논리적 시스템을 위한 AppQoS
AppQoS(Application Quality of Service)를 사용하면 특정 애플리케이션에 대한 액세스를 식별하고 제어할 수 있으며, 스테이트풀 방화벽 룰 베이스를 세분화하여 애플리케이션 레이어에서 QoS(Quality of Service)를 일치시키고 적용할 수 있습니다. AppQoS 기능은 논리적 시스템에 대한 Junos OS CoS(Class of Service)의 기능을 확장합니다.
논리적 시스템을 위한 애플리케이션 서비스 품질 지원 개요
AppQoS(Application Quality of Service) 기능은 논리적 시스템에 대한 Junos OS CoS(class of service)의 기능을 확장합니다. 여기에는 레이어 7 애플리케이션 유형을 기반으로 DSCP 값을 표시하고, 손실 우선 순위 설정을 통해 애플리케이션 기반 트래픽을 지정하며, 레이어 7 애플리케이션 유형을 기반으로 송신 PIC의 전송 속도를 제어하는 것이 포함됩니다.
네트워크가 혼잡과 지연을 경험하면 일부 패킷을 삭제해야 합니다. Junos OS CoS를 통해 트래픽을 클래스로 나누고 혼잡이 발생할 때 다양한 수준의 처리량과 패킷 손실을 제공할 수 있습니다. 이를 통해 구성하는 규칙에 따라 패킷 손실이 발생할 수 있습니다.
논리적 시스템을 사용하면 단일 디바이스를 여러 도메인으로 분할하여 보안 및 라우팅 기능을 수행할 수 있습니다.
릴리스 19.3R1 Junos OS 시작 시, SRX 시리즈 방화벽이 논리적 시스템으로 구성된 경우 AppQoS가 지원됩니다. 기본 AppQoS 규칙 세트를 구성하여 논리적 시스템 내에서 애플리케이션 트래픽 제어를 관리할 수 있습니다. AppQoS는 애플리케이션 트래픽의 우선순위를 정하고 측정할 수 있는 기능을 제공하여 비즈니스 크리티컬 또는 우선 순위가 높은 애플리케이션 트래픽에 더 나은 서비스를 제공합니다.
AppQoS 규칙 세트는 애플리케이션 인식 서비스 품질 제어를 구현하기 위해 논리적 시스템에 포함되어 있습니다. application-traffic-control 옵션에 따라 규칙 세트를 구성하고 AppQoS 규칙을 애플리케이션 서비스로 논리 시스템에 연결할 수 있습니다. 트래픽이 지정된 애플리케이션과 일치하면 애플리케이션 인식 서비스 품질이 논리적 시스템에 적용됩니다.
AppQoS의 경우, 트래픽은 정의된 포워딩 클래스를 논리적 시스템에 대해 선택한 애플리케이션과 연결하는 규칙을 기반으로 그룹화됩니다. 규칙에 대한 일치 기준에는 하나 이상의 애플리케이션이 포함됩니다. 일치하는 애플리케이션의 트래픽에 규칙이 발생하면 규칙 작업이 포워딩 클래스를 설정하고 애플리케이션에 적합한 값에 DSCP 값 및 손실 우선순위를 설명합니다.
AppQoS DSCP 리라이터는 포워딩 클래스와 손실 우선순위 모두를 통해 패킷의 서비스 품질을 전달합니다. AppQoS 속도 제한 매개 변수는 논리적 시스템에 대한 관련 대기열의 전송 속도와 볼륨을 제어합니다. 기본 AppQoS 규칙 세트는 계층 수준에서 구성된 [edit class-of-service application-traffic-control]
기존 AppQoS 규칙 세트 중 하나에서 활용됩니다.
속도 제한기는 논리적 시스템에 대한 트래픽 애플리케이션을 기반으로 규칙에 적용됩니다. 각 세션 client-to-server
에 및 server-to-client
에 대해 두 개의 속도 제한자가 적용됩니다. 이러한 사용으로 각 방향의 트래픽을 별도로 프로비저닝할 수 있습니다.
예: 논리적 시스템에 대한 애플리케이션 서비스 품질 구성
이 예는 논리적 시스템 내에서 AppQoS(Application Quality of Service)를 활성화하여 트래픽에 대한 우선 순위 지정 및 속도 제한을 제공하는 방법을 보여줍니다.
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
논리적 시스템으로 구성된 SRX 시리즈 방화벽.
릴리스 19.3R1 이상에서 Junos OS.
시작하기 전에 다음을 수행합니다.
논리 시스템에 대한 애플리케이션 서비스 품질 지원 개요를 읽고 이 절차가 AppQos에 대한 전반적인 지원에 적합한 방법과 위치를 파악합니다.
이 기능을 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서 AppQoS 규칙 세트를 구성하고 논리적 시스템에서 AppQoS를 애플리케이션 서비스로 호출합니다. 논리적 시스템에 대한 서비스 등급(CoS)을 구성합니다. AppQoS 규칙 세트는 애플리케이션 인식 서비스 품질 제어를 구현하기 위해 논리적 시스템에 포함되어 있습니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit]
로 복사해 붙여 넣은 다음, 구성 모드에서 commit을 입력합니다.
set logical-systems LSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512 set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000 set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any set logical-systems LSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
논리적 시스템으로 AppQoS 구성
단계별 절차
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
논리적 시스템으로 AppQoS를 구성하려면,
논리적 시스템 LSYS1에 대한 현재 또는 최근 세션의 애플리케이션 속도 제한에 대한 AppQoS 실시간 실행 정보를 구성합니다.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512
논리적 시스템 LSYS1에 대한 AppQoS 규칙 및 애플리케이션 일치 기준을 구성합니다.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP
논리적 시스템 LSYS1에 대한 AppQoS 규칙 및 포워딩 클래스를 구성합니다.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort
논리적 시스템 LSYS1에 대한 AppQoS 규칙 및 dscp-code-point를 구성합니다.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000
AppQoS 규칙 및 논리적 시스템 LSYS1의 손실 우선순위를 구성합니다.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high
규칙 세트에 대해 속도 제한기를 할당합니다.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL
논리적 시스템 LSYS1의 보안 정책에 설정된 서비스 등급 규칙을 할당합니다.
user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any user@host# set logical-systems LSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
결과
구성 모드에서 명령을 입력하여 구성을 확인합니다 show logical-systems LSYS1
. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.
user@host# show logical-systems LSYS1 security { policies { from-zone untrust to-zone trust { policy from_internet { match { source-address any; destination-address any; application any; } then { permit { application-services { application-traffic-control { rule-set RS1; } } } } } } from-zone trust to-zone trust { policy p1 { match { dynamic-application junos:web; } } } } } class-of-service { application-traffic-control { rate-limiters HTTP-BW-RL { bandwidth-limit 512; } rule-sets RS1 { rule RL1 { match { application junos:HTTP; } then { forwarding-class best-effort; dscp-code-point 001000; loss-priority high; rate-limit { server-to-client HTTP-BW-RL; } log; } } } } }
디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit
.
확인
구성이 제대로 작동하는지 확인하려면 아래 작업을 수행하십시오.
서비스 등급 애플리케이션 트래픽 제어 카운터 확인
목적
논리적 시스템에 대한 서비스 등급 애플리케이션 트래픽 제어 카운터를 확인합니다.
작업
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show class-of-service application-traffic-control counter logical-system LSYS1
.
user@host>show class-of-service application-traffic-control counter logical-system LSYS1
Logical System: LSYS1
pic: 0/0
Counter type Value
Sessions processed 1
Sessions marked 0
Sessions honored 0
Sessions rate limited 0
Client-to-server flows rate limited 0
Server-to-client flows rate limited 0
Session default ruleset hit 0
Session ignored no default ruleset 0
의미
출력에는 레이어 7 애플리케이션 분류자 기반 AppQoS DSCP 마킹 및 명예 통계가 표시됩니다.
서비스 등급 애플리케이션-트래픽 제어 통계 속도 제한기 확인
목적
논리적 시스템에 대한 서비스 등급 애플리케이션-트래픽 제어 통계 속도 제한기를 확인합니다.
작업
구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show class-of-service application-traffic-control statistics rate-limiter logical-system LSYS1
.
user@host>show class-of-service application-traffic-control statistics rate-limiter logical-system LSYS1
Logical System: LSYS1
pic: 0/0
의미
출력에는 현재 또는 최근 세션의 애플리케이션 속도 제한에 대한 AppQoS 실시간 실행 정보가 표시됩니다.