テナントシステム向けAppQoS
AppQoS(アプリケーションサービス品質)では、特定のアプリケーションへのアクセスを特定して制御でき、アプリケーションレイヤーでサービス品質(QoS)を一致させ、適用するためのステートフルファイアウォールルールベースの粒度を提供します。AppQoS機能により、テナントシステム向けのJunos OSサービスクラス(CoS)の機能が拡張されます。
テナントシステム向けアプリケーションサービス品質の概要
AppQoS(アプリケーションサービス品質)機能は、テナントシステム向けのJunos OSサービスクラス(CoS)の機能を拡張します。これには、レイヤー 7 アプリケーション タイプに基づく DSCP 値のマーキング、損失の優先度設定によるアプリケーションベースのトラフィックの受け入れ、レイヤー 7 アプリケーション タイプに基づくエグレス PIC での転送レートの制御が含まれます。
ネットワークに輻輳や遅延が発生した場合、一部のパケットをドロップする必要があります。Junos OS CoSを使用すると、トラフィックをクラスに分割し、輻輳が発生した場合にさまざまなレベルのスループットとパケットロスを提供できます。これにより、設定したルールに従ってパケットロスが発生する可能性があります。
テナントシステムでは、単一のデバイスを複数のドメインにパーティション分割して、セキュリティ機能とルーティング機能を実行できます。
Junos OS リリース 19.3R1 以降、SRX シリーズ ファイアウォールがテナント システムで設定されている場合、AppQoS がサポートされます。テナント システム内のアプリケーション トラフィック制御を管理するためのデフォルト AppQoS ルール セットを構成できます。AppQoSは、アプリケーショントラフィックの優先度を設定して測定する機能を提供し、ビジネスクリティカルまたは優先度の高いアプリケーショントラフィックに対してより優れたサービスを提供します。
AppQoS ルール セットは、アプリケーション認識型のサービス品質制御を実装するためにテナント システムに含まれています。アプリケーション トラフィック制御オプションの下でルール セットを使用してルール セットを構成し、AppQoS ルール セットをアプリケーション サービスとしてテナント システムにアタッチできます。トラフィックが指定されたアプリケーションに一致する場合、アプリケーション認識型のサービス品質がテナント システムに適用されます。
AppQoS では、定義された転送クラスをテナント システムの選択したアプリケーションに関連付けるルールに基づいてトラフィックがグループ化されます。ルールの一致条件には、1 つ以上のアプリケーションが含まれます。一致するアプリケーションからのトラフィックにルールが検出されると、ルール アクションは転送クラスを設定し、DSCP 値と損失の優先度をアプリケーションに適した値にリマークします。
AppQoS DSCPリライト機能は、転送クラスと損失の優先度の両方を通じて、パケットのサービス品質を伝えます。AppQoS レート制限パラメーターは、テナント システムの関連キューの送信速度とボリュームを制御します。デフォルトの AppQoS ルール・セットは、 階層レベルで [edit class-of-service application-traffic-control]
構成された既存の AppQoS ルール・セットのいずれかから利用されます。
レートリミッタは、テナントシステムのトラフィックのアプリケーションに基づいてルールに適用されます。各セッション client-to-server
には、 および server-to-client
の2つのレートリミッタが適用されます。この使用により、各方向のトラフィックを別々にプロビジョニングできます。
例:テナントシステムのアプリケーションサービス品質の設定
この例では、テナントシステム内のアプリケーションサービス品質(AppQoS)を有効にして、トラフィックの優先度とレート制限を提供する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
テナントシステムで設定されたSRXシリーズファイアウォール。
Junos OS リリース 19.3R1 以降のリリース。
開始する前に、以下を行います。
AppQos の全体的なサポートにおいて、この手順がどのように適合するかを、 テナント・システム向けアプリケーション・サービス品質の概要 で確認してください。
この機能を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
この例では、AppQoS ルール セットを構成し、テナント システムでアプリケーション サービスとして AppQoS を呼び出します。テナントシステムのサービスクラス(CoS)を設定します。AppQoS ルール セットは、アプリケーション認識型のサービス品質制御を実装するためにテナント システムに含まれています。
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルで [edit]
CLI にコピー アンド ペーストして、設定モードからコミットを入力します。
set tenants TSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512 set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000 set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any set tenants TSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
テナント システムを使用した AppQoS の設定
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイド の 設定モードでのCLIエディターの使用 を参照してください。
テナント システムの AppQoS を設定するには、次の手順に示します。
テナント システム TSYS1 の現在または最近のセッションのアプリケーション レート制限に関する AppQoS リアルタイム実行情報を設定します。
user@host# set tenants TSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512
テナント システム TSYS1 の AppQoS ルールとアプリケーション一致条件を設定します。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP
テナントシステムTSYS1のAppQoSルールと転送クラスを設定します。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort
テナント システム TSYS1 の AppQoS ルールと dscp コード ポイントを設定します。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000
テナント システム TSYS1 の AppQoS ルールと損失の優先度を設定します。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high
ルールセットにレートリミッタを割り当てます。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL
テナント・システム TSYS1 のセキュリティー・ポリシーにサービス・クラス・ルール・セットを割り当てます。
user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any user@host# set tenants TSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
結果
設定モードから、 コマンドを入力して設定を show tenants TSYS1
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host# show tenants TSYS1 security { policies { from-zone untrust to-zone trust { policy from_internet { match { source-address any; destination-address any; application any; } then { permit { application-services { application-traffic-control { rule-set RS1; } } } } } } from-zone trust to-zone trust { policy p1 { match { dynamic-application junos:web; } } } } } class-of-service { application-traffic-control { rate-limiters HTTP-BW-RL { bandwidth-limit 512; } rule-sets RS1 { rule RL1 { match { application junos:HTTP; } then { forwarding-class best-effort; dscp-code-point 001000; loss-priority high; rate-limit { server-to-client HTTP-BW-RL; } log; } } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
サービスクラスのアプリケーショントラフィック制御カウンターの検証
目的
テナントシステムのサービスクラスのアプリケーショントラフィック制御カウンターを検証します。
アクション
設定が正常に機能していることを確認するには、 コマンドを show class-of-service application-traffic-control counter tenant TSYS1
入力します。
user@host>show class-of-service application-traffic-control counter tenant TSYS1
Tenant System: TSYS1
pic: 0/0
Counter type Value
Sessions processed 1
Sessions marked 0
Sessions honored 0
Sessions rate limited 0
Client-to-server flows rate limited 0
Server-to-client flows rate limited 0
Session default ruleset hit 0
Session ignored no default ruleset 0
意味
出力には、AppQoS DSCP マーキングと、レイヤー 7 アプリケーション分類子に基づく統計の受け入れが表示されます。
サービスクラスのアプリケーショントラフィック制御統計レートリミッタの検証
目的
テナントシステムのサービスクラスのアプリケーショントラフィック制御統計レートリミッタを検証します。
アクション
設定が正常に機能していることを確認するには、 コマンドを show class-of-service application-traffic-control statistics rate-limiter tenant TSYS1
入力します。
user@host>show class-of-service application-traffic-control statistics rate-limiter tenant TSYS1
Tenant System: TSYS1
pic: 0/0
意味
出力には、現在または最近のセッションのアプリケーションレート制限に関するAppQoSリアルタイム実行情報が表示されます。