4
Cisco ASA QOS
Hallo,
ich habe im Moment 2 Probleme mit dem ASA 5505
1.) Wie muss ich den ASA konfigurieren das wenn mehrere User über den ASA in das Internet gehen, jeder die gleiche Bandbreite zur Verfügung steht? Wobei ich keine feste grenze pro User einrichten möchte sondern eine dynamische Sache. Wenn nur ein User online ist bekommt er die ganze Bandbreite, wenn einer 1/3 der Bandbreite benötigt dann bekommt der 2. User die anderen 2/3 wenn er sie benötigt. usw.
2.) Ich habe einen ASA der 2 VPN Verbindungen aufbaut über die VoIP geht und zusätzlich geht über den ASA der traffic von einem Mailserver und einer zusätzlichen Software. Wie kann ich den ASA so konfigurieren das der VoIP traffic absoltue Priorität hat und und der Traffic des Mailservers und der anderen Software sich den rest der Bandbreite teilen?
Frage 1 und 2 sind zwei unterschiedliche ASAs und haben nichts miteinander zu tun.
Gruß Andi
ich habe im Moment 2 Probleme mit dem ASA 5505
1.) Wie muss ich den ASA konfigurieren das wenn mehrere User über den ASA in das Internet gehen, jeder die gleiche Bandbreite zur Verfügung steht? Wobei ich keine feste grenze pro User einrichten möchte sondern eine dynamische Sache. Wenn nur ein User online ist bekommt er die ganze Bandbreite, wenn einer 1/3 der Bandbreite benötigt dann bekommt der 2. User die anderen 2/3 wenn er sie benötigt. usw.
2.) Ich habe einen ASA der 2 VPN Verbindungen aufbaut über die VoIP geht und zusätzlich geht über den ASA der traffic von einem Mailserver und einer zusätzlichen Software. Wie kann ich den ASA so konfigurieren das der VoIP traffic absoltue Priorität hat und und der Traffic des Mailservers und der anderen Software sich den rest der Bandbreite teilen?
Frage 1 und 2 sind zwei unterschiedliche ASAs und haben nichts miteinander zu tun.
Gruß Andi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165589
Url: https://administrator.de/contentid/165589
Printed on: April 18, 2024 at 04:04 o'clock
4 Comments
Latest comment
Hallo,
zu frage 1: QoS for VoIP Traffic on VPN Tunnels Configuration Example
zu frage 2: Bandwidth Management(Rate Limit) Using QoS Policies
brammer
zu frage 1: QoS for VoIP Traffic on VPN Tunnels Configuration Example
zu frage 2: Bandwidth Management(Rate Limit) Using QoS Policies
brammer
Danke schon einmal für die Links. Jetzt mal eine Frage zu dem Beispiel im Link
hostname(config)#class-map TG1-voice
hostname(config-cmap)#description "This class-map matches all dscp ef traffic for tunnel-grp 1"
hostname(config-cmap)#match dscp ef
hostname(config-cmap)#match tunnel-group tunnel-grp1
hostname(config-cmap)#class-map TG1-BestEffort
hostname(config-cmap)#description "This class-map matches all best-effort traffic for tunnel-grp1"
hostname(config-cmap)#match tunnel-group tunnel-grp1
hostname(config-cmap)#match flow ip destination-address
hostname(config-cmap)#policy-map qos
hostname(config-pmap)#class TG1-voice
hostname(config-pmap-c)#priority
hostname(config-pmap-c)#class TG1-best-effort
hostname(config-pmap-c)#police output 200000 37500
hostname(config-pmap-c)#class class-default
hostname(config-pmap-c)#police output 1000000 37500
hostname(config-pmap-c)#service-policy qos interface outside
- Bei "match dscp ef" steht das ef für Expedited Forwarding. Was für VoIP Sachen z.B. gedacht ist. Meine Frage ist nun, ist bei VoIP Traffic immer im IP Header die entsprechenden Bits gesetzt oder muss ich da noch was machen?
- Was macht eigentlich genau "match flow ip destination-address"? "Enables flow-based policy actions"??? nur versteh ich nicht ganz was damit gemeint ist. Entspricht diese Class-Map dem ganzen Datenverkehr im Tunnel?
- "police output 200000 37500" Ich versteh diese Zeile nicht ganz. Die 200000 stehen für die Bits/s und die 37500 für die Burst size. Die Burst size ist wenn ich es richtig verstanden habe die Bytes/s. Somit steh ich jetzt vor dem Problem wo ist der genaue unterschied zwischen den beiden Werten?
Gruß Andi
hostname(config)#class-map TG1-voice
hostname(config-cmap)#description "This class-map matches all dscp ef traffic for tunnel-grp 1"
hostname(config-cmap)#match dscp ef
hostname(config-cmap)#match tunnel-group tunnel-grp1
hostname(config-cmap)#class-map TG1-BestEffort
hostname(config-cmap)#description "This class-map matches all best-effort traffic for tunnel-grp1"
hostname(config-cmap)#match tunnel-group tunnel-grp1
hostname(config-cmap)#match flow ip destination-address
hostname(config-cmap)#policy-map qos
hostname(config-pmap)#class TG1-voice
hostname(config-pmap-c)#priority
hostname(config-pmap-c)#class TG1-best-effort
hostname(config-pmap-c)#police output 200000 37500
hostname(config-pmap-c)#class class-default
hostname(config-pmap-c)#police output 1000000 37500
hostname(config-pmap-c)#service-policy qos interface outside
- Bei "match dscp ef" steht das ef für Expedited Forwarding. Was für VoIP Sachen z.B. gedacht ist. Meine Frage ist nun, ist bei VoIP Traffic immer im IP Header die entsprechenden Bits gesetzt oder muss ich da noch was machen?
- Was macht eigentlich genau "match flow ip destination-address"? "Enables flow-based policy actions"??? nur versteh ich nicht ganz was damit gemeint ist. Entspricht diese Class-Map dem ganzen Datenverkehr im Tunnel?
- "police output 200000 37500" Ich versteh diese Zeile nicht ganz. Die 200000 stehen für die Bits/s und die 37500 für die Burst size. Die Burst size ist wenn ich es richtig verstanden habe die Bytes/s. Somit steh ich jetzt vor dem Problem wo ist der genaue unterschied zwischen den beiden Werten?
Gruß Andi
Hallo,
wie schön das bei Cisco alles dokumentiert ist...
brammer
wie schön das bei Cisco alles dokumentiert ist...
In the following example, the class-map command classifies all non-tunneled TCP traffic, using an access list named tcp_traffic:
hostname(config)# access-list tcp_traffic permit tcp any any
hostname(config)# class-map tcp_traffic
hostname(config-cmap)# match access-list tcp_traffic
In the following example, other, more specific match criteria are used for classifying traffic for specific, security-related tunnel groups. These specific match criteria stipulate that a match on tunnel-group (in this case, the previously-defined Tunnel-Group-1) is required as the first match characteristic to classify traffic for a specific tunnel, and it allows for an additional match line to classify the traffic (IP differential services code point, expedited forwarding).
hostname(config)# class-map TG1-voice
hostname(config-cmap)# match tunnel-group tunnel-grp1
hostname(config-cmap)# match dscp ef
In the following example, the class-map command classifies both tunneled and non-tunneled traffic according to the traffic type:
hostname(config)# access-list tunneled extended permit ip 10.10.34.0 255.255.255.0
192.168.10.0 255.255.255.0
hostname(config)# access-list non-tunneled extended permit tcp any any
hostname(config)# tunnel-group tunnel-grp1 type IPsec_L2L
hostname(config)# class-map browse
hostname(config-cmap)# description "This class-map matches all non-tunneled tcp traffic."
hostname(config-cmap)# match access-list non-tunneled
hostname(config-cmap)# class-map TG1-voice
hostname(config-cmap)# description "This class-map matches all dscp ef traffic for
tunnel-grp 1."
hostname(config-cmap)# match dscp ef
hostname(config-cmap)# match tunnel-group tunnel-grp1
hostname(config-cmap)# class-map TG1-BestEffort
hostname(config-cmap)# description "This class-map matches all best-effort traffic for
tunnel-grp1."
hostname(config-cmap)# match tunnel-group tunnel-grp1
hostname(config-cmap)# match flow ip destination-address
The following example shows a way of policing a flow within a tunnel, provided the classed traffic is not specified as a tunnel, but does go through the tunnel. In this example, 192.168.10.10 is the address of the host machine on the private side of the remote tunnel, and the access list is named "host-over-l2l". By creating a class-map (named "host-specific"), you can then police the "host-specific" class before the LAN-to-LAN connection polices the tunnel. In this example, the "host-specific" traffic is rate-limited before the tunnel, then the tunnel is rate-limited:
hostname(config)# access-list host-over-l2l extended permit ip any host 192.168.10.10
hostname(config)# class-map host-specific
hostname(config-cmap)# match access-list host-over-l2l
The following example builds on the configuration developed in the previous section. As in the previous example, there are two named class-maps: tcp_traffic and TG1-voice.
hostname(config)# class-map TG1-best-effort
hostname(config-cmap)# match tunnel-group Tunnel-Group-1
hostname(config-cmap)# match flow ip destination-address
Adding a third class map provides a basis for defining a tunneled and non-tunneled QoS policy, as follows, which creates a simple QoS policy for tunneled and non-tunneled traffic, assigning packets of the class TG1-voice to the low latency queue and setting rate limits on the tcp_traffic and TG1-best-effort traffic flows.
Example 57-2 Priority and Policing Example
In this example, the maximum rate for traffic of the tcp_traffic class is 56,000 bits/second and a maximum burst size of 10,500 bytes per second. For the TC1-BestEffort class, the maximum rate is 200,000 bits/second, with a maximum burst of 37,500 bytes/second. Traffic in the TC1-voice class has no policed maximum speed or burst rate because it belongs to a priority class.
hostname(config)# access-list tcp_traffic permit tcp any any
hostname(config)# class-map tcp_traffic
hostname(config-cmap)# match access-list tcp_traffic
hostname(config)# class-map TG1-voice
hostname(config-cmap)# match tunnel-group tunnel-grp1
hostname(config-cmap)# match dscp ef
hostname(config-cmap)# class-map TG1-BestEffort
hostname(config-cmap)# match tunnel-group tunnel-grp1
hostname(config-cmap)# match flow ip destination-address
hostname(config)# policy-map qos
hostname(config-pmap)# class tcp_traffic
hostname(config-pmap-c)# police output 56000 10500
hostname(config-pmap-c)# class TG1-voice
hostname(config-pmap-c)# priority
hostname(config-pmap-c)# class TG1-best-effort
hostname(config-pmap-c)# police output 200000 37500
hostname(config-pmap-c)# class class-default
hostname(config-pmap-c)# police output 1000000 37500
hostname(config-pmap-c)# service-policy qos globalbrammer
ok Damit wäre frage 2 schon mal beantwortet.
Aber wird bei VoIP traffic immer die entsprechenden Bit im IP Header gesetzt das er es als EF erkennt oder nicht.
Wie ist das jetzt mit der Burst Size. Hier steht nur das die Burst Size eine größe von XY Bytes / Seconds hat aber nicht genau wo der unterschied ist.
-> 56,000 bits/second and a maximum burst size of 10,500 bytes per second
Wie schnell kann ich jetzt übertragen?? 56000 bits/second oder 10500 bytes/second.
Noch eine Zusätzliche Frage:
-> Wenn ich es jetzt richtig verstanden habe teilen sich die class-maps in der policy map das Interface und die Bandbreite. An meinem Interface ist der Router meines ISP angeschlossen. Somit habe ich eine 100Mbit Verbindung zum Router und da geht es nur noch mit 25 MBit down und 5Mbit Upload weiter. Wo muss ich diese Werte einstellen? mit bandwidth auf dem Interface kann ich ja nur einen Werte angeben und bis jetzt dachte ich das dieser Wert nur für das Routing ist.
Andi
Aber wird bei VoIP traffic immer die entsprechenden Bit im IP Header gesetzt das er es als EF erkennt oder nicht.
Wie ist das jetzt mit der Burst Size. Hier steht nur das die Burst Size eine größe von XY Bytes / Seconds hat aber nicht genau wo der unterschied ist.
-> 56,000 bits/second and a maximum burst size of 10,500 bytes per second
Wie schnell kann ich jetzt übertragen?? 56000 bits/second oder 10500 bytes/second.
Noch eine Zusätzliche Frage:
-> Wenn ich es jetzt richtig verstanden habe teilen sich die class-maps in der policy map das Interface und die Bandbreite. An meinem Interface ist der Router meines ISP angeschlossen. Somit habe ich eine 100Mbit Verbindung zum Router und da geht es nur noch mit 25 MBit down und 5Mbit Upload weiter. Wo muss ich diese Werte einstellen? mit bandwidth auf dem Interface kann ich ja nur einen Werte angeben und bis jetzt dachte ich das dieser Wert nur für das Routing ist.
Andi
