面向租户系统的 AppQoS
应用服务质量 (AppQoS) 使您能够识别和控制对特定应用的访问,并提供状态防火墙规则库的粒度,以匹配并实施应用层的服务质量 (QoS)。AppQoS 功能扩展了租户系统的 Junos OS 服务等级 (CoS) 功能。
租户系统的应用服务质量概述
应用服务质量 (AppQoS) 功能扩展了租户系统的 Junos OS 服务等级 (CoS) 功能。这包括根据第 7 层应用类型标记 DSCP 值,通过丢失优先级设置实现基于应用的流量,以及根据第 7 层应用类型控制出口 PIC 上的传输速率。
当网络遇到拥塞和延迟时,必须丢弃某些数据包。Junos OS CoS 允许您将流量划分为多个类,并在发生拥塞时提供不同级别的吞吐量和数据包丢失。这允许根据您配置的规则发生数据包丢失。
租户系统允许您将单个设备划分为多个域,以执行安全和路由功能。
从 Junos OS 19.3R1 版开始,当安全设备配置为租户系统时,将支持 AppQoS。您可以配置默认的 AppQoS 规则集来管理租户系统内的应用流量控制。AppQoS 提供了对应用流量进行优先级排序和计量的能力,从而为关键业务或高优先级应用流量提供更好的服务。
租户系统中包含 AppQoS 规则集,用于实现应用感知的服务质量控制。您可以在 application-traffic-control 选项下使用规则配置规则集,并将 AppQoS 规则集作为应用服务附加到租户系统。如果流量与指定的应用匹配,则会为租户系统应用应用感知服务质量。
对于 AppQoS,流量会根据将定义的转发类与租户系统的选定应用相关联的规则进行分组。规则的匹配标准包括一个或多个应用程序。当来自匹配应用的流量遇到规则时,规则作会设置转发类,并将 DSCP 值和丢失优先级标记为适合应用的值。
AppQoS DSCP 重写器通过转发类和丢失优先级来传达数据包的服务质量。AppQoS 速率限制参数控制租户系统相关队列的传输速度和传输量。默认 AppQoS 规则集可从现有的 AppQoS 规则集之一中利用,这些规则集在层次结构级别下 [edit class-of-service application-traffic-control] 配置。
速率限制器根据租户系统的流量应用应用于规则中。每个会话应用两个速率限制器: client-to-server 和 server-to-client。这种使用允许单独调配每个方向的流量。
示例:为租户系统配置应用程序服务质量
此示例说明如何在租户系统中启用应用服务质量 (AppQoS),以便为流量提供优先级和速率限制。
要求
此示例使用以下硬件和软件组件:
配置了租户系统的 SRX 系列防火墙。
Junos OS 19.3R1 及更高版本。
开始之前:
阅读 租户系统的应用服务质量 概述,了解此过程在对 AppQos 的整体支持中的作用和作用。
配置此功能之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将配置 AppQoS 规则集,并将 AppQoS 作为租户系统中的应用服务调用。您可为租户系统配置服务等级 (CoS)。租户系统中包含 AppQoS 规则集,用于实现应用感知的服务质量控制。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层次结构级别的 [edit] CLI 中,然后从配置模式进入 commit。
set tenants TSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512 set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000 set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any set tenants TSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
使用租户系统配置 AppQoS
分步程序
下面的示例要求您在各个配置层级中进行导航。有关作说明,请参阅《Junos OS CLI 用户指南》中的在 配置模式下使用CLI编辑器 。
要为租户系统配置 AppQoS:
配置有关租户系统 TSYS1 当前或最近会话的应用速率限制的 AppQoS 实时运行信息。
user@host# set tenants TSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512
为租户系统 TSYS1 配置 AppQoS 规则和应用匹配标准。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP
为租户系统 TSYS1 配置 AppQoS 规则和转发类。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort
为租户系统 TSYS1 配置 AppQoS 规则和 dscp 代码点。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000
配置租户系统 TSYS1 的 AppQoS 规则和丢失优先级。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high
为规则集分配速率限制器。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL
将服务等级规则集分配给租户系统 TSYS1 的安全策略。
user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any user@host# set tenants TSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
结果
在配置模式下,输入 show tenants TSYS1 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明进行更正。
user@host# show tenants TSYS1
security {
policies {
from-zone untrust to-zone trust {
policy from_internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set RS1;
}
}
}
}
}
}
from-zone trust to-zone trust {
policy p1 {
match {
dynamic-application junos:web;
}
}
}
}
}
class-of-service {
application-traffic-control {
rate-limiters HTTP-BW-RL {
bandwidth-limit 512;
}
rule-sets RS1 {
rule RL1 {
match {
application junos:HTTP;
}
then {
forwarding-class best-effort;
dscp-code-point 001000;
loss-priority high;
rate-limit {
server-to-client HTTP-BW-RL;
}
log;
}
}
}
}
}
如果完成设备配置,请从配置模式进入。commit
验证
要确认配置工作正常,请执行以下任务:
验证服务等级应用流量控制计数器
目的
验证租户系统的服务等级应用流量控制计数器。
行动
要验证配置是否工作正常,请输入 show class-of-service application-traffic-control counter tenant TSYS1 命令。
user@host>show class-of-service application-traffic-control counter tenant TSYS1
Tenant System: TSYS1
pic: 0/0
Counter type Value
Sessions processed 1
Sessions marked 0
Sessions honored 0
Sessions rate limited 0
Client-to-server flows rate limited 0
Server-to-client flows rate limited 0
Session default ruleset hit 0
Session ignored no default ruleset 0
意义
输出显示基于第 7 层应用分类器的 AppQoS DSCP 标记和接受统计信息。
验证服务等级应用流量控制统计信息速率限制器
目的
验证租户系统的服务等级应用流量控制统计信息速率限制器。
行动
要验证配置是否工作正常,请输入 show class-of-service application-traffic-control statistics rate-limiter tenant TSYS1 命令。
user@host>show class-of-service application-traffic-control statistics rate-limiter tenant TSYS1
Tenant System: TSYS1
pic: 0/0
意义
输出显示有关当前或最近会话的应用速率限制的 AppQoS 实时运行信息。