23 апреля 2014

Ограничение полосы пропускания QoS Cisco ASA 5510 ASDM для определённого сервиса (по ip-адресу и порту)

Задача: Ограничить скорость передачи данных для определённого сервиса (например: видеонаблюдение) на межсетевом экране Cisco ASA 5510 используя ASDM.

Данная ситуация может возникнуть когда мы имеем канал, который используется для различных сервисов: RDP, SIP, FTP, VIDEO и прочего. Чтобы служба безопасности не забирала всю ширину канала своим видеонаблюдением и давала пользователям бухгалтерии комфортно работать в «1С» по RDP и разговаривать по SIP, необходимо как-то этот канал поделить между используемыми сервисами.

Одним из вариантов решения данной проблемы, является ограничение максимальной скорости для конкретного сервиса. В терминологии Cisco это называется Policing.

1. Создаём (или редактируем) Service Policy Rule
Создание Service Policy Rule


2. Выбираем интерфейс, на который повесим политику, а также задаём Имя и Описание создаваемой политики
Выбор интерфейса, на который повесим политику


3. Выбираем критерий, по которому будем фильтровать трафик. Будем использовать расширенный список доступа – ACL
расширенный список доступа – ACL


4. Создаём ACL
Создание ACL
Внимание! Самое главное правильно его написать. Если говорить о системе видеонаблюдения ILDVR то клиент подключается к серверу к порту TCP 5100. Так как порт клиента динамический, то в ACLe необходимо в дополнительной секции в поле Source Service указать наш порт 5100.
Получим: Данные с сервера 10.6.12.6 порта 5100 передаются в сеть пользователя на динамический порт.

5. Ограничиваем скорость
Ограничиваем скорость
Максимальная скорость указывается в битах/секунду и округляется до тысячи. Размер окна всплеска Cisco рассчитывает на основании указанной максимальной скорости, устанавливается вручную, однако если Вы не попали в «пожелания Cisco», то при применении конфигурации ASDM ругнётся, но примет указанной значение. Конечно, лучше изменить значение размера всплеска на рекомендуемое.
Важно правильно указать направление политики. Применить эту политику во входящем направлении интерфейса или на выходе, смотря на какой интерфейс Вы вешаете политику: в данном случае на интерфейсе находящемся в сети сервера. 

6. Применяем созданную политику и сохраняем изменения.

Важно! В случае ограничения TCP протокола, изменения вступают в силу только после переустановки TCP-соединений.

Комментариев нет:

Отправить комментарий