IPv6 IPsec の QoS

IPv6 IPsec QoS 機能は、Quality of Service(QoS)ポリシーを IPv6 IPsec に適用できるようにします。

IPv6 IPsec QoS の概要

IPv6 IPsec QoS 機能は、IPv6 IPsec に Quality of Service(QoS)ポリシーを適用します。この機能は、次の機能をサポートしています。

  • Crypto LLQ QoS:従来の Cisco モジュラ QoS CLI(MQC)の QoS 設定(PAK_PRIORITY など)により QoS に分類されて優先度レベル 1 または 2 にマークされたトラフィックがエンキューされ、暗号プロセッサの前にプライオリティ キューに入れられます。IPsec 暗号化エンジンの低遅延キューイング(LLQ)により、プライオリティ トラフィックのパケット遅延を軽減できます。
  • IPsec QoS Pre-Classify:QoS Pre-Classify が暗号マップの下で設定されることで、暗号化の前に IPSec で元のレイヤ 3 およびレイヤ 4 ヘッダーを保存できるようにします。これにより QoS では、保存されたヘッダーを使用した分類ができます。
  • QoS group-based LLQ:QoS group-based LLQ 機能により、IPsec で LLQ QoS グループの設定を確認することで、パケットが低遅延キューイング(LLQ)にエンキューされる前に高プライオリティ パケットであるかどうかを判断できます。

Crypto LLQ QoS の設定

IPsec と QoS が物理インターフェイスに設定され、QoS ポリシーにプライオリティ クラスがある場合、IPSec はインターフェイスにアタッチしたポリシーに基づいてパケットを分類します。プライオリティ クラスに一致するパケットを低遅延キューにエンキューします。優先順位の高いパケットは低遅延キューイング(LLQ)にエンキューされます。

このタスクを実行して、サービス ポリシーを出力インターフェイスにアタッチし、IPsec 暗号化エンジンの LLQ を有効化します。

手順の概要

  1. enable
  2. configure terminal
  3. interface physical-interface-name
  4. ipv6 address {ipv6-address /prefix-length | prefix-name sub-bits/prefix-length}
  5. service-policy output policy-map
  6. ipv6 crypto map map-name
  7. end

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface physical-interface-name

例:


Device(config)# interface GigabitEthernet0/0/1

IPsec 暗号化エンジンの LLQ を使ってインターフェイスを指定します。

ステップ 4

ipv6 address {ipv6-address /prefix-length | prefix-name sub-bits/prefix-length}

例:


Device(config-if)# ipv6 address 2001:DB8:FFFF::2/64

インターフェイスで IPv6 アドレスを設定します。

ステップ 5

service-policy output policy-map

例:


Device(config-if)# service-policy output p1

指定したサービス ポリシー マップを出力インターフェイスにアタッチし、IPsec 暗号化エンジンの LLQ をイネーブルにします。

ステップ 6

ipv6 crypto map map-name

例:


Device(config-if)# ipv6 crypto map CMAP_1

インターフェイスで IPv6 暗号マップを有効化します。

ステップ 7

end

例:


Device(config-if)# end

インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

暗号マップ上での Pre-classify の設定

qos pre-classify コマンドは暗号マップに適用され、トンネル単位の設定が可能です。QoS ポリシーは、暗号化の前に、L3 および L4 ヘッダーに基づいて、パケットに適用されます。

このタスクを実行して、QoS Pre-classify を暗号マップに適用します。

手順の概要

  1. enable
  2. configure terminal
  3. ipv6 crypto map map-name
  4. qos pre-classify
  5. end

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ipv6 crypto map map-name

例:


Device(config-if)# ipv6 crypto map CM_V6

暗号マップ コンフィギュレーション モードを開始し、設定する暗号マップを指定します。

ステップ 4

qos pre-classify

例:


Device(config-if)# qos pre-classify

QoS Pre-classify を暗号マップで有効化します。

ステップ 5

end

例:


Device(config-if)# end

インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

トンネル インターフェイス上での Pre-classify の設定

qos pre-classify コマンドは、IPv6 IPsec トンネル インターフェイスに適用され、QoS で設定オプションをトンネル単位にします。

このタスクを実行して、QoS Pre-classify をトンネル インターフェイスに適用します。

手順の概要

  1. enable
  2. configure terminal
  3. interface tunnel-interface-name
  4. ipv6 address {ipv6-address /prefix-length | prefix-name sub-bits/prefix-length}
  5. qos pre-classify
  6. end

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface tunnel-interface-name

例:


Device(config)# interface Tunnel1

インターフェイス コンフィギュレーション モードを開始して、設定するトンネルまたは仮想インターフェイスを指定します。

ステップ 4

ipv6 address {ipv6-address /prefix-length | prefix-name sub-bits/prefix-length}

例:


Device(config-if)# ipv6 address 2001:DB8:FFFF::2/64

インターフェイスで IPv6 アドレスを設定します。

ステップ 5

qos pre-classify

例:


Device(config-if)# qos pre-classify

QoS Pre-classify をトンネル インターフェイスで有効化します。

ステップ 6

end

例:


Device(config-if)# end

インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

LLQ QoS グループの設定

platform ipsec llq qos-group コマンドは、このコマンドで設定される QoS グループに一致するトラフィックの低遅延キューイングを有効化します。

このタスクを実行して、QoS グループの LLQ を有効化します。

手順の概要

  1. enable
  2. configure terminal
  3. platform ipsec llq qos-group group-number
  4. end

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

platform ipsec llq qos-group group-number

例:


Device(config)# platform ipsec llq qos-group 1

LLQ を有効化する QoS グループを指定します。有効値は 1 ~ 99 です。

ステップ 4

end

例:


Device(config-if)# end

インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

例:Crypto LLQ QoS の設定

次の例では、出力インターフェイスに対してサービス ポリシー マップを指定し、インターフェイスで IPv6 暗号マップを有効にする方法を示します。 


!
class-map match-all c2
  match precedence 5  6  7
class-map match-all c1
  match precedence 0  1  2  3

policy-map p1
  class c1
    priority percent 10
  class c2
    bandwidth remaining percent 3

crypto map ipv6 CMAP_1 1 ipsec-isakmp
  set peer address 2001:DB8:FFFF::1
  set transform-set ESP-3DES-SHA
  match address 102

interface GigabitEthernet0/0/1
  ipv6 address 2001:DB8:FFFF::2/64
  ipv6 crypto map CMAP_1
  service-policy output p1

例:暗号マップ上での Pre-classify の設定

次の例では、暗号マップ CM_V6 で qos pre-classify コマンドを使用して QoS 事前分類を有効化する方法を示します。 


!
crypto map ipv6 CM_V6 10 ipsec-isakmp 
  match address ACL_IPV6_1 
  set transform-set set1
  set peer 2001:DB8:FFFF::1 
  qos pre-classify
! 
interface GigabitEthernet0/0/1
  ipv6 address 2001:DB8:FFFF::2/64
  service-policy output policy1
  ipv6 crypto map CM_V6

例:トンネル インターフェイス上での Pre-classify の設定

次の例では、トンネル インターフェイス tunnel1 で qos pre-classify コマンドを使用して QoS 事前分類を有効化する方法を示します。 


interface GigabitEthernet1/1/2
  ipv6 address 2001:DB8:1::F/64
  service-policy output policy1
!
interface Tunnel1
  ipv6 address 2001:DB8:2::F/64
  qos pre-classify
  ipv6 mtu 1400
  tunnel protection ipsec profile greprof

例:LLQ QoS グループの設定

次の例では、QoS グループで低遅延キューイングを設定する方法を示します。 


! 
platform ipsec llq qos-group 1 
platform ipsec llq qos-group 49 
! 
! 
crypto map ipv6 cmap 1 ipsec-isakmp 
  set peer 2001:DB8:FFFF:1::E/64
  set security-association lifetime seconds 600 
  set transform-set aes-192 
  match address 102 
! 
! 
class-map match-all c1 
  match precedence 5 
class-map match-all c2 
  match precedence 2 
class-map match-all c3 
  match precedence 4 
class-map match-all c4 
  match precedence 3 
! 
policy-map p1 
  class c3 
    set qos-group 20 
  class c1 
    set qos-group 49 
  class c4 
    set qos-group 77 
! 
policy-map p2 
  class class-default 
    set qos-group 1 
! 
interface GigabitEthernet0/2/0 
  ipv6 address 
  negotiation auto 
  cdp enable 
  ipv6 crypto map cmap 
  service-policy input p2 
! 
! 
interface GigabitEthernet0/2/7 
  ipv6 address 2001:DB8:FFFF:1::F/64
  negotiation auto 
  cdp enable 
  service-policy input p1 
!

IPv6 IPsec QoS の追加情報

関連資料

関連項目 マニュアル タイトル

セキュリティ コマンド

IPv6 コマンド

『IPv6 Command Reference』

QoS コマンド

『Cisco IOS Quality of Service Solutions Command Reference』

IPv6 アドレッシングと接続

『IPv6 Configuration Guide』

シスコのテクニカル サポート

説明 リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

IPv6 IPsec QoS の機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
表 1. IPv6 IPsec QoS の機能情報

機能名

リリース

機能情報

IPv6 IPsec QoS

15.4(1)S

IPv6 IPsec QoS 機能は、QoS ポリシーを IPv6 IPsec に適用できるようにします。この機能は、次の機能をサポートしています。

  • Crypto LLQ QoS
  • IPsec QoS Pre-Classify
  • QoS group-based LLQ

次のコマンドが変更されました。ipv6 crypto map