論理システム向け AppQoS
AppQoS(Application サービス品質)を使用すると、特定のアプリケーションへのアクセスを特定して制御し、ステートフル ファイアウォール ルールベースのきめ細かい情報を提供して、アプリケーション レイヤーで サービス品質(QoS)を一致して適用できます。AppQoS 機能により、論理システムのJunos OS サービス クラス(CoS)の機能が拡張されます。
論理システムのアプリケーション サービス品質サポートの概要
AppQoS(サービス品質 サービス)機能により、論理システムのJunos OS サービス クラス(CoS)の機能が拡張されます。これには、レイヤー 7 アプリケーション タイプに基づいた DSCP 値のマーキング、損失の優先度設定によるアプリケーション ベース のトラフィックの適用、レイヤー 7 アプリケーション タイプに基づいたエグレス PIC での転送レートの制御が含まれます。
ネットワークで輻輳と遅延が発生した場合、一部のパケットを破棄する必要があります。Junos OS CoSは、トラフィックをクラスに分割し、輻輳が発生した場合にさまざまなレベルのスループットとパケット ロスを提供できます。これにより、設定したルールに従ってパケット ロスを発生できます。
論理システムでは、1 台のデバイスを複数のドメインにパーティション化して、セキュリティー機能とルーティング機能を実行できます。
リリース Junos OSリリース 19.3R1、デバイスが論理システムで設定されているSRX シリーズ、AppQoS がサポートされます。デフォルトの AppQoS ルール セットを設定して、論理システム内でアプリケーション トラフィック制御を管理できます。AppQoSでは、アプリケーショントラフィックの優先度を設定して測定し、アプリケーショントラフィックや優先度の高いアプリケーションビジネスクリティカルなサービスを向上できます。
AppQoS ルール セットは論理システムに含まれており、アプリケーション認識型のサービス品質制御を実装します。Application-traffic-control オプションの下でルールセットを設定し、AppQoSルールセットをアプリケーションサービスとして論理システムにアタッチできます。トラフィックが指定されたアプリケーションと一致する場合、アプリケーション認識型アプリケーションサービス品質システムに適用されます。
AppQoS では、定義された転送クラスを論理システム用の選択されたアプリケーションに関連付けるルールに基づいてトラフィックがグループ化されます。ルールの一致条件には、1 つ以上のアプリケーションが含まれます。一致するアプリケーションからのトラフィックがルールに遭遇すると、ルール アクションは転送クラスを設定し、DSCP 値と損失の優先度をアプリケーションに適した値に指定します。
AppQoS DSCP 書き換えエンジンは、転送クラスとサービス品質を介してパケットのパケット パケット パケットパケットを転送します。AppQoS レート制限パラメータは、論理システムに関連付けられたキューの伝送速度とボリュームを制御します。デフォルトの AppQoS ルール セットは、階層レベルで設定されている既存の AppQoS ルール セットの 1 つから [edit class-of-service application-traffic-control] 利用されます。
レート制限機能は、論理システムのトラフィックのアプリケーションに基づいてルールに適用されます。各セッションには、 と の 2 つのレート制限が client-to-server 適用されます server-to-client 。この使用量では、それぞれの方向のトラフィックを個別にプロビジョニングできます。
例: 論理システムのアプリケーションサービス品質の設定
この例では、論理システム内でアプリケーション サービス品質(AppQoS)を有効にし、トラフィックに対する prioritizationとレート制限を提供する方法を示しています。
要件
この例では、次のハードウェアとソフトウェアのコンポーネントを使用しています。
論理SRX シリーズ設定された物理デバイス。
Junos OS リリース 19.3R1以降のリリース。
開始する前に、以下を実行します。
論理システム のアプリケーションサービス品質サポートの 概要を読んで、この手順がAppQosの全体的なサポートに適合する方法と場所を理解してください。
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、AppQoSルールセットを設定し、論理システム内でアプリケーションサービスとしてAppQoSを呼び出します。論理システムのサービス クラス(CoS)を設定します。AppQoS ルール セットは論理システムに含まれており、アプリケーション認識型のサービス品質制御を実装します。
構成
CLI迅速な設定
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードからコミットを入力します。 [edit]
set logical-systems LSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512 set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000 set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any set logical-systems LSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
論理システムでのAppQoSの設定
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディターの Junos OS CLI使用 」を参照してください。
論理システムで AppQoS を設定するには、次の手順に示します。
論理システムLSYS1の最新セッションのアプリケーションレート制限に関する、AppQoSリアルタイム実行情報を設定します。
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512
論理システム LSYS1 の AppQoS ルールおよびアプリケーションの一致条件を設定します。
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP
論理システム LSYS1 の AppQoS ルールと転送クラスを設定します。
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort
論理システム LSYS1 の AppQoS ルールおよび dscp-code-point を設定します。
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000
論理システム LSYS1 の AppQoS ルールおよび損失の優先度を設定します。
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high
ルールセットのレート制限を割り当てる。
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL
サービス クラス ルール セットを論理システム LSYS1 のセキュリティー ポリシーに割り当てる。
user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any user@host# set logical-systems LSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
結果
設定モードから、 コマンドを入力して設定を確認 show logical-systems LSYS1 します。出力結果に意図した設定結果が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
user@host# show logical-systems LSYS1
security {
policies {
from-zone untrust to-zone trust {
policy from_internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set RS1;
}
}
}
}
}
}
from-zone trust to-zone trust {
policy p1 {
match {
dynamic-application junos:web;
}
}
}
}
}
class-of-service {
application-traffic-control {
rate-limiters HTTP-BW-RL {
bandwidth-limit 512;
}
rule-sets RS1 {
rule RL1 {
match {
application junos:HTTP;
}
then {
forwarding-class best-effort;
dscp-code-point 001000;
loss-priority high;
rate-limit {
server-to-client HTTP-BW-RL;
}
log;
}
}
}
}
}
デバイスの設定が完了したら、設定モード commit から を入力します。
検証
設定が正常に機能確認するには、以下のタスクを実行します。
サービス クラスのアプリケーション トラフィック制御カウンターの検証
目的
論理システムのサービス クラス アプリケーション トラフィック制御カウンターを検証します。
アクション
設定が正常に機能されていることを確認するには、 コマンドを入力 show class-of-service application-traffic-control counter logical-system LSYS1 します。
user@host>show class-of-service application-traffic-control counter logical-system LSYS1
Logical System: LSYS1
pic: 0/0
Counter type Value
Sessions processed 1
Sessions marked 0
Sessions honored 0
Sessions rate limited 0
Client-to-server flows rate limited 0
Server-to-client flows rate limited 0
Session default ruleset hit 0
Session ignored no default ruleset 0
意味
この出力には、AppQoS DSCP マーキングが表示され、レイヤー 7 アプリケーション分類子に基づいた統計情報が表示されます。
サービス クラスのアプリケーション トラフィック制御統計レート制限の検証
目的
論理システムのサービス クラス、アプリケーション トラフィック制御統計レート制限を検証します。
アクション
設定が正常に機能されていることを確認するには、 コマンドを入力 show class-of-service application-traffic-control statistics rate-limiter logical-system LSYS1 します。
user@host>show class-of-service application-traffic-control statistics rate-limiter logical-system LSYS1
Logical System: LSYS1
pic: 0/0
意味
出力には、現在または最新のセッションのアプリケーション レート制限に関するAppQoSリアルタイム実行情報が表示されます。