Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco ASA QOS

Frage Internet

Mitglied: AndiStroebi

AndiStroebi (Level 1) - Jetzt verbinden

03.05.2011 um 19:56 Uhr, 5590 Aufrufe, 4 Kommentare

Hallo,

ich habe im Moment 2 Probleme mit dem ASA 5505

1.) Wie muss ich den ASA konfigurieren das wenn mehrere User über den ASA in das Internet gehen, jeder die gleiche Bandbreite zur Verfügung steht? Wobei ich keine feste grenze pro User einrichten möchte sondern eine dynamische Sache. Wenn nur ein User online ist bekommt er die ganze Bandbreite, wenn einer 1/3 der Bandbreite benötigt dann bekommt der 2. User die anderen 2/3 wenn er sie benötigt. usw.

2.) Ich habe einen ASA der 2 VPN Verbindungen aufbaut über die VoIP geht und zusätzlich geht über den ASA der traffic von einem Mailserver und einer zusätzlichen Software. Wie kann ich den ASA so konfigurieren das der VoIP traffic absoltue Priorität hat und und der Traffic des Mailservers und der anderen Software sich den rest der Bandbreite teilen?

Frage 1 und 2 sind zwei unterschiedliche ASAs und haben nichts miteinander zu tun.

Gruß Andi
Mitglied: AndiStroebi
06.05.2011 um 08:33 Uhr
Danke schon einmal für die Links. Jetzt mal eine Frage zu dem Beispiel im Link

hostname(config)#class-map TG1-voice
hostname(config-cmap)#description "This class-map matches all dscp ef traffic for tunnel-grp 1"
hostname(config-cmap)#match dscp ef
hostname(config-cmap)#match tunnel-group tunnel-grp1


hostname(config-cmap)#class-map TG1-BestEffort
hostname(config-cmap)#description "This class-map matches all best-effort traffic for tunnel-grp1"
hostname(config-cmap)#match tunnel-group tunnel-grp1
hostname(config-cmap)#match flow ip destination-address


hostname(config-cmap)#policy-map qos

hostname(config-pmap)#class TG1-voice
hostname(config-pmap-c)#priority

hostname(config-pmap-c)#class TG1-best-effort
hostname(config-pmap-c)#police output 200000 37500

hostname(config-pmap-c)#class class-default
hostname(config-pmap-c)#police output 1000000 37500

hostname(config-pmap-c)#service-policy qos interface outside

- Bei "match dscp ef" steht das ef für Expedited Forwarding. Was für VoIP Sachen z.B. gedacht ist. Meine Frage ist nun, ist bei VoIP Traffic immer im IP Header die entsprechenden Bits gesetzt oder muss ich da noch was machen?

- Was macht eigentlich genau "match flow ip destination-address"? "Enables flow-based policy actions"??? nur versteh ich nicht ganz was damit gemeint ist. Entspricht diese Class-Map dem ganzen Datenverkehr im Tunnel?

- "police output 200000 37500" Ich versteh diese Zeile nicht ganz. Die 200000 stehen für die Bits/s und die 37500 für die Burst size. Die Burst size ist wenn ich es richtig verstanden habe die Bytes/s. Somit steh ich jetzt vor dem Problem wo ist der genaue unterschied zwischen den beiden Werten?

Gruß Andi
Bitte warten ..
Mitglied: brammer
06.05.2011 um 09:33 Uhr
Hallo,

wie schön das bei Cisco alles dokumentiert ist...

01.
In the following example, the class-map command classifies all non-tunneled TCP traffic, using an access list named tcp_traffic: 
02.
 
03.
hostname(config)# access-list tcp_traffic permit tcp any any 
04.
 
05.
hostname(config)# class-map tcp_traffic 
06.
 
07.
hostname(config-cmap)# match access-list tcp_traffic 
08.
 
09.
 
10.
In the following example, other, more specific match criteria are used for classifying traffic for specific, security-related tunnel groups. These specific match criteria stipulate that a match on tunnel-group (in this case, the previously-defined Tunnel-Group-1) is required as the first match characteristic to classify traffic for a specific tunnel, and it allows for an additional match line to classify the traffic (IP differential services code point, expedited forwarding). 
11.
 
12.
hostname(config)# class-map TG1-voice 
13.
 
14.
hostname(config-cmap)# match tunnel-group tunnel-grp1 
15.
 
16.
hostname(config-cmap)# match dscp ef 
17.
 
18.
 
19.
In the following example, the class-map command classifies both tunneled and non-tunneled traffic according to the traffic type: 
20.
 
21.
hostname(config)# access-list tunneled extended permit ip 10.10.34.0 255.255.255.0  
22.
192.168.10.0 255.255.255.0 
23.
 
24.
hostname(config)# access-list non-tunneled extended permit tcp any any 
25.
 
26.
hostname(config)# tunnel-group tunnel-grp1 type IPsec_L2L 
27.
 
28.
 
29.
hostname(config)# class-map browse 
30.
 
31.
hostname(config-cmap)# description "This class-map matches all non-tunneled tcp traffic." 
32.
 
33.
hostname(config-cmap)# match access-list non-tunneled 
34.
 
35.
 
36.
hostname(config-cmap)# class-map TG1-voice 
37.
 
38.
hostname(config-cmap)# description "This class-map matches all dscp ef traffic for  
39.
tunnel-grp 1." 
40.
 
41.
hostname(config-cmap)# match dscp ef 
42.
 
43.
hostname(config-cmap)# match tunnel-group tunnel-grp1 
44.
 
45.
 
46.
hostname(config-cmap)# class-map TG1-BestEffort 
47.
 
48.
hostname(config-cmap)# description "This class-map matches all best-effort traffic for  
49.
tunnel-grp1." 
50.
 
51.
hostname(config-cmap)# match tunnel-group tunnel-grp1 
52.
 
53.
hostname(config-cmap)# match flow ip destination-address 
54.
 
55.
 
56.
The following example shows a way of policing a flow within a tunnel, provided the classed traffic is not specified as a tunnel, but does go through the tunnel. In this example, 192.168.10.10 is the address of the host machine on the private side of the remote tunnel, and the access list is named "host-over-l2l". By creating a class-map (named "host-specific"), you can then police the "host-specific" class before the LAN-to-LAN connection polices the tunnel. In this example, the "host-specific" traffic is rate-limited before the tunnel, then the tunnel is rate-limited: 
57.
 
58.
hostname(config)# access-list host-over-l2l extended permit ip any host 192.168.10.10 
59.
 
60.
hostname(config)# class-map host-specific 
61.
 
62.
hostname(config-cmap)# match access-list host-over-l2l 
63.
 
64.
 
65.
The following example builds on the configuration developed in the previous section. As in the previous example, there are two named class-maps: tcp_traffic and TG1-voice. 
66.
 
67.
hostname(config)# class-map TG1-best-effort 
68.
 
69.
hostname(config-cmap)# match tunnel-group Tunnel-Group-1 
70.
 
71.
hostname(config-cmap)# match flow ip destination-address 
72.
 
73.
 
74.
Adding a third class map provides a basis for defining a tunneled and non-tunneled QoS policy, as follows, which creates a simple QoS policy for tunneled and non-tunneled traffic, assigning packets of the class TG1-voice to the low latency queue and setting rate limits on the tcp_traffic and TG1-best-effort traffic flows. 
75.
 
76.
Example 57-2 Priority and Policing Example 
77.
 
78.
In this example, the maximum rate for traffic of the tcp_traffic class is 56,000 bits/second and a maximum burst size of 10,500 bytes per second. For the TC1-BestEffort class, the maximum rate is 200,000 bits/second, with a maximum burst of 37,500 bytes/second. Traffic in the TC1-voice class has no policed maximum speed or burst rate because it belongs to a priority class. 
79.
 
80.
hostname(config)# access-list tcp_traffic permit tcp any any 
81.
 
82.
hostname(config)# class-map tcp_traffic 
83.
 
84.
hostname(config-cmap)# match access-list tcp_traffic 
85.
 
86.
 
87.
hostname(config)# class-map TG1-voice 
88.
 
89.
hostname(config-cmap)# match tunnel-group tunnel-grp1 
90.
 
91.
hostname(config-cmap)# match dscp ef 
92.
 
93.
 
94.
hostname(config-cmap)# class-map TG1-BestEffort 
95.
 
96.
hostname(config-cmap)# match tunnel-group tunnel-grp1 
97.
 
98.
hostname(config-cmap)# match flow ip destination-address 
99.
 
100.
 
101.
hostname(config)# policy-map qos 
102.
 
103.
hostname(config-pmap)# class tcp_traffic 
104.
 
105.
hostname(config-pmap-c)# police output 56000 10500 
106.
 
107.
 
108.
hostname(config-pmap-c)# class TG1-voice 
109.
 
110.
hostname(config-pmap-c)# priority 
111.
 
112.
 
113.
hostname(config-pmap-c)# class TG1-best-effort 
114.
 
115.
hostname(config-pmap-c)# police output 200000 37500 
116.
 
117.
 
118.
hostname(config-pmap-c)# class class-default 
119.
 
120.
hostname(config-pmap-c)# police output 1000000 37500 
121.
 
122.
 
123.
hostname(config-pmap-c)# service-policy qos global 
124.
 
125.
 
brammer
Bitte warten ..
Mitglied: AndiStroebi
06.05.2011 um 10:04 Uhr
ok Damit wäre frage 2 schon mal beantwortet.

Aber wird bei VoIP traffic immer die entsprechenden Bit im IP Header gesetzt das er es als EF erkennt oder nicht.

Wie ist das jetzt mit der Burst Size. Hier steht nur das die Burst Size eine größe von XY Bytes / Seconds hat aber nicht genau wo der unterschied ist.
-> 56,000 bits/second and a maximum burst size of 10,500 bytes per second
Wie schnell kann ich jetzt übertragen?? 56000 bits/second oder 10500 bytes/second.

Noch eine Zusätzliche Frage:
-> Wenn ich es jetzt richtig verstanden habe teilen sich die class-maps in der policy map das Interface und die Bandbreite. An meinem Interface ist der Router meines ISP angeschlossen. Somit habe ich eine 100Mbit Verbindung zum Router und da geht es nur noch mit 25 MBit down und 5Mbit Upload weiter. Wo muss ich diese Werte einstellen? mit bandwidth auf dem Interface kann ich ja nur einen Werte angeben und bis jetzt dachte ich das dieser Wert nur für das Routing ist.


Andi
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
Cisco ASA Priority Queue via ACL (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Cisco ASA hinter Router mit NAT (2)

Frage von maxmax zum Thema LAN, WAN, Wireless ...

Firewall
gelöst Cisco ASA - Wechsel der Outside IP Adresse auf der Remote Site ASA (3)

Frage von tweishaar zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...