_policy

Interface outside:
     Service-policy: qos
          Class-map: TG1-voice-class
               Priority:
                    Interface outside: aggregate drop 0, aggregate transmit 9383

 

 

シェーピングの統計情報を表示する場合:

 

 

 

ASA# show service-policy shape

Interface outside:
  Service-policy: shape
    Class-map: class-default

      Queueing
      queue limit 64 packets
      (queue depth/total drops/no-buffer drops) 0/0/0
      (pkts output/bytes output) 0/0

      shape (average) cir 2000000, bc 16000, be 16000
      Service-policy: voip
        Class-map: voip

          Queueing
          queue limit 64 packets
          (queue depth/total drops/no-buffer drops) 0/0/0
          (pkts output/bytes output) 0/0
        Class-map: class-default

          queue limit 64 packets
          (queue depth/total drops/no-buffer drops) 0/0/0
          (pkts output/bytes output) 0/0

------------------------------------------------------------------------------------------------------------------------

DOC-1230

バージョン履歴
改訂番号
2/2
最終更新:
‎08-30-2017 06:53 AM
更新者:
 
ラベル(1)
寄稿者: