QoS lưu lượng VoIP trên thiết bị tường lửa Firewall Cisco ASA (QoS for VoIP Traffic on Cisco ASA)

Một trong những bổ sung mới trong Firewall Cisco ASA là khả năng cấu hình Chất lượng Dịch vụ (QoS) cho lưu lượng VoIP, điều mà trước đây chỉ có trên các bộ định tuyến IOS. ASA hiện hỗ trợ Xếp hàng có độ trễ thấp - Low Latency Queuing (xếp hàng ưu tiên LLQ) cho phép bạn ưu tiên các luồng lưu lượng nhất định (chẳng hạn như lưu lượng nhạy cảm với độ trễ như thoại và video) trước các lưu lượng khác.

Ở dạng đơn giản nhất, bạn chỉ cần bật tính năng xếp hàng ưu tiên trên một giao diện và chọn với ACL và policy map với lưu lượng truy cập sẽ đi qua hàng đợi ưu tiên của giao diện. Tất cả lưu lượng truy cập khác sẽ đi qua hàng đợi "nỗ lực cao nhất- best effort". Ví dụ: nếu chúng ta có lưu lượng dữ liệu FTP (thường là một gói dài) cùng với một gói VoIP, VoIP sẽ được phân phối trước bởi giao diện (hàng đợi ưu tiên) trong khi gói FTP sẽ được phân phát trên cơ sở cố gắng nhất.

Trong ví dụ dưới đây, sẽ trình bày một tình huống thông thường trong đó có hai (hoặc nhiều) trang web giao tiếp thông qua mạng Lan-to-Lan (site-tosite) IPSEC VPN qua Internet. Giữa các trang web, chúng ta có thể có cả dữ liệu và giao tiếp lưu lượng VoIP. Mặc dù chúng ta không thể thực thi QoS thực thông qua Internet, nhưng ít nhất chúng ta có thể đảm bảo ưu tiên lưu lượng thoại trên giao diện tường lửa.

​

Từ sơ đồ trên, giả định rằng đã định cấu hình IPSEC VPN và đang hoạt động bình thường (tức là cả hai mạng con 192.168.1.0/24 và 192.168.2.0/24 có thể giao tiếp qua đường hầm). Cấu hình ví dụ bên dưới dành cho tường lửa ASA-1 và phải được áp dụng tương ứng cho ASA-2 để có hiệu suất QoS tốt hơn.

! Bật hàng đợi ưu tiên trên giao diện bên ngoài

ASA-1(config)# priority-queue outside
ASA-1(config-priority-queue)# exit

! Chọn lưu lượng VoIP để ưu tiên

ASA-1(config)#access-list VoIP-Traffic-OUT extended permit tcp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 eq h323

ASA-1(config)#access-list VoIP-Traffic-OUT extended permit tcp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 eq sip

ASA-1(config)#access-list VoIP-Traffic-OUT extended permit tcp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 eq 2000

ASA-1(config)#access-list VoIP-Traffic-IN extended permit tcp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 eq h323

ASA-1(config)#access-list VoIP-Traffic-IN extended permit tcp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 eq sip

ASA-1(config)#access-list VoIP-Traffic-IN extended permit tcp 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 eq 2000

! Khớp ACL và lưu lượng truy cập với Chuyển tiếp Nhanh (EF)

ASA-1(config)# class-map Voice-OUT
ASA-1(config-cmap)# match dscp ef
ASA-1(config-cmap)# match access-list VoIP-Traffic-OUT
ASA-1(config-cmap)# exit

ASA-1(config)#class-map Voice-IN
ASA-1(config-cmap)# match dscp ef
ASA-1(config-cmap)# match access-list VoIP-Traffic-IN
ASA-1(config-cmap)# exit

! Định cấu hình chính sách thực tế sẽ được áp dụng cho giao diện

ASA-1(config)# policy-map VoicePolicy
ASA-1(config-pmap)# class Voice-OUT
ASA-1(config-pmap-c)# priority
ASA-1(config-pmap-c)# exit

ASA-1(config-pmap)# class Voice-IN
ASA-1(config-pmap-c)# priority
ASA-1(config-pmap-c)# exit
ASA-1(config-pmap)# exit

! Áp dụng chính sách cho giao diện bên ngoài

ASA-1(config)# service-policy VoicePolicy interface outside

Một lưu ý nhỏ ở đây. Hàng đợi Ưu tiên sẽ chỉ áp dụng cho giao diện theo hướng “outbound”, vì vậy lớp Voice-IN ở trên sẽ không có bất kỳ hiệu lực nào trong bản đồ chính sách (policy-map). Ngoài ra, như đã nêu ở đầu bài viết ở trên, cấu hình hiển thị trong bài đăng này áp dụng cho ASA-1. Cấu hình đối ứng cũng nên được áp dụng trên ASA-2 với ACL thích hợp phải khớp với lưu lượng từ mạng 192.168.2.0 đến 192.168.1.0.

Chúc các bạn thực hiện thành công!

 

Thiết lập điện thoại IP Phone phía sau Tường lửa Cisco ASA 5506

Tường lửa Cisco ASA 5506 là một thiết bị tuyệt vời cho các địa điểm văn phòng chi nhánh nhỏ vì nó có thể cung cấp nhiều dịch vụ mạng trong một box.

Nó có thể cung cấp bảo mật tường lửa, kết nối IPSEC VPN lan-to-lan với văn phòng trung tâm và thậm chí cả kết nối PoE cho điện thoại IP cục bộ (hai trong số các giao diện mạng của nó là cổng PoE).

Một kịch bản mạng phổ biến sử dụng tường lửa Cisco ASA thường được tìm thấy trong các Doanh nghiệp có văn phòng chi nhánh nhỏ triển khai giải pháp Thoại qua IP của Cisco IP Telephony.

Thông thường, một Trình quản lý cuộc gọi của Cisco tại văn phòng trung tâm Doanh nghiệp được sử dụng để điều khiển Điện thoại IP của Cisco tại các văn phòng chi nhánh nhỏ.

Việc triển khai này cho phép xử lý cuộc gọi tập trung, giảm thiết bị cần thiết và loại bỏ việc quản lý thêm Cisco CallManager và các máy chủ khác tại các văn phòng chi nhánh. Điều này được minh họa trong sơ đồ dưới đây:

​

Tính năng DHCP của tường lửa Cisco ASA 5506 có thể được sử dụng để gán địa chỉ IP cho các điện thoại IP của Văn phòng Chi nhánh.

Thông qua DHCP, ASA Cisco Firewall cũng có thể cung cấp cho điện thoại địa chỉ IP của Máy chủ TFTP (đây thường là máy chủ CallManager).

Điện thoại IP của Cisco tải xuống cấu hình của chúng từ máy chủ TFTP. Khi Điện thoại IP Cisco khởi động, nếu nó không có cả địa chỉ IP và địa chỉ IP máy chủ TFTP được định cấu hình trước, nó sẽ gửi một yêu cầu có tùy chọn 150 đến máy chủ DHCP (trong trường hợp này là Cisco ASA 5506) để lấy thông tin này.

Trong ví dụ ở trên, tường lửa Cisco ASA sẽ chỉ định địa chỉ IP trong phạm vi 10.0.0.0 và cũng cung cấp địa chỉ IP máy chủ TFTP là 192.168.1.10 (CallManager tại văn phòng trung tâm).

Sau khi các Điện thoại IP có được thông tin này, chúng sẽ có thể giao tiếp với CallManager trung tâm thông qua đường hầm IPSEC VPN.

Để định cấu hình DHCP Option 150 trên Cisco ASA:

ASA(config)# dhcpd option 150 ip 192.168.1.10
ASA(config)# dhcpd address 10.0.0.10-10.0.0.20 inside
ASA(config)# dhcpd enable inside

Chúc các bạn thành công!