AUF DIESER SEITE
Understanding Application Quality of Service (AppQoS) (Anwendungs-Quality of Service( AppQoS)
Beispiel: Konfigurieren der Anwendungsqualität (Quality of Service)
Anwendungs-Quality of Service-Support für einheitliche Richtlinien
Beispiel: Konfigurieren der Anwendungs-Quality of Service mit einheitlicher Richtlinie
Anwendungs- QoS
Mit AppQoS können Sie den Zugriff auf bestimmte Anwendungen identifizieren und steuern und bietet die Granularität des zustandsreichen Firewall-Regelstamms, der auf Anwendungsebene Quality of Service (QoS) (QoS) abgestimmt und durchgesetzt werden kann. Weitere Informationen finden Sie in den folgenden Themen:
Understanding Application Quality of Service (AppQoS)
Die Funktion Quality of Service (QoS) (AppQoS) erweitert die Leistung von Junos OS Class-of-Service (CoS) um die auf Layer-7-Anwendungstypen basierende Markierung von DSCP-Werten, die Ehrung des anwendungsbasierten Datenverkehrs durch Verlustprioritätseinstellungen und die Steuerung der Übertragungsraten auf ausgehenden PICs basierend auf Layer-7-Anwendungstypen.
Es gibt vier Möglichkeiten, DSCP-Werte auf einem Sicherheitsgerät zu kennzeichnen:
IDP-basierte DSCP-Analyse
Anwendungsbasierte Layer 7-DSCP-Rempier
ALG-basierte DSCP-Reergiert
Firewallfilter-basierteDSCP-Neufilterung
IDP-Abmeinung wird am Ingress-Port basierend auf IDP durchgeführt. Die Anwendungs-Remarking wird am Egress-Port basierend auf Anwendungsregeln durchgeführt. Schnittstellenbasiertes Remarking erfolgt ebenfalls am Egress-Port basierend auf Firewall-Filterregeln. (Eine detaillierte Beschreibung der Funktionen finden Sie im Handbuch "Class of Service Junos OS CoS User Guide (Sicherheitsgeräte)".
Die Entscheidungen, die in diesen drei Re eine Neudenkung bemerkt werden, können anders sein. Wenn ein Paket alle drei anspricht, basiert die Rangfolge der Methode darauf, wie tief in dem Paketinhalt die Übereinstimmung durchgeführt wird. IDP hat eine Precedence gegenüber Anwendungs-Remarking, die Vorrang vor schnittstellenbasierter Remarking hat.
Wenn ein Paket sowohl AppQoS- als auch ALG-basierte DSCP-Re einer Neuerkung löst, hat AppQoS Vorrang vor ALG-basierten DSCP-Re einer Rehängung.
Die AppQoS-DSCP-Analyse überleitt die Paket-Daten Quality of Service (QoS) sowohl über die Weiterleitungsklasse als auch über eine Verlustpriorität. Die AppQoS-Parameter zur Begrenzung der Übertragungsrate steuern die Übertragungsgeschwindigkeit und das Volumen der zugehörigen Warteschlangen.
- Vorteile der QoS
- Einzigartige Weiterleitungsklassen und Warteschlangenzuweisungen
- Anwendungssensspezifische DSCP-Codepunkt- und Verlustprioritätseinstellungen
- Begrenzung der Srate und Profile
- Zuweisung von Rate-Limiter-Geschwindigkeiten
- Aktion zum Begrenzung der Srate
- AppQoS-Konfiguration von Sicherheitsrichtlinien
Vorteile der QoS
AppQoS ermöglicht die Priorisierung und Messung des Anwendungst datenverkehrs, um bessere Services für geschäftskritisch oder Anwendungstirnverkehr mit hoher Priorität zu bieten.
Einzigartige Weiterleitungsklassen und Warteschlangenzuweisungen
Die Weiterleitungsklasse bietet drei Funktionen:
Gruppenpakete mit genauen Merkmalen
Zuweisung von Ausgangswarteschlangen
Löst Konflikte mit vorhandenen Firewall Junos OS Firewalls, die auf Filtern basieren,
Eindeutige Weiterleitungsklassennamen schützen die AppQoS-Neuschreibung vor dem Durchschreiben durch schnittstellenbasierte Rewrite-Regeln. Eine Firewall, die Filterbasis neu definiert, definiert den DSCP-Wert eines Pakets, wenn die Weiterleitungsklasse des Pakets mit einer Klasse entspricht, die speziell für diesen erneuten Ansatz definiert ist. Wenn die Weiterleitungsklasse des Pakets nicht mit den Klassen der Firewall-Filter-basierten Erneuten übereinstimmen, wird der DSCP-Wert nicht neu angezeigt. Um AppQoS-Werte vor dem Überschreiben zu schützen, verwenden Sie daher Forwarding-Klassennamen, die für die Filter-Firewall nicht bekannt sind.
Jeder Weiterleitungsklasse wird eine Ausgangswarteschlange zugewiesen, die den entsprechenden Grad der erweiterten oder Standardverarbeitung bietet. Viele Weiterleitungsklassen können einer einzelnen Warteschlange zugewiesen werden. Daher können alle für das Gerät definierten Warteschlangen von Firewall IDP AppQoS und Firewall-Filter neu definiert werden. Nicht die Warteschlange, sondern der Weiterleitungsklassenname unterscheidet die Übertragungspriorität. (Informationen zur Konfiguration von Warteschlangen und Schedulern finden Sie im Benutzerhandbuch für Class-of-Service (Sicherheitsgeräte).
Für SRX5400- SRX5600- und SRX5800 werden die AppQoS-Weiterleitungsklassennamen und Warteschlangenzuweisungen mit dem Konfigurationsbefehl class-of-service CLI definiert:
[edit class-of-service] user@host# set forwarding-classes class forwarding-class-name queue-num queue-number
Für SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500, SRX4100, SRX4200 und SRX4600 und vSRX-Instanzen werden die AppQoS-Weiterleitungsklassen und Warteschlangenzuweisungen mit dem Konfigurationsbefehl class-of-service CLI definiert:
[edit class-of-service] user@host# set forwarding-classes queue queue-number forwarding-class-name
Anwendungssensspezifische DSCP-Codepunkt- und Verlustprioritätseinstellungen
Bei AppQoS wird der Datenverkehr anhand von Regeln, die eine definierte Weiterleitungsklasse mit ausgewählten Anwendungen verknüpfen, gruppeniert. Die Übereinstimmungskriterien für die Regel umfassen eine oder mehrere Anwendungen. Wenn auf den Datenverkehr einer passenden Anwendung die Regel trifft, setzt die Regelaktion die Weiterleitungsklasse fest und definiert die DSCP-Wert- und Verlustpriorität zu für die Anwendung geeigneten Werten.
Ein DiffServ-Codepunkt (Differentiated Services) Code Point (DSCP)-Wert wird in der Regel entweder durch einen 6-Bit-Wert oder einen benutzerdefinierten oder Standardalias festgelegt. Tabelle 1 enthält eine Liste Junos OS Standard-DSCP-Aliasnamen und -werte.
Alias |
Bitwert |
|---|---|
Ef |
101110 |
af11 |
001010 |
af12 |
001100 |
af13 |
001110 |
af21 |
010010 |
af22 |
010100 |
af23 |
010110 |
af31 |
011010 |
af32 |
011100 |
af33 |
011110 |
af41 |
100010 |
af42 |
100100 |
af43 |
100110 |
Werden |
000000 |
CS1 |
001000 |
CS2 |
010000 |
CS3 |
011000 |
CS4 |
100000 |
Cs5 |
101000 |
nc1/cs6 |
110000 |
nc2/cs7 |
111000 |
Weitere Informationen finden Sie CoS Standard-Werte und Aliase.
Der Scheduler der Warteschlange verwendet die Verlustpriorität, um die Paketverwerfen in Zeiten mit Engpässen zu steuern, indem er Drop-Profile mit bestimmten Verlustprioritätswerten in Verbindung setzt. (Informationen zur Konfiguration von Warteschlangen und Schedulern finden Sie im Benutzerhandbuch für Class-of-Service (Sicherheitsgeräte).
Die Regel wendet eine Verlustpriorität auf die Datenverkehrsgruppen an. Eine Hohe Verlustpriorität bedeutet eine hohe Wahrscheinlichkeit, dass das Paket während eines Engpässes verloren geht. Es stehen vier Verlustprioritätsebenen zur Verfügung:
highmedium-highmedium-lowlow
Der Regelsatz wird im class-of-service application-traffic-control Konfigurationsbefehl definiert:
[edit class-of-service] user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 match application application-name application-name ... user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 match application-group application-group-name application-group-name ... user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 then forwarding-class fc-name user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 then dscp-code-point bitmap user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 then loss-priority loss-pri-value
Rate Limiter und Profile
Bei Engpässen implementiert AppQoS die Begrenzung der Rate auf allen Egress-PICs auf dem Gerät. Wenn Pakete die zugeordneten Beschränkungen überschreiten, werden sie verworfen. Die Begrenzung der Raten für verschiedene Datenverkehrsklassen behält den konstanten Durchsatz und die Paketverlustesensibilität bei. Alle Egress-PICs verwenden dasselbe Schema zur Begrenzung der Rate.
Die Gesamtbandbreite einer PIC beträgt ca. 10 Gbit/s. Die Hardware zur Begrenzung der Raten für die PIC kann bis zu 2 Gbit/s bereitstellen. Die obere Bandbreitenbegrenzung für die Begrenzung der Rate beträgt daher 231 Bps.
Ein Begrenzungsprofil definiert die Grenzen. Es ist eine einzigartige Kombination aus bandwidth-limit und burst-size-limit Spezifikationen. Sie bandwidth-limit definiert die maximale Anzahl von kbits pro Sekunde, die diesen Port durchlaufen kann. Sie definiert die maximale Anzahl von Bytes, die den Port mit einem burst-size-limit einzigen Burst durchqueren können. Dies reduziert die Verhungern von Datenverkehr mit niedrigerer Priorität, indem die begrenzte Größe burst-size-limit für jeden Burst sichergestellt wird.
AppQoS ermöglicht bis zu 16 Profile und bis zu 1.000 Begrenzung der Datenrate pro Gerät. Mehrere Begrenzungsraten können dasselbe Profil verwenden. Im folgenden Beispiel werden fünf Rate Limiter mit zwei Profilen definiert:
Name des |
Profil |
|
|---|---|---|
Bandbreitenbegrenzung |
Begrenzung der Burst-Größe |
|
Limiter-1 |
200 |
26000 |
Limiter-2 |
200 |
26000 |
Limiter-3 |
200 |
26000 |
Limiter-4 |
400 |
52000 |
Limiter-5 |
400 |
52000 |
Geschwindigkeitsbegrenzungen werden mit dem class-of-service application-traffic-control Konfigurationsbefehl definiert.
[edit class-of-service] user@host# set application-traffic-control rate-limiters rate-limiter-name bandwidth-limit value-in-Kbps burst-rate-limit value-in-bytes
Zuweisung von Begrenzung der Übertragungsrate
Ratenbeschränker werden in Regeln auf Grundlage der Anwendung des Datenverkehrs angewendet. Für jede Sitzung werden zwei Rate Limiter client-to-server angewendet: und server-to-client . Durch diese Nutzung kann der Datenverkehr in jeder Richtung separat bereitgestellt werden.
Die Verarbeitung der Datenverkehrsbandbreite durch Begrenzung der Datenrate erfolgt auf Paketebene unabhängig von der Richtung des Datenverkehrs. Beispiel: Wenn Sie nur einen 10G-Durchsatz haben, der von derselben Linecard aus den ein- und ausgehenden Datenverkehr beträgt, kann der Durchsatz (ein maximaler Datenverkehr von ein- und ausgehender Richtung kombiniert) nur bis zu 10 G und nicht 20 G sein. Wenn das Gerät jedoch über eine IOC-Unterstützung verfügt (bei Geräten der SRX5000-Reihe und bei Geräten mit SRX4600) und der eindringende Datenverkehr über eine IOC und ausgehenden Datenverkehr über andere IOC übertragen wird, können Sie mit einem 10G-Begrenzungsgerät einen Durchsatz von 20 G erwarten.
Verschiedene AppQoS-Regeln innerhalb des gleichen Regelsatzes können einen Begrenzungswert für Unterschiedliche NS-Unterschiedliche NS-1000-Unterschiedliche NS-NS-1000-Unterschiedliche N In diesem Fall teilen sich die Anwendungen dieser Regeln dieselbe Bandbreite. Die Anzahl von Regeln in einem Regelsatz, die den gleichen Begrenzungsraten zuweisen können, ist nicht begrenzt.
Die folgenden Beispiele zeigen, wie die im vorherigen Abschnitt definierten Raten-Limiter zugewiesen werden können. Beispielsweise kann ein Regelsatz einen Begrenzungsdurchsatz in mehreren Regeln und in einer oder in beiden Datenstromrichtungen wiederverwenden:
Regelsatz 1
Regel 1A
Client-to-Server Limiter-1
Server-zu-Client-Limiter-1
Regel-1B
Client-to-Server Limiter-1
Server-zu-Client-Limiter-1
Wenn dieselben Profile in mehreren Regelsätze erforderlich sind, muss eine ausreichende Anzahl von Ratenlimitern definiert werden, die dasselbe und bandwidth-limit burst-size-limit . In den zwei Regelsätze im folgenden Beispiel werden dieselben Profile implementiert, indem verschiedene, aber vergleichbare Begrenzungsraten zugewiesen werden.
Regelsatz 2
Regel 2A
Client-to-Server Limiter-2
Server-zu-Client-Limiter-2
Regel-2B
Client-to-Server Limiter-2
Server-zu-Client-Limiter-4
Regelsatz 3
Regel-3A
Client-to-Server Limiter-3
Server-zu-Client-Limiter-3
Regel-3B
Client-to-Server Limiter-3
Server-zu-Client-Limiter-5
Ein Begrenzungswert für Raten wird mit dem Befehl auf die gleiche Weise angewendet, wie eine Weiterleitungsklasse, ein edit class-of-service application-traffic-control rule-sets DSCP-Wert und eine Verlustpriorität festgelegt werden.
[edit class-of-service] user@host# set application-traffic-control rule-sets rule-set-name rule rule-name1 then rate-limit client-to-server rate-limiter1 server-to-client rate-limiter2
Wenn AppQoS und die filterbasierte Begrenzung der Firewall-Datenrate beide auf der Egress PIC implementiert werden, werden beide berücksichtigt. Die Begrenzung der AppQoS-Raten gilt als erstes. Anschließend erfolgt die filterbasierte Begrenzung der Firewall-Geschwindigkeit.
Wenn Pakete von einer PIC verworfen werden, sendet das Gerät keine Benachrichtigungen an den Client oder Server. Die Anwendungen der oberen Ebene auf dem Client und auf den Servergeräten sind für die erneute Übertragung und Fehlerbehandlung verantwortlich.
Aktion zum Begrenzung der Srate
Die AppQoS-Regeln können je nach Typ des Sicherheitsgeräts mit verschiedenen Maßnahmen zur Begrenzung der Datenrate konfiguriert werden:
Verwerfen
Wenn diese Option aktiviert ist, werden die out-of-profile-Pakete gerade gelöscht.
Dies ist der Standard aktionstyp und muss nicht konfiguriert werden.
Diese Option wird auf allen Geräten der SRX-Serie unterstützt.
Verlustpriorität – hoch
Wenn diese Option ausgewählt wird, erhöht sie die Verlustpriorität auf maximal. Mit anderen Worten, es ist eine Verkningung, das heißt, die Verwerfende Entscheidung wird auf der Ausgangswarteschlangenebene getroffen. Kommt es nicht zu Engpässen, lässt dies den Datenverkehr auch bei maximaler Verlustpriorität zu. Bei Engpässen fallen diese Pakete mit der höchsten Verlustpriorität zuerst ab.
Diese Option muss innerhalb der AppQoS-Regel konfiguriert (um die Standardaktion zu deaktivieren) mit folgendem Befehl:
[edit] user@host# set class-of-service application-traffic-control rule-sets rset-01 rule r1 then rate-limit loss-priority-high
Diese Option wird nur für SRX300, SRX320, SRX340, SRX345-Geräte unterstützt.
AppQoS-Konfiguration von Sicherheitsrichtlinien
Der AppQoS-Regelsatz kann in einer bestehenden oder einer bestimmten Anwendungsrichtlinie implementiert werden.
[edit security policies from-zone zone-name to-zone zone-name]
user@host# set policy policy-name match source-address IP-address
user@host# set policy policy-name match destination-address IP-address
user@host# set policy policy-name match application application-name application-name
user@host# set policy policy-name then permit application-services application-traffic-control rule-set app-rule-set-name
Siehe auch
Beispiel: Konfigurieren der Anwendungsqualität (Quality of Service)
In diesem Beispiel wird gezeigt, wie die AppQoS-Priorisierung und Begrenzung der Raten innerhalb einer Richtlinie aktiviert wird.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine besondere Konfiguration über die Gerätein initialisierung hinaus erforderlich.
Übersicht
In diesem Beispiel wird AppQoS so implementiert, dass FTP-Anwendungen auf ein Niveau unter dem angegebenen Durchsatz beschränkt sind, während andere Anwendungen mit einer herkömmlichen Geschwindigkeits- und Verlustprioritätsstufe übertragen werden.
Konfiguration
Verfahren
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, und kopieren Sie die Befehle, und fügen Sie die Befehle auf der Hierarchieebene [bearbeiten] in die CLI.
set class-of-service forwarding-classes queue 4 my-app-fc set class-of-service application-traffic-control rate-limiters test-rl bandwidth-limit 100 set class-of-service application-traffic-control rate-limiters test-rl burst-size-limit 13000 set class-of-service application-traffic-control rate-limiters test-r2 bandwidth-limit 200 set class-of-service application-traffic-control rate-limiters test-r2 burst-size-limit 26000 set class-of-service application-traffic-control rule-sets app-test1 rule 0 match application junos:FTP set class-of-service application-traffic-control rule-sets app-test1 rule 0 match application junos:HTTP set class-of-service application-traffic-control rule-sets app-test1 rule 0 then forwarding-class my-app-fc set class-of-service application-traffic-control rule-sets app-test1 rule 0 then dscp-code-point af22 set class-of-service application-traffic-control rule-sets app-test1 rule 0 then loss-priority low set class-of-service application-traffic-control rule-sets app-test1 rule 0 then rate-limit client-to-server test-r2 set class-of-service application-traffic-control rule-sets app-test1 rule 0 then rate-limit server-to-client test-r2 set class-of-service application-traffic-control rule-sets app-test1 rule 0 then log set class-of-service application-traffic-control rule-sets app-test1 rule 1 match application-any set class-of-service application-traffic-control rule-sets app-test1 rule 1 then rate-limit client-to-server test-r2 set class-of-service application-traffic-control rule-sets app-test1 rule 1 then rate-limit server-to-client test-r2 set class-of-service application-traffic-control rule-sets app-test1 rule 1 then log set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit application-services application-traffic-control rule-set ftp-test1
Schritt-für-Schritt-Verfahren
So konfigurieren Sie eine AppQoS auf Ihrem Sicherheitsgerät:
-
Definieren Sie eine oder mehrere Weiterleitungsklassen, die der AppQoS-Kennzeichnung gewidmet sind. In diesem Beispiel wird eine einzelne Weiterleitungsklasse, my-app-fc, definiert und Warteschlange 4 zugewiesen.
[edit] user@host# set class-of-service forwarding-classes queue 4 my-app-fc
Verwenden SRX5400- SRX5600- SRX5800- und
set class-of-service forwarding-classes class my-app-fc queue 4Netzwerkgeräte.Juniper Networks unterstützen acht Warteschlangen (0 bis 7). Die Standardwarteschlangen 0 bis 3 werden Standardweiterleitungsklassen zugewiesen. Die Warteschlangen 4 bis 7 verfügen über keine Standardzuweisungen zu FCs und werden nicht zugeordnet. Zur Verwendung von Warteschlangen 4 bis 7 müssen Sie benutzerdefinierte FC und diese den Warteschlangen zuordnen. Weitere Informationen finden Sie unter Übersicht über Weiterleitungsklassen.
Definieren von Begrenzungsraten. In diesem Beispiel werden zwei Raten-Limiter definiert.
[edit] user@host# set class-of-service application-traffic-control rate-limiters test-rl bandwidth-limit 100 user@host# set class-of-service application-traffic-control rate-limiters test-rl burst-size-limit 13000 user@host# set class-of-service application-traffic-control rate-limiters test-r2 bandwidth-limit 200 user@host# set class-of-service application-traffic-control rate-limiters test-r2 burst-size-limit 26000
Für SRX5400-, SRX5600- und SRX5800-Geräte können Sie bis zu 1.000 Begrenzungsraten für ein Gerät definieren, aber nur 16 Profile (einzigartige Kombinationen von Bandbreitenbegrenzung und Burst-Größe).
-
Definieren Sie AppQos-Regeln und Anwendungskriterien.
[edit] user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 match application junos:FTP user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 match application junos:HTTP user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then forwarding-class my-app-fc user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then dscp-code-point af22 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then loss-priority low user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then rate-limit client-to-server test-r1 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then rate-limit server-to-client test-r1 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then log
In diesem Beispiel wird das Paket bei einer Übereinstimmung mit der Weiterleitungsklasse my-app-fc, dem DSCP-Wert von af22 und einer Verlustpriorität von low markiert. Wir haben ihnen in beiden Richtungen einen gleichen Begrenzungswert zugewiesen.
Sie können einer oder beiden Datenverkehrsrichtungen in einer einzigen Regel einen Begrenzungswert zuweisen. Sie können auch anderen Regeln innerhalb eines Regelsatzes einen gleichen Raten-Limiter zuweisen. Sie können jedoch keinen anderen Regelsatz einen gleichen Raten-Limiter zuweisen.
-
Definieren Sie eine weitere Regel zur Handhabung von Anwendungspaketen, die nicht mit der vorherigen Regel übereinstimmen. In diesem Beispiel gilt eine zweite und letzte Regel für alle verbleibenden Anwendungen.
[edit] user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 1 match application-any user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 1 then rate-limit client-to-server test-r2 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 1 then rate-limit server-to-client test-r2 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 1 then log
-
Fügen Sie die AppQoS-Einstellung zur Sicherheitsrichtlinie hinzu.
[edit] user@host# set security policies from-zone trust to-zone untrust policy p1 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p1 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p1 match application any user@host# set security policies from-zone trust to-zone untrust policy p1 then permit application-services application-traffic-control rule-set app-test1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Richtlinienkonfiguration, indem Sie den Befehl show security policies und den Befehl show class-of-service eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Diese Befehlsausgabe enthält in Kürze nur show die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Ellipse ersetzt (...).
...
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set app-test1
}
}
}
}
}
...
user@host# show class-of-service
forwarding-classes {
queue 4 my-app-fc;
}
application-traffic-control {
rate-limiters test-rl {
bandwidth-limit 100;
burst-size-limit 13000;
}
rate-limiters test-r2 {
bandwidth-limit 200;
burst-size-limit 26000;
}
rule-sets app-test1 {
rule 0 {
match {
application [junos:FTP junos:HTTP];
}
then {
forwarding-class my-app-fc;
dscp-code-point af22;
loss-priority low;
rate-limit {
client-to-server test-r2;
server-to-client test-r2;
}
log;
}
}
rule 1 {
match {
application-any;
}
then {
rate-limit {
client-to-server test-r2;
server-to-client test-r2;
}
log;
}
}
}
}
Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.
Überprüfung
Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfung der Konfiguration von Datenflusssitzungs
- Überprüfen von Sitzungsstatistiken
- Überprüfen der Rate-Limiter-Statistiken
- Überprüfen von Regelstatistiken
Überprüfung der Konfiguration von Datenflusssitzungs
Zweck
Stellen Sie sicher, dass AppQoS aktiviert ist.
Aktion
Geben Sie im Betriebsmodus den Befehl show security flow session application-traffic-control extensive ein.
user@host> show security flow session application-traffic-control extensive
Session ID: 3729, Status: Normal, State: Active
Flag: 0x40
Policy name: p1
Source NAT pool: Null
Dynamic application: junos:FTP
Application traffic control rule-set: app-test1, Rule: rule0
Maximum timeout: 300, Current timeout: 276
Session State: Valid
Start time: 18292, Duration: 603536
In: 192.0.2.1/1 --> 203.0.113.0/1;pim,
Interface: reth1.0,
Session token: 0x1c0, Flag: 0x0x21
Route: 0x0, Gateway: 192.0.2.4, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 21043, Bytes: 1136322
Out: 203.0.113.0/1 --> 192.0.2.0/1;pim,
Interface: .local..0,
Session token: 0x80, Flag: 0x0x30
Route: 0xfffd0000, Gateway: 192.0.2.0, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 0, Bytes: 0
Bedeutung
Der Eintrag für die Anwendung datenverkehrssteuerung identifiziert den Regelsatz und die Regel der aktuellen Sitzung.
Überprüfen von Sitzungsstatistiken
Zweck
Überprüfen Sie, ob AppQoS-Sitzungsstatistiken an jedem Ausgangsknoten angesammelt werden.
Aktion
Geben Sie im Betriebsmodus den Befehl show class-of-service application-traffic-control counter ein.
user@host> show class-of-service application-traffic-control counter pic: 2/1 Counter type Value Sessions processed 300 Sessions marked 200 Sessions honored 0 Sessions rate limited 100 Client-to-server flows rate limited 100 Server-to-client flows rate limited 100 pic: 2/0 Counter type Value Sessions processed 400 Sessions marked 300 Sessions honored 0 Sessions rate limited 200 Client-to-server flows rate limited 200 Server-to-client flows rate limited 200
Bedeutung
Die AppQoS-Statistiken werden nur dann verwaltet, wenn der Service für die Anwendungskontrolle aktiviert ist. Die Anzahl der verarbeiteten, markierten und geehrten Sitzungen zeigt, dass die Sitzungen basierend auf den konfigurierten AppQoS-Funktionen geleitet werden. Die Statistiken zur Begrenzung der Rate zählen die Anzahl der richtungsbasierten Sitzungsflüsse, die bisher begrenzt waren.
Überprüfen der Rate-Limiter-Statistiken
Zweck
Stellen Sie sicher, dass die Bandbreite bei Auftreten einer FTP-Anwendung erwartungsgemäß begrenzt ist.
Aktion
Geben Sie im Betriebsmodus den Befehl show class-of-service application-traffic-control statistics rate-limiter ein.
user@host> show class-of-service application-traffic-control statistics rate-limiter pic: 2/1 Ruleset Application Client-to-server Rate(kbps) Server-to-client Rate(kbps) app-test1 HTTP test-r2 200 test-r2 200 app-test1 HTTP test-r2 200 test-r2 200 appp–test1 FTP test-r1 100 test-r1 100
Bedeutung
Echtzeitdaten zur Begrenzung der Bandbreitenbegrenzung der Anwendungsbandbreite für jede PIC werden durch Regelsatz angezeigt. Dieser Befehl gibt hinweise darauf, dass die Rate der Anwendungen begrenzt ist und das Profil angewendet wird.
Überprüfen von Regelstatistiken
Zweck
Stellen Sie sicher, dass die Regel den Regelstatistiken entspricht.
Aktion
Geben Sie im Betriebsmodus den Befehl show class-of-service application-traffic-control statistics rule ein.
user@host>show class-of-service application-traffic-control statistics rule pic: 2/1 Ruleset Rule Hits app-test1 0 100 app-test1 1 200 ... pic: 2/0 Ruleset Rule Hits app-test1 0 100 app-test1 1 200
Bedeutung
Dieser Befehl enthält Informationen zur Anzahl (Sitzungs-) Hits für eine Regel gemäß jedem Regelsatz.
Anwendungs-Quality of Service-Support für einheitliche Richtlinien
Ab dem Junos OS Release 18.2R1 unterstützen Geräte der SRX-Serie und vSRX-Instanzen einheitliche Richtlinien, die eine granulare Kontrolle und Durchsetzung dynamischer Layer 7-Anwendungen innerhalb der herkömmlichen Sicherheitsrichtlinie ermöglichen.
Einheitliche Richtlinien sind Sicherheitsrichtlinien, die es Ihnen ermöglichen, dynamische Anwendungen als Teil des vorhandenen 5-Tuple- oder 6-Tuple (5-Tuple mit einer Benutzer-Firewall) zu verwenden, um Anwendungsänderungen im Laufe der Zeit zu erkennen.
AppQoS (Application Quality of Service (QoS)) wird unterstützt, wenn das Sicherheitsgerät mit einheitlichen Richtlinien konfiguriert ist. Sie können einen Standard-AppQoS-Regelsatz konfigurieren, um einheitliche Richtlinienkonflikte zu verwalten, wenn mehrere Sicherheitsrichtlinien dem Datenverkehr übereinstimmen.
AppQoS-Regelsätze sind in den einheitlichen Richtlinien enthalten, um eine anwendungssensierte Quality-of-Service-Kontrolle zu implementieren. Sie können einen Regelsatz mit Regeln unter der Option konfigurieren und den AppQoS-Regelsatz als Anwendungsdienst einer einheitlichen application-traffic-control Sicherheitsrichtlinie anfügen. Wenn der Datenverkehr mit der angegebenen dynamischen Anwendung entspricht und die Richtlinien aktion zulassen, wird die anwendungssensspezifische Quality of Service (QoS) angewendet.
Beachten Sie die folgenden AppQoS-Funktionen in einheitlichen Richtlinien:
Upgrade von einer herkömmlichen Sicherheitsrichtlinie zu einer einheitlichen Richtlinie: Wenn Sie die Option als Option konfigurieren, wird der AppQoS-Regelsatz während der Übereinstimmung mit der Sicherheitsrichtlinie angewendet, und
dynamic-applicationAppQoS sucht nach der entsprechenden Regel für den identifiziertennoneDatenverkehr. Dasselbe Verhalten gilt für AppQoS-Funktionen in Junos OS vor der 18.2R1.AppQoS-Regel mit einer einheitlichen Richtlinie: Bei der Konfiguration der Anwendungskontrolle wird der AppQoS-Regelsatz mit der Übereinstimmungsbedingung konfiguriert, als und in der einheitlichen Richtlinie wird eine bestimmte dynamische Anwendung als Übereinstimmungsbedingung verwendet. Anschließend funktioniert die AppQoS-Funktion gemäß der Regel in der einheitlichen
application-anyRichtlinie.
- grundlegende Anwendungs-Quality-of-Service-Regelsatz für einheitliche Richtlinien
- Standardanwendung: Regelsatz für die Dienstqualität in unterschiedlichen Szenarien
- Einschränkung von AppQoS mit einheitlichen Richtlinien
Grundlegende Informationen zum Standardanwendungssatz für die Dienstqualität (Quality of Service) für einheitliche Richtlinien
Sie können einen AppQoS-Standardregelsatz konfigurieren, um Sicherheitsrichtlinienkonflikte zu verwalten.
Die erste Phase der Richtliniensuche erfolgt vor der Identifizierung einer dynamischen Anwendung. Wenn in der potenziellen Richtlinienliste mehrere Richtlinien vorhanden sind, die unterschiedliche AppQoS-Regelsätze enthalten, wendet das Sicherheitsgerät den Standard-AppQoS-Regelsatz an, bis eine explizite Übereinstimmung aufgetreten ist.
Sie können als Standard-AppQoS-Regelsatz in der edit security ngfw Hierarchieebene festlegen. Der Standard-AppQoS-Regelsatz wird von einem der vorhandenen AppQoS-Regelsätze genutzt, die in der [edit class-of-service application-traffic-control] Hierarchieebene konfiguriert sind.
Tabelle 2 fasst die Verwendung des Standard-AppQoS-Regelsatzes in verschiedenen Szenarien in einer einheitlichen Richtlinie zusammen.
Anwendungsidentifikationsstatus |
AnwendungsqoS-Regelsatznutzung |
Aktion |
|---|---|---|
Kein Konflikt bei den Sicherheitsrichtlinien. |
Der AppQoS-Regelsatz unter der [ ] Hierarchie wird angewendet, wenn der Datenverkehr |
AppQoS wird wie im AppQoS-Regelsatz angewendet. |
In Konflikt mit Sicherheitsrichtlinien und in Konflikt stehen Richtlinien verschiedene AppQoS-Regelsätze zur Anwendung. |
Der Standard-AppQoS-Regelsatz ist nicht konfiguriert oder nicht gefunden. |
Die Sitzung wird ignoriert, da das Standard-AppQoS-Profil nicht konfiguriert wurde. Selbst wenn für die letzte richtlinie im Konfliktszenario ein AppQoS-Regelsatz verwendet wird, wird dieser Regelsatz nicht angewendet. Wir empfehlen die Konfiguration eines Standard-AppQoS-Regelsatzes zur Verwaltung von Sicherheitsrichtlinienkonflikten. |
Der Standard-AppQoS-Regelsatz ist konfiguriert. |
AppQoS wird als im Standard-AppQoS-Regelsatz angewendet. |
|
Letzte Anmeldung wird identifiziert |
Die entsprechende Sicherheitsrichtlinie verfügt über einen AppQoS-Regelsatz, der mit dem Standard-AppQoS-Regelsatz identisch ist. |
AppQoS wird als im Standard-AppQoS-Regelsatz angewendet. |
Die entsprechende Sicherheitsrichtlinie verfügt nicht über einen AppQoS-Regelsatz. |
Standard-AppQoS-Regelsatz wird nicht angewendet und AppQoS wird nicht auf die Sitzung angewendet. |
|
Die entsprechende Sicherheitsrichtlinie verfügt über einen AppQoS-Regelsatz, der sich vom standardmäßigen AppQoS-Regelsatz unterscheiden, der bereits angewendet wird. |
Standard-AppQoS-Regelsatz bleibt der standardmäßige AppQoS-Regelsatz. |
Wenn auf den Datenverkehr ein Standard-AppQoS-Regelsatz angewendet wird und die letzte Sicherheitsrichtlinie über einen anderen AppQoS-Regelsatz verfügt, wird in solchen Fällen das Switching von den AppQoS-Standardregelsatz auf den AppQoS-Regelsatz in der endgültigen Sicherheitsrichtlinie nicht unterstützt.
Standardanwendung: Regelsatz für die Dienstqualität in unterschiedlichen Szenarien
Die folgenden Links enthalten Beispiele, die die Standard-AppQoS-Regelsätze in verschiedenen Szenarien diskutieren:
Tabelle 3 zeigt verschiedene AppQoS-Regelsätze, die für einheitliche Richtlinien mit dynamischen Anwendungen als Übereinstimmungsbedingung konfiguriert sind.
Sicherheitspolitik |
Quellzone |
Quell-IP-Adresse |
Zielzone |
Ziel-IP-Adresse |
Portnummer |
Protokoll |
Dynamische Anwendung |
Service |
AppQoS-Regelsatz |
|---|---|---|---|---|---|---|---|---|---|
Richtlinie P1 |
S1 |
50.1.1.1 |
D1 |
Jegliche |
Jegliche |
Jegliche |
AppQoS |
AppQoS-1 |
|
Richtlinie P2 |
S1 |
50.1.1.1 |
D1 |
Jegliche |
Jegliche |
Jegliche |
AppQoS |
AppQoS-2 |
|
Richtlinie P3 |
S1 |
50.1.1.1 |
D1 |
Jegliche |
Jegliche |
Jegliche |
Youtube |
AppQoS |
AppQoS-3 |
In diesem Beispiel können alle AppQoS-Regelsätze (AppQoS-1, AppQoS-2, AppQoS-3) als Standard-AppQoS-Regelsätze unter der Hierarchieebene konfiguriert [security ngfw] werden. Es ist nicht erforderlich, dass ein Standardregelsatz Teil einer Sicherheitsrichtlinienkonfiguration ist. Jeder AppQoS-Regelsatz unter der Hierarchieebene [edit class-of-service application-traffic-control] kann als Standard-AppQoS-Regelsatz zugewiesen werden.
- Kein Richtlinienkonflikt – Alle Richtlinien haben denselben AppQoS-Regelsatz
- Kein Richtlinienkonflikt – Alle Richtlinien haben denselben AppQoS-Regelsatz und die letzte Richtlinie verfügt nicht über einen AppQoS-Regelsatz.
- Richtlinienkonflikt – Kein AppQoS-Regelsatz wurde für die letzte Richtlinie konfiguriert
- Richtlinienkonflikt – Standard-AppQoS-Regelsatz und ein anderer AppQoS-Regelsatz für die letzte Richtlinie
Kein Richtlinienkonflikt – Alle Richtlinien haben denselben AppQoS-Regelsatz
Alle übereinstimmenden Richtlinien haben denselben AppQoS-Regelsatz wie in Tabelle 4 dargestellt.
Sicherheitspolitik |
Quellzone |
Quell-IP-Adresse |
Zielzone |
Ziel-IP-Adresse |
Portnummer |
Protokoll |
Dynamische Anwendung |
Service |
AppQoS-Regelsatz |
|---|---|---|---|---|---|---|---|---|---|
Richtlinie P1 |
S1 |
Jegliche |
D1 |
Jegliche |
Jegliche |
Jegliche |
AppQoS |
AppQoS-1 |
|
Richtlinie P2 |
S1 |
Jegliche |
D1 |
Jegliche |
Jegliche |
Jegliche |
AppQoS |
AppQoS-1 |
In diesem Szenario verwenden Richtlinien -P1 und Policy-P2 den gleichen AppQoS-Regelsatz. das heißt AppQoS-1. Es wird der Regelsatz AppQoS-1 angewendet. Policy-P3 ist in diesem Szenario nicht konfiguriert.
Wenn Sie den Regelsatz AppQoS-2 als Standardregelsatz konfiguriert haben, wird dieser nicht angewendet. Das liegt daran, dass es in den konfliktbasierten Richtlinien (Policy-P1 und Policy-P2) keinen Konflikt in den AppQoS-Regelsätze gibt.
Kein Richtlinienkonflikt – Alle Richtlinien haben denselben AppQoS-Regelsatz und die letzte Richtlinie verfügt nicht über einen AppQoS-Regelsatz.
Alle übereinstimmenden Richtlinien haben denselben AppQoS-Regelsatz, wie in Tabelle 5 dargestellt, und die letzte Richtlinie verfügt über keinen AppQoS-Regelsatz.
Sicherheitspolitik |
Quellzone |
Quell-IP-Adresse |
Zielzone |
Ziel-IP-Adresse |
Portnummer |
Protokoll |
Dynamische Anwendung |
Service |
AppQoS-Regelsatz |
|---|---|---|---|---|---|---|---|---|---|
Richtlinie P1 |
S1 |
Jegliche |
D1 |
Jegliche |
Jegliche |
Jegliche |
AppQoS |
AppQoS-1 |
|
Richtlinie P2 |
S1 |
Jegliche |
D1 |
Jegliche |
Jegliche |
Jegliche |
AppQoS |
AppQoS-1 |
|
Richtlinie P3 |
S1 |
50.1.1.1 |
D1 |
Jegliche |
Jegliche |
Jegliche |
Youtube |
Andere |
Nichts |
In diesem Szenario haben sowohl Policy-P1 als auch Policy-P2 den gleichen AppQoS-Regelsatz, d. r. AppQoS-1. In diesem Fall wird der Regelsatz AppQoS-1 angewendet.
Wenn die letzte Richtlinie Richtlinie-P3 an steht, wird die Sitzung in AppQoS ignoriert, da der AppQoS-Regelsatz nicht für Policy-P3 konfiguriert ist.
Wenn in der letzten Sicherheitsrichtlinie kein AppQoS-Regelsatz festgelegt wurde, wird AppQoS nicht auf den Datenverkehr angewendet. Alle AppQoS-Einstellungen, die in der Prematch-Phase angewendet werden, werden auf die ursprünglichen Werte zurückverwendet.
Richtlinienkonflikt – Kein AppQoS-Regelsatz wurde für die letzte Richtlinie konfiguriert
Der Standard-AppQoS-Regelsatz (in diesem Szenario AppQoS-1) wird während der potenziellen Richtlinien übereinstimmung angewendet, wie in Tabelle 6 dargestellt. Die letzte Richtlinie für Richtlinien-P3 hat keinen AppQoS-Regelsatz.
Sicherheitspolitik |
Quellzone |
Quell-IP-Adresse |
Zielzone |
Ziel-IP-Adresse |
Portnummer |
Protokoll |
Dynamische Anwendung |
Service |
AppQoS-Regelsatz |
|---|---|---|---|---|---|---|---|---|---|
Richtlinie P1 |
S1 |
50.1.1.1 |
D1 |
Jegliche |
Jegliche |
Jegliche |
AppQoS |
AppQoS-1 |
|
Richtlinie P2 |
S1 |
50.1.1.1 |
D1 |
Jegliche |
Jegliche |
Jegliche |
AppQoS |
AppQoS-2 |
|
Richtlinie P3 |
S1 |
50.1.1.1 |
D1 |
Jegliche |
Jegliche |
Jegliche |
Youtube |
Andere |
NA |
AppQoS ignoriert die Sitzung, wenn die abschließende Richtlinie Policy-P3 angewendet wird.
Wenn in der letzten Sicherheitsrichtlinie kein AppQoS-Regelsatz festgelegt wurde, wird AppQoS nicht auf den Datenverkehr angewendet. In diesem Fall werden alle AppQoS-Einstellungen, die in der Prematch-Phase angewendet werden, auf die originalen Werte zurückverwendet.
Richtlinienkonflikt – Standard-AppQoS-Regelsatz und ein anderer AppQoS-Regelsatz für die letzte Richtlinie
Der Regelsatz AppQoS-1 ist als Standardregelsatz konfiguriert und wird angewandt, wenn die letzte Anwendung noch nicht identifiziert wurde. Die letzte Richtlinie Richtlinie-P3 verfügt über einen anderen AppQoS-Regelsatz (AppQoS-3), wie in Tabelle 7 dargestellt.
Sicherheitspolitik |
Quellzone |
Quell-IP-Adresse |
Zielzone |
Ziel-IP-Adresse |
Portnummer |
Protokoll |
Dynamische Anwendung |
Service |
AppQoS-Regelsatz |
|---|---|---|---|---|---|---|---|---|---|
Richtlinie P1 |
S1 |
50.1.1.1 |
D1 |
Jegliche |
Jegliche |
Jegliche |
AppQoS |
AppQoS-1 |
|
Richtlinie P2 |
S1 |
50.1.1.1 |
D1 |
Jegliche |
Jegliche |
Jegliche |
AppQoS |
AppQoS-2 |
|
Richtlinie P3 |
S1 |
50.1.1.1 |
D1 |
Jegliche |
Jegliche |
Jegliche |
Youtube |
AppQoS |
AppQoS-3 |
Wenn die letzte Anwendung erkannt wurde, wird die Richtlinie P3 abgestimmt und angewendet. In diesem Fall wird der Regelsatz AppQoS-3 nicht angewendet. Stattdessen wird der Regelsatz AppQoS-1 als Standardregelsatz angewendet und bleibt als Standardregelsatz.
Einschränkung von AppQoS mit einheitlichen Richtlinien
Wenn auf den entsprechenden Datenverkehr eine Sicherheitsrichtlinie angewendet wird, wird der AppQoS-Regelsatz auf zulässigen Datenverkehr angewendet. Wenn die Sicherheitsrichtlinie und der angewandte AppQoS-Regelsatz unterschiedliche dynamische Anwendungen haben, kann es zu einem Konflikt kommen, wie in folgendem Beispiel dargestellt:
user@host#set class-of-service application-traffic-control rule-sets AQ2 rule 1 match application junos:GOOGLEuser@host#set class-of-service application-traffic-control rule-sets AQ2 rule 1 then forwarding-class network-controluser@host#set class-of-service application-traffic-control rule-sets AQ2 rule 1 then dscp-code-point 110001user@host#set class-of-service application-traffic-control rule-sets AQ2 rule 1 then loss-priority high
user@host#set security policies from-zone trust to-zone untrust policy 1 match source-address anyuser@host#set security policies from-zone trust to-zone untrust policy 1 match destination-address anyuser@host#set security policies from-zone trust to-zone untrust policy 1 match application anyuser@host#set security policies from-zone trust to-zone untrust policy 1 match dynamic-application junos:FTPuser@host#set security policies from-zone trust to-zone untrust policy 1 then permit application-services application-traffic-control rule-set AQ2
In diesem Beispiel ist die Regel für die Anwendungskontrolle für junos:GOOGLE konfiguriert, und die Bedingungen für die Sicherheitsrichtlinie für die dynamische Anwendung sind Junos: FTP. In solchen Fällen können Konflikte auftreten, wenn die letzte Richtlinie angewendet wird.
Siehe auch
Beispiel: Konfigurieren der Anwendungs-Quality of Service mit einheitlicher Richtlinie
In diesem Beispiel wird gezeigt, wie Sie die Quality of Service (QoS) (AppQoS) innerhalb einer einheitlichen Richtlinie aktivieren, um Priorisierung und Begrenzung der Raten für den Datenverkehr zu ermöglichen.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Gerät der SRX-Serie, auf dem Junos OS Version 18.2R1 und höher ausgeführt wird. In diesem Konfigurationsbeispiel wurde die Version Junos OS getestet 18.2R1.
Vor der Konfiguration dieser Funktion ist keine besondere Konfiguration über die Gerätein initialisierung hinaus erforderlich.
Übersicht
In diesem Beispiel konfigurieren Sie einen AppQoS-Regelsatz und rufen AppQoS als Anwendungsdienst in der Sicherheitsrichtlinie für die Facebook-Anwendung auf.
Sie definieren einen AppQoS-Standardregelsatz unter der [ ] Hierarchieebene, um beliebige edit security ngfw Sicherheitsrichtlinienkonflikte zu verwalten.
Konfiguration
Verfahren
Schritt-für-Schritt-Verfahren
So konfigurieren Sie AppQoS mit einer einheitlichen Richtlinie:
Definieren sie einen AppQoS-Regelsatz.
[edit] user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 match application junos:FACEBOOK-APP user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then forwarding-class fc-appqos loss-priority medium-low dscp-code-point 101110 log user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then rate-limit client-to-server Ratelimit1 user@host# set class-of-service application-traffic-control rate-limiters Ratelimit1 bandwidth-limit 1000
Konfigurieren Sie einen Standard-AppQoS-Regelsatz. Wählen Sie den Regelsatz
RS1aus, der als Standard-AppQoS-Regelsatz unter Anwendung datenverkehrskontrolle erstellt wird.[edit] user@host# set security ngfw default-profile application-traffic-control rule-set RS1
Verbinden Sie den Regelsatz für Class-of-Service mit der einheitlichen Richtlinie.
[edit] user@host# set security policies from-zone untrust to-zone trust policy from_internet match source-address any user@host# set security policies from-zone untrust to-zone trust policy from_internet match destination-address any user@host# set security policies from-zone untrust to-zone trust policy from_internet match application any user@host# set security policies from-zone untrust to-zone trust policy from_internet match dynamic-application junos:FACEBOOK-APP user@host# set security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Richtlinienkonfiguration, indem Sie den Befehl show security policies eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Diese Befehlsausgabe enthält in Kürze nur show die Konfiguration, die für dieses Beispiel relevant ist. Alle anderen Konfigurationen auf dem System wurden durch Ellipsen ersetzt (...).
...
policies {
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address any;
destination-address any;
application any;
dynamic-application junos:FACEBOOK-APP;
}
then {
permit {
application-services {
application-traffic-control {
rule-set RS1;
}
}
}
}
}
}
}
...
ngfw {
default-profile {
application-traffic-control {
rule-set RS1;
}
}
}
Wenn Sie die Konfiguration des Geräts erledigt haben, geben Sie commit den Konfigurationsmodus ein.
Überprüfung
Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfung der Konfiguration von Datenflusssitzungs
Zweck
AppQoS-Sitzungsstatistiken anzeigen.
Aktion
Geben Sie im Betriebsmodus den Befehl show class-of-service application-traffic-control counter ein.
Beispielausgabe
Befehlsname
pic: 0/0 Counter type Value Sessions processed 2 Sessions marked 1 Sessions honored 1 Sessions rate limited 1 Client-to-server flows rate limited 0 Server-to-client flows rate limited 1 Session default ruleset hit 1 Session ignored no default ruleset 1
Bedeutung
Die Ausgabe zeigt die Anzahl der verarbeiteten, markierten und geehrten Sitzungen an. Die Statistiken zur Begrenzung der Rate zählen die Anzahl der richtungsbasierten Sitzungsflüsse, die bisher begrenzt waren.
Überprüfen von Regelstatistiken
Zweck
Zeigen Sie die AppQoS-Regelstatistiken an.
Aktion
Geben Sie im Betriebsmodus den Befehl show class-of-service application-traffic-control statistics rule ein.
user@host>show class-of-service application-traffic-control statistics rule
pic: 0/0
Ruleset Rule Hits
RS1 1 1
Bedeutung
Die Ausgabe liefert Informationen zur Anzahl von Sitzungen, die gemäß den einzelnen AppQoS-Regelsatz der Regel der Regel verwendet werden.