ASA приоритет ESP (шифрованного) трафика над остальным
Типичная ситуация, у вас есть туннель, но при этом сотрудники бродят по интернету, качают файлы, и т.д.
При этом связь с филиалом по VPN начинает тормозить.
Чтоб такого не происходило, нам нужно сделать трафик в туннеле приоритетным.
Все сказанное здесь, я тестировал на ASA5505 с ОС 8.4.4.
Включаем приоритетную очередь на исходящем интерфейсе:
priority-queue outside
Нам потребуется классифицировать трафик, создаем список доступа:
access-list TCP_NON_IPSEC extended permit tcp any any
И класс мапы:
class-map TCP_NON_IPSEC_MAP
match access-list TCP_NON_IPSEC
А сюда попадает все что идет через tunnel-group xx.xx.xx.xx
class-map TCP_IPSEC_MAP
match tunnel-group xx.xx.xx.xx
Теперь создаем полиси мап:
policy-map QoS_MAP
class TCP_IPSEC_MAP
priority
class TCP_NON_IPSEC_MAP
police input 10000000 10000000 Тут мы ограничиваем входящую скорость до 10Mbps
Включаем ее на исходящем интерфейсе:
service-policy QoS_MAP interface outside
Проверим:
sh service-policy
Interface outside:
Service-policy: QoS_MAP
Class-map: TCP_IPSEC_MAP
Priority:
Interface outside: aggregate drop 0, aggregate transmit 114677
Class-map: TCP_NON_IPSEC_MAP
Input police Interface outside:
cir 10000000 bps, bc 10000000 bytes
conformed 26259 packets, 21233480 bytes; actions: transmit
exceeded 0 packets, 0 bytes; actions: drop
conformed 130864 bps, exceed 0 bps
Class-map: class-default
Тут мы видим что все работает.
При этом связь с филиалом по VPN начинает тормозить.
Чтоб такого не происходило, нам нужно сделать трафик в туннеле приоритетным.
Все сказанное здесь, я тестировал на ASA5505 с ОС 8.4.4.
Включаем приоритетную очередь на исходящем интерфейсе:
priority-queue outside
Нам потребуется классифицировать трафик, создаем список доступа:
access-list TCP_NON_IPSEC extended permit tcp any any
И класс мапы:
class-map TCP_NON_IPSEC_MAP
match access-list TCP_NON_IPSEC
А сюда попадает все что идет через tunnel-group xx.xx.xx.xx
class-map TCP_IPSEC_MAP
match tunnel-group xx.xx.xx.xx
Теперь создаем полиси мап:
policy-map QoS_MAP
class TCP_IPSEC_MAP
priority
class TCP_NON_IPSEC_MAP
police input 10000000 10000000 Тут мы ограничиваем входящую скорость до 10Mbps
Включаем ее на исходящем интерфейсе:
service-policy QoS_MAP interface outside
Проверим:
sh service-policy
Interface outside:
Service-policy: QoS_MAP
Class-map: TCP_IPSEC_MAP
Priority:
Interface outside: aggregate drop 0, aggregate transmit 114677
Class-map: TCP_NON_IPSEC_MAP
Input police Interface outside:
cir 10000000 bps, bc 10000000 bytes
conformed 26259 packets, 21233480 bytes; actions: transmit
exceeded 0 packets, 0 bytes; actions: drop
conformed 130864 bps, exceed 0 bps
Class-map: class-default
Тут мы видим что все работает.
Комментарии
Отправить комментарий