Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Low Latency Queueing (LLQ) for IPsec Encryption Engines

Anuncio 
Low Latency Queueing (LLQ) for IPsec Encryption Engines
Descargue este capítulo
Low Latency Queueing (LLQ) for IPsec Encryption Engines
Descargue el libro completo
Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB)
Feedback
Contenidos
Low Latency Queueing (LLQ) for IPsec Encryption Engines
Encontrar la información de la característica
Contenido
Requisitos previos para el LLQ para los motores de la encripción de IPSec
Restricciones para el LLQ para los motores de la encripción de IPSec
Información sobre el LLQ para los motores de la encripción de IPSec
LLQ para los motores de la encripción de IPSec
Cómo configurar el LLQ para los motores de la encripción de IPSec
Definición de las correspondencias de la clase
Configurar la política de clase en la correspondencia de políticas
Configurar la política de clase para un priority queue
Configurar la política de clase usando un ancho de banda especificado
Configurar la directiva del clase class-default
Asociar la política de servicio
Ver el LLQ para la configuración de los motores de la encripción de IPSec
Ejemplos de configuración para el LLQ para los motores de la encripción de IPSec
LLQ para los motores de la encripción de IPSec: Ejemplo:
Referencias adicionales
Documentos Relacionados
MIB
Asistencia Técnica
Información de la característica para el LLQ para los motores de la encripción de IPSec
Glosario
Low Latency Queueing (LLQ) for IPsec Encryption Engines
Primera publicación: De noviembre el 26 de 2002
Última actualización: De marzo el 25 de 2011
El low latency queueing (LLQ) para las ayudas de la característica de los motores de la encripción de IPSec reduce la latencia
de red y la congestión totales por el tráfico señalado prioridad de envío a cola antes de que sea procesado por el motor de
procesamiento crypto. Esto que hace cola garantiza cierto nivel de tiempo de procesamiento del motor de criptografía.
Encontrar la información de la característica
Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y
advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información
sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada
característica, vea “información de la característica para el LLQ para la sección de los motores de la encripción de IPSec”.
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del
software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en Cisco.com no
se requiere.
Contenido
•
Requisitos previos para el LLQ para los motores de la encripción de IPSec
•
Restricciones para el LLQ para los motores de la encripción de IPSec
•
Información sobre el LLQ para los motores de la encripción de IPSec
•
Cómo configurar el LLQ para los motores de la encripción de IPSec
•
Ejemplos de configuración para el LLQ para los motores de la encripción de IPSec
•
Información de la característica para el LLQ para los motores de la encripción de IPSec
•
Información de la característica para el LLQ para los motores de la encripción de IPSec
Requisitos previos para el LLQ para los motores de la encripción de IPSec
Para utilizar esta característica, usted debe ser familiar con el siguiente:
•
Listas de control de acceso
•
Administración del ancho de banda
•
CBWFQ
Restricciones para el LLQ para los motores de la encripción de IPSec
• Ningún por-túnel política de calidad de servicio (QoS). Una interfaz política de calidad de servicio (QoS) representa todos
los túneles.
•
Asuma la misma marca IP precedence/DSCP para los paquetes de voz entrantes y salientes.
•
Asuma que la marca IP precedence/DSCP para los paquetes de voz está hecha en la fuente.
•
Criterios de concordancia limitados para el tráfico de voz en la interfaz política de calidad de servicio (QoS).
•
Asuma que el control de admisión de llamadas está aplicado dentro de la empresa.
• Ninguna verificación de errores estricta cuando el ancho de banda de la directiva global excede el ancho de banda del
motor de criptografía. Solamente se visualiza una advertencia pero se permite la configuración.
•
Asuma que los paquetes de voz son cifrados todo o unencrypted.
Información sobre el LLQ para los motores de la encripción de IPSec
La sección siguiente proporciona la información sobre el low latency queueing (LLQ) para la característica de los motores de la
encripción de IPSec:
•
LLQ para los motores de la encripción de IPSec
LLQ para los motores de la encripción de IPSec
Los administradores pueden ahora utilizar el low latency queueing (LLQ) para que la característica de los motores de la
encripción de IPSec dé prioridad al tráfico de voz y de datos, que previamente fue dado solamente el estatus igual.
• Los paquetes de voz que llegan en una interfaz del router se pueden identificar como prioridad y dirigir en una cola
entrante del paquete prioritario para el proceso del motor de criptografía. Esta cola se llama el priority queue. El motor de
criptografía emprende el paquete que procesa en una relación de transformación favorable para los paquetes de voz. Los
paquetes de voz se garantizan un ancho de banda de proceso mínimo en el motor de criptografía. Esta característica afecta
la experiencia del usuario final asegurando la Calidad de voz si el tráfico de voz se dirige sobre una red congestionada.
• Los paquetes de datos que llegan una interfaz del router se dirigen en una cola entrante del paquete de datos para el
proceso del motor de criptografía. Esta cola se llama la mejor cola de esfuerzo.
Cómo configurar el LLQ para los motores de la encripción de IPSec
Realice las tareas descritas en esta sección para configurar el LLQ para los motores de la encripción de IPSec.
La notaconsidera la referencia de comandos de la solución de calidad de servicio para aprender más sobre configurar las
directivas del servidor en las interfaces.
•
Definiendo la clase asocia (requerido)
•
Configurando la política de clase en la correspondencia de políticas (requerida)
•
Asociando la política de servicio (requerida)
•
Viendo el LLQ para la configuración de los motores de la encripción de IPSec (opcional)
Definición de las correspondencias de la clase
Los pasos siguientes se utilizan para crear una correspondencia de la clase que contiene los criterios de concordancia contra
los cuales un paquete se marca para determinar si pertenece a una clase:
PASOS SUMARIOS
1. enable
2. configure terminal
3. class-map class-map-name
4. match access-group {access-group | name access-group-name}
-o
match input-interface interface-name
-o
match protocol protocol
PASOS DETALLADOS
Comando o acción
Paso enable
Propósito
Habilita el modo EXEC privilegiado.
1
Example:
Router> enable
•
Ingrese su contraseña si se le pide que lo haga.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso class-map class-mapname
3
Especifica el nombre de la correspondencia de la clase
que se creará.
Example:
Router# configure
terminal
Example:
Router(config)# classmap voice
Paso match access-group {
access-group | name
4
access-group-name}
-ormatch input-interface
interface-name
-ormatch protocol protocol
Example:
Router(config-cmap)#
match access-group 102
•
match access-group El comando especifica el
nombre del Access Control List (ACL) contra cuyo
contenido los paquetes se marcan para determinar
si pertenecen a la clase.
•
match input-interface El comando especifica el
nombre de la interfaz de entrada usada como
criterio del emparejamiento contra el cual los
paquetes se marquen para determinar si pertenecen
a la clase.
•
match protocol El comando especifica el
nombre del protocolo usado como criterio del
emparejamiento contra el cual los paquetes se
marquen para determinar si pertenecen a la clase.
Configurar la política de clase en la correspondencia de políticas
La clase predeterminada de la correspondencia de políticas (conocida comúnmente como el clase class-default) es la clase a la
cual se dirige el tráfico si ese tráfico no satisface los criterios de concordancia de las otras clases definidas en la
correspondencia de políticas.
Usted puede configurar las políticas de clase para tantas clases como se definen en el router, hasta el máximo de 64. Sin
embargo, la cantidad total de ancho de banda afectada un aparato para todas las clases en una correspondencia de políticas no
debe exceder la velocidad de información comprometida mínima (CIR) configurada para el virtual circuit (VC) menos ningún
ancho de banda reservado por frame-relay voice bandwidth y frame-relay ip rtp priority los comandos. Si el CIR mínimo no
se configura, el ancho de banda omite una mitad del CIR. Si todo el ancho de banda no se afecta un aparato, el ancho de banda
restante se afecta un aparato proporcional entre las clases en base de su configuré el ancho de banda.
Para configurar las políticas de clase en una correspondencia de políticas, realice las tareas descritas en las secciones
siguientes.
•
Configurando la política de clase para un priority queue (requerido)
•
Configurando la política de clase usando un ancho de banda especificado (opcional)
•
Configurando la directiva del clase class-default (opcional)
Configurar la política de clase para un priority queue
Los pasos siguientes se utilizan para configurar una correspondencia de políticas y para dar la prioridad a una clase dentro de la
correspondencia de políticas:
PASOS SUMARIOS
1. enable
2. configure terminal
3. policy-map policy-map
4. class class-name
5. priority bandwidth-kbps
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Example:
Router> enable
Example:
Router# configure
terminal
Paso policy-map policy-map
•
Ingrese su contraseña si se le pide que lo haga.
3
Especifica el nombre del policy map que se creará o
modificará.
Example:
Router(config)#
policy-map policy1
Paso class class-name
4
Especifica el nombre de una clase que se creará e
incluirá en la política de servicio.
Paso priority bandwidthkbps
5
Crea una clase de prioridad estricta y especifica la
cantidad de ancho de banda, en kbps, que se debe
asignar a la clase.
Example:
Router(configpmap)#class voice
Example:
Router(config-pmap-c)#
priority 50
Configurar la política de clase usando un ancho de banda especificado
Los pasos siguientes se utilizan para configurar una correspondencia de políticas y para crear las políticas de clase que
componen la política de servicio. Para configurar más de una clase en la misma correspondencia de políticas, relance el paso 2
y el paso 3.
PASOS SUMARIOS
1. enable
2. configure terminal
3. policy-map policy-map
4. class class-name
5. bandwidth bandwidth-kbps
PASOS DETALLADOS
Comando o acción
Paso enable
1
Example:
Router> enable
Propósito
Habilita el modo EXEC privilegiado.
•
Ingrese su contraseña si se le pide que lo haga.
Paso configure terminal Ingresa en el modo de configuración global.
2
Example:
Router# configure
terminal
Paso policy-map policy- Especifica el nombre del policy map que se creará o
map
3
modificará.
Example:
Router(config)#
policy-map policy1
Paso class class-name
4
Especifica el nombre de una clase que se creará e incluirá en
la política de servicio.
Example:
Router(configpmap)# class voice
Paso bandwidth
bandwidth-kbps
5
Especifica la cantidad de ancho de banda que se asignará a la
clase, en kbps, o como un porcentaje del ancho de banda
disponible. El ancho de banda se debe especificar en kbps o
Example:
como porcentaje sistemáticamente en todas las clases. (El
Router(configpmap-c)# bandwidth ancho de banda de la cola prioritaria se debe especificar en
kbps.)
20
Configurar la directiva del clase class-default
El clase class-default se utiliza para clasificar el tráfico que no baja en una de las clases definidas. Aunque la clase class-default
se predefine al crear el policy map, sigue siendo necesario configurarla. Si una clase predeterminada no se configura, después
el tráfico que no hace juego las clases configuradas unas de los se da el tratamiento del mejor esfuerzo, así que lo significa que
la red entregará el tráfico si puede, sin ninguna garantía de la confiabilidad, prevención del retardo, o la producción.
Los pasos siguientes se utilizan para configurar una correspondencia de políticas y el clase class-default:
PASOS SUMARIOS
1. enable
2. configure terminal
3. policy-map policy-map
4. class class-default valor por defecto-clase-nombre
5. bandwidth bandwidth-kbps
-o
fair-queue []number-of-dynamic-queues
PASOS DETALLADOS
Comando o acción
Paso enable
1
Example:
Router> enable
Propósito
Habilita el modo EXEC privilegiado.
•
Ingrese su contraseña si se le pide que lo haga.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso policy-map policy-map
3
Especifica el nombre del policy map que se creará o
modificará.
Paso class class-default
default-class-name
4
Especifica la clase predeterminada para que se pueda
configurar o modificar su política.
Example:
Router# configure
terminal
Example:
Router(config)#
policy-map policy-map
Example:
Router(config-pmap)#
class class-default
default-class-name
Paso bandwidth bandwidthkbps
5
-orfair-queue [number-ofdynamic-queues]
Example:
Router(config-pmap-c)#
fair-queue
U bandwidth o fair-queue el comando se puede utilizar
para este paso.
•
bandwidth El comando especifica la cantidad de
ancho de banda, en el kbps, para ser asignado a la
clase.
•
fair-queue El comando especifica la Cantidad de
colas dinámicas que se reservará para uso del flujo
basado WFQ que se ejecuta en la clase
predeterminada. La Cantidad de colas dinámicas se
deriva del ancho de banda de la interfaz.
Asociar la política de servicio
Los pasos siguientes se utilizan para asociar una política de servicio a la interfaz de salida y para habilitar el LLQ para los
motores de la encripción de IPSec.
PASOS SUMARIOS
1. enable
2. configure terminal
3. interface type number
4. service-policy output policy-map
PASOS DETALLADOS
Comando o acción
Propósito
Paso enable
1
Habilita el modo EXEC privilegiado.
Paso configure terminal
2
Ingresa en el modo de configuración global.
Paso interface type number
3
Especifica la interfaz usando el LLQ para los motores
Paso service-policy output
Asocia la correlación de políticas de servicio
Example:
Router> enable
• Ingrese su contraseña si se le pide que lo
haga.
Example:
Router# configure
terminal
de la encripción de IPSec.
Example:
Router(config)# interface
fastethernet0/0
4
policy-map
Example:
Router(config-if)#
service-policy output
policy1
especificada a la interfaz de salida y habilita el LLQ
para los motores de la encripción de IPSec.
Ver el LLQ para la configuración de los motores de la encripción de IPSec
Los pasos siguientes se utilizan para ver el contenido de una correspondencia de políticas específica o de todas las
correspondencias de políticas configuradas en una interfaz, y el LLQ para los motores de la encripción de IPSec:
PASOS SUMARIOS
1. enable
2. show frame-relay pvc dlci
3. show policy-map interface dlci del interface name dlci-number
4. show crypto eng qos
PASOS DETALLADOS
Comando o acción
Paso enable
1
Example:
Router> enable
Propósito
Habilita el modo EXEC privilegiado.
• Ingrese su contraseña si se le pide que lo
haga.
Paso show frame-relay pvc
dlci
1
Estadísticas de las visualizaciones sobre el PVC y la
configuración de las clases para la correspondencia
de políticas en el identificador de conexión de link de
Example:
Router# show frame-relay datos especificado (DLCI).
pvc dlci
Paso show policy-map
Cuando se configura el LLQ, visualiza la configuración
interface interface-name de las clases para todas las correspondencias de
2
políticas.
Example:
Router# show policy-map
interface
fastethernet0/0
Paso show policy-map
Cuando se configura el LLQ, visualiza la configuración
interface interface-name de las clases para la correspondencia de políticas en
3
dlci dlci-number
el DLCI especificado.
Example:
Router# show policy-map
interface
fastethernet0/0 dlci 100
Paso show crypto eng qos
4
Example:
Router# show crypto eng
qos
Visualiza las estadísticas de espera de la calidad de
servicio para el LLQ para los motores de la encripción
de IPSec.
Ejemplos de configuración para el LLQ para los motores de la encripción de IPSec
Esta sección proporciona el siguiente ejemplo de configuración:
•
LLQ para los motores de la encripción de IPSec: Ejemplo:
LLQ para los motores de la encripción de IPSec: Ejemplo:
En el siguiente ejemplo, una cola de prioridad estricta con un ancho de banda permitido garantizado de 50 kbps es reservada
para el tráfico que se envía de la dirección de origen 10.10.10.10 a la dirección destino 10.10.10.20, en el rango de los puertos
16384 a 20000 y 53000 a 56000.
Primero, los siguientes comandos configuran la lista de acceso 102 para hacer juego el tráfico de voz deseado:
Router(config)# access-list 102 permit udp host 10.10.10.10 host 10.10.10.20 range 16384
20000
Router(config)# access-list 102 permit udp host 10.10.10.10 host 10.10.10.20 range 53000
56000
Después, se define la Voz de la correspondencia de la clase, y se crea la correspondencia de políticas llamó policy1; una cola
de prioridad estricta para la Voz de la clase es reservada, un ancho de banda de 20 kbps se configura para la clase BAR, y la
clase predeterminada se configura para el WFQ. El comando service-policy entonces asocia la correspondencia de políticas al
fas0/0.
Router(config)# class-map voice
Router(config-cmap)# match access-group 102
Router(config)# policy-map policy1
Router(config-pmap)# class voice
Router(config-pmap-c)# priority 50
Router(config-pmap)# class bar
Router(config-pmap-c)# bandwidth 20
Router(config-pmap)# class class-default
Router(config-pmap-c)# fair-queue
Router(config)# interface fas0/0
Router(config-if)# service-policy output policy1
Referencias adicionales
Documentos Relacionados
Tema relacionado
Título del documento
Comandos de Cisco IOS El Cisco IOS domina los comandos list, todos las versiones
Comandos de seguridad Referencia de Comandos de Seguridad de Cisco IOS
Comandos qos
Referencia de Comandos de las Soluciones de Calidad de Servicio de
Cisco IOS
Espera cargada de la
feria
Configurar el módulo de función de espera cargado de la feria.
MIB
MIB
Link del MIB
Ninguno Para localizar y descargar el MIB para las plataformas elegidas, las versiones de software
de Cisco, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado
en el URL siguiente:
http://www.cisco.com/cisco/web/LA/support/index.html
Asistencia Técnica
Descripción
Link
El Web site del soporte y de la documentación http://www.cisco.com/cisco/web/LA/support/index.html
de Cisco proporciona los recursos en línea
para descargar la documentación, el software,
y las herramientas. Utilice estos recursos para
instalar y para configurar el software y para
resolver problemas y para resolver los
problemas técnicos con los Productos Cisco y
las Tecnologías. El acceso a la mayoría de las
herramientas en el Web site del soporte y de
la documentación de Cisco requiere una
identificación del usuario y una contraseña del
cisco.com.
Información de la característica para el LLQ para los motores de la encripción de IPSec
La Tabla 1 muestra el historial de versiones de esta función.
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del
software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software,
un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a
http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un
tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión
de software también soportan esa característica.
Nombre de la función
Versiones Información sobre la Función
Información de la
característica para el low
latency queueing (LLQ)
para los motores de la
encripción de IPSec
12.2(13)T
12.2(14)S
El low latency queueing (LLQ) para las ayudas de la
característica de los motores de la encripción de IPSec
reduce la latencia de red y la congestión totales por el tráfico
señalado prioridad de envío a cola antes de que sea
procesado por el motor de procesamiento crypto. Esto que
hace cola garantiza cierto nivel de tiempo de procesamiento
del motor de criptografía.
Esta característica fue introducida en el Cisco IOS Release
12.2(13)T.
Esta función se integró en Cisco IOS Release 12.2(14)S.
Se han insertado o modificado los siguientes comandos:
show crypto eng qos.
Glosario
IKE — Intercambio de claves de Internet. El IKE establece una política de seguridad compartida y autentica las claves para los
servicios (tales como IPSec). Antes de que cualquier tráfico IPSec pueda ser pasado, cada router/Firewall/host deben verificar
la identidad de su par. Esto puede ser hecha manualmente ingresando las claves del preshared en ambos hosts o por un
servicio CA.
IPSec — Seguridad IP. Un marco de los estándares abiertos que proporciona la confidencialidad de los datos, la integridad de
los datos, y la autenticación de datos entre los peeres participantes. El IPSec proporciona estos Servicios de seguridad en la
capa IP. IPSec utiliza IKE para gestionar la negociación de protocolos y algoritmos basada en la política local y para generar las
llaves de encripción y de autenticación que utilizará IPSec. IPsec puede proteger uno o varios flujos de datos entre un par de
hosts, entre un par de gateways de seguridad, o entre un gateway de seguridad y un host.
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks
can be found at /go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not
imply a partnership relationship between Cisco and any other company. (1005R)
Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any
examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only.
Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental.
© 2002-2011 Cisco Systems, Inc. All rights reserved.
© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 2 Agosto 2013
http://www.cisco.com/cisco/web/support/LA/107/1074/1074074_sec_llq_ipsec_enrypt_ps6922_TSD_Products_Configuration_Guide_Chapter.html
Documentos relacionados
Actividad de clase: Desarrollo del mantenimiento de red
Actividad de clase: Desarrollo del mantenimiento de red
Actividad de clase: Elaboración del registro
Actividad de clase: Elaboración del registro
Laboratorio: identificación de dispositivos y cables de red
Laboratorio: identificación de dispositivos y cables de red
1. Dado el esquema de red practica1.pkt (ya está configurado
1. Dado el esquema de red practica1.pkt (ya está configurado
Actividad de clase: Propuesta de trabajo a distancia
Actividad de clase: Propuesta de trabajo a distancia
Conectando Redes - Universidad Tecnológica de Pereira
Conectando Redes - Universidad Tecnológica de Pereira
Tres sugerencias para optimizar el rendimiento y la
Tres sugerencias para optimizar el rendimiento y la
Enunciado del trabajo
Enunciado del trabajo
Packet Tracer: configuración del reenvío de puertos en un router Linksys (instrucciones)
Packet Tracer: configuración del reenvío de puertos en un router Linksys (instrucciones)
Reto de habilidades de integración de Packet Tracer (instrucciones)
Reto de habilidades de integración de Packet Tracer (instrucciones)
Descargar
Anuncio
Anuncio