QoS de aplicativos
O AppQoS permite que você identifique e controle o acesso a aplicativos específicos e fornece a granularidade da base de regras de firewall stateful para combinar e aplicar a qualidade de serviço (QoS) na camada de aplicativos. Para obter mais informações, veja os seguintes tópicos:
Entendendo a qualidade de serviço do aplicativo (AppQoS)
O recurso de qualidade de serviço (AppQoS) do aplicativo expande a capacidade da classe de serviço (CoS) do Junos OS para incluir a marcação de valores de DSCP com base em tipos de aplicativos de Camada 7, honrando o tráfego baseado em aplicativos através de configurações de prioridade de perda e controlando taxas de transferência em PICs de saída com base em tipos de aplicativos de Camada 7.
Existem quatro maneiras de marcar os valores de DSCP no dispositivo de segurança:
Reescritores DSCP baseados em ação de ataque IDP
Reescritores DSCP baseados em aplicativos de Camada 7
Reescritos DSCP baseados em ALG
Reescritores DSCP baseados em filtro de firewall
A observação do IDP é realizada na porta de entrada com base nas regras do IDP. A observação do aplicativo é realizada na porta de saída com base nas regras do aplicativo. A observação baseada em interface também ocorre na porta de saída com base em regras de filtro de firewall. (Consulte o guia de usuário de classe de serviço (dispositivos de segurança) para obter uma descrição detalhada dos recursos CoS do Junos OS.)
As decisões de observação desses três reescritores podem ser diferentes. Se um pacote aciona os três, o método que tem precedência é baseado na profundidade do conteúdo do pacote que a correspondência é conduzida. A observação do IDP tem precedência sobre a observação de aplicativos que tem precedência sobre observações baseadas em interface.
Se um pacote aciona tanto o AppQoS quanto os reescritores DSCP baseados em ALG, então o AppQoS tem precedência sobre os reescritores DSCP baseados em ALG.
O reescritor DSCP do AppQoS transmite a qualidade de serviço de um pacote tanto pela classe de encaminhamento quanto por uma prioridade de perda. Os parâmetros de limitação de taxa do AppQoS controlam a velocidade e o volume de transmissão para suas filas associadas.
- Benefício do QoS de aplicativo
- Aulas de encaminhamento exclusivas e atribuições de fila
- Configurações de prioridade de ponto de código e perda DSCP com reconhecimento de aplicativos
- Limitadores de taxa e perfis
- Atribuição de limitador de taxa
- Ação do rate-limiter
- Configuração da política de segurança do AppQoS
Benefício do QoS de aplicativo
O AppQoS oferece a capacidade de priorizar e medir o tráfego de aplicativos para oferecer um melhor serviço ao tráfego de aplicativos crítico para os negócios ou de alta prioridade.
Aulas de encaminhamento exclusivas e atribuições de fila
A classe de encaminhamento oferece três funções:
Pacotes de grupos com características semelhantes
Atribui filas de saída
Resolve conflitos com os reescritores existentes baseados em filtro de firewall Junos OS
Nomes de classe de encaminhamento exclusivos protegem as observações do AppQoS de serem sobreescritas por regras de reescrita baseadas em interface. Um reescritor baseado em filtro de firewall observa o valor de DSCP de um pacote se a classe de encaminhamento do pacote corresponde a uma classe definida especificamente para este reescrito. Se a classe de encaminhamento do pacote não corresponder a nenhuma das classes do reescritor baseado em filtro de firewall, o valor do DSCP não será comentado. Para proteger os valores do AppQoS de serem sobreescritos, portanto, use nomes de classe de encaminhamento desconhecidos para o reescrito baseado em filtro de firewall.
Cada classe de encaminhamento é atribuída a uma fila de saída que fornece o grau apropriado de processamento aprimorado ou padrão. Muitas aulas de encaminhamento podem ser atribuídas a uma única fila. Portanto, quaisquer filas definidas para o dispositivo podem ser usadas por reescritores baseados em filtro de IDP, AppQoS e firewall. É o nome da classe de encaminhamento, não a fila, que distingue a prioridade de transmissão. (Consulte o Guia do usuário de classe de serviço (dispositivos de segurança) para obter informações sobre a configuração de filas e agendadores.)
Para dispositivos de SRX5400, SRX5600 e SRX5800, os nomes de classe de encaminhamento de AppQoS e atribuições de fila são definidos com o class-of-service comando de configuração CLI:
[edit class-of-service] user@host# set forwarding-classes class forwarding-class-name queue-num queue-number
Para SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500, SRX4100, SRX4200 e SRX4600 dispositivos e instâncias vSRX, os nomes de classe de encaminhamento e atribuições de fila do AppQoS são definidos com o class-of-service comando de configuração CLI:
[edit class-of-service] user@host# set forwarding-classes queue queue-number forwarding-class-name
Configurações de prioridade de ponto de código e perda DSCP com reconhecimento de aplicativos
Para o AppQoS, o tráfego é agrupado com base em regras que associam uma classe de encaminhamento definida a aplicativos selecionados. Os critérios de correspondência para a regra incluem um ou mais aplicativos. Quando o tráfego de um aplicativo correspondente encontra a regra, a ação de regra define a classe de encaminhamento e observa a prioridade de valor e perda do DSCP em valores apropriados para o aplicativo.
Um valor de ponto de código (DSCP) de serviços diferenciados (DSCP) é especificado na regra por um valor de bitmap de 6 bits ou por um vulto definido pelo usuário ou padrão. A Tabela 1 fornece uma lista de nomes de DSCP padrão do Junos OS e valores de bitmap.
Alias |
Valor de bit |
|---|---|
Ef |
101110 |
af11 |
001010 |
af12 |
001100 |
af13 |
001110 |
af21 |
010010 |
af22 |
010100 |
af23 |
010110 |
af31 |
011010 |
af32 |
011100 |
af33 |
011110 |
af41 |
100010 |
af42 |
100100 |
af43 |
100110 |
Ser |
000000 |
cs1 |
001000 |
cs2 |
010000 |
cs3 |
011000 |
cs4 |
100000 |
Cs5 |
101000 |
nc1/cs6 |
110000 |
nc2/cs7 |
111000 |
Veja os valores de cos padrão e aliases para obter mais detalhes.
O agendador da fila usa a prioridade de perda para controlar o descarte de pacotes durante períodos de congestionamento, associando perfis de queda com valores de prioridade de perda particulares. (Consulte o Guia do usuário de classe de serviço (dispositivos de segurança) para obter informações sobre a configuração de filas e agendadores.)
A regra aplica uma prioridade de perda aos grupos de tráfego. Uma alta prioridade de perda significa uma alta probabilidade de que o pacote possa ser descartado durante um período de congestionamento. Quatro níveis de prioridade de perda estão disponíveis:
highmedium-highmedium-lowlow
O conjunto de regras é definido no comando de class-of-service application-traffic-control configuração:
[edit class-of-service] user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 match application application-name application-name ... user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 match application-group application-group-name application-group-name ... user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 then forwarding-class fc-name user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 then dscp-code-point bitmap user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 then loss-priority loss-pri-value
Limitadores de taxa e perfis
Quando o congestionamento ocorre, o AppQoS implementa limitação de taxa em todos os PICs de saída no dispositivo. Se os pacotes excederem as limitações atribuídas, eles serão descartados. Os limitadores de taxa mantêm um nível consistente de sensibilidade à taxa de transferência e perda de pacotes para diferentes classes de tráfego. Todos os PICs de saída empregam o mesmo esquema de limitação de taxa.
A largura de banda total de um PIC é de cerca de 10 Gbps. O hardware limitador de taxa para o PIC pode provisionar até 2 Gbps. Portanto, o limite de largura de banda superior para limitação de taxa é de 231 bps.
Um perfil de limitador de taxa define as limitações. É uma combinação única de especificações e burst-size-limit especificaçõesbandwidth-limit. Ele bandwidth-limit define o número máximo de kilobits por segundo que pode atravessar a porta. A burst-size-limit definição do número máximo de bytes que podem atravessar a porta em uma única explosão. Isso reduz a burst-size-limit falta de tráfego de menor prioridade, garantindo um tamanho finito para cada explosão.
O AppQoS permite até 16 perfis e até 1000 limitadores de taxa por dispositivo. Limitadores de várias taxas podem usar o mesmo perfil. No exemplo a seguir, cinco limitadores de taxa são definidos usando dois perfis:
Nome do limitador de taxa |
Perfil |
|
|---|---|---|
limite de largura de banda |
limite de tamanho de explosão |
|
limiter-1 |
200 |
26000 |
limiter-2 |
200 |
26000 |
limiter-3 |
200 |
26000 |
limiter-4 |
400 |
52000 |
limiter-5 |
400 |
52000 |
Os limitadores de taxa são definidos com o comando de class-of-service application-traffic-control configuração.
[edit class-of-service] user@host# set application-traffic-control rate-limiters rate-limiter-name bandwidth-limit value-in-Kbps burst-rate-limit value-in-bytes
Atribuição de limitador de taxa
Os limitadores de taxa são aplicados em regras com base na aplicação do tráfego. Dois limitadores de taxa são aplicados para cada sessão: client-to-server e server-to-client. Esse uso permite que o tráfego em cada direção seja provisionado separadamente.
O processamento da largura de banda de tráfego por limitadores de taxa é feito no nível de pacotes, independentemente da direção do tráfego. Por exemplo: Considere um caso em que você tenha apenas um limitador de taxa de 10G configurado, se o tráfego de entrada e saída for da mesma placa de linha, então a taxa de transferência (tráfego máximo de instruções de entrada e saída combinadas) só pode ser de até 10G e não de 20G. No entanto, se o dispositivo tiver suporte ao IOC (no caso de dispositivos de linha SRX5000 e dispositivos SRX4600) e o tráfego de entrada for por meio de um IOC e o tráfego de saída por outro IOC, então com um único limitador de taxa de 10G configurado, você pode esperar uma taxa de transferência de 20G.
Regras diferentes do AppQoS dentro do mesmo conjunto de regras podem compartilhar um limitador de taxa. Neste caso, os aplicativos dessas regras compartilham a mesma largura de banda. Não há limitações no número de regras em um conjunto de regras que possam atribuir o mesmo limitador de taxa.
Os exemplos a seguir mostram como os limitadores de taxa definidos na seção anterior poderiam ser atribuídos. Por exemplo, um conjunto de regras poderia reutilizar um limitador de taxa em várias regras e em uma ou ambas as direções de fluxo:
conjunto de regras 1
regra 1A
limitador de cliente para servidor-1
limitador de servidor para cliente-1
regra 1B
limitador de cliente para servidor-1
limitador de servidor para cliente-1
Se os mesmos perfis forem necessários em vários conjuntos de regras, um número suficiente de limitadores de taxa precisa ser definido especificando o mesmo bandwidth-limit e burst-size-limit. Os dois conjuntos de regras no exemplo a seguir implementam os mesmos perfis atribuindo limitadores de taxa diferentes, mas comparáveis.
conjunto de regras 2
regra 2A
limitador de cliente para servidor-2
limitador de servidor para cliente-2
regra 2B
limitador de cliente para servidor-2
limitador de servidor para cliente-4
conjunto de regras 3
regra 3A
limitador de cliente para servidor-3
limitador de servidor para cliente-3
regra 3B
limitador de cliente para servidor-3
limitador de servidor para cliente-5
Um limitador de taxa é aplicado usando o comando da edit class-of-service application-traffic-control rule-sets mesma forma que uma classe de encaminhamento, valor de DSCP e prioridade de perda são definidos.
[edit class-of-service] user@host# set application-traffic-control rule-sets rule-set-name rule rule-name1 then rate-limit client-to-server rate-limiter1 server-to-client rate-limiter2
Se a limitação da taxa baseada em filtros do AppQoS e do firewall for implementada na saída PIC, ambas serão levadas em consideração. A limitação da taxa do AppQoS é considerada em primeiro lugar. A limitação da taxa baseada em filtro de firewall ocorre depois disso.
Se os pacotes forem retirados de um PIC, o dispositivo não enviará notificações ao cliente ou ao servidor. Os aplicativos de nível superior no cliente e nos dispositivos de servidor são responsáveis pela retransmissão e tratamento de erros.
Ação do rate-limiter
Com base no tipo de dispositivo de segurança, as regras do AppQoS podem ser configuradas com diferentes ações com limitadores de taxa:
Descartar
Quando essa opção é selecionada, os pacotes fora do perfil simplesmente são descartados.
Este é o tipo de ação padrão e não precisa ser configurado.
Essa opção é compatível com todos os dispositivos da Série SRX.
Prioridade de perda alta
Quando essa opção é selecionada, ela eleva a prioridade de perda ao máximo. Em outras palavras, é uma queda demorada; ou seja, a decisão de descarte é tomada no nível de fila de saída de saída de saída. Se não houver congestionamento, ele permite o tráfego mesmo com prioridade máxima de perda. Mas se o congestionamento ocorrer, ele derruba esses pacotes de prioridade de perda máxima primeiro.
Essa opção deve ser configurada dentro da regra do AppQoS (para substituir a ação padrão) usando o seguinte comando:
[edit] user@host# set class-of-service application-traffic-control rule-sets rset-01 rule r1 then rate-limit loss-priority-high
Essa opção só é compatível com dispositivos SRX300, SRX320, SRX340, SRX345.
Configuração da política de segurança do AppQoS
O conjunto de regras do AppQoS pode ser implementado em uma política existente ou em uma política de aplicativo específica.
[edit security policies from-zone zone-name to-zone zone-name]
user@host# set policy policy-name match source-address IP-address
user@host# set policy policy-name match destination-address IP-address
user@host# set policy policy-name match application application-name application-name
user@host# set policy policy-name then permit application-services application-traffic-control rule-set app-rule-set-name
Veja também
Exemplo: Configuração da qualidade de serviço do aplicativo
Este exemplo mostra como permitir a priorização e a limitação de taxas do AppQoS dentro de uma política.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, o AppQoS é implementado para que os aplicativos FTP sejam restritos a um nível abaixo da taxa de transferência especificada, enquanto outros aplicativos são transmitidos em um nível de prioridade de velocidade e perda mais convencional.
Configuração
Procedimento
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia [editar].
set class-of-service forwarding-classes queue 4 my-app-fc set class-of-service application-traffic-control rate-limiters test-rl bandwidth-limit 100 set class-of-service application-traffic-control rate-limiters test-rl burst-size-limit 13000 set class-of-service application-traffic-control rate-limiters test-r2 bandwidth-limit 200 set class-of-service application-traffic-control rate-limiters test-r2 burst-size-limit 26000 set class-of-service application-traffic-control rule-sets app-test1 rule 0 match application junos:FTP set class-of-service application-traffic-control rule-sets app-test1 rule 0 match application junos:HTTP set class-of-service application-traffic-control rule-sets app-test1 rule 0 then forwarding-class my-app-fc set class-of-service application-traffic-control rule-sets app-test1 rule 0 then dscp-code-point af22 set class-of-service application-traffic-control rule-sets app-test1 rule 0 then loss-priority low set class-of-service application-traffic-control rule-sets app-test1 rule 0 then rate-limit client-to-server test-r2 set class-of-service application-traffic-control rule-sets app-test1 rule 0 then rate-limit server-to-client test-r2 set class-of-service application-traffic-control rule-sets app-test1 rule 0 then log set class-of-service application-traffic-control rule-sets app-test1 rule 1 match application-any set class-of-service application-traffic-control rule-sets app-test1 rule 1 then rate-limit client-to-server test-r2 set class-of-service application-traffic-control rule-sets app-test1 rule 1 then rate-limit server-to-client test-r2 set class-of-service application-traffic-control rule-sets app-test1 rule 1 then log set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit application-services application-traffic-control rule-set ftp-test1
Procedimento passo a passo
Para configurar um AppQoS em seu dispositivo de segurança:
-
Definir uma ou mais aulas de encaminhamento dedicadas à marcação do AppQoS. Neste exemplo, uma única classe de encaminhamento, my-app-fc, é definida e atribuída à fila 4.
[edit] user@host# set class-of-service forwarding-classes queue 4 my-app-fc
Para dispositivos de SRX5400, SRX5600 e SRX5800, use o
set class-of-service forwarding-classes class my-app-fc queue 4comando.Os dispositivos da Juniper Networks oferecem suporte a oito filas (0 a 7). As filas padrão de 0 a 3 são atribuídas às aulas de encaminhamento padrão. As filas de 4 a 7 não têm atribuições padrão para FCs e não são mapeadas. Para usar as filas de 4 a 7, você deve criar nomes fc personalizados e mapeá-los nas filas. Para obter mais detalhes, veja a visão geral das aulas de encaminhamento.
Definir limitadores de taxa. Neste exemplo, dois limitadores de taxa são definidos.
[edit] user@host# set class-of-service application-traffic-control rate-limiters test-rl bandwidth-limit 100 user@host# set class-of-service application-traffic-control rate-limiters test-rl burst-size-limit 13000 user@host# set class-of-service application-traffic-control rate-limiters test-r2 bandwidth-limit 200 user@host# set class-of-service application-traffic-control rate-limiters test-r2 burst-size-limit 26000
Para dispositivos de SRX5400, SRX5600 e SRX5800, você pode definir até 1000 limitadores de taxa para um dispositivo, mas apenas 16 perfis (combinações exclusivas de limite de largura de banda e limite de tamanho de explosão).
-
Definir regras do AppQos e critérios de correspondência de aplicativos.
[edit] user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 match application junos:FTP user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 match application junos:HTTP user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then forwarding-class my-app-fc user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then dscp-code-point af22 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then loss-priority low user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then rate-limit client-to-server test-r1 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then rate-limit server-to-client test-r1 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then log
Neste exemplo, quando uma partida é feita, o pacote é marcado com a classe de encaminhamento my-app-fc, o valor DSCP do af22 e uma prioridade de perda baixa. Nós atribuimos o mesmo limitador de taxa em ambas as direções.
Você pode atribuir um limitador de taxa a uma ou ambas as direções de tráfego em uma única regra. Você também pode atribuir um mesmo limitador de taxa a outras regras dentro de um conjunto de regras. No entanto, você não pode atribuir um mesmo limitador de taxa a um conjunto de regras diferente.
-
Definir outra regra para lidar com pacotes de aplicativos que não correspondam à regra anterior. Neste exemplo, uma segunda e última regra se aplica a todos os aplicativos restantes.
[edit] user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 1 match application-any user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 1 then rate-limit client-to-server test-r2 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 1 then rate-limit server-to-client test-r2 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 1 then log
-
Adicione a configuração do AppQoS à política de segurança.
[edit] user@host# set security policies from-zone trust to-zone untrust policy p1 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p1 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p1 match application any user@host# set security policies from-zone trust to-zone untrust policy p1 then permit application-services application-traffic-control rule-set app-test1
Resultados
A partir do modo de configuração, confirme a configuração de sua política entrando no show security policies comando e show class-of-service entrando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
Para a brevidade, essa show saída de comando inclui apenas a configuração que é relevante para este exemplo. Qualquer outra configuração no sistema foi substituída por elipses (...).
...
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set app-test1
}
}
}
}
}
...
user@host# show class-of-service
forwarding-classes {
queue 4 my-app-fc;
}
application-traffic-control {
rate-limiters test-rl {
bandwidth-limit 100;
burst-size-limit 13000;
}
rate-limiters test-r2 {
bandwidth-limit 200;
burst-size-limit 26000;
}
rule-sets app-test1 {
rule 0 {
match {
application [junos:FTP junos:HTTP];
}
then {
forwarding-class my-app-fc;
dscp-code-point af22;
loss-priority low;
rate-limit {
client-to-server test-r2;
server-to-client test-r2;
}
log;
}
}
rule 1 {
match {
application-any;
}
then {
rate-limit {
client-to-server test-r2;
server-to-client test-r2;
}
log;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando a configuração da sessão de fluxo
- Verificação das estatísticas da sessão
- Verificação das estatísticas do limitador de taxa
- Verificação de estatísticas de regras
Verificando a configuração da sessão de fluxo
Propósito
Verifique se o AppQoS está habilitado.
Ação
A partir do modo operacional, entre no show security flow session application-traffic-control extensive comando.
user@host> show security flow session application-traffic-control extensive
Session ID: 3729, Status: Normal, State: Active
Flag: 0x40
Policy name: p1
Source NAT pool: Null
Dynamic application: junos:FTP
Application traffic control rule-set: app-test1, Rule: rule0
Maximum timeout: 300, Current timeout: 276
Session State: Valid
Start time: 18292, Duration: 603536
In: 192.0.2.1/1 --> 203.0.113.0/1;pim,
Interface: reth1.0,
Session token: 0x1c0, Flag: 0x0x21
Route: 0x0, Gateway: 192.0.2.4, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 21043, Bytes: 1136322
Out: 203.0.113.0/1 --> 192.0.2.0/1;pim,
Interface: .local..0,
Session token: 0x80, Flag: 0x0x30
Route: 0xfffd0000, Gateway: 192.0.2.0, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 0, Bytes: 0
Significado
A entrada para controle de tráfego de aplicativos identifica o conjunto de regras e a regra da sessão atual.
Verificação das estatísticas da sessão
Propósito
Verifique se as estatísticas de sessão do AppQoS estão sendo acumuladas em cada nó de saída.
Ação
A partir do modo operacional, entre no show class-of-service application-traffic-control counter comando.
user@host> show class-of-service application-traffic-control counter pic: 2/1 Counter type Value Sessions processed 300 Sessions marked 200 Sessions honored 0 Sessions rate limited 100 Client-to-server flows rate limited 100 Server-to-client flows rate limited 100 pic: 2/0 Counter type Value Sessions processed 400 Sessions marked 300 Sessions honored 0 Sessions rate limited 200 Client-to-server flows rate limited 200 Server-to-client flows rate limited 200
Significado
As estatísticas do AppQoS são mantidas apenas se o serviço de controle de tráfego de aplicativo estiver habilitado. O número de sessões processadas, marcadas e homenageadas mostra que as sessões estão sendo direcionadas com base em recursos configurados do AppQoS. As estatísticas que limitam a taxa contam o número de fluxos de sessão direcionais limitados.
Verificação das estatísticas do limitador de taxa
Propósito
Verifique se a largura de banda está sendo limitada como esperado quando o aplicativo FTP for encontrado.
Ação
A partir do modo operacional, entre no show class-of-service application-traffic-control statistics rate-limiter comando.
user@host> show class-of-service application-traffic-control statistics rate-limiter pic: 2/1 Ruleset Application Client-to-server Rate(kbps) Server-to-client Rate(kbps) app-test1 HTTP test-r2 200 test-r2 200 app-test1 HTTP test-r2 200 test-r2 200 appp–test1 FTP test-r1 100 test-r1 100
Significado
As informações de limite de largura de banda de aplicativos em tempo real para cada PIC são exibidas pelo conjunto de regras. Esse comando fornece uma indicação de que os aplicativos estão sendo limitados e o perfil que está sendo aplicado.
Verificação de estatísticas de regras
Propósito
Verifique se a regra corresponde às estatísticas da regra.
Ação
A partir do modo operacional, entre no show class-of-service application-traffic-control statistics rule comando.
user@host>show class-of-service application-traffic-control statistics rule pic: 2/1 Ruleset Rule Hits app-test1 0 100 app-test1 1 200 ... pic: 2/0 Ruleset Rule Hits app-test1 0 100 app-test1 1 200
Significado
Este comando fornece informações sobre o número de acertos (sessão) para uma regra sob cada conjunto de regras.
Qualidade de serviço de aplicativos para políticas unificadas
A partir do Junos OS Release 18.2R1, dispositivos da Série SRX e instâncias vSRX oferecem suporte a políticas unificadas, permitindo o controle granular e a aplicação de aplicativos dinâmicos de Camada 7 dentro da política de segurança tradicional.
Políticas unificadas são as políticas de segurança que permitem que você use aplicativos dinâmicos como parte das condições de correspondência existentes de 5 tuple ou 6 tuple (5 tuple com um firewall de usuário) para detectar mudanças no aplicativo ao longo do tempo.
A qualidade de serviço do aplicativo (AppQoS) é suportada quando o dispositivo de segurança é configurado com políticas unificadas. Você pode configurar um conjunto padrão de regras do AppQoS para gerenciar conflitos de política unificados se várias políticas de segurança corresponderem ao tráfego.
Os conjuntos de regras do AppQoS estão incluídos na política unificada para implementar controle de qualidade de serviço com reconhecimento de aplicativos. Você pode configurar um conjunto de regras com regras sob a opção application-traffic-control e anexar a regra do AppQoS definida a uma política de segurança unificada como serviço de aplicativo. Se o tráfego corresponde ao aplicativo dinâmico especificado e a ação de política for permissão, a qualidade de serviço consciente do aplicativo é aplicada.
Observe a funcionalidade do AppQoS a seguir em políticas unificadas:
Atualização da política de segurança tradicional para uma política unificada — Em uma política unificada, quando você configura a opção
dynamic-applicationcomonone, o conjunto de regras do AppQoS é aplicado durante a correspondência da política de segurança e o AppQoS procura a regra correspondente para o tráfego identificado. Esse é o mesmo comportamento para a funcionalidade AppQoS em versões do Junos OS antes do lançamento do 18.2R1.Regra do AppQoS com uma política unificada — Na configuração de controle de tráfego do aplicativo, o conjunto de regras do AppQoS é configurado com a condição de correspondência como
application-anye na política unificada, um aplicativo dinâmico específico é usado como condição de correspondência, então, a funcionalidade do AppQoS funciona de acordo com a regra da política unificada.
- Entenda a qualidade padrão da regra de qualidade de serviço dos aplicativos para políticas unificadas
- Regra padrão de qualidade de serviço de aplicativos definida em diferentes cenários
- Limitação do AppQoS com políticas unificadas
Entenda a qualidade padrão da regra de qualidade de serviço dos aplicativos para políticas unificadas
Você pode configurar um conjunto de regras padrão do AppQoS para gerenciar conflitos de políticas de segurança.
A fase inicial de busca de políticas ocorre antes de identificar um aplicativo dinâmico. Se houver várias políticas presentes na lista de políticas potenciais que contêm diferentes conjuntos de regras do AppQoS, então o dispositivo de segurança aplica a regra padrão do AppQoS definida até que ocorra uma correspondência mais explícita.
Você pode definir um AppQoS como uma regra padrão do AppQoS definida sob o nível de edit security ngfw hierarquia. O conjunto padrão de regras do AppQoS é alavancado de um dos conjuntos de regras existentes do AppQoS, que estão configurados sob o nível de [edit class-of-service application-traffic-control] hierarquia.
A Tabela 2 resume o uso da regra padrão do AppQoS definida em diferentes cenários em uma política unificada.
Status de identificação de aplicativos |
Uso de conjunto de regras do AppQoS |
Ação |
|---|---|---|
Sem conflitos de política de segurança. |
A regra do AppQoS definida sob a [ |
O AppQoS é aplicado como no conjunto de regras do AppQoS. |
O conflito de políticas de segurança e as polícias em conflito têm conjuntos de regras distintos do AppQoS. |
O conjunto padrão de regras do AppQoS não está configurado ou não é encontrado. |
A sessão é ignorada porque o perfil padrão do AppQoS não está configurado. Como resultado, mesmo que a política final combinada no cenário de conflitos de políticas tenha um conjunto de regras do AppQoS, esse conjunto de regras não é aplicado. Recomendamos configurar um conjunto padrão de regras do AppQoS para gerenciar conflitos de políticas de segurança. |
O conjunto padrão de regras do AppQoS está configurado. |
O AppQoS é aplicado como na regra padrão do AppQoS. |
|
O aplicativo final é identificado |
A política de segurança correspondente tem um conjunto de regras do AppQoS, que é o mesmo que o conjunto padrão de regras do AppQoS. |
O AppQoS é aplicado como na regra padrão do AppQoS. |
A política de segurança correspondente não tem um conjunto de regras do AppQoS. |
O conjunto padrão de regras do AppQoS não é aplicado e o AppQoS não é aplicado para a sessão. |
|
A política de segurança Matching tem uma regra do AppQoS definida diferente do conjunto padrão de regras do AppQoS, que já é aplicado. |
O conjunto padrão de regras do AppQoS permanece como a regra padrão do AppQoS. |
Quando um conjunto padrão de regras do AppQoS é aplicado no tráfego e a política de segurança final tem um conjunto diferente de regras do AppQoS, nesses casos a comutação da regra padrão do AppQoS definida para a regra do AppQoS definida na política de segurança final não é suportada.
Regra padrão de qualidade de serviço de aplicativos definida em diferentes cenários
Os links a seguir são para exemplos que discutem os conjuntos padrão de regras do AppQoS em diferentes cenários:
A Tabela 3 mostra diferentes conjuntos de regras do AppQoS que estão configurados para políticas unificadas com aplicativos dinâmicos como condição de correspondência.
Política de segurança |
Zona de origem |
Endereço IP de origem |
Zona de destino |
Endereço IP de destino |
Número da porta |
Protocolo |
Aplicativo dinâmico |
Serviço |
Conjunto de regras do AppQoS |
|---|---|---|---|---|---|---|---|---|---|
Política-P1 |
S1 |
50.1.1.1 |
D1 |
Qualquer |
Qualquer |
Qualquer |
AppQoS |
AppQoS-1 |
|
Política-P2 |
S1 |
50.1.1.1 |
D1 |
Qualquer |
Qualquer |
Qualquer |
AppQoS |
AppQoS-2 |
|
Política-P3 |
S1 |
50.1.1.1 |
D1 |
Qualquer |
Qualquer |
Qualquer |
Youtube |
AppQoS |
AppQoS-3 |
Neste exemplo, qualquer conjunto de regras do AppQoS (AppQoS-1, AppQoS-2, AppQoS-3) pode ser configurado como uma regra padrão do AppQoS definida sob o nível de [security ngfw] hierarquia. Não é necessário que um conjunto de regras padrão seja parte de uma configuração de política de segurança. Qualquer regra do AppQoS definida sob o nível de [edit class-of-service application-traffic-control] hierarquia pode ser atribuída como o conjunto padrão de regras do AppQoS.
- Sem conflito de políticas — todas as políticas têm o mesmo conjunto de regras do AppQoS
- Sem conflito de políticas — todas as políticas têm o mesmo conjunto de regras do AppQoS e a política final não tem conjunto de regras do AppQoS
- Conflito de políticas — nenhum conjunto de regras do AppQoS está configurado para a política final
- Conflito de políticas — conjunto padrão de regras do AppQoS e uma regra diferente do AppQoS definida para a política final
Sem conflito de políticas — todas as políticas têm o mesmo conjunto de regras do AppQoS
Todas as políticas correspondentes têm a mesma regra do AppQoS definida como mostrado na Tabela 4.
Política de segurança |
Zona de origem |
Endereço IP de origem |
Zona de destino |
Endereço IP de destino |
Número da porta |
Protocolo |
Aplicativo dinâmico |
Serviço |
Conjunto de regras do AppQoS |
|---|---|---|---|---|---|---|---|---|---|
Política-P1 |
S1 |
Qualquer |
D1 |
Qualquer |
Qualquer |
Qualquer |
AppQoS |
AppQoS-1 |
|
Política-P2 |
S1 |
Qualquer |
D1 |
Qualquer |
Qualquer |
Qualquer |
AppQoS |
AppQoS-1 |
Nesse cenário, as políticas Policy-P1 e Policy-P2 têm o mesmo conjunto de regras do AppQoS; ou seja, AppQoS-1. O conjunto de regras AppQoS-1 é aplicado. O Policy-P3 não está configurado neste cenário.
Se você tiver configurado a regra definir o AppQoS-2 como o conjunto de regras padrão, ele não será aplicado. Isso porque não há conflito nos conjuntos de regras do AppQoS nas políticas conflituosas (Policy-P1 e Policy-P2).
Sem conflito de políticas — todas as políticas têm o mesmo conjunto de regras do AppQoS e a política final não tem conjunto de regras do AppQoS
Todas as políticas correspondentes têm a mesma regra do AppQoS definida como mostrado na Tabela 5 e a política final não tem conjunto de regras do AppQoS.
Política de segurança |
Zona de origem |
Endereço IP de origem |
Zona de destino |
Endereço IP de destino |
Número da porta |
Protocolo |
Aplicativo dinâmico |
Serviço |
Conjunto de regras do AppQoS |
|---|---|---|---|---|---|---|---|---|---|
Política-P1 |
S1 |
Qualquer |
D1 |
Qualquer |
Qualquer |
Qualquer |
AppQoS |
AppQoS-1 |
|
Política-P2 |
S1 |
Qualquer |
D1 |
Qualquer |
Qualquer |
Qualquer |
AppQoS |
AppQoS-1 |
|
Política-P3 |
S1 |
50.1.1.1 |
D1 |
Qualquer |
Qualquer |
Qualquer |
Youtube |
Outros |
Nenhum |
Nesse cenário, tanto o Policy-P1 quanto o Policy-P2 têm o mesmo conjunto de regras do AppQoS, ou seja, o AppQoS-1. Neste caso, o conjunto de regras AppQoS-1 é aplicado.
Quando a política final Policy-P3 é combinada, o AppQoS ignora a sessão, porque o conjunto de regras do AppQoS não está configurado para Política-P3.
Se a política de segurança final não tiver nenhuma regra do AppQoS definida, o AppQoS não será aplicado no tráfego. Todas as configurações do AppQoS aplicadas no estágio de pré-jogo são revertidas para os valores originais.
Conflito de políticas — nenhum conjunto de regras do AppQoS está configurado para a política final
O conjunto padrão de regras do AppQoS (neste cenário AppQoS-1) é aplicado durante a correspondência de políticas em potencial, conforme mostrado na Tabela 6. A política final Policy-P3 não tem nenhuma regra do AppQoS definida.
Política de segurança |
Zona de origem |
Endereço IP de origem |
Zona de destino |
Endereço IP de destino |
Número da porta |
Protocolo |
Aplicativo dinâmico |
Serviço |
Conjunto de regras do AppQoS |
|---|---|---|---|---|---|---|---|---|---|
Política-P1 |
S1 |
50.1.1.1 |
D1 |
Qualquer |
Qualquer |
Qualquer |
AppQoS |
AppQoS-1 |
|
Política-P2 |
S1 |
50.1.1.1 |
D1 |
Qualquer |
Qualquer |
Qualquer |
AppQoS |
AppQoS-2 |
|
Política-P3 |
S1 |
50.1.1.1 |
D1 |
Qualquer |
Qualquer |
Qualquer |
Youtube |
Outros |
NA |
O AppQoS ignora a sessão se a política final correspondente Policy-P3 for aplicada.
Se a política de segurança final não tiver nenhuma regra do AppQoS definida, o AppQoS não será aplicado no tráfego. Neste caso, todas as configurações do AppQoS aplicadas no estágio de pré-jogo são revertidas para os valores originais.
Conflito de políticas — conjunto padrão de regras do AppQoS e uma regra diferente do AppQoS definida para a política final
O conjunto de regras AppQoS-1 está configurado como um conjunto de regras padrão e é aplicado quando o aplicativo final ainda não é identificado. A política final Policy-P3 tem um conjunto diferente de regras do AppQoS (AppQoS-3), conforme mostrado na Tabela 7.
Política de segurança |
Zona de origem |
Endereço IP de origem |
Zona de destino |
Endereço IP de destino |
Número da porta |
Protocolo |
Aplicativo dinâmico |
Serviço |
Conjunto de regras do AppQoS |
|---|---|---|---|---|---|---|---|---|---|
Política-P1 |
S1 |
50.1.1.1 |
D1 |
Qualquer |
Qualquer |
Qualquer |
AppQoS |
AppQoS-1 |
|
Política-P2 |
S1 |
50.1.1.1 |
D1 |
Qualquer |
Qualquer |
Qualquer |
AppQoS |
AppQoS-2 |
|
Política-P3 |
S1 |
50.1.1.1 |
D1 |
Qualquer |
Qualquer |
Qualquer |
Youtube |
AppQoS |
AppQoS-3 |
Quando o aplicativo final é identificado, a política Policy-P3 é combinada e aplicada. Neste caso, o conjunto de regras AppQoS-3 não é aplicado. Em vez disso, o conjunto de regras AppQoS-1 é aplicado conforme a regra padrão é definida e permanece como a regra padrão definida.
Limitação do AppQoS com políticas unificadas
Quando uma política de segurança é aplicada ao tráfego correspondente, o conjunto de regras do AppQoS é aplicado ao tráfego permitido. Se a política de segurança e o conjunto de regras do AppQoS aplicado tiverem aplicativos dinâmicos diferentes, então um conflito pode ocorrer como mostrado no exemplo a seguir:
user@host#set class-of-service application-traffic-control rule-sets AQ2 rule 1 match application junos:GOOGLEuser@host#set class-of-service application-traffic-control rule-sets AQ2 rule 1 then forwarding-class network-controluser@host#set class-of-service application-traffic-control rule-sets AQ2 rule 1 then dscp-code-point 110001user@host#set class-of-service application-traffic-control rule-sets AQ2 rule 1 then loss-priority high
user@host#set security policies from-zone trust to-zone untrust policy 1 match source-address anyuser@host#set security policies from-zone trust to-zone untrust policy 1 match destination-address anyuser@host#set security policies from-zone trust to-zone untrust policy 1 match application anyuser@host#set security policies from-zone trust to-zone untrust policy 1 match dynamic-application junos:FTPuser@host#set security policies from-zone trust to-zone untrust policy 1 then permit application-services application-traffic-control rule-set AQ2
Neste exemplo, a regra de controle de tráfego de aplicativos está configurada para junos:GOOGLE e a condição de correspondência da política de segurança para o aplicativo dinâmico é junos: FTP. Nesses casos, os conflitos podem ocorrer quando a política final é aplicada.
Veja também
Exemplo: configuração da qualidade de serviço de aplicativos com política unificada
Este exemplo mostra como permitir que a qualidade do serviço (AppQoS) de aplicativos dentro de uma política unificada forneça priorização e limitação de taxas para o tráfego.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Dispositivo da Série SRX que executa o Junos OS Versão 18.2R1 e posterior. Este exemplo de configuração é testado para o Junos OS Release 18.2R1.
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar esse recurso.
Visão geral
Neste exemplo, você configura um conjunto de regras do AppQoS e invoca o AppQoS como um serviço de aplicativo na política de segurança para o aplicativo do Facebook.
Você define uma regra padrão do AppQoS definida sob o [edit security ngfw] nível de hierarquia para gerenciar conflitos de políticas de segurança, se houver.
Configuração
Procedimento
Procedimento passo a passo
Para configurar o AppQoS com uma política unificada:
Definir um conjunto de regras do AppQoS.
[edit] user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 match application junos:FACEBOOK-APP user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then forwarding-class fc-appqos loss-priority medium-low dscp-code-point 101110 log user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then rate-limit client-to-server Ratelimit1 user@host# set class-of-service application-traffic-control rate-limiters Ratelimit1 bandwidth-limit 1000
Configure um conjunto padrão de regras do AppQoS. Selecione o conjunto de
RS1regras criado sob o controle de tráfego do aplicativo conforme o conjunto padrão de regras do AppQoS.[edit] user@host# set security ngfw default-profile application-traffic-control rule-set RS1
Associe a regra de classe de serviço definida à política unificada.
[edit] user@host# set security policies from-zone untrust to-zone trust policy from_internet match source-address any user@host# set security policies from-zone untrust to-zone trust policy from_internet match destination-address any user@host# set security policies from-zone untrust to-zone trust policy from_internet match application any user@host# set security policies from-zone untrust to-zone trust policy from_internet match dynamic-application junos:FACEBOOK-APP user@host# set security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
Resultados
A partir do modo de configuração, confirme a configuração de sua política entrando no show security policies comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
Para a brevidade, essa show saída de comando inclui apenas a configuração que é relevante para este exemplo. Qualquer outra configuração no sistema foi substituída por elipses (...).
...
policies {
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address any;
destination-address any;
application any;
dynamic-application junos:FACEBOOK-APP;
}
then {
permit {
application-services {
application-traffic-control {
rule-set RS1;
}
}
}
}
}
}
}
...
ngfw {
default-profile {
application-traffic-control {
rule-set RS1;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Verificando a configuração da sessão de fluxo
Propósito
Exibir estatísticas de sessão do AppQoS.
Ação
A partir do modo operacional, entre no show class-of-service application-traffic-control counter comando.
Saída de amostra
nome de comando
pic: 0/0 Counter type Value Sessions processed 2 Sessions marked 1 Sessions honored 1 Sessions rate limited 1 Client-to-server flows rate limited 0 Server-to-client flows rate limited 1 Session default ruleset hit 1 Session ignored no default ruleset 1
Significado
A saída exibe o número de sessões processadas, marcadas e honradas. As estatísticas que limitam a taxa contam o número de fluxos de sessão direcionais limitados.
Verificação de estatísticas de regras
Propósito
Exibir as estatísticas de regras do AppQoS.
Ação
A partir do modo operacional, entre no show class-of-service application-traffic-control statistics rule comando.
user@host>show class-of-service application-traffic-control statistics rule
pic: 0/0
Ruleset Rule Hits
RS1 1 1
Significado
A saída fornece informações sobre o número de sessões combinadas para a regra sob cada conjunto de regras do AppQoS.