7.X ASA/PIX QOS部分总结

network

7.X ASA/PIX QOS部分总结


Qos基本功能介绍：

1,首先防火墙上的Qos配置采用了和router上一样的Modular Policy Framework技术。
2.防火墙上的Qos只支持LLQ和rate-limiting (policing)。(2种qos技术在7.0都是单向的，但是在7.2里police支持双向了）
3.The security appliance can police individual user traffic within a LAN-to-LAN tunnel<能够基于tunnel内部的单个用户运用Qos策略以及整个加密后的tunnel流量作限速>
比如说可以对lan to lan里的vpn加密流量作限速

class-map配置注意点
class-map里只能有一个match，除了tunnel group和default-inspect-traffic可以再match一个以上表里除tunnel group的任意参数
Match时候的注意事项：在上表中的match项除了tunnel group和default-inspect-traffic外，一个class－map里边只能匹配一条，你也可以选择加上tunnel group匹配两条，如果加上了tunnel group就表示你希望匹配一个特定vpn tunnel内部的明文流量。或者match default-inspect-traffic,再match里面的参数
注意！！！policy-map里的class-map是从上往下匹配的，先被前面class-map匹配的流量，不会再被下面的class-map匹配了,只有一个global policy-map能够被调用,当一个接口同时应用了接口的poliy-map和全局的话,接口的policy-map将覆盖全局的配置


police
  1．运用rate limiting的一些限制---不能同时针对一个class开启police和LLQ的功能
  2.当你应用新的策略到接口上对于那些已经建立的vpn或非vpn流量不会立即起作用，需要清掉原有的连接，新建立的连接采会起作用


LLQ-只对出方向有作用
queue-limit---优先队列长度
tx-ring-limit----物理接口队列长度


配置实例：
hostname(config)# priority-queue outside
hostname(config-priority-queue)# queue-limit 2048 ----默认2048，每个包平均长度256个字节，全部传完需要500ms，这是实时流量的最高限制
hostname(config-priority-queue)# tx-ring-limit 128－－－以1550字节来算的，为了保证10ms的间隔，一般来说设置为128

pixfirewall(config)# sh priority-queue config

Priority-Queue Config interface inside
                current         default         range
queue-limit     0               2048            0 - 2048
tx-ring-limit   -1              80              3 - 128

Priority-Queue Config interface outside
                current         default         range
queue-limit     2048             2048            0 - 2048
tx-ring-limit   128              80              3 - 128


QOS整体配置实例：

试验需求：
1.对源地址为1.1.1.1目的地址为2.2.2.2的流量运用policing（56K）
2,对dscp值等于ef的流量运用LLQ
3. 其它流量限速2M

实现命令：
     (config)#access-list IP-flow permit ip host 1.1.1.1 host 2.2.2.2
     (config)#class-map IP-flow
     (config-cmap)#match access-list IP-flow
     (config)#class-map voice
     (config-cmap)#match dscp ef

     (config)#policy-map Collins
     (config-pmap)#class voice
     (config-pmap-c)#priority
     (config-pmap)#class IP-flow
     (config-pmap-c)#police 56000 10500
     (config-pmap)#class class-default
     (config-pmap-c)#police 2000000 375000
     
     (config)#priority-queue outside
     (config-priority-queue)#queue-limit 2048
     (config-priority-queue)#tx-ring-limit 128

     (config)#service-policy Collins interface inside
注意!!!最后的class-default总是存在的，不能被删除

network

ASA小事例

1）        Internet出口设备ASA5510

HuiShangGroup-ASA5510# show run
: Saved
:
ASA Version 7.0(6)
!
hostname HuiShangGroup-ASA5510
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
names
dns-guard
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 220.178.8.170 255.255.255.248
!
interface Ethernet0/1
nameif inside_1
security-level 100
ip address 172.16.11.2 255.255.255.248
!
interface Ethernet0/2
nameif inside_2
security-level 100
ip address 172.16.11.10 255.255.255.248
!
interface Management0/0
nameif management
security-level 0
ip address 192.168.1.1 255.255.255.0
management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
clock timezone CST 8
access-list 101 extended permit ip any host 220.178.8.172
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside_1 1500
mtu inside_2 1500
mtu management 1500
asdm image disk0:/asdm506.bin
asdm history enable
arp timeout 14400
global (outside) 1 interface
global (outside) 2 220.178.8.171 netmask 255.255.255.248
nat (inside_1) 1 0.0.0.0 0.0.0.0
nat (inside_2) 2 0.0.0.0 0.0.0.0
static (inside_1,outside) 220.178.8.172 172.16.12.11 netmask 255.255.255.255
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 220.178.8.169 1
route inside_1 172.16.0.0 255.255.0.0 172.16.11.1 1
route inside_2 172.16.0.0 255.255.0.0 172.16.11.9 2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 172.16.105.0 255.255.255.0 inside_1
http 172.16.105.0 255.255.255.0 inside_2
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 172.16.105.0 255.255.255.0 inside_1
telnet 172.16.105.0 255.255.255.0 inside_2
telnet timeout 5
ssh timeout 5
console timeout 10
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd enable management
Cryptochecksum:aa5b0df962bc8e319167ee62f0316cd9
: end