Trong mạng IP chuẩn, tất cả các gói dữ liệu được xử lý giống nhau theo một cách tốt nhất. Các thiết bị mạng thường bỏ qua tầm quan trọng và thời gian của các dữ liệu được truyền qua mạng. Để ưu tiên cho các gói dữ liệu quan trọng hay đáp ứng được thời gian thực của cuộc gọi thoại và video ta áp dụng chính sách quản lý chất lượng dịch vụ cho từng loại gói. Có nhiều cơ chế quản lý dịch vụ khác nhau mà có sẵn trong các thiết bị của Cisco như:
• Traffic policing
• Traffic prioritization
• Traffic shaping
• Traffic marking
• Truy nhiên, Cisco ASA chỉ hỗ trợ traffic policing và traffic prioritization 2.4.1. Traffic policing
Chính sách lưu thông là sự giới hạn lưu thông, bạn có thể kiểm soát tốc độ truy nhập tối đa đủ điều kiện đi qua interface. Các lưu lượng nào nằm trong cấu hình quy định thì được phép thông qua và các lưu lượng nào vượt ngưỡng giới hạn đều bị drop.
Trong cisco ASA khi một lưu thông không được định nghĩa là ưu tiên “ priority” sẽ được xử lý thông qua đánh giá giới hạn gói tin nếu phù hợp với mức QoS thì cho phép truyền. Nếu không đủ mức thì gói tin sẽ chờ bổ sung hoặc điều chỉnh chính sách cho thấp xuống nếu phù hợp với cấu hình gói tin sẽ được đưa vào hàng đợi không ưu tiên “nonpriority”.
Hình 2. Chính sách lưu lượng truy nhập
Khi rời khỏi cơ chế QoS gói tin sẽ được chuyển đến interface cho việc chuyển đổi dữ liệu. Thiết bị an ninh thực hiện QoS cho mỗi gói tin mức độ khác nhau để đảm bảo cho việc truyền nhận với cờ không ưu tiên được xử lý thích hợp.
2.4.2. Traffic Prioritization
Lưu lượng ưu tiên còn được gọi là lớp dịch vụ hoặc là hàng đợi có độ trễ thấp, được sử dụng để cung cấp độ ưu tiên cho gói tin quan trọng được phép truyền đi trước, nó gán mức ưu tiên cho mỗi loại gói tin khác nhau có độ ưu tiên khác nhau. Trên ASA có hai loại ưu tiên là “priority” và “ nonpriority”. Priority có nghĩa là gói tin được ưu tiên trong lưu lượng truy cập thường xuyên, trong khi QoS nonpriority có nghĩa là các gói dữ liệu được xử lý bởi các giới hạn tốc độ.
Khi gói tin được phân loại ưu tiên, nó sẽ được nhanh chóng chuyển tiếp mà không thông qua giới hạn tốc độ. Để đảm bảo việc chuyển tiếp lưu lượng được ưu tiên ở các giao diện, thiết bị an ninh sẽ đánh cờ trên mỗi hàng đợi ưu tiên và gửi chúng ra truyền trực tiếp nếu có tắc nghẽn các lưu lượng được đưa vào trong hàng đợi ưu tiên cao và được truyền ngay khi vòng truyền sẵn sàng.