AppQoS für Mandantensysteme
Die Application Quality of Service (AppQoS) ermöglicht es Ihnen, den Zugriff auf bestimmte Anwendungen zu identifizieren und zu kontrollieren, und bietet die Granularität der Status-Firewall-Regelbasis, um Quality of Service (QoS) auf der Anwendungsebene abzugleichen und durchzusetzen. AppQoS-Funktion erweitert die Funktionen von Junos OS Class of Service (CoS) für Mandantensysteme.
Anwendungsqualität für Mandantensysteme – Übersicht
Die Application Quality of Service (AppQoS)-Funktion erweitert die Funktionen von Junos OS Class of Service (CoS) für Mandantensysteme. Dazu gehören das Markieren von DSCP-Werten basierend auf Layer-7-Anwendungstypen, die Würdigung des anwendungsbasierten Datenverkehrs durch Verlustprioritätseinstellungen und die Steuerung der Übertragungsraten auf ausgehenden PICs basierend auf Layer-7-Anwendungstypen.
Wenn ein Netzwerk zu Überlastungen und Verzögerungen kommt, müssen einige Pakete gelöscht werden. Junos OS CoS ermöglicht es Ihnen, den Datenverkehr in Klassen aufzuteilen und bei Überlastung verschiedene Durchsatz- und Paketverluste zu bieten. Auf diese Weise können Paketverluste gemäß den von Ihnen konfigurierten Regeln erfolgen.
Das Mandantensystem ermöglicht es Ihnen, ein einzelnes Gerät in mehrere Domänen zu partitionieren, um Sicherheits- und Routing-Funktionen auszuführen.
Ab Junos OS Version 19.3R1 wird AppQoS unterstützt, wenn die Firewall der SRX-Serie mit dem Mandantensystem konfiguriert ist. Sie können einen Standard-AppQoS-Regelsatz konfigurieren, um die Anwendungs-Datenverkehrssteuerung innerhalb des Mandantensystems zu verwalten. AppQoS bietet die Möglichkeit, den Anwendungsdatenverkehr zu priorisieren und zu erfassen, um einen besseren Service für geschäftskritischen oder priorisierten Anwendungsdatenverkehr bereitzustellen.
AppQoS-Regelsätze werden in das Mandantensystem integriert, um eine anwendungsorientierte Quality-of-Service-Steuerung zu implementieren. Sie können einen Regelsatz mit Regeln unter der Option application-traffic-control konfigurieren und den AppQoS-Regelsatz als Anwendungsservice an ein Mandantensystem anfügen. Wenn der Datenverkehr mit der angegebenen Anwendung übereinstimmt, wird die anwendungsorientierte Quality of Service für das Mandantensystem angewendet.
Für AppQoS wird der Datenverkehr nach Regeln gruppiert, die eine definierte Weiterleitungsklasse mit ausgewählten Anwendungen für das Mandantensystem verknüpfen. Die Übereinstimmungskriterien für die Regel umfassen eine oder mehrere Anwendungen. Wenn Datenverkehr aus einer übereinstimmenden Anwendung auf die Regel trifft, legt die Regelaktion die Weiterleitungsklasse fest und stellt den DSCP-Wert und die Verlustpriorität in den für die Anwendung geeigneten Werten fest.
Der AppQoS DSCP-Umsetzer überträgt die Quality of Service eines Pakets sowohl über die Weiterleitungsklasse als auch über eine Verlustpriorität. Die AppQoS-Parameter für die Geschwindigkeitsbegrenzung steuern die Übertragungsgeschwindigkeit und das Volumen der zugehörigen Warteschlangen für das Mandantensystem. Der Standard-AppQoS-Regelsatz wird aus einer der vorhandenen AppQoS-Regelsätze genutzt, die unter der [edit class-of-service application-traffic-control] Hierarchieebene konfiguriert werden.
Ratenbegrenzer werden in Regeln angewendet, die auf der Anwendung des Datenverkehrs für das Mandantensystem basieren. Für jede Sitzung werden zwei Ratenbegrenzer angewendet: client-to-server und server-to-client. Diese Nutzung ermöglicht die separate Bereitstellung des Datenverkehrs in jede Richtung.
Beispiel: Konfigurieren der Servicequalität der Anwendung für Mandantensysteme
Dieses Beispiel zeigt, wie Sie Die Quality of Service (AppQoS) in einem Mandantensystem aktivieren, um Priorisierung und Geschwindigkeitsbegrenzung für den Datenverkehr zu gewährleisten.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine Firewall der SRX-Serie, die mit Mandantensystemen konfiguriert ist.
Junos OS Version 19.3R1 und höher.
Bevor Sie beginnen:
Lesen Sie die Übersicht über die Anwendungsqualität für Mandantensysteme , um zu verstehen, wie und wo dieses Verfahren in die allgemeine Unterstützung für AppQos passt.
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Übersicht
In diesem Beispiel konfigurieren Sie einen AppQoS-Regelsatz und rufen AppQoS als Anwendungsservice in den Mandantensystemen auf. Sie konfigurieren die Class of Service (CoS) für Mandantensysteme. Die AppQoS-Regelsätze sind in den Mandantensystemen enthalten, um eine anwendungsorientierte Quality-of-Service-Steuerung zu implementieren.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann commit aus dem Konfigurationsmodus ein.
set tenants TSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512 set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000 set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any set tenants TSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
Konfigurieren von AppQoS mit einem Mandantensystem
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie AppQoS für ein Mandantensystem:
Konfigurieren Sie die AppQoS-Ausführungsinformationen in Echtzeit zur Begrenzung der Anwendungsgeschwindigkeit von aktuellen oder aktuellen Sitzungen für das Mandantensystem TSYS1.
user@host# set tenants TSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512
Konfigurieren Sie die AppQoS-Regeln und Anwendungsgleichkriterien für das Mandantensystem TSYS1.
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP
Konfigurieren Sie die AppQoS-Regeln und die Weiterleitungsklasse für das Mandantensystem TSYS1.
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort
Konfigurieren Sie die AppQoS-Regeln und den dscp-Codepunkt für das Mandantensystem TSYS1.
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000
Konfigurieren Sie die AppQoS-Regeln und die Verlustpriorität für das Mandantensystem TSYS1.
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high
Weisen Sie die Ratenbegrenzer für Regelsätze zu.
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL
Weisen Sie den Class-of-Service-Regelsatz der Sicherheitsrichtlinie für das Mandantensystem TSYS1 zu.
user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any user@host# set tenants TSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie den show tenants TSYS1 Befehl eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
user@host# show tenants TSYS1
security {
policies {
from-zone untrust to-zone trust {
policy from_internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set RS1;
}
}
}
}
}
}
from-zone trust to-zone trust {
policy p1 {
match {
dynamic-application junos:web;
}
}
}
}
}
class-of-service {
application-traffic-control {
rate-limiters HTTP-BW-RL {
bandwidth-limit 512;
}
rule-sets RS1 {
rule RL1 {
match {
application junos:HTTP;
}
then {
forwarding-class best-effort;
dscp-code-point 001000;
loss-priority high;
rate-limit {
server-to-client HTTP-BW-RL;
}
log;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Führen Sie die folgenden Aufgaben durch, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:
- Überprüfung des Class-of-Service Application-Traffic-Control-Zählers
- Überprüfung des Geschwindigkeitsbegrenzers für Die Anwendungs- und Datenverkehrssteuerung
Überprüfung des Class-of-Service Application-Traffic-Control-Zählers
Zweck
Überprüfen Sie den Class-of-Service-Zähler zur Anwendungssteuerung für Mandantensysteme.
Aktion
Geben Sie den Befehl ein, um zu überprüfen, ob die show class-of-service application-traffic-control counter tenant TSYS1 Konfiguration ordnungsgemäß funktioniert.
user@host>show class-of-service application-traffic-control counter tenant TSYS1
Tenant System: TSYS1
pic: 0/0
Counter type Value
Sessions processed 1
Sessions marked 0
Sessions honored 0
Sessions rate limited 0
Client-to-server flows rate limited 0
Server-to-client flows rate limited 0
Session default ruleset hit 0
Session ignored no default ruleset 0
Bedeutung
Die Ausgabe zeigt appQoS DSCP-Markierung und Ehrungsstatistiken basierend auf Layer-7-Anwendungsklassifizierern an.
Überprüfung des Geschwindigkeitsbegrenzers für Die Anwendungs- und Datenverkehrssteuerung
Zweck
Überprüfen Sie den Class-of-Service Application-Traffic-Control-Statistik-Geschwindigkeitsbegrenzer für Mandantensysteme.
Aktion
Geben Sie den Befehl ein, um zu überprüfen, ob die show class-of-service application-traffic-control statistics rate-limiter tenant TSYS1 Konfiguration ordnungsgemäß funktioniert.
user@host>show class-of-service application-traffic-control statistics rate-limiter tenant TSYS1
Tenant System: TSYS1
pic: 0/0
Bedeutung
Die Ausgabe zeigt AppQoS-Ausführungsinformationen in Echtzeit zur Begrenzung der Anwendungsgeschwindigkeit von aktuellen oder letzten Sitzungen an.