論理システム向け AppQoS
AppQoS(アプリケーションサービス品質)では、特定のアプリケーションへのアクセスを特定して制御でき、アプリケーションレイヤーでサービス品質(QoS)を一致させ、適用するためのステートフルファイアウォールルールベースの粒度を提供します。AppQoS機能により、論理システム向けJunos OSサービスクラス(CoS)の機能が拡張されます。
論理システムのアプリケーションサービス品質サポートの概要
AppQoS(アプリケーションサービス品質)機能は、論理システム向けのJunos OSサービスクラス(CoS)の機能を拡張します。これには、レイヤー 7 アプリケーション タイプに基づく DSCP 値のマーキング、損失の優先度設定によるアプリケーションベースのトラフィックの受け入れ、レイヤー 7 アプリケーション タイプに基づくエグレス PIC での転送レートの制御が含まれます。
ネットワークに輻輳や遅延が発生した場合、一部のパケットをドロップする必要があります。Junos OS CoSを使用すると、トラフィックをクラスに分割し、輻輳が発生した場合にさまざまなレベルのスループットとパケットロスを提供できます。これにより、設定したルールに従ってパケットロスが発生する可能性があります。
論理システムを使用すると、単一のデバイスを複数のドメインにパーティション化して、セキュリティ機能とルーティング機能を実行できます。
Junos OS リリース 19.3R1 以降、SRX シリーズ ファイアウォールが論理システムで設定されている場合、AppQoS がサポートされます。デフォルトの AppQoS ルール セットを構成して、論理システム内のアプリケーション トラフィック制御を管理できます。AppQoSは、アプリケーショントラフィックの優先度を設定して測定する機能を提供し、ビジネスクリティカルまたは優先度の高いアプリケーショントラフィックに対してより優れたサービスを提供します。
AppQoS ルール セットは、アプリケーション認識型のサービス品質制御を実装するために論理システムに含まれています。アプリケーショントラフィック制御オプションの下でルールセットを設定し、AppQoSルールセットをアプリケーションサービスとして論理システムにアタッチできます。トラフィックが指定されたアプリケーションに一致する場合、アプリケーション認識型のサービス品質が論理システムに適用されます。
AppQoS では、定義された転送クラスを論理システムの選択したアプリケーションに関連付けるルールに基づいてトラフィックがグループ化されます。ルールの一致条件には、1 つ以上のアプリケーションが含まれます。一致するアプリケーションからのトラフィックにルールが検出されると、ルール アクションは転送クラスを設定し、DSCP 値と損失の優先度をアプリケーションに適した値にリマークします。
AppQoS DSCPリライト機能は、転送クラスと損失の優先度の両方を通じて、パケットのサービス品質を伝えます。AppQoS レート制限パラメーターは、論理システムの関連キューの伝送速度とボリュームを制御します。デフォルトの AppQoS ルール・セットは、 階層レベルで [edit class-of-service application-traffic-control] 構成された既存の AppQoS ルール・セットのいずれかから利用されます。
レートリミッタは、論理システムのトラフィックのアプリケーションに基づいてルールに適用されます。各セッション client-to-server には、 および server-to-clientの2つのレートリミッタが適用されます。この使用により、各方向のトラフィックを別々にプロビジョニングできます。
例:論理システムのアプリケーションサービス品質の設定
この例では、論理システム内のアプリケーションサービス品質(AppQoS)を有効にして、トラフィックの優先度とレート制限を提供する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
論理システムで構成された SRX シリーズ ファイアウォール。
Junos OS リリース 19.3R1 以降のリリース。
開始する前に、以下を行います。
論理システムのアプリケーションサービス品質サポートの概要を読んで、この手順がAppQosの全体的なサポートにどのように適合するかを理解してください。
この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
この例では、AppQoS ルール セットを構成し、論理システムでアプリケーション サービスとして AppQoS を呼び出します。論理システムにサービスクラス(CoS)を設定します。AppQoS ルール セットは、アプリケーション認識型のサービス品質制御を実装するために論理システムに含まれています。
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルで [edit] CLI にコピー アンド ペーストして、設定モードからコミットを入力します。
set logical-systems LSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512 set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000 set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any set logical-systems LSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
論理システムを使用した AppQoS の設定
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
論理システムで AppQoS を設定するには、
論理システム LSYS1 の現在または最近のセッションのアプリケーション・レート制限に関する AppQoS リアルタイム実行情報を構成します。
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512
論理システム LSYS1 の AppQoS ルールとアプリケーション一致条件を設定します。
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP
論理システム LSYS1 の AppQoS ルールと転送クラスを設定します。
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort
論理システム LSYS1 の AppQoS ルールと dscp-code-point を設定します。
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000
論理システム LSYS1 の AppQoS ルールと損失優先度を設定します。
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high
ルールセットにレートリミッタを割り当てます。
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL
論理システム LSYS1 のセキュリティー ポリシーにサービス クラス ルール セットを割り当てます。
user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any user@host# set logical-systems LSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
結果
設定モードから、 コマンドを入力して設定を show logical-systems LSYS1 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host# show logical-systems LSYS1
security {
policies {
from-zone untrust to-zone trust {
policy from_internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set RS1;
}
}
}
}
}
}
from-zone trust to-zone trust {
policy p1 {
match {
dynamic-application junos:web;
}
}
}
}
}
class-of-service {
application-traffic-control {
rate-limiters HTTP-BW-RL {
bandwidth-limit 512;
}
rule-sets RS1 {
rule RL1 {
match {
application junos:HTTP;
}
then {
forwarding-class best-effort;
dscp-code-point 001000;
loss-priority high;
rate-limit {
server-to-client HTTP-BW-RL;
}
log;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
サービスクラスのアプリケーショントラフィック制御カウンターの検証
目的
論理システムのサービスクラスアプリケーショントラフィック制御カウンターを検証します。
アクション
設定が正常に機能していることを確認するには、 コマンドを show class-of-service application-traffic-control counter logical-system LSYS1 入力します。
user@host>show class-of-service application-traffic-control counter logical-system LSYS1
Logical System: LSYS1
pic: 0/0
Counter type Value
Sessions processed 1
Sessions marked 0
Sessions honored 0
Sessions rate limited 0
Client-to-server flows rate limited 0
Server-to-client flows rate limited 0
Session default ruleset hit 0
Session ignored no default ruleset 0
意味
出力には、AppQoS DSCP マーキングと、レイヤー 7 アプリケーション分類子に基づく統計の受け入れが表示されます。
サービスクラスのアプリケーショントラフィック制御統計レートリミッタの検証
目的
論理システムのサービスクラスアプリケーショントラフィック制御統計レートリミッタを検証します。
アクション
設定が正常に機能していることを確認するには、 コマンドを show class-of-service application-traffic-control statistics rate-limiter logical-system LSYS1 入力します。
user@host>show class-of-service application-traffic-control statistics rate-limiter logical-system LSYS1
Logical System: LSYS1
pic: 0/0
意味
出力には、現在または最近のセッションのアプリケーションレート制限に関するAppQoSリアルタイム実行情報が表示されます。