Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Cisco ASA QOS

Mitglied: AndiStroebi

AndiStroebi (Level 1) - Jetzt verbinden

03.05.2011 um 19:56 Uhr, 5814 Aufrufe, 4 Kommentare

Hallo,

ich habe im Moment 2 Probleme mit dem ASA 5505

1.) Wie muss ich den ASA konfigurieren das wenn mehrere User über den ASA in das Internet gehen, jeder die gleiche Bandbreite zur Verfügung steht? Wobei ich keine feste grenze pro User einrichten möchte sondern eine dynamische Sache. Wenn nur ein User online ist bekommt er die ganze Bandbreite, wenn einer 1/3 der Bandbreite benötigt dann bekommt der 2. User die anderen 2/3 wenn er sie benötigt. usw.

2.) Ich habe einen ASA der 2 VPN Verbindungen aufbaut über die VoIP geht und zusätzlich geht über den ASA der traffic von einem Mailserver und einer zusätzlichen Software. Wie kann ich den ASA so konfigurieren das der VoIP traffic absoltue Priorität hat und und der Traffic des Mailservers und der anderen Software sich den rest der Bandbreite teilen?

Frage 1 und 2 sind zwei unterschiedliche ASAs und haben nichts miteinander zu tun.

Gruß Andi
Mitglied: AndiStroebi
06.05.2011 um 08:33 Uhr
Danke schon einmal für die Links. Jetzt mal eine Frage zu dem Beispiel im Link

hostname(config)#class-map TG1-voice
hostname(config-cmap)#description "This class-map matches all dscp ef traffic for tunnel-grp 1"
hostname(config-cmap)#match dscp ef
hostname(config-cmap)#match tunnel-group tunnel-grp1


hostname(config-cmap)#class-map TG1-BestEffort
hostname(config-cmap)#description "This class-map matches all best-effort traffic for tunnel-grp1"
hostname(config-cmap)#match tunnel-group tunnel-grp1
hostname(config-cmap)#match flow ip destination-address


hostname(config-cmap)#policy-map qos

hostname(config-pmap)#class TG1-voice
hostname(config-pmap-c)#priority

hostname(config-pmap-c)#class TG1-best-effort
hostname(config-pmap-c)#police output 200000 37500

hostname(config-pmap-c)#class class-default
hostname(config-pmap-c)#police output 1000000 37500

hostname(config-pmap-c)#service-policy qos interface outside

- Bei "match dscp ef" steht das ef für Expedited Forwarding. Was für VoIP Sachen z.B. gedacht ist. Meine Frage ist nun, ist bei VoIP Traffic immer im IP Header die entsprechenden Bits gesetzt oder muss ich da noch was machen?

- Was macht eigentlich genau "match flow ip destination-address"? "Enables flow-based policy actions"??? nur versteh ich nicht ganz was damit gemeint ist. Entspricht diese Class-Map dem ganzen Datenverkehr im Tunnel?

- "police output 200000 37500" Ich versteh diese Zeile nicht ganz. Die 200000 stehen für die Bits/s und die 37500 für die Burst size. Die Burst size ist wenn ich es richtig verstanden habe die Bytes/s. Somit steh ich jetzt vor dem Problem wo ist der genaue unterschied zwischen den beiden Werten?

Gruß Andi
Bitte warten ..
Mitglied: brammer
06.05.2011 um 09:33 Uhr
Hallo,

wie schön das bei Cisco alles dokumentiert ist...

01.
In the following example, the class-map command classifies all non-tunneled TCP traffic, using an access list named tcp_traffic: 
02.
 
03.
hostname(config)# access-list tcp_traffic permit tcp any any 
04.
 
05.
hostname(config)# class-map tcp_traffic 
06.
 
07.
hostname(config-cmap)# match access-list tcp_traffic 
08.
 
09.
 
10.
In the following example, other, more specific match criteria are used for classifying traffic for specific, security-related tunnel groups. These specific match criteria stipulate that a match on tunnel-group (in this case, the previously-defined Tunnel-Group-1) is required as the first match characteristic to classify traffic for a specific tunnel, and it allows for an additional match line to classify the traffic (IP differential services code point, expedited forwarding). 
11.
 
12.
hostname(config)# class-map TG1-voice 
13.
 
14.
hostname(config-cmap)# match tunnel-group tunnel-grp1 
15.
 
16.
hostname(config-cmap)# match dscp ef 
17.
 
18.
 
19.
In the following example, the class-map command classifies both tunneled and non-tunneled traffic according to the traffic type: 
20.
 
21.
hostname(config)# access-list tunneled extended permit ip 10.10.34.0 255.255.255.0  
22.
192.168.10.0 255.255.255.0 
23.
 
24.
hostname(config)# access-list non-tunneled extended permit tcp any any 
25.
 
26.
hostname(config)# tunnel-group tunnel-grp1 type IPsec_L2L 
27.
 
28.
 
29.
hostname(config)# class-map browse 
30.
 
31.
hostname(config-cmap)# description "This class-map matches all non-tunneled tcp traffic." 
32.
 
33.
hostname(config-cmap)# match access-list non-tunneled 
34.
 
35.
 
36.
hostname(config-cmap)# class-map TG1-voice 
37.
 
38.
hostname(config-cmap)# description "This class-map matches all dscp ef traffic for  
39.
tunnel-grp 1." 
40.
 
41.
hostname(config-cmap)# match dscp ef 
42.
 
43.
hostname(config-cmap)# match tunnel-group tunnel-grp1 
44.
 
45.
 
46.
hostname(config-cmap)# class-map TG1-BestEffort 
47.
 
48.
hostname(config-cmap)# description "This class-map matches all best-effort traffic for  
49.
tunnel-grp1." 
50.
 
51.
hostname(config-cmap)# match tunnel-group tunnel-grp1 
52.
 
53.
hostname(config-cmap)# match flow ip destination-address 
54.
 
55.
 
56.
The following example shows a way of policing a flow within a tunnel, provided the classed traffic is not specified as a tunnel, but does go through the tunnel. In this example, 192.168.10.10 is the address of the host machine on the private side of the remote tunnel, and the access list is named "host-over-l2l". By creating a class-map (named "host-specific"), you can then police the "host-specific" class before the LAN-to-LAN connection polices the tunnel. In this example, the "host-specific" traffic is rate-limited before the tunnel, then the tunnel is rate-limited: 
57.
 
58.
hostname(config)# access-list host-over-l2l extended permit ip any host 192.168.10.10 
59.
 
60.
hostname(config)# class-map host-specific 
61.
 
62.
hostname(config-cmap)# match access-list host-over-l2l 
63.
 
64.
 
65.
The following example builds on the configuration developed in the previous section. As in the previous example, there are two named class-maps: tcp_traffic and TG1-voice. 
66.
 
67.
hostname(config)# class-map TG1-best-effort 
68.
 
69.
hostname(config-cmap)# match tunnel-group Tunnel-Group-1 
70.
 
71.
hostname(config-cmap)# match flow ip destination-address 
72.
 
73.
 
74.
Adding a third class map provides a basis for defining a tunneled and non-tunneled QoS policy, as follows, which creates a simple QoS policy for tunneled and non-tunneled traffic, assigning packets of the class TG1-voice to the low latency queue and setting rate limits on the tcp_traffic and TG1-best-effort traffic flows. 
75.
 
76.
Example 57-2 Priority and Policing Example 
77.
 
78.
In this example, the maximum rate for traffic of the tcp_traffic class is 56,000 bits/second and a maximum burst size of 10,500 bytes per second. For the TC1-BestEffort class, the maximum rate is 200,000 bits/second, with a maximum burst of 37,500 bytes/second. Traffic in the TC1-voice class has no policed maximum speed or burst rate because it belongs to a priority class. 
79.
 
80.
hostname(config)# access-list tcp_traffic permit tcp any any 
81.
 
82.
hostname(config)# class-map tcp_traffic 
83.
 
84.
hostname(config-cmap)# match access-list tcp_traffic 
85.
 
86.
 
87.
hostname(config)# class-map TG1-voice 
88.
 
89.
hostname(config-cmap)# match tunnel-group tunnel-grp1 
90.
 
91.
hostname(config-cmap)# match dscp ef 
92.
 
93.
 
94.
hostname(config-cmap)# class-map TG1-BestEffort 
95.
 
96.
hostname(config-cmap)# match tunnel-group tunnel-grp1 
97.
 
98.
hostname(config-cmap)# match flow ip destination-address 
99.
 
100.
 
101.
hostname(config)# policy-map qos 
102.
 
103.
hostname(config-pmap)# class tcp_traffic 
104.
 
105.
hostname(config-pmap-c)# police output 56000 10500 
106.
 
107.
 
108.
hostname(config-pmap-c)# class TG1-voice 
109.
 
110.
hostname(config-pmap-c)# priority 
111.
 
112.
 
113.
hostname(config-pmap-c)# class TG1-best-effort 
114.
 
115.
hostname(config-pmap-c)# police output 200000 37500 
116.
 
117.
 
118.
hostname(config-pmap-c)# class class-default 
119.
 
120.
hostname(config-pmap-c)# police output 1000000 37500 
121.
 
122.
 
123.
hostname(config-pmap-c)# service-policy qos global 
124.
 
125.
 
brammer
Bitte warten ..
Mitglied: AndiStroebi
06.05.2011 um 10:04 Uhr
ok Damit wäre frage 2 schon mal beantwortet.

Aber wird bei VoIP traffic immer die entsprechenden Bit im IP Header gesetzt das er es als EF erkennt oder nicht.

Wie ist das jetzt mit der Burst Size. Hier steht nur das die Burst Size eine größe von XY Bytes / Seconds hat aber nicht genau wo der unterschied ist.
-> 56,000 bits/second and a maximum burst size of 10,500 bytes per second
Wie schnell kann ich jetzt übertragen?? 56000 bits/second oder 10500 bytes/second.

Noch eine Zusätzliche Frage:
-> Wenn ich es jetzt richtig verstanden habe teilen sich die class-maps in der policy map das Interface und die Bandbreite. An meinem Interface ist der Router meines ISP angeschlossen. Somit habe ich eine 100Mbit Verbindung zum Router und da geht es nur noch mit 25 MBit down und 5Mbit Upload weiter. Wo muss ich diese Werte einstellen? mit bandwidth auf dem Interface kann ich ja nur einen Werte angeben und bis jetzt dachte ich das dieser Wert nur für das Routing ist.


Andi
Bitte warten ..
Ähnliche Inhalte
Voice over IP
QoS für VoIP (Cisco + MikroTik)
gelöst Frage von Alex29Voice over IP11 Kommentare

Hallo in die Runde, ich als Hobby-Admin würde mich mal wieder über Eure Hilfe freuen! Da ich zum Teil ...

LAN, WAN, Wireless
Cisco ASA hinter Router mit NAT
gelöst Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich habe eine Cisco ASA welche hinter einem privaten ADSL-Anschluss steht, der Anschluss terminiert auf einem Cisco 867-K9, ...

Router & Routing
Cisco Asa VPN Fragen
Frage von brooksRouter & Routing3 Kommentare

Hallo, ich habe hier mal eine Frage , vielleicht kann mir ja der ein oder andere helfen. Es geht ...

LAN, WAN, Wireless
Cisco ASA Passwort Reset
Anleitung von YannoschLAN, WAN, Wireless4 Kommentare

Hallo zusammen, aus gegebenen Anlass hier eine Anleitung zum Reset des Passworts bei einer Cisco ASA5505. WICHTIG: Ich gebe ...

Neue Wissensbeiträge
Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 3 StundenSicherheit

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 12 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 TagErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 1 TagWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server36 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser15 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...