博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 1954|回复: 0

7.X ASA/PIX QOS部分总结

[复制链接]
发表于 2008-4-11 16:18:11 | 显示全部楼层 |阅读模式
7.X ASA/PIX QOS部分总结


Qos基本功能介绍:

1,首先防火墙上的Qos配置采用了和router上一样的Modular Policy Framework技术。
2.防火墙上的Qos只支持LLQ和rate-limiting (policing)。(2种qos技术在7.0都是单向的,但是在7.2里police支持双向了)
3.The security appliance can police individual user traffic within a LAN-to-LAN tunnel<能够基于tunnel内部的单个用户运用Qos策略以及整个加密后的tunnel流量作限速>
比如说可以对lan to lan里的vpn加密流量作限速

class-map配置注意点
class-map里只能有一个match,除了tunnel group和default-inspect-traffic可以再match一个以上表里除tunnel group的任意参数
Match时候的注意事项:在上表中的match项除了tunnel group和default-inspect-traffic外,一个class-map里边只能匹配一条,你也可以选择加上tunnel group匹配两条,如果加上了tunnel group就表示你希望匹配一个特定vpn tunnel内部的明文流量。或者match default-inspect-traffic,再match里面的参数
注意!!!policy-map里的class-map是从上往下匹配的,先被前面class-map匹配的流量,不会再被下面的class-map匹配了,只有一个global policy-map能够被调用,当一个接口同时应用了接口的poliy-map和全局的话,接口的policy-map将覆盖全局的配置


police
  1.运用rate limiting的一些限制---不能同时针对一个class开启police和LLQ的功能
  2.当你应用新的策略到接口上对于那些已经建立的vpn或非vpn流量不会立即起作用,需要清掉原有的连接,新建立的连接采会起作用


LLQ-只对出方向有作用
queue-limit---优先队列长度
tx-ring-limit----物理接口队列长度


配置实例:
hostname(config)# priority-queue outside
hostname(config-priority-queue)# queue-limit 2048 ----默认2048,每个包平均长度256个字节,全部传完需要500ms,这是实时流量的最高限制
hostname(config-priority-queue)# tx-ring-limit 128---以1550字节来算的,为了保证10ms的间隔,一般来说设置为128

pixfirewall(config)# sh priority-queue config

Priority-Queue Config interface inside
                current         default         range
queue-limit     0               2048            0 - 2048
tx-ring-limit   -1              80              3 - 128

Priority-Queue Config interface outside
                current         default         range
queue-limit     2048             2048            0 - 2048
tx-ring-limit   128              80              3 - 128


QOS整体配置实例:

试验需求:
1.对源地址为1.1.1.1目的地址为2.2.2.2的流量运用policing(56K)
2,对dscp值等于ef的流量运用LLQ
3. 其它流量限速2M

实现命令:
     (config)#access-list IP-flow permit ip host 1.1.1.1 host 2.2.2.2
     (config)#class-map IP-flow
     (config-cmap)#match access-list IP-flow
     (config)#class-map voice
     (config-cmap)#match dscp ef

     (config)#policy-map Collins
     (config-pmap)#class voice
     (config-pmap-c)#priority
     (config-pmap)#class IP-flow
     (config-pmap-c)#police 56000 10500
     (config-pmap)#class class-default
     (config-pmap-c)#police 2000000 375000
     
     (config)#priority-queue outside
     (config-priority-queue)#queue-limit 2048
     (config-priority-queue)#tx-ring-limit 128

     (config)#service-policy Collins interface inside
注意!!!最后的class-default总是存在的,不能被删除
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-28 02:48 , Processed in 0.080232 second(s), 17 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表