QoS des applications
AppQoS vous permet d’identifier et de contrôler l’accès à des applications spécifiques et fournit la granularité de la base de règles de pare-feu dynamique pour correspondre et appliquer la qualité de service (QoS) au niveau de la couche applicative. Pour plus d’informations, consultez les rubriques suivantes :
Comprendre la qualité de service des applications (AppQoS)
La fonctionnalité de qualité de service des applications (AppQoS) étend la capacité de classe de service (CoS) de Junos OS afin d’inclure le marquage des valeurs DSCP en fonction des types d’applications de couche 7, l’honore du trafic basé sur les applications par le biais de paramètres de priorité des pertes et le contrôle des débits de transfert sur les PIC de sortie basés sur les types d’applications de couche 7.
Il existe quatre façons de marquer les valeurs DSCP sur l’équipement de sécurité :
Attaques DSCP basées sur l’action IDP réécriture
Réécriture DSCP de couche 7
Réécriture DSCP basée sur ALG
Réécriture DSCP basée sur des filtres de pare-feu
Des remarques IDP sont effectuées au niveau du port d’entrée en fonction des règles IDP. Les remarques d’application sont effectuées au niveau du port sortant en fonction des règles de l’application. La fonction de remarquage basée sur l’interface se produit également au niveau du port de sortie en fonction des règles de filtre du pare-feu. (Consultez le Manuel de l’utilisateur de classe de service (équipements de sécurité) pour obtenir une description détaillée des fonctionnalités CoS de Junos OS.)
Les décisions remarquées de ces trois rédactrices peuvent être différentes. Si un paquet déclenche les trois, la méthode prioritaire est basée sur la profondeur dans le contenu du paquet correspondant. La remarque IDP a préséance sur le remarquage d’application, qui a préséance sur la remarque basée sur l’interface.
Si un paquet déclenche à la fois les réécritures AppQoS et ALG DSCP, appQoS a la préséance sur les rédacteurs DSCP basés sur ALG.
La réécriture AppQoS DSCP transmet la qualité de service d’un paquet par le biais de la classe de transfert et de la priorité des pertes. Les paramètres de limitation de débit AppQoS contrôlent la vitesse de transmission et le volume des files d’attente associées.
- Avantages de la QoS applicative
- Classes de transfert et affectations de file d’attente uniques
- Paramètres de priorité des points de code et des pertes DSCP pour applications
- Limiteurs et profils de débit
- Attribution de limite de débit
- Action limiteur de débit
- Configuration des stratégies de sécurité AppQoS
Avantages de la QoS applicative
AppQoS permet de hiérarchiser et de mesurer le trafic applicatif afin de fournir un meilleur service au trafic applicatif stratégique ou hautement prioritaire.
Classes de transfert et affectations de file d’attente uniques
La classe de transfert offre trois fonctions :
Regroupe les paquets avec des caractéristiques similaires
Assigne des files d’attente de sortie
Résout les conflits avec les réécritures existantes basées sur des filtres du pare-feu Junos OS
Les noms de classes de transfert uniques protègent les remarques AppQoS de l’écriture par des règles de réécriture basées sur l’interface. Un réwriter basé sur des filtres de pare-feu remarque la valeur DSCP d’un paquet si la classe de transfert du paquet correspond à une classe définie spécifiquement pour cette réécriture. Si la classe de transfert du paquet ne correspond à aucune des classes de réécriture basées sur des filtres de pare-feu, la valeur DSCP n’est pas notée. Pour protéger les valeurs AppQoS contre l’overwritten, utilisez par conséquent des noms de classe de transfert inconnus à la réécriture basée sur des filtres de pare-feu.
Chaque classe de transfert est attribuée à une file d’attente de sortie qui fournit le degré approprié de traitement amélioré ou standard. De nombreuses classes de transfert peuvent être attribuées à une seule file d’attente. Par conséquent, toutes les files d’attente définies pour l’équipement peuvent être utilisées par IDP, AppQoS et par des machines à écrire basées sur des filtres de pare-feu. C’est le nom de la classe de transfert, et non la file d’attente, qui distingue la priorité de transmission. (Reportez-vous au Class of Service User Guide (Équipements de sécurité) pour plus d’informations sur la configuration des files d’attente et des planificateurs.)
Pour les équipements SRX5400, SRX5600 et SRX5800, les noms de classes de transfert et les affectations de file d’attente AppQoS sont définis à l’aide de la class-of-service commande de configuration CLI :
[edit class-of-service] user@host# set forwarding-classes class forwarding-class-name queue-num queue-number
Pour SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500, SRX4100, SRX4200 et SRX4600 et les instances vSRX, les noms de classes de transfert et les affectations de file d’attente AppQoS sont définis à l’aide de la class-of-service commande de configuration CLI :
[edit class-of-service] user@host# set forwarding-classes queue queue-number forwarding-class-name
Paramètres de priorité des points de code et des pertes DSCP pour applications
Pour AppQoS, le trafic est groupé en fonction de règles qui associent une classe de transfert définie à des applications sélectionnées. Les critères de correspondance de la règle incluent une ou plusieurs applications. Lorsque le trafic d’une application correspondante rencontre la règle, celle-ci définit la classe de transfert et fait remarquer la priorité de perte et de valeur DSCP aux valeurs appropriées pour l’application.
Une valeur de point de code DSCP (Differentiated Services) (Differentiated Services) est spécifiée dans la règle soit par une valeur de rssi 6 bits, soit par un alias défini par l’utilisateur ou par défaut. Le tableau 1 fournit une liste des noms d’alias DSCP par défaut du système d’exploitation Junos OS et des valeurs de solaris.
Alias |
Valeur du bit |
|---|---|
Ef |
101110 |
af11 |
001010 |
af12 |
001100 |
af13 |
001110 |
af21 |
010010 |
af22 |
010100 |
af23 |
010110 |
af31 |
011010 |
af32 |
011100 |
af33 |
011110 |
af41 |
100010 |
af42 |
100100 |
af43 |
100110 |
Bve |
000000 |
cs1 |
001000 |
cs2 |
010000 |
cs3 |
011000 |
cs4 |
100000 |
Cs5 |
101000 |
nc1/cs6 |
110000 |
nc2/cs7 |
111000 |
Pour plus d’informations, reportez-vous aux valeurs de classe de service et aux alias par défaut .
Le planificateur de la file d’attente utilise la priorité de perte pour contrôler le rejet des paquets pendant les périodes d’encombrement en associant des profils d’abandon à des valeurs de priorité de perte particulières. (Reportez-vous au Class of Service User Guide (Équipements de sécurité) pour plus d’informations sur la configuration des files d’attente et des planificateurs.)
La règle applique une priorité de perte aux groupes de trafic. Une priorité de perte élevée signifie une forte probabilité de perte du paquet pendant une période d’encombrement. Quatre niveaux de priorité des pertes sont disponibles :
highmedium-highmedium-lowlow
L’ensemble de règles est défini dans la commande de class-of-service application-traffic-control configuration :
[edit class-of-service] user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 match application application-name application-name ... user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 match application-group application-group-name application-group-name ... user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 then forwarding-class fc-name user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 then dscp-code-point bitmap user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 then loss-priority loss-pri-value
Limiteurs et profils de débit
En cas de congestion, AppQoS implémente la limitation de débit sur tous les PIC de sortie de l’équipement. Si les paquets dépassent les limites attribuées, ils sont abandonnés. Les limiteurs de débit conservent un niveau cohérent de débit et de sensibilité aux pertes de paquets pour différentes classes de trafic. Tous les PIC de sortie utilisent le même schéma de limitation de débit.
La bande passante totale d’un PIC est d’environ 10 Gbits/s. Le matériel à limite de débit du PIC peut provisionner jusqu’à 2 Gbits/s. Par conséquent, la limite supérieure de bande passante pour la limitation du débit estde 2 31 milliards de paquets par jour.
Un profil limiteur de débit en définit les limites. C’est une combinaison unique de bandwidth-limit spécifications. burst-size-limit Il bandwidth-limit définit le nombre maximum de kilobits par seconde pouvant traverser le port. Il burst-size-limit définit le nombre maximum d’octets pouvant traverser le port en une seule salve. La burst-size-limit réduction de la faim du trafic de priorité inférieure en garantissant une taille finie pour chaque rafale.
AppQoS permet jusqu’à 16 profils et jusqu’à 1 000 limiteurs de débit par équipement. Plusieurs limiteurs de débit peuvent utiliser le même profil. Dans l’exemple suivant, cinq limiteurs de débit sont définis à l’aide de deux profils :
Nom limiteur de débit |
Profil |
|
|---|---|---|
limite de bande passante |
limite de taille d’rafale |
|
limiteur-1 |
200 |
26000 |
limite-2 |
200 |
26000 |
limite-3 |
200 |
26000 |
limite-4 |
400 |
52000 |
limiteur-5 |
400 |
52000 |
Les limiteurs de débit sont définis à l’aide de la commande de class-of-service application-traffic-control configuration.
[edit class-of-service] user@host# set application-traffic-control rate-limiters rate-limiter-name bandwidth-limit value-in-Kbps burst-rate-limit value-in-bytes
Attribution de limite de débit
Les limiteurs de débit sont appliqués dans des règles basées sur l’application du trafic. Deux limiteurs de débit sont appliqués pour chaque session : client-to-server et server-to-client. Cette utilisation permet de provisionner séparément le trafic dans chaque direction.
Le traitement de la bande passante du trafic par limiteurs de débit s’effectue au niveau des paquets, quelle que soit la direction du trafic. Exemple : prenons un cas où un seul limiteur de débit de 10G est configuré, si le trafic entrant et sortant provient de la même carte d’interface, alors le débit (trafic maximal des directions d’entrée et de sortie combinées) peut uniquement atteindre la 10G et non la 20G. Toutefois, si l’équipement dispose de la prise en charge de l’IOC (dans le cas des équipements de la gamme SRX5000 et des équipements SRX4600) et que le trafic entrant passe par un IOC et le trafic sortant via d’autres IOC, alors avec un limiteur de débit unique de 10G configuré, vous pouvez vous attendre à un débit de 20G.
Différentes règles AppQoS au sein d’un même ensemble de règles peuvent partager un limiteur de débit. Dans ce cas, les applications de ces règles partagent la même bande passante. Il n’y a aucune limitation sur le nombre de règles dans une seule et même règle qui peut affecter le même limiteur de débit.
Les exemples suivants montrent comment les limiteurs de débit définis dans la section précédente peuvent être affectés. Par exemple, un ensemble de règles peut réutiliser un limiteur de débit en plusieurs règles et dans une ou les deux directions de flux :
règle set-1
règle-1A
limiteur du client au serveur-1
limiteur du serveur au client-1
règle-1B
limiteur du client au serveur-1
limiteur du serveur au client-1
Si les mêmes profils sont nécessaires dans plusieurs ensembles de règles, un nombre suffisant de limiteurs de débit doit être défini en spécifiant les mêmes bandwidth-limit et burst-size-limit. Les deux ensembles de règles de l’exemple suivant implémentent les mêmes profils en affectant des limiteurs de débit différents mais comparables.
ensemble de règles 2
règle-2A
Limiteur du client au serveur-2
limiteur du serveur au client-2
règle-2B
Limiteur du client au serveur-2
limiteur du serveur au client-4
jeu de règles-3
règle-3A
Limiteur client-serveur-3
limiteur du serveur au client-3
règle-3B
Limiteur client-serveur-3
limiteur serveur à client-5
Un limiteur de débit est appliqué à l’aide de la edit class-of-service application-traffic-control rule-sets commande de la même manière qu’une classe de transfert, la valeur DSCP et la priorité de perte sont définies.
[edit class-of-service] user@host# set application-traffic-control rule-sets rule-set-name rule rule-name1 then rate-limit client-to-server rate-limiter1 server-to-client rate-limiter2
Si AppQoS et la limitation du débit basée sur des filtres de pare-feu sont toutes deux implémentées sur le PIC de sortie, les deux sont prises en compte. La limitation du débit AppQoS est envisagée en premier. Après cela, la limitation du débit basée sur des filtres de pare-feu se produit.
Si des paquets sont supprimés d’un PIC, l’équipement n’envoie pas de notifications au client ou au serveur. Les applications de niveau supérieur sur le client et les équipements serveur sont responsables de la retransmission et du traitement des erreurs.
Action limiteur de débit
En fonction du type d’équipement de sécurité, les règles AppQoS peuvent être configurées avec différentes actions de limitation de débit :
Jeter
Lorsque cette option est sélectionnée, les paquets hors profil sont simplement supprimés.
Il s’agit du type d’action par défaut et n’a pas besoin d’être configuré.
Cette option est prise en charge sur tous les équipements SRX Series.
Priorité des pertes élevée
Lorsque cette option est sélectionnée, elle fait passer la priorité de perte au maximum. En d’autres termes, il s’agit d’une baisse tardive; c’est-à-dire que la décision de rejet est prise au niveau de la file d’attente de sortie sortante. En l’absence de congestion, elle autorise le trafic même avec une priorité maximale en matière de perte. Mais en cas de congestion, il élimine d’abord ces paquets prioritaires maximum.
Cette option doit être configurée dans la règle AppQoS (pour remplacer l’action par défaut) à l’aide de la commande suivante :
[edit] user@host# set class-of-service application-traffic-control rule-sets rset-01 rule r1 then rate-limit loss-priority-high
Cette option est uniquement prise en charge pour les équipements SRX300, SRX320, SRX340 et SRX345.
Configuration des stratégies de sécurité AppQoS
L’ensemble de règles AppQoS peut être implémenté dans une stratégie existante ou une stratégie d’application spécifique.
[edit security policies from-zone zone-name to-zone zone-name]
user@host# set policy policy-name match source-address IP-address
user@host# set policy policy-name match destination-address IP-address
user@host# set policy policy-name match application application-name application-name
user@host# set policy policy-name then permit application-services application-traffic-control rule-set app-rule-set-name
Voir aussi
Exemple : Configuration de la qualité de service des applications
Cet exemple montre comment activer la hiérarchisation et la limitation du débit AppQoS au sein d’une stratégie.
Exigences
Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, AppQoS est implémenté de manière à ce que les applications FTP soient limitées à un niveau inférieur au débit spécifié, tandis que d’autres sont transmises à un niveau plus classique de vitesse et de priorité des pertes.
Configuration
Procédure
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie [modifier].
set class-of-service forwarding-classes queue 4 my-app-fc set class-of-service application-traffic-control rate-limiters test-rl bandwidth-limit 100 set class-of-service application-traffic-control rate-limiters test-rl burst-size-limit 13000 set class-of-service application-traffic-control rate-limiters test-r2 bandwidth-limit 200 set class-of-service application-traffic-control rate-limiters test-r2 burst-size-limit 26000 set class-of-service application-traffic-control rule-sets app-test1 rule 0 match application junos:FTP set class-of-service application-traffic-control rule-sets app-test1 rule 0 match application junos:HTTP set class-of-service application-traffic-control rule-sets app-test1 rule 0 then forwarding-class my-app-fc set class-of-service application-traffic-control rule-sets app-test1 rule 0 then dscp-code-point af22 set class-of-service application-traffic-control rule-sets app-test1 rule 0 then loss-priority low set class-of-service application-traffic-control rule-sets app-test1 rule 0 then rate-limit client-to-server test-r2 set class-of-service application-traffic-control rule-sets app-test1 rule 0 then rate-limit server-to-client test-r2 set class-of-service application-traffic-control rule-sets app-test1 rule 0 then log set class-of-service application-traffic-control rule-sets app-test1 rule 1 match application-any set class-of-service application-traffic-control rule-sets app-test1 rule 1 then rate-limit client-to-server test-r2 set class-of-service application-traffic-control rule-sets app-test1 rule 1 then rate-limit server-to-client test-r2 set class-of-service application-traffic-control rule-sets app-test1 rule 1 then log set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit application-services application-traffic-control rule-set ftp-test1
Procédure étape par étape
Pour configurer un AppQoS sur votre équipement de sécurité :
-
Définissez une ou plusieurs classes de transfert dédiées au marquage AppQoS. Dans cet exemple, une seule classe de transfert, my-app-fc, est définie et attribuée à la file d’attente 4.
[edit] user@host# set class-of-service forwarding-classes queue 4 my-app-fc
Pour les équipements SRX5400, SRX5600 et SRX5800, utilisez la
set class-of-service forwarding-classes class my-app-fc queue 4commande.Les équipements Juniper Networks prennent en charge huit files d’attente (de 0 à 7). Les files d’attente par défaut 0 à 3 sont attribuées aux classes de transfert par défaut. Les files d’attente 4 à 7 n’ont pas d’affectations par défaut aux contrôleurs de ligne et ne sont pas mappées. Pour utiliser les files d’attente 4 à 7, vous devez créer des noms FC personnalisés et les mapper aux files d’attente. Pour plus de détails, consultez la présentation des cours de transfert.
Définissez les limiteurs de débit. Dans cet exemple, deux limiteurs de débit sont définis.
[edit] user@host# set class-of-service application-traffic-control rate-limiters test-rl bandwidth-limit 100 user@host# set class-of-service application-traffic-control rate-limiters test-rl burst-size-limit 13000 user@host# set class-of-service application-traffic-control rate-limiters test-r2 bandwidth-limit 200 user@host# set class-of-service application-traffic-control rate-limiters test-r2 burst-size-limit 26000
Pour les équipements SRX5400, SRX5600 et SRX5800, vous pouvez définir jusqu’à 1 000 limiteurs de débit pour un équipement, mais seulement 16 profils (combinaisons uniques de bande passante et de limite de taille d’rafale).
-
Définir les règles AppQos et les critères de correspondance des applications.
[edit] user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 match application junos:FTP user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 match application junos:HTTP user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then forwarding-class my-app-fc user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then dscp-code-point af22 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then loss-priority low user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then rate-limit client-to-server test-r1 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then rate-limit server-to-client test-r1 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then log
Dans cet exemple, lorsqu’une correspondance est effectuée, le paquet est marqué de la classe de transfert my-app-fc, de la valeur DSCP d’af22 et d’une priorité de perte faible. Nous avons attribué le même limiteur de débit dans les deux directions.
Vous pouvez attribuer un limiteur de débit à une ou les deux directions de trafic dans une seule règle. Vous pouvez également attribuer un même limiteur de débit à d’autres règles au sein d’un ensemble de règles. Toutefois, vous ne pouvez pas attribuer un même limiteur de débit à différents ensembles de règles.
-
Définissez une autre règle pour gérer les paquets d’applications qui ne correspondaient pas à la règle précédente. Dans cet exemple, une seconde règle finale s’applique à toutes les applications restantes.
[edit] user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 1 match application-any user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 1 then rate-limit client-to-server test-r2 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 1 then rate-limit server-to-client test-r2 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 1 then log
-
Ajoutez le paramètre AppQoS à la stratégie de sécurité.
[edit] user@host# set security policies from-zone trust to-zone untrust policy p1 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p1 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p1 match application any user@host# set security policies from-zone trust to-zone untrust policy p1 then permit application-services application-traffic-control rule-set app-test1
Résultats
Depuis le mode configuration, confirmez la configuration de votre stratégie en entrant la commande et show class-of-service lashow security policies . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Par souci de brièveté, cette show sortie de commande inclut uniquement la configuration pertinente à cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
...
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set app-test1
}
}
}
}
}
...
user@host# show class-of-service
forwarding-classes {
queue 4 my-app-fc;
}
application-traffic-control {
rate-limiters test-rl {
bandwidth-limit 100;
burst-size-limit 13000;
}
rate-limiters test-r2 {
bandwidth-limit 200;
burst-size-limit 26000;
}
rule-sets app-test1 {
rule 0 {
match {
application [junos:FTP junos:HTTP];
}
then {
forwarding-class my-app-fc;
dscp-code-point af22;
loss-priority low;
rate-limit {
client-to-server test-r2;
server-to-client test-r2;
}
log;
}
}
rule 1 {
match {
application-any;
}
then {
rate-limit {
client-to-server test-r2;
server-to-client test-r2;
}
log;
}
}
}
}
Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de la configuration des sessions de flux
- Vérification des statistiques de session
- Vérification des statistiques de limitation de débit
- Vérification des statistiques des règles
Vérification de la configuration des sessions de flux
But
Vérifiez que AppQoS est activé.
Action
Dans le mode opérationnel, saisissez la show security flow session application-traffic-control extensive commande.
user@host> show security flow session application-traffic-control extensive
Session ID: 3729, Status: Normal, State: Active
Flag: 0x40
Policy name: p1
Source NAT pool: Null
Dynamic application: junos:FTP
Application traffic control rule-set: app-test1, Rule: rule0
Maximum timeout: 300, Current timeout: 276
Session State: Valid
Start time: 18292, Duration: 603536
In: 192.0.2.1/1 --> 203.0.113.0/1;pim,
Interface: reth1.0,
Session token: 0x1c0, Flag: 0x0x21
Route: 0x0, Gateway: 192.0.2.4, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 21043, Bytes: 1136322
Out: 203.0.113.0/1 --> 192.0.2.0/1;pim,
Interface: .local..0,
Session token: 0x80, Flag: 0x0x30
Route: 0xfffd0000, Gateway: 192.0.2.0, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 0, Bytes: 0
Sens
L’entrée du contrôle du trafic d’application identifie l’ensemble de règles et de règles de la session en cours.
Vérification des statistiques de session
But
Vérifiez que les statistiques de session AppQoS sont accumulées à chaque nœud de sortie.
Action
Dans le mode opérationnel, saisissez la show class-of-service application-traffic-control counter commande.
user@host> show class-of-service application-traffic-control counter pic: 2/1 Counter type Value Sessions processed 300 Sessions marked 200 Sessions honored 0 Sessions rate limited 100 Client-to-server flows rate limited 100 Server-to-client flows rate limited 100 pic: 2/0 Counter type Value Sessions processed 400 Sessions marked 300 Sessions honored 0 Sessions rate limited 200 Client-to-server flows rate limited 200 Server-to-client flows rate limited 200
Sens
Les statistiques AppQoS sont conservées uniquement si le service de contrôle du trafic des applications est activé. Le nombre de sessions traitées, marquées et honorées montre que les sessions sont dirigées en fonction des fonctionnalités AppQoS configurées. Les statistiques limitant le débit comptent le nombre de flux de sessions directionnelles limités.
Vérification des statistiques de limitation de débit
But
Vérifiez que la bande passante est limitée comme prévu lorsque l’application FTP est rencontrée.
Action
Dans le mode opérationnel, saisissez la show class-of-service application-traffic-control statistics rate-limiter commande.
user@host> show class-of-service application-traffic-control statistics rate-limiter pic: 2/1 Ruleset Application Client-to-server Rate(kbps) Server-to-client Rate(kbps) app-test1 HTTP test-r2 200 test-r2 200 app-test1 HTTP test-r2 200 test-r2 200 appp–test1 FTP test-r1 100 test-r1 100
Sens
Les informations de limitation de bande passante des applications en temps réel pour chaque PIC sont affichées par ensemble de règles. Cette commande indique que les applications sont limitées et que le profil est appliqué.
Vérification des statistiques des règles
But
Vérifiez que la règle correspond aux statistiques des règles.
Action
Dans le mode opérationnel, saisissez la show class-of-service application-traffic-control statistics rule commande.
user@host>show class-of-service application-traffic-control statistics rule pic: 2/1 Ruleset Rule Hits app-test1 0 100 app-test1 1 200 ... pic: 2/0 Ruleset Rule Hits app-test1 0 100 app-test1 1 200
Sens
Cette commande fournit des informations sur le nombre d’accès (de session) pour une règle en vertu de chaque ensemble de règles.
Prise en charge de la qualité de service des applications pour les stratégies unifiées
À partir de Junos OS version 18.2R1, les équipements SRX Series et les instances vSRX prennent en charge des stratégies unifiées, ce qui permet un contrôle granulaire et une mise en application des applications dynamiques de couche 7 au sein de la stratégie de sécurité traditionnelle.
Les stratégies unifiées sont des stratégies de sécurité qui vous permettent d’utiliser des applications dynamiques dans le cadre des conditions de correspondance 5 ou 6-tuple (5-tuple avec un pare-feu utilisateur) existantes afin de détecter les changements d’application au fil du temps.
La qualité de service des applications (AppQoS) est prise en charge lorsque l’équipement de sécurité est configuré avec des stratégies unifiées. Vous pouvez configurer un ensemble de règles AppQoS par défaut pour gérer les conflits de stratégies unifiées si plusieurs stratégies de sécurité correspondent au trafic.
Les ensembles de règles AppQoS sont inclus dans la stratégie unifiée afin de mettre en œuvre un contrôle de la qualité de service orienté applications. Vous pouvez configurer un ensemble de règles avec des règles dans l’option application-traffic-control et joindre la règle AppQoS à une stratégie de sécurité unifiée en tant que service d’application. Si le trafic correspond à l’application dynamique spécifiée et que l’action de stratégie est permise, la qualité de service orientée applications est appliquée.
Notez la fonctionnalité AppQoS suivante dans les stratégies unifiées :
Passage d’une stratégie de sécurité traditionnelle à une stratégie unifiée : dans une stratégie unifiée, lorsque vous configurez l’option
dynamic-applicationen tant quenone, l’ensemble de règles AppQoS est appliqué pendant la correspondance entre les stratégies de sécurité et AppQoS recherche la règle correspondante pour le trafic identifié. Il s’agit du même comportement pour la fonctionnalité AppQoS dans les versions de Junos OS avant la version 18.2R1.Règle AppQoS avec une stratégie unifiée : dans la configuration du contrôle du trafic des applications, l’ensemble de règles AppQoS est configuré avec la condition de correspondance et
application-anydans la stratégie unifiée, une application dynamique spécifique est utilisée comme condition de correspondance, puis la fonctionnalité AppQoS fonctionne conformément à la règle de la stratégie unifiée.
- Comprendre l’ensemble de règles de qualité de service pour les applications par défaut pour les stratégies unifiées
- Ensemble de règles de qualité de service pour les applications par défaut dans différents scénarios
- Limitation d’AppQoS avec des stratégies unifiées
Comprendre l’ensemble de règles de qualité de service pour les applications par défaut pour les stratégies unifiées
Vous pouvez configurer un ensemble de règles par défaut AppQoS pour gérer les conflits de stratégies de sécurité.
La phase de recherche initiale des stratégies est effectuée avant d’identifier une application dynamique. Si plusieurs stratégies figurent dans la liste de stratégies potentielles qui contiennent différents ensembles de règles AppQoS, l’équipement de sécurité applique le jeu de règles AppQoS par défaut jusqu’à ce qu’une correspondance plus explicite se produise.
Vous pouvez définir une règle AppQoS en tant que règle AppQoS par défaut au niveau de la edit security ngfw hiérarchie. L’ensemble de règles AppQoS par défaut est tiré parti de l’un des ensembles de règles AppQoS existants, qui sont configurés sous le [edit class-of-service application-traffic-control] niveau de hiérarchie.
Le tableau 2 résume l’utilisation de la règle AppQoS par défaut définie selon différents scénarios dans une stratégie unifiée.
État d’identification des applications |
Utilisation des règles AppQoS |
Action |
|---|---|---|
Pas de conflit entre les politiques de sécurité. |
La règle AppQoS définie sous la hiérarchie [ |
AppQoS est appliqué comme dans l’ensemble de règles AppQoS. |
Les polices conflictuelles et de stratégie de sécurité disposent d’ensembles de règles AppQoS distincts. |
Le jeu de règles AppQoS par défaut n’est pas configuré ou ne se trouve pas. |
La session est ignorée car le profil AppQoS par défaut n’est pas configuré. En conséquence, même si la stratégie correspondant finale dans le scénario de conflit de stratégie comporte un ensemble de règles AppQoS, cet ensemble de règles n’est pas appliqué. Nous vous recommandons de configurer un ensemble de règles AppQoS par défaut pour gérer les conflits de stratégies de sécurité. |
Le jeu de règles AppQoS par défaut est configuré. |
AppQoS est appliqué comme dans le jeu de règles AppQoS par défaut. |
|
L’application finale est identifiée |
La stratégie de sécurité correspondante comporte un ensemble de règles AppQoS, qui est identique à l’ensemble de règles AppQoS par défaut. |
AppQoS est appliqué comme dans le jeu de règles AppQoS par défaut. |
La stratégie de sécurité correspondante ne comporte pas de règle AppQoS. |
Le jeu de règles AppQoS par défaut n’est pas appliqué et AppQoS n’est pas appliqué à la session. |
|
La stratégie de sécurité AppQoS comporte un ensemble de règles AppQoS différent du jeu de règles AppQoS par défaut, qui est déjà appliqué. |
Le jeu de règles AppQoS par défaut reste le jeu de règles AppQoS par défaut. |
Lorsqu’un ensemble de règles AppQoS par défaut est appliqué au trafic et que la stratégie de sécurité finale comporte un ensemble de règles AppQoS différent, il est alors hors de charge de passer de la règle AppQoS par défaut définie à la règle AppQoS définie dans la stratégie de sécurité finale.
Ensemble de règles de qualité de service pour les applications par défaut dans différents scénarios
Les liens suivants renvoient à des exemples de jeux de règles AppQoS par défaut dans différents scénarios :
Le tableau 3 montre différents ensembles de règles AppQoS configurés pour des stratégies unifiées avec des applications dynamiques comme condition de correspondance.
Stratégie de sécurité |
Source Zone |
Adresse IP source |
Destination Zone |
Adresse IP de destination |
Numéro de port |
Protocole |
Application dynamique |
Service |
Ensemble de règles AppQoS |
|---|---|---|---|---|---|---|---|---|---|
Politique-P1 |
S1 |
50.1.1.1 |
D1 |
Tout |
Tout |
Tout |
AppQoS |
AppQoS-1 |
|
Politique-P2 |
S1 |
50.1.1.1 |
D1 |
Tout |
Tout |
Tout |
AppQoS |
AppQoS-2 |
|
Politique-P3 |
S1 |
50.1.1.1 |
D1 |
Tout |
Tout |
Tout |
Youtube |
AppQoS |
AppQoS-3 |
Dans cet exemple, tous les ensembles de règles AppQoS (AppQoS-1, AppQoS-2, AppQoS-3) peuvent être configurés en tant que règle AppQoS par défaut définie au niveau de la [security ngfw] hiérarchie. Il n’est pas nécessaire qu’un ensemble de règles par défaut soit inclus dans une configuration de stratégie de sécurité. Toutes les règles AppQoS définies sous le [edit class-of-service application-traffic-control] niveau hiérarchique peuvent être attribuées en tant qu’ensemble de règles AppQoS par défaut.
- Aucun conflit de stratégie : toutes les stratégies ont le même ensemble de règles AppQoS
- Aucun conflit de stratégie : toutes les stratégies ont le même jeu de règles AppQoS et la stratégie finale n’a pas de jeu de règles AppQoS
- Conflit de stratégies : aucun jeu de règles AppQoS n’est configuré pour la stratégie finale
- Conflit de stratégies : ensemble de règles AppQoS par défaut et ensemble de règles AppQoS différentes pour la stratégie finale
Aucun conflit de stratégie : toutes les stratégies ont le même ensemble de règles AppQoS
Toutes les stratégies de correspondance ont la même règle AppQoS que celle du tableau 4.
Stratégie de sécurité |
Source Zone |
Adresse IP source |
Destination Zone |
Adresse IP de destination |
Numéro de port |
Protocole |
Application dynamique |
Service |
Ensemble de règles AppQoS |
|---|---|---|---|---|---|---|---|---|---|
Politique-P1 |
S1 |
Tout |
D1 |
Tout |
Tout |
Tout |
AppQoS |
AppQoS-1 |
|
Politique-P2 |
S1 |
Tout |
D1 |
Tout |
Tout |
Tout |
AppQoS |
AppQoS-1 |
Dans ce scénario, les stratégies Policy-P1 et Policy-P2 ont le même ensemble de règles AppQoS ; c’est-à-dire AppQoS-1. Le jeu de règles AppQoS-1 est appliqué. Policy-P3 n’est pas configuré dans ce scénario.
Si vous avez configuré la règle AppQoS-2 comme jeu de règles par défaut, elle n’est pas appliquée. C’est parce qu’il n’y a pas de conflit dans les ensembles de règles AppQoS dans les stratégies conflictuelles (Policy-P1 et Policy-P2).
Aucun conflit de stratégie : toutes les stratégies ont le même jeu de règles AppQoS et la stratégie finale n’a pas de jeu de règles AppQoS
Toutes les stratégies de correspondance ont la même règle AppQoS définie comme illustré dans le tableau 5 et la stratégie finale n’a aucun jeu de règles AppQoS.
Stratégie de sécurité |
Source Zone |
Adresse IP source |
Destination Zone |
Adresse IP de destination |
Numéro de port |
Protocole |
Application dynamique |
Service |
Ensemble de règles AppQoS |
|---|---|---|---|---|---|---|---|---|---|
Politique-P1 |
S1 |
Tout |
D1 |
Tout |
Tout |
Tout |
AppQoS |
AppQoS-1 |
|
Politique-P2 |
S1 |
Tout |
D1 |
Tout |
Tout |
Tout |
AppQoS |
AppQoS-1 |
|
Politique-P3 |
S1 |
50.1.1.1 |
D1 |
Tout |
Tout |
Tout |
Youtube |
Autres |
Aucun |
Dans ce scénario, Policy-P1 et Policy-P2 ont le même ensemble de règles AppQoS, c’est-à-dire AppQoS-1. Dans ce cas, la règle AppQoS-1 est appliquée.
Lorsque la stratégie finale Policy-P3 est correspondante, AppQoS ignore la session, car le jeu de règles AppQoS n’est pas configuré pour Policy-P3.
Si la stratégie de sécurité finale ne comporte aucun jeu de règles AppQoS, appQoS n’est pas appliqué au trafic. Tous les paramètres AppQoS appliqués à l’étape de pré-correspondance sont rétablis vers les valeurs d’origine.
Conflit de stratégies : aucun jeu de règles AppQoS n’est configuré pour la stratégie finale
L’ensemble de règles AppQoS par défaut (dans ce scénario AppQoS-1) est appliqué pendant la correspondance de stratégie potentielle, comme illustré dans le tableau 6. La politique finale Policy-P3 n’a aucun jeu de règles AppQoS.
Stratégie de sécurité |
Source Zone |
Adresse IP source |
Destination Zone |
Adresse IP de destination |
Numéro de port |
Protocole |
Application dynamique |
Service |
Ensemble de règles AppQoS |
|---|---|---|---|---|---|---|---|---|---|
Politique-P1 |
S1 |
50.1.1.1 |
D1 |
Tout |
Tout |
Tout |
AppQoS |
AppQoS-1 |
|
Politique-P2 |
S1 |
50.1.1.1 |
D1 |
Tout |
Tout |
Tout |
AppQoS |
AppQoS-2 |
|
Politique-P3 |
S1 |
50.1.1.1 |
D1 |
Tout |
Tout |
Tout |
Youtube |
Autres |
Na |
AppQoS ignore la session si la stratégie de correspondance finale Policy-P3 est appliquée.
Si la stratégie de sécurité finale ne comporte aucun jeu de règles AppQoS, appQoS n’est pas appliqué au trafic. Dans ce cas, tous les paramètres AppQoS appliqués à l’étape de pré-correspondance sont rétablis vers les valeurs d’origine.
Conflit de stratégies : ensemble de règles AppQoS par défaut et ensemble de règles AppQoS différentes pour la stratégie finale
Le jeu de règles AppQoS-1 est configuré en tant que jeu de règles par défaut et s’applique lorsque l’application finale n’est pas encore identifiée. La stratégie finale Policy-P3 comporte un ensemble de règles AppQoS (AppQoS-3) différent, comme illustré dans le tableau 7.
Stratégie de sécurité |
Source Zone |
Adresse IP source |
Destination Zone |
Adresse IP de destination |
Numéro de port |
Protocole |
Application dynamique |
Service |
Ensemble de règles AppQoS |
|---|---|---|---|---|---|---|---|---|---|
Politique-P1 |
S1 |
50.1.1.1 |
D1 |
Tout |
Tout |
Tout |
AppQoS |
AppQoS-1 |
|
Politique-P2 |
S1 |
50.1.1.1 |
D1 |
Tout |
Tout |
Tout |
AppQoS |
AppQoS-2 |
|
Politique-P3 |
S1 |
50.1.1.1 |
D1 |
Tout |
Tout |
Tout |
Youtube |
AppQoS |
AppQoS-3 |
Lorsque l’application finale est identifiée, la stratégie Policy-P3 est associée et appliquée. Dans ce cas, la règle AppQoS-3 n’est pas appliquée. Le jeu de règles AppQoS-1 est plutôt appliqué en tant que jeu de règles par défaut et reste le jeu de règles par défaut.
Limitation d’AppQoS avec des stratégies unifiées
Lorsqu’une stratégie de sécurité est appliquée au trafic correspondant, l’ensemble de règles AppQoS est appliqué au trafic autorisé. Si la stratégie de sécurité et les règles AppQoS appliquées ont différentes applications dynamiques, un conflit peut survenir, comme illustré dans l’exemple suivant :
user@host#set class-of-service application-traffic-control rule-sets AQ2 rule 1 match application junos:GOOGLEuser@host#set class-of-service application-traffic-control rule-sets AQ2 rule 1 then forwarding-class network-controluser@host#set class-of-service application-traffic-control rule-sets AQ2 rule 1 then dscp-code-point 110001user@host#set class-of-service application-traffic-control rule-sets AQ2 rule 1 then loss-priority high
user@host#set security policies from-zone trust to-zone untrust policy 1 match source-address anyuser@host#set security policies from-zone trust to-zone untrust policy 1 match destination-address anyuser@host#set security policies from-zone trust to-zone untrust policy 1 match application anyuser@host#set security policies from-zone trust to-zone untrust policy 1 match dynamic-application junos:FTPuser@host#set security policies from-zone trust to-zone untrust policy 1 then permit application-services application-traffic-control rule-set AQ2
Dans cet exemple, la règle de contrôle du trafic des applications est configurée pour junos:GOOGLE et la condition de correspondance de la stratégie de sécurité pour l’application dynamique est junos : FTP. Dans ce cas, des conflits peuvent survenir lorsque la politique finale est appliquée.
Voir aussi
Exemple : Configuration de la qualité de service des applications avec une stratégie unifiée
Cet exemple montre comment activer la qualité de service des applications (AppQoS) au sein d’une stratégie unifiée afin de fournir une hiérarchisation et une limitation du débit pour le trafic.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Équipement SRX Series exécutant Junos OS version 18.2R1 et versions ultérieures. Cet exemple de configuration est testé pour Junos OS Version 18.2R1.
Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cette fonctionnalité.
Aperçu
Dans cet exemple, vous configurez un ensemble de règles AppQoS et appelez AppQoS en tant que service d’application dans la stratégie de sécurité de l’application Facebook.
Vous définissez une règle AppQoS par défaut définie au niveau de la hiérarchie [edit security ngfw] afin de gérer les conflits de stratégie de sécurité, le cas échéant.
Configuration
Procédure
Procédure étape par étape
Pour configurer AppQoS avec une stratégie unifiée :
Définir un ensemble de règles AppQoS.
[edit] user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 match application junos:FACEBOOK-APP user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then forwarding-class fc-appqos loss-priority medium-low dscp-code-point 101110 log user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then rate-limit client-to-server Ratelimit1 user@host# set class-of-service application-traffic-control rate-limiters Ratelimit1 bandwidth-limit 1000
Configurez un jeu de règles AppQoS par défaut. Sélectionnez l’ensemble
RS1de règles créé sous le contrôle du trafic des applications comme jeu de règles AppQoS par défaut.[edit] user@host# set security ngfw default-profile application-traffic-control rule-set RS1
Associez les règles de classe de service à la stratégie unifiée.
[edit] user@host# set security policies from-zone untrust to-zone trust policy from_internet match source-address any user@host# set security policies from-zone untrust to-zone trust policy from_internet match destination-address any user@host# set security policies from-zone untrust to-zone trust policy from_internet match application any user@host# set security policies from-zone untrust to-zone trust policy from_internet match dynamic-application junos:FACEBOOK-APP user@host# set security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
Résultats
Depuis le mode configuration, confirmez la configuration de votre stratégie en entrant la show security policies commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Par souci de brièveté, cette show sortie de commande inclut uniquement la configuration pertinente à cet exemple. Toute autre configuration du système a été remplacée par des ellipses (...).
...
policies {
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address any;
destination-address any;
application any;
dynamic-application junos:FACEBOOK-APP;
}
then {
permit {
application-services {
application-traffic-control {
rule-set RS1;
}
}
}
}
}
}
}
...
ngfw {
default-profile {
application-traffic-control {
rule-set RS1;
}
}
}
Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de la configuration des sessions de flux
But
Afficher les statistiques de session AppQoS.
Action
Dans le mode opérationnel, saisissez la show class-of-service application-traffic-control counter commande.
Exemple de sortie
nom de commande
pic: 0/0 Counter type Value Sessions processed 2 Sessions marked 1 Sessions honored 1 Sessions rate limited 1 Client-to-server flows rate limited 0 Server-to-client flows rate limited 1 Session default ruleset hit 1 Session ignored no default ruleset 1
Sens
La sortie affiche le nombre de sessions traitées, marquées et honorées. Les statistiques limitant le débit comptent le nombre de flux de sessions directionnelles limités.
Vérification des statistiques des règles
But
Affichez les statistiques des règles AppQoS.
Action
Dans le mode opérationnel, saisissez la show class-of-service application-traffic-control statistics rule commande.
user@host>show class-of-service application-traffic-control statistics rule
pic: 0/0
Ruleset Rule Hits
RS1 1 1
Sens
La sortie fournit des informations sur le nombre de sessions correspondant à la règle de chaque ensemble de règles AppQoS.