Thursday, December 10, 2009

QoS on Cisco ASA

Ang sulating ito ang naglalayong turuan ang mga Network Administrators kung paano magconfigure ng
QOS o Quality of Service sa Cisco ASA. Ang QOS ay isang paraan upang masulit ang paggamit ng bandwidth
at matiyak na ang mahahalagang traffic ay nauunang ipadala kaysa sa ibang normal o d gaanong importanteng
impormasyon. Simple naming ipapaliwanag ang mga suportadong
mekanismo at magbibigay ng mga halimbawa kung paano ito gamitin.

Ang mga sumusunod ay ang iba't-ibang paraan paano gagamitin ang QOS sa network.

Traffic Policing:

Kung ang kabuuang traffic ay lumalagpas sa itinakdang hangganan, kadalasan, mas
nakabubuting ito ay bantayan o i-police. Sa ganitong paraan, ang bandwidth ay hindi lamang
nagagamit o nauubos ng isang user or program; paghihigpit ng traffic ay isinasagawa upang
ito ay hindi maganap. Ang ASA ay may kakayanang i-police ang mga pumapasok at lumalabas na
traffic papunta at galing sa interface. Maaari nating i-configure ang ASA na harangan o
payagan ang mga sobrang traffic na dadaloy sa ASA.

Traffic Shaping

Ang Traffic Shaping ay kabilang sa mga tampok ng bersyong 7.2.4 ng ASA. Ibig sabihin,ito
rin ay maaring gawin sa mga bersyong 8.0 at 8.1, kasama ang mga 'trains' nito. Sa traffic
shaping, ang mga traffic na lalagpas sa itinakdang hangganan ay ipipila muna at maipapadala
lamang kung ang traffic ang bumaba na sa itinakdang threshold. Ang mga traffic na ito ay
hindi haharangin or ibabagsak ng ASA. Ito ay nakabubuti sa mga program na laging apektado
ng pagkawala ng packet.

Priority Queueing

Ang Priority Queueing ay may kakayanang unahin ang mga packet na importante sakaling
magsabay-sabay ang mga ito. Kabilang sa mga ito ay ang voice. Ang firewall ay limitado sa
Low Latency Queueing. Hindi tulad ng mga router na may kakayanang gawin ang mga
sopistakadong prioritization mechanisms.

Mga Dapat Isaalang-alang

1. Ang mga traffic na nakarating sa interface ng ASA ay nakagamit na ng bandwidth.

2. Ang Priority Queueing ay dapat gamitin kasabay ng policing o traffic shaping sa
kadahilanang hangga't ang link ng LLQ ay puspos, ang packet ay hindi mapapriorita. Ang
interfaces ng ASA ay karaniwang 100Mbps, 1Gbps o higit pa kaya ang pagkabisi or pagkakapuno
nito ay malayong mangyari, o kung mangyari man, sa mga bibihirang pagkakataon lamang. Sa
pagsasagawa ng policing o traffic shaping kahanay ng LLQ, ang LLQ ang masusunod kapag ang
hangganan ng policing o shaping ay naabot na.

3. Kung isinasagawa ang priority queueing sa mga program na tumatakbo sa gitna ng dalawang
pook, ipinapayo ang paglalagay ng prioritization sa mga mga traffic ng parehong pook. Ito
ay sa kadahilanang kung sa isang pook mo lamang isinagawa ang pagprapriorita, ang pabalik
na traffic ay maaaring mahuli rin. Ibig sabihin, para ka ring walang prioritization.

Traffic Policing kasabay ng Prioritization

Isipin natin na mayroon tayong ASA na nagpapadaan ng voice traffic sa VPN tunnel at gusto
natin mauuna lagi o i-prioritize yung voice traffic sa mga dadaaan sa VPN tunnel. Nais rin
natin i-police yung mga hindi voice traffic at iba pang TCP traffic.

Sabihin natin na ang upload bandwidth para sa outside interface ay 1Mbps. Maguukol tayo ng
300Kbps sa VPN, 100Kbps nito ay nakalaan para sa voice. Ibig sabihin ang natitirang 200Kbps
ay para sa traffic na hindi voice. 500Kbps ay para sa tcp traffic at 200Kbps para sa iba
pang traffic na hindi nabanggit. Ang voice traffic sa halimbawang ito ay nakaflag ng dchp
field ef (ito ang karaniwang default kadalasan)

Ang pangalan ng tunnel group sa halimbawang ito ay tunnel-grp1. Hindi kabilang ang
configuration ng buong VPN upang makaiwas sa pagkalito.

ASA(config)# priority-queue outside

ASA(config)# access-list tcp-traffic-acl permit tcp any any
ASA(config)# class-map tcp-traffic-class
ASA(config-cmap)# match access-list tcp-traffic-acl

ASA(config)# class-map TG1-voice-class
ASA(config-cmap)# match tunnel-group tunnel-grp1
ASA(config-cmap)# match dscp ef

ASA(config-cmap)# class-map TG1-rest-class
ASA(config-cmap)# match tunnel-group tunnel-grp1
ASA(config-cmap)# match flow ip destination-address

ASA(config)# policy-map police-priority-policy
ASA(config-pmap)# class tcp-traffic-class
ASA(config-pmap-c)# police output 500000
ASA(config-pmap-c)# class TG1-voice-class
ASA(config-pmap-c)# priority
ASA(config-pmap-c)# class TG1-rest-class
ASA(config-pmap-c)# police output 200000
ASA(config-pmap-c)# class class-default
ASA(config-pmap-c)# police output 200000
ASA(config-pmap-c)# service-policy police-priority-policy interface outside


Traffic Shaping kasabay ng Prioritization

Isipin nating mayroon tayong parehong ASA na nabanggit sa taas. Ngayon, nais nating
i-traffic shape lahat ng dumaraang packet at unahin ang voice sa VPN tunnel. sa madaling
salita, maguukol tayo ng 900Kbps para sa hindi voice at ang natitirang 100Kbps ay gagamitin
lamang ng voice. Ang voice traffic ulet sa halimbawang ito ay nakaflag ng dchp field ef
(ito ang karaniwang default kadalasan) at ang pangalan ng tunnel group ay tunnel-grp1.
Hindi pa rin kabilang ang configuration ng buong VPN.

ASA(config)# priority-queue outside

ASA(config)# class-map TG1-voice-class
ASA(config-cmap)# match tunnel-group tunnel-grp1
ASA(config-cmap)# match dscp ef

ASA(config-cmap)# policy-map priority-policy
ASA(config-pmap)# class TG1-voice-class
ASA(config-pmap-c)# priority

ASA(config-pmap-c)# policy-map shape-priority-policy
ASA(config-pmap)# class class-default
ASA(config-pmap-c)# shape average 900000
ASA(config-pmap-c)# service-policy priority-policy

ASA(config-pmap-c)# service-policy shape-priority-policy interface outside

Pagtingin sa Estatistika ng QOS

Maari nating gamitin ang show commands sa baba. Ang mga ulat sa baba ay hindi kaugnay ng
mga nasa taas at ginamit lamang bilang halimbawa.

Para sa Policing:

ASA# show service-policy police

Global policy:
Service-policy: global_fw_policy
Interface outside:
Service-policy: qos
Class-map: browse
police Interface outside:
cir 56000 bps, bc 10500 bytes
conformed 10065 packets, 12621510 bytes; actions: transmit
exceeded 499 packets, 625146 bytes; actions: drop
conformed 5600 bps, exceed 5016 bps
Class-map: cmap2
police Interface outside:
cir 200000 bps, bc 37500 bytes
conformed 17179 packets, 20614800 bytes; actions: transmit
exceeded 617 packets, 770718 bytes; actions: drop
conformed 198785 bps, exceed 2303 bps

Para sa Prioritization:

ASA# show service-policy priority

Global policy:
Service-policy: global_fw_policy
Interface outside:
Service-policy: qos
Class-map: TG1-voice-class
Priority:
Interface outside: aggregate drop 0, aggregate transmit 9383

Para sa Shaping:

ASA# show service-policy shape

Interface outside:
Service-policy: shape
Class-map: class-default
Queueing
queue limit 64 packets
(queue depth/total drops/no-buffer drops) 0/0/0
(pkts output/bytes output) 0/0
shape (average) cir 2000000, bc 16000, be 16000
Service-policy: voip
Class-map: voip
Queueing
queue limit 64 packets
(queue depth/total drops/no-buffer drops) 0/0/0
(pkts output/bytes output) 0/0
Class-map: class-default
queue limit 64 packets
(queue depth/total drops/no-buffer drops) 0/0/0
(pkts output/bytes output) 0/0

Ang mga halimbawang output na ginamit sa sulating ito ay mula sa www.cisco.com.

Posted by - at 9:23 PM  

Labels: , , , ,

2 comments:

Unknown January 6, 2010 at 5:03 PM  

Maayos na eksplanasyon tungkol sa kalidad ng serbisyo. Ito ay makatutulong upang mas maintindihan ang mga nagagawa ng ASA. Ikay ang pinupuri sa blog mo. Mabuhay ka.

Jeys January 7, 2010 at 5:20 PM  

Ang impormasyong ito ay lubos na makakatulong sa aking pang araw araw na trabaho. Saludo ako sa malinaw na paglatag ng paliwanag sa paksang ito.

Post a Comment

Subscribe to: Post Comments (Atom)

  © Building IT Securely thesecurityarchitects.blogspot.com 2009

Back to TOP