EN ESTA PÁGINA
Descripción de la calidad del servicio de las aplicaciones (AppQoS)
Ejemplo: configuración de la calidad del servicio de las aplicaciones
Calidad de la aplicación de soporte de servicio para políticas unificadas
Ejemplo: configuración de la calidad del servicio de la aplicación con políticas unificadas
Aplicación QoS
AppQoS le permite identificar y controlar el acceso a aplicaciones específicas y proporciona la granularidad de la base de reglas de firewall stateful para hacer coincidir y aplicar calidad del servicio (QoS) en la capa de aplicación. Para obtener más información, consulte los siguientes temas:
Descripción de la calidad del servicio de las aplicaciones (AppQoS)
La función de calidad del servicio de aplicación (AppQoS) expande la capacidad de Junos OS clase de servicio (CoS) para incluir marcar valores DSCP según tipos de aplicaciones de capa 7, respetar el tráfico basado en aplicaciones mediante la configuración de prioridad de pérdida y controlar las tasas de transferencia en LASIC de salida según tipos de aplicaciones de capa 7.
Hay cuatro maneras de marcar los valores DSCP en el dispositivo de seguridad:
DPI reescritura DSCP basada en acciones de ataque
Reescrituras DSCP basadas en aplicaciones de capa 7
Reescrituras DSCP basadas en ALG
ReescriturasDSCP basadas en filtros de firewall
DPI comentarios se realiza en el puerto de entrada según las DPI estándar. La observación de aplicaciones se lleva a cabo en el puerto de salida según reglas de aplicación. Los comentarios basados en interfaces también se producen en el puerto de salida según reglas de filtro de firewall. (Consulte la Guía del usuario de clase de servicio (dispositivos de seguridad) para obtener una descripción detallada de las Junos OS de CoS.)
Las decisiones de observación de estas tres reescritoras pueden ser diferentes. Si un paquete activa los tres, el método que tiene prioridad se basa en la profundidad del contenido del paquete que se lleva a cabo la coincidencia. DPI comentarios tiene prioridad sobre los comentarios de aplicaciones, los cuales tienen prioridad sobre los comentarios basados en interfaces.
Si un paquete activa las reescrituras DSCP basadas en AppQoS y ALG, AppQoS tiene prioridad sobre las reescrituras DSCP basadas en ALG.
La reescritura DSCP de AppQoS transmite el nivel de calidad del servicio paquete a través de la clase de reenvío y una prioridad de pérdida. Los parámetros de limitación de velocidad de AppQoS controlan la velocidad y el volumen de transmisión para sus colas asociadas.
- Beneficios de las aplicaciones QoS
- Clases de reenvío únicas y asignaciones de colas
- Configuración de punto de código y prioridad de pérdida de DSCP que está al tanto de las aplicaciones
- Limitadores de velocidad y perfiles
- Asignación de limitador de velocidad
- Medidas de limitación de velocidad
- Configuración de política de seguridad de AppQoS
Beneficios de las aplicaciones QoS
AppQoS proporciona la capacidad de priorizar y medir el tráfico de la aplicación para proporcionar un mejor servicio para vitales para el negocio tráfico de aplicaciones de alta prioridad.
Clases de reenvío únicas y asignaciones de colas
La clase de reenvío proporciona tres funciones:
Agrupa paquetes con características similares
Asigna colas de salida
Resuelve los conflictos con los reescritores Junos OS firewall existentes basados en filtros
Los nombres de clase de reenvío únicos protegen que los comentarios de AppQoS no se sobrescriban mediante reglas de reescritura basadas en interfaces. Una reescritura basada en filtros de firewall comentarios sobre el valor DSCP de un paquete si la clase de reenvío del paquete coincide con una clase definida específicamente para esta reescritura. Si la clase de reenvío del paquete no coincide con ninguna de las clases de reescritura basadas en filtros del firewall, no se comenta el valor DSCP. Por lo tanto, para proteger los valores de AppQoS de que no se sobrescriban, utilice nombres de clase de reenvío desconocidos para la reescritura basada en filtros del firewall.
Cada clase de reenvío se asigna a una cola de salida que proporciona el grado adecuado de procesamiento mejorado o estándar. Se pueden asignar muchas clases de reenvío a una sola cola. Por lo tanto, cualquier cola definida para el dispositivo se puede utilizar DPI, AppQoS y reescritores basados en filtros de firewall. Es el nombre de clase de reenvío, no la cola, el que distingue la prioridad de transmisión. (Consulte la Guía del usuario de clase de servicio (dispositivos de seguridad) para obtener información acerca de la configuración de colas y programadores.)
Para SRX5400, SRX5600 y SRX5800, los nombres de clase y las asignaciones de colas de reenvío de AppQoS se definen con el comando class-of-service CLI configuración:
[edit class-of-service] user@host# set forwarding-classes class forwarding-class-name queue-num queue-number
Para los dispositivos SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500, SRX4100, SRX4200 y SRX4600 y vSRX, los nombres de clase y las asignaciones de colas de reenvío de AppQoS se definen con el comando de configuración class-of-service CLI:
[edit class-of-service] user@host# set forwarding-classes queue queue-number forwarding-class-name
Configuración de punto de código y prioridad de pérdida de DSCP que está al tanto de las aplicaciones
Para AppQoS, el tráfico se agrupa según reglas que asocian una clase de reenvío definida a las aplicaciones seleccionadas. Los criterios de coincidencia de la regla incluyen una o más aplicaciones. Cuando el tráfico de una aplicación que coincide encuentra con la regla, la acción de la regla establece la clase de reenvío y señala el valor DSCP y la prioridad de pérdida a los valores adecuados para la aplicación.
Un valor de punto de código de servicios diferenciados (DiffServ) (DSCP) se especifica en la regla ya sea mediante un valor de mapa de bits de 6 bits o por un alias definido por el usuario o predeterminado. La tabla 1 proporciona una lista de nombres Junos OS de alias DSCP predeterminados y valores de mapa de bits.
Alias |
Valor de bits |
|---|---|
Ef |
101110 |
af11 |
001010 |
af12 |
001100 |
af13 |
001110 |
af21 |
010010 |
af22 |
010100 |
af23 |
010110 |
af31 |
011010 |
af32 |
011100 |
af33 |
011110 |
af41 |
100010 |
af42 |
100100 |
af43 |
100110 |
Ser |
000000 |
cs1 |
001000 |
cs2 |
010000 |
cs3 |
011000 |
cs4 |
100000 |
Cs5 |
101000 |
nc1/cs6 |
110000 |
nc2/cs7 |
111000 |
Consulte Valores y alias CS predeterminados para obtener más detalles.
El programador de la cola utiliza la prioridad de pérdida para controlar el descarte de paquetes durante períodos de congestión mediante la asociación de perfiles de pérdida con valores de prioridad de pérdida determinados. (Consulte la Guía del usuario de clase de servicio (dispositivos de seguridad) para obtener información acerca de la configuración de colas y programadores.)
La regla aplica una prioridad de pérdida a los grupos de tráfico. Una prioridad de pérdida elevada significa una alta probabilidad de que el paquete se pueda perder durante un período de congestión. Hay cuatro niveles de prioridad de pérdida disponibles:
highmedium-highmedium-lowlow
El conjunto de reglas se define en el class-of-service application-traffic-control comando de configuración:
[edit class-of-service] user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 match application application-name application-name ... user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 match application-group application-group-name application-group-name ... user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 then forwarding-class fc-name user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 then dscp-code-point bitmap user@host# set application-traffic-control rule-sets ruleset-name rule rule-name1 then loss-priority loss-pri-value
Limitadores de velocidad y perfiles
Cuando se produce una congestión, AppQoS implementa la limitación de velocidad en todas las CPC de salida del dispositivo. Si los paquetes superan las limitaciones asignadas, se descartan. Los limitadores de velocidad mantienen un nivel coherente de transferencia de datos y sensibilidad de pérdida de paquetes para diferentes clases de tráfico. Todas las CPC de salida emplean el mismo esquema de limitación de velocidad.
El ancho de banda total de una PIC es de unos 10 Gbps. El hardware de limitador de velocidad para la PIC puede aprovisionar hasta 2 Gbps. Por lo tanto, el límite de ancho de banda superior para la limitación de velocidad es de2 31 bps.
Un perfil de limitador de velocidad define las limitaciones. Es una combinación única de y bandwidth-limit burst-size-limit especificaciones. Define bandwidth-limit la cantidad máxima de kilobits por segundo que pueden atravesar el puerto. Define burst-size-limit la cantidad máxima de bytes que pueden atravesar el puerto en una sola ráfaga. Esto burst-size-limit reduce el hambre de tráfico de menor prioridad al garantizar un tamaño finito para cada ráfaga.
AppQoS permite hasta 16 perfiles y hasta 1000 limitadores de velocidad por dispositivo. Varios limitadores de velocidad pueden usar el mismo perfil. En el ejemplo siguiente, se definen cinco limitadores de velocidad mediante dos perfiles:
Nombre del limitador de velocidad |
Perfil |
|
|---|---|---|
límite de ancho de banda |
límite de tamaño de ráfaga |
|
limitador-1 |
200 |
26000 |
limitador-2 |
200 |
26000 |
limitador-3 |
200 |
26000 |
limitador-4 |
400 |
52000 |
limitador-5 |
400 |
52000 |
Los limitadores de velocidad se definen con el class-of-service application-traffic-control comando de configuración.
[edit class-of-service] user@host# set application-traffic-control rate-limiters rate-limiter-name bandwidth-limit value-in-Kbps burst-rate-limit value-in-bytes
Asignación de limitador de velocidad
Los limitadores de velocidad se aplican en reglas basadas en la aplicación del tráfico. Se aplican dos limitadores de velocidad para cada sesión: client-to-server y server-to-client . Este uso permite que el tráfico en cada dirección se aprovisione por separado.
El procesamiento del ancho de banda del tráfico por limitadores de velocidad se realiza a nivel del paquete independientemente de la dirección del tráfico. Por ejemplo: considere un caso en el que solo tiene un limitador de velocidad de 10 G configurado, si el tráfico de entrada y salida se encuentra desde la misma tarjeta de línea, entonces la transferencia de datos (tráfico máximo de las direcciones de entrada y salida combinadas) solo puede ser de hasta 10 G y no de 20 G. Sin embargo, si el dispositivo tiene compatibilidad con IOC (en caso de dispositivos de línea SRX5000 y dispositivos SRX4600) y el tráfico de entrada pasa por un IOC y un tráfico de salida a través de otro COI, entonces con un limitador de velocidad único de 10G configurado, puede esperar una transferencia de datos de 20 G.
Diferentes reglas appQoS dentro del mismo conjunto de reglas pueden compartir un limitador de velocidad. En este caso, las aplicaciones de esas reglas comparten el mismo ancho de banda. No existen limitaciones en el número de reglas de un conjunto de reglas que pueden asignar el mismo limitador de velocidad.
En los ejemplos siguientes se muestra cómo se podrían asignar los limitadores de velocidad definidos en la sección anterior. Por ejemplo, un conjunto de reglas puede reutilizar un limitador de velocidad en varias reglas y en una o ambas direcciones de flujo:
rule-set-1
regla 1A
limitador de cliente a servidor-1
limitador de servidor a cliente-1
rule-1B
limitador de cliente a servidor-1
limitador de servidor a cliente-1
Si se necesitan los mismos perfiles en varios conjuntos de reglas, debe definirse un número suficiente de limitadores de velocidad especificando los bandwidth-limit mismos y burst-size-limit . Las dos reglas del ejemplo siguiente implementan los mismos perfiles asignando limitadores de velocidad diferentes, pero comparables.
rule-set-2
regla 2A
limitador de cliente a servidor-2
limitador de servidor a cliente-2
rule-2B
limitador de cliente a servidor-2
limitador de servidor a cliente-4
rule-set-3
regla 3A
limitador de cliente a servidor-3
limitador de servidor a cliente-3
rule-3B
limitador de cliente a servidor-3
limitador de servidor a cliente-5
Se aplica un limitador de velocidad mediante el comando de la misma manera en que se establecen una clase de reenvío, un valor DSCP y una edit class-of-service application-traffic-control rule-sets prioridad de pérdida.
[edit class-of-service] user@host# set application-traffic-control rule-sets rule-set-name rule rule-name1 then rate-limit client-to-server rate-limiter1 server-to-client rate-limiter2
Si tanto AppQoS como la limitación de velocidad basada en filtros de firewall se implementan en la PIC de salida, se tienen en cuenta ambas. La limitación de velocidad de AppQoS se considera la primera. La limitación de velocidad basada en filtros de firewall se produce después de eso.
Si los paquetes se caen de una PIC, el dispositivo no envía notificaciones al cliente o al servidor. Las aplicaciones de nivel superior del cliente y los dispositivos del servidor son responsables de la retransmisión y el manejo de errores.
Medidas de limitación de velocidad
Según el tipo de dispositivo de seguridad, las reglas de AppQoS se pueden configurar con diferentes acciones de limitación de velocidad:
Deseche
Cuando se selecciona esta opción, los paquetes fuera de perfil se descartan.
Este es el tipo de acción predeterminado y no se debe configurar.
Esta opción se admite en todos los dispositivos de la serie SRX.
Prioridad máxima de pérdida
Cuando se selecciona esta opción, eleva la prioridad de pérdida al máximo. En otras palabras, es una caída retardada; es decir, la decisión de descarte se toma en el nivel de la cola de salida. Si no hay congestión, permite el tráfico incluso con la prioridad máxima de pérdida. Pero si se produce una congestión, primero se pierden estos paquetes de prioridad de pérdida máxima.
Esta opción se debe configurar dentro de la regla AppQoS (para anular la acción predeterminada) con el siguiente comando:
[edit] user@host# set class-of-service application-traffic-control rule-sets rset-01 rule r1 then rate-limit loss-priority-high
Esta opción solo se admite en para SRX300, SRX320, SRX340, SRX345.
Configuración de política de seguridad de AppQoS
El conjunto de reglas de AppQoS se puede implementar en una política existente o en una política de aplicación específica.
[edit security policies from-zone zone-name to-zone zone-name]
user@host# set policy policy-name match source-address IP-address
user@host# set policy policy-name match destination-address IP-address
user@host# set policy policy-name match application application-name application-name
user@host# set policy policy-name then permit application-services application-traffic-control rule-set app-rule-set-name
Consulte también
Ejemplo: configuración de la calidad del servicio de las aplicaciones
En este ejemplo, se muestra cómo habilitar la priorización de AppQoS y la limitación de velocidad dentro de una política.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, AppQoS se implementa de manera que las aplicaciones FTP se limitan a un nivel por debajo de la transferencia de datos especificada, mientras que otras aplicaciones se transmiten a un nivel de velocidad y prioridad de pérdida más convencional.
Configuración
Procedimiento
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en el CLI en el nivel de jerarquía [edit].
set class-of-service forwarding-classes queue 4 my-app-fc set class-of-service application-traffic-control rate-limiters test-rl bandwidth-limit 100 set class-of-service application-traffic-control rate-limiters test-rl burst-size-limit 13000 set class-of-service application-traffic-control rate-limiters test-r2 bandwidth-limit 200 set class-of-service application-traffic-control rate-limiters test-r2 burst-size-limit 26000 set class-of-service application-traffic-control rule-sets app-test1 rule 0 match application junos:FTP set class-of-service application-traffic-control rule-sets app-test1 rule 0 match application junos:HTTP set class-of-service application-traffic-control rule-sets app-test1 rule 0 then forwarding-class my-app-fc set class-of-service application-traffic-control rule-sets app-test1 rule 0 then dscp-code-point af22 set class-of-service application-traffic-control rule-sets app-test1 rule 0 then loss-priority low set class-of-service application-traffic-control rule-sets app-test1 rule 0 then rate-limit client-to-server test-r2 set class-of-service application-traffic-control rule-sets app-test1 rule 0 then rate-limit server-to-client test-r2 set class-of-service application-traffic-control rule-sets app-test1 rule 0 then log set class-of-service application-traffic-control rule-sets app-test1 rule 1 match application-any set class-of-service application-traffic-control rule-sets app-test1 rule 1 then rate-limit client-to-server test-r2 set class-of-service application-traffic-control rule-sets app-test1 rule 1 then rate-limit server-to-client test-r2 set class-of-service application-traffic-control rule-sets app-test1 rule 1 then log set security policies from-zone trust to-zone untrust policy p1 match source-address any set security policies from-zone trust to-zone untrust policy p1 match destination-address any set security policies from-zone trust to-zone untrust policy p1 match application any set security policies from-zone trust to-zone untrust policy p1 then permit application-services application-traffic-control rule-set ftp-test1
Procedimiento paso a paso
Para configurar una AppQoS en su dispositivo de seguridad:
-
Defina una o más clases de reenvío dedicadas al marcado AppQoS. En este ejemplo, una sola clase de reenvío, my-app-fc, se define y se asigna a la cola 4.
[edit] user@host# set class-of-service forwarding-classes queue 4 my-app-fc
Para SRX5400, SRX5600 y SRX5800 dispositivos, use el
set class-of-service forwarding-classes class my-app-fc queue 4comando.Juniper Networks dispositivos compatibles con ocho colas (de 0 a 7). Las colas predeterminadas del 0 al 3 se asignan a las clases de reenvío predeterminadas. Las colas del 4 al 7 no tienen asignaciones predeterminadas a FCs y no están asignadas. Para utilizar las colas del 4 al 7, debe crear nombres FC personalizados y asignarlos a las colas. Para obtener más información, consulte Descripción general de clases de reenvío.
Defina limitadores de velocidad. En este ejemplo, se definen dos limitadores de velocidad.
[edit] user@host# set class-of-service application-traffic-control rate-limiters test-rl bandwidth-limit 100 user@host# set class-of-service application-traffic-control rate-limiters test-rl burst-size-limit 13000 user@host# set class-of-service application-traffic-control rate-limiters test-r2 bandwidth-limit 200 user@host# set class-of-service application-traffic-control rate-limiters test-r2 burst-size-limit 26000
Para los dispositivos SRX5400, SRX5600 y SRX5800, puede definir hasta 1000 limitadores de velocidad para un dispositivo, pero solo 16 perfiles (combinaciones únicas de límite de ancho de banda y límite de tamaño de ráfaga).
-
Defina reglas de AppQos y criterios de coincidencia de aplicaciones.
[edit] user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 match application junos:FTP user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 match application junos:HTTP user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then forwarding-class my-app-fc user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then dscp-code-point af22 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then loss-priority low user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then rate-limit client-to-server test-r1 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then rate-limit server-to-client test-r1 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 0 then log
En este ejemplo, cuando se hace una coincidencia, el paquete se marca con la clase de reenvío my-app-fc, el valor DSCP de af22 y una prioridad de pérdida de bajo. Asignamos el mismo limitador de velocidad en ambas direcciones.
Puede asignar un limitador de velocidad a una o ambas direcciones de tráfico en una sola regla. También puede asignar un mismo limitador de velocidad a otras reglas dentro de un conjunto de reglas. Sin embargo, no puede asignar un mismo limitador de velocidad a un conjunto de reglas diferente.
-
Defina otra regla para controlar paquetes de aplicaciones que no coincidan con la regla anterior. En este ejemplo, se aplica una segunda y última regla a todas las aplicaciones restantes.
[edit] user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 1 match application-any user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 1 then rate-limit client-to-server test-r2 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 1 then rate-limit server-to-client test-r2 user@host# set class-of-service application-traffic-control rule-sets app-test1 rule 1 then log
-
Agregue la configuración AppQoS a la política de seguridad.
[edit] user@host# set security policies from-zone trust to-zone untrust policy p1 match source-address any user@host# set security policies from-zone trust to-zone untrust policy p1 match destination-address any user@host# set security policies from-zone trust to-zone untrust policy p1 match application any user@host# set security policies from-zone trust to-zone untrust policy p1 then permit application-services application-traffic-control rule-set app-test1
Resultados
Desde el modo de configuración, escriba el comando y para confirmar la configuración de show security policies show class-of-service la política. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
Para una brevedad, este show resultado del comando solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración del sistema se reemplazó por puntos suspensivos (...).
...
policy p1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set app-test1
}
}
}
}
}
...
user@host# show class-of-service
forwarding-classes {
queue 4 my-app-fc;
}
application-traffic-control {
rate-limiters test-rl {
bandwidth-limit 100;
burst-size-limit 13000;
}
rate-limiters test-r2 {
bandwidth-limit 200;
burst-size-limit 26000;
}
rule-sets app-test1 {
rule 0 {
match {
application [junos:FTP junos:HTTP];
}
then {
forwarding-class my-app-fc;
dscp-code-point af22;
loss-priority low;
rate-limit {
client-to-server test-r2;
server-to-client test-r2;
}
log;
}
}
rule 1 {
match {
application-any;
}
then {
rate-limit {
client-to-server test-r2;
server-to-client test-r2;
}
log;
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Verificar la configuración de la sesión de flujo
- Verificar estadísticas de sesión
- Verificar estadísticas de limitador de velocidad
- Verificar estadísticas de reglas
Verificar la configuración de la sesión de flujo
Propósito
Compruebe que AppQoS está habilitado.
Acción
Desde el modo operativo, escriba el show security flow session application-traffic-control extensive comando.
user@host> show security flow session application-traffic-control extensive
Session ID: 3729, Status: Normal, State: Active
Flag: 0x40
Policy name: p1
Source NAT pool: Null
Dynamic application: junos:FTP
Application traffic control rule-set: app-test1, Rule: rule0
Maximum timeout: 300, Current timeout: 276
Session State: Valid
Start time: 18292, Duration: 603536
In: 192.0.2.1/1 --> 203.0.113.0/1;pim,
Interface: reth1.0,
Session token: 0x1c0, Flag: 0x0x21
Route: 0x0, Gateway: 192.0.2.4, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 21043, Bytes: 1136322
Out: 203.0.113.0/1 --> 192.0.2.0/1;pim,
Interface: .local..0,
Session token: 0x80, Flag: 0x0x30
Route: 0xfffd0000, Gateway: 192.0.2.0, Tunnel: 0
Port sequence: 0, FIN sequence: 0,
FIN state: 0,
Pkts: 0, Bytes: 0
Significado
La entrada para el control de tráfico de la aplicación identifica el conjunto de reglas y la regla de la sesión actual.
Verificar estadísticas de sesión
Propósito
Compruebe que las estadísticas de sesión de AppQoS se acumulan en cada nodo de salida.
Acción
Desde el modo operativo, escriba el show class-of-service application-traffic-control counter comando.
user@host> show class-of-service application-traffic-control counter pic: 2/1 Counter type Value Sessions processed 300 Sessions marked 200 Sessions honored 0 Sessions rate limited 100 Client-to-server flows rate limited 100 Server-to-client flows rate limited 100 pic: 2/0 Counter type Value Sessions processed 400 Sessions marked 300 Sessions honored 0 Sessions rate limited 200 Client-to-server flows rate limited 200 Server-to-client flows rate limited 200
Significado
Las estadísticas appQoS solo se mantienen si el servicio de control de tráfico de aplicaciones está habilitado. La cantidad de sesiones procesadas, marcadas y honoradas muestra que las sesiones se están dirigidas según las características configuradas de AppQoS. Las estadísticas de limitación de velocidad cuentan la cantidad de flujos direccionales de sesión que se han limitado en la velocidad.
Verificar estadísticas de limitador de velocidad
Propósito
Compruebe que el ancho de banda está siendo limitado de la forma esperada cuando se encuentra la aplicación FTP.
Acción
Desde el modo operativo, escriba el show class-of-service application-traffic-control statistics rate-limiter comando.
user@host> show class-of-service application-traffic-control statistics rate-limiter pic: 2/1 Ruleset Application Client-to-server Rate(kbps) Server-to-client Rate(kbps) app-test1 HTTP test-r2 200 test-r2 200 app-test1 HTTP test-r2 200 test-r2 200 appp–test1 FTP test-r1 100 test-r1 100
Significado
La información de límite de ancho de banda de la aplicación en tiempo real para cada PIC se muestra mediante un conjunto de reglas. Este comando indica que las aplicaciones tienen una velocidad limitada y el perfil que se está aplicando.
Verificar estadísticas de reglas
Propósito
Compruebe que la regla coincide con las estadísticas de la regla.
Acción
Desde el modo operativo, escriba el show class-of-service application-traffic-control statistics rule comando.
user@host>show class-of-service application-traffic-control statistics rule pic: 2/1 Ruleset Rule Hits app-test1 0 100 app-test1 1 200 ... pic: 2/0 Ruleset Rule Hits app-test1 0 100 app-test1 1 200
Significado
Este comando proporciona información sobre el número de aciertos (sesión) de una regla según cada conjunto de reglas.
Calidad de la aplicación de soporte de servicio para políticas unificadas
A partir de Junos OS versión 18.2R1, los dispositivos serie SRX y las instancias de vSRX admiten políticas unificadas, lo que permite el control granular y la aplicación de aplicaciones dinámicas de capa 7 dentro de la política de seguridad tradicional.
Las políticas unificadas son las políticas de seguridad que le permiten usar aplicaciones dinámicas como parte de las condiciones de coincidencia existentes de 5 o 6 tuplas (5 tuplas con un firewall de usuario) para detectar cambios en las aplicaciones con el tiempo.
El calidad del servicio aplicación (AppQoS) se admite cuando el dispositivo de seguridad está configurado con políticas unificadas. Puede configurar una regla AppQoS predeterminada para administrar los conflictos de políticas unificadas si varias políticas de seguridad coinciden con el tráfico.
Los conjuntos de reglas de AppQoS se incluyen en la política unificada para implementar un control de calidad de servicio que tenga en cuenta las aplicaciones. Puede configurar un conjunto de reglas con reglas en la opción y asociar la regla AppQoS establecida a una política de seguridad unificada application-traffic-control como servicio de aplicaciones. Si el tráfico coincide con la aplicación dinámica especificada y se permite la acción de política, se aplicará la política calidad del servicio aplicación.
Observe la siguiente funcionalidad de AppQoS en políticas unificadas:
Actualizar de la política de seguridad tradicional a una política unificada: en una política unificada, cuando se configura la opción como , el conjunto de reglas de AppQoS se aplica durante la coincidencia de política de seguridad y
dynamic-applicationel AppQoS busca la regla correspondiente para el tráficononeidentificado. Este es el mismo comportamiento para la funcionalidad de AppQoS en Junos OS versiones anteriores a la versión 18.2R1.Regla appQoS con una política unificada: en la configuración del control de tráfico de la aplicación, el conjunto de reglas de AppQoS se configura con la condición de coincidencia como y en la política unificada, se usa una aplicación dinámica específica como condición de coincidencia y, luego, la funcionalidad de AppQoS funciona según la regla de la política
application-anyunificada.
- Descripción del conjunto de reglas de calidad de servicio predeterminadas de las aplicaciones para políticas unificadas
- Configuración predeterminada de la calidad de servicio de la aplicación en diferentes escenarios
- Limitación de appQoS con políticas unificadas
Descripción del conjunto de reglas de calidad de servicio predeterminadas de las aplicaciones para políticas unificadas
Puede configurar una regla predeterminada de AppQoS para administrar los conflictos de políticas de seguridad.
La fase inicial de búsqueda de políticas se produce antes de identificar una aplicación dinámica. Si hay varias políticas presentes en la lista de políticas potencial que contienen distintos conjuntos de reglas AppQoS, el dispositivo de seguridad aplica el conjunto de reglas appQoS predeterminado hasta que se haya producido una coincidencia más explícita.
Puede establecer una AppQoS como una regla AppQoS predeterminada establecida en el edit security ngfw nivel jerárquico. El conjunto de reglas AppQoS predeterminado se aprovecha de uno de los conjuntos de reglas de AppQoS existentes, los cuales se configuran bajo el [edit class-of-service application-traffic-control] nivel jerárquico.
En la tabla 2 se resume el uso de la regla predeterminada de AppQoS establecida en diferentes escenarios en una política unificada.
Estado de identificación de la aplicación |
Uso del conjunto de reglas AppQoS |
Acción |
|---|---|---|
Sin conflictos de políticas de seguridad. |
La regla AppQoS establecida en la jerarquía [ ] se |
AppQoS se aplica como en el conjunto de reglas de AppQoS. |
Los conflictos de políticas de seguridad y las políticas en conflicto tienen conjuntos de reglas AppQoS distintos. |
El conjunto de reglas AppQoS predeterminado no está configurado o no se encuentra. |
La sesión se pasa por alto porque no está configurado el perfil appQoS predeterminado. Como resultado, incluso si la política coincidente final en el caso de conflicto de políticas tiene un conjunto de reglas AppQoS, este conjunto de reglas no se aplica. Recomendamos configurar un conjunto de reglas AppQoS predeterminado para administrar los conflictos de políticas de seguridad. |
El conjunto de reglas AppQoS predeterminado está configurado. |
AppQoS se aplica como en el conjunto de reglas appQoS predeterminado. |
|
Se identifica la aplicación final |
La política de seguridad de coincidencia tiene un conjunto de reglas AppQoS, el cual es igual que el conjunto predeterminado de reglas AppQoS. |
AppQoS se aplica como en el conjunto de reglas appQoS predeterminado. |
La política de seguridad de coincidencia no tiene un conjunto de reglas AppQoS. |
No se aplica el conjunto de reglas appQoS predeterminado y no se aplica AppQoS a la sesión. |
|
La política de seguridad de coincidencia tiene una regla AppQoS distinta del conjunto predeterminado de reglas AppQoS, que ya se aplicó. |
El conjunto de reglas appQoS predeterminado permanece como el conjunto predeterminado de reglas AppQoS. |
Cuando se aplica un conjunto de reglas AppQoS predeterminado al tráfico y la política de seguridad final tiene un conjunto de reglas AppQoS diferente, en tales casos no se admite la conmutación de la regla appQoS predeterminada establecida a la regla AppQoS establecida en la política de seguridad final.
Configuración predeterminada de la calidad de servicio de la aplicación en diferentes escenarios
Los siguientes vínculos son para ejemplos que analizan los conjuntos de reglas de AppQoS predeterminados en diferentes escenarios:
En la tabla 3 se muestran distintos conjuntos de reglas appQoS configurados para políticas unificadas con aplicaciones dinámicas como condición de coincidencia.
Política de seguridad |
Zona de origen |
Dirección IP de origen |
Zona de destino |
Dirección IP de destino |
Número de puerto |
Protocolo |
Aplicación dinámica |
Servicio |
Conjunto de reglas AppQoS |
|---|---|---|---|---|---|---|---|---|---|
Política-P1 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
AppQoS |
AppQoS-1 |
|
Política-P2 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
AppQoS |
AppQoS-2 |
|
Política-P3 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
Youtube |
AppQoS |
AppQoS-3 |
En este ejemplo, cualquier conjunto de reglas AppQoS (AppQoS-1, AppQoS-2, AppQoS-3) se puede configurar como una regla AppQoS predeterminada establecida en el nivel [security ngfw] jerárquico. No es necesario que una regla predeterminada establecida forme parte de una configuración de política de seguridad. Cualquier conjunto de reglas AppQoS bajo el nivel de jerarquía se puede asignar como el conjunto predeterminado de [edit class-of-service application-traffic-control] reglas AppQoS.
- Sin conflicto de políticas: todas las políticas tienen el mismo conjunto de reglas de AppQoS
- Sin conflicto de políticas: todas las políticas tienen el mismo conjunto de reglas de AppQoS y la política final no tiene un conjunto de reglas AppQoS
- Conflicto de políticas: no se configura ningún conjunto de reglas appQoS para la política final
- Conflicto de políticas: conjunto de reglas appQoS predeterminada y un conjunto de reglas appQoS diferente para la política final
Sin conflicto de políticas: todas las políticas tienen el mismo conjunto de reglas de AppQoS
Todas las políticas que coincidan tienen la misma regla de AppQoS establecida como se muestra en la tabla 4.
Política de seguridad |
Zona de origen |
Dirección IP de origen |
Zona de destino |
Dirección IP de destino |
Número de puerto |
Protocolo |
Aplicación dinámica |
Servicio |
Conjunto de reglas AppQoS |
|---|---|---|---|---|---|---|---|---|---|
Política-P1 |
S1 |
Cualquier |
D1 |
Cualquier |
Cualquier |
Cualquier |
AppQoS |
AppQoS-1 |
|
Política-P2 |
S1 |
Cualquier |
D1 |
Cualquier |
Cualquier |
Cualquier |
AppQoS |
AppQoS-1 |
En este caso, las políticas Policy-P1 y Policy-P2 tienen el mismo conjunto de reglas appQoS; Es decir, AppQoS-1. Se aplica el conjunto de reglas AppQoS-1. En este caso, la política P3 no está configurada.
Si configuró el conjunto de reglas AppQoS-2 como el conjunto de reglas predeterminado, no se aplicará. Esto se debe a que no hay ningún conflicto en los conjuntos de reglas de AppQoS en las políticas en conflicto (Policy-P1 y Policy-P2).
Sin conflicto de políticas: todas las políticas tienen el mismo conjunto de reglas de AppQoS y la política final no tiene un conjunto de reglas AppQoS
Todas las políticas de coincidencia tienen la misma regla de AppQoS establecida como se muestra en la tabla 5 y la política final no tiene un conjunto de reglas AppQoS.
Política de seguridad |
Zona de origen |
Dirección IP de origen |
Zona de destino |
Dirección IP de destino |
Número de puerto |
Protocolo |
Aplicación dinámica |
Servicio |
Conjunto de reglas AppQoS |
|---|---|---|---|---|---|---|---|---|---|
Política-P1 |
S1 |
Cualquier |
D1 |
Cualquier |
Cualquier |
Cualquier |
AppQoS |
AppQoS-1 |
|
Política-P2 |
S1 |
Cualquier |
D1 |
Cualquier |
Cualquier |
Cualquier |
AppQoS |
AppQoS-1 |
|
Política-P3 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
Youtube |
Otro |
Ninguno |
En este caso, tanto Policy-P1 como Policy-P2 tienen el mismo conjunto de reglas de AppQoS, es decir, AppQoS-1. En este caso, se aplica el conjunto de reglas AppQoS-1.
Cuando se hace coincidir la política-P3 final, AppQoS pasa por alto la sesión, ya que el conjunto de reglas appQoS no está configurado para la política P3.
Si la política de seguridad final no tiene establecida ninguna regla de AppQoS, no se aplica AppQoS al tráfico. Todas las configuraciones de AppQoS que se aplican en la etapa de prevancha se revierten a los valores originales.
Conflicto de políticas: no se configura ningún conjunto de reglas appQoS para la política final
El conjunto de reglas appQoS predeterminado (en este caso, AppQoS-1) se aplica durante la posible coincidencia de políticas como se muestra en la tabla 6. La política final Policy-P3 no tiene un conjunto de reglas AppQoS.
Política de seguridad |
Zona de origen |
Dirección IP de origen |
Zona de destino |
Dirección IP de destino |
Número de puerto |
Protocolo |
Aplicación dinámica |
Servicio |
Conjunto de reglas AppQoS |
|---|---|---|---|---|---|---|---|---|---|
Política-P1 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
AppQoS |
AppQoS-1 |
|
Política-P2 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
AppQoS |
AppQoS-2 |
|
Política-P3 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
Youtube |
Otro |
NA |
AppQoS pasa por alto la sesión si se aplica la política de coincidencia final Policy-P3.
Si la política de seguridad final no tiene establecida ninguna regla de AppQoS, no se aplica AppQoS al tráfico. En este caso, toda la configuración de AppQoS que se aplica en la etapa de prevancha se revierte a los valores originales.
Conflicto de políticas: conjunto de reglas appQoS predeterminada y un conjunto de reglas appQoS diferente para la política final
El conjunto de reglas AppQoS-1 se configura como un conjunto de reglas predeterminado y se aplica cuando aún no se identifica la aplicación final. La política final Policy-P3 tiene un conjunto de reglas AppQoS diferente (AppQoS-3), como se muestra en la tabla 7.
Política de seguridad |
Zona de origen |
Dirección IP de origen |
Zona de destino |
Dirección IP de destino |
Número de puerto |
Protocolo |
Aplicación dinámica |
Servicio |
Conjunto de reglas AppQoS |
|---|---|---|---|---|---|---|---|---|---|
Política-P1 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
AppQoS |
AppQoS-1 |
|
Política-P2 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
AppQoS |
AppQoS-2 |
|
Política-P3 |
S1 |
50.1.1.1 |
D1 |
Cualquier |
Cualquier |
Cualquier |
Youtube |
AppQoS |
AppQoS-3 |
Cuando se identifica la aplicación final, la política Policy-P3 se hace coincidir y se aplica. En este caso, no se aplica el conjunto de reglas AppQoS-3. En su lugar, el conjunto de reglas AppQoS-1 se aplica como el conjunto de reglas predeterminado y se mantiene como el conjunto de reglas predeterminado.
Limitación de appQoS con políticas unificadas
Cuando se aplica una política de seguridad al tráfico que coincide, la regla AppQoS se aplica al tráfico permitido. Si la política de seguridad y el conjunto de reglas de AppQoS aplicado tienen aplicaciones dinámicas diferentes, puede producirse un conflicto como se muestra en el ejemplo siguiente:
user@host#set class-of-service application-traffic-control rule-sets AQ2 rule 1 match application junos:GOOGLEuser@host#set class-of-service application-traffic-control rule-sets AQ2 rule 1 then forwarding-class network-controluser@host#set class-of-service application-traffic-control rule-sets AQ2 rule 1 then dscp-code-point 110001user@host#set class-of-service application-traffic-control rule-sets AQ2 rule 1 then loss-priority high
user@host#set security policies from-zone trust to-zone untrust policy 1 match source-address anyuser@host#set security policies from-zone trust to-zone untrust policy 1 match destination-address anyuser@host#set security policies from-zone trust to-zone untrust policy 1 match application anyuser@host#set security policies from-zone trust to-zone untrust policy 1 match dynamic-application junos:FTPuser@host#set security policies from-zone trust to-zone untrust policy 1 then permit application-services application-traffic-control rule-set AQ2
En este ejemplo, la regla de control de tráfico de la aplicación está configurada para junos:GOOGLE y la condición de coincidencia de política de seguridad de la aplicación dinámica es junos: FTP. En tales casos, es posible que ocurran conflictos cuando se aplique la política final.
Consulte también
Ejemplo: configuración de la calidad del servicio de la aplicación con políticas unificadas
En este ejemplo, se muestra cómo habilitar calidad del servicio aplicación (AppQoS) dentro de una política unificada para proporcionar priorización y limitación de velocidad para el tráfico.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dispositivo serie SRX que se ejecuta Junos OS versión 18.2R1 y posteriores. Este ejemplo de configuración se prueba para Junos OS versión 18.2R1.
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, se configura un conjunto de reglas AppQoS e invoca AppQoS como servicio de aplicación en la política de seguridad de la aplicación de Facebook.
Se define una regla AppQoS predeterminada en el nivel de jerarquía [ ] para administrar los conflictos de políticas de edit security ngfw seguridad, si los hay.
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar AppQoS con una política unificada:
Defina un conjunto de reglas AppQoS.
[edit] user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 match application junos:FACEBOOK-APP user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then forwarding-class fc-appqos loss-priority medium-low dscp-code-point 101110 log user@host# set class-of-service application-traffic-control rule-sets RS1 rule 1 then rate-limit client-to-server Ratelimit1 user@host# set class-of-service application-traffic-control rate-limiters Ratelimit1 bandwidth-limit 1000
Configure un conjunto de reglas AppQoS predeterminado. Seleccione el conjunto de reglas que se crea en el control de tráfico de la aplicación como el conjunto de
RS1reglas AppQoS predeterminado.[edit] user@host# set security ngfw default-profile application-traffic-control rule-set RS1
Asocie la regla de clase de servicio establecida a la política unificada.
[edit] user@host# set security policies from-zone untrust to-zone trust policy from_internet match source-address any user@host# set security policies from-zone untrust to-zone trust policy from_internet match destination-address any user@host# set security policies from-zone untrust to-zone trust policy from_internet match application any user@host# set security policies from-zone untrust to-zone trust policy from_internet match dynamic-application junos:FACEBOOK-APP user@host# set security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
Resultados
Desde el modo de configuración, escriba el comando para confirmar la configuración de show security policies la política. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
Para una brevedad, este show resultado del comando solo incluye la configuración relevante para este ejemplo. Cualquier otra configuración del sistema se reemplazó por puntos suspensivos (...).
...
policies {
from-zone trust to-zone untrust {
policy permit-all {
match {
source-address any;
destination-address any;
application any;
dynamic-application junos:FACEBOOK-APP;
}
then {
permit {
application-services {
application-traffic-control {
rule-set RS1;
}
}
}
}
}
}
}
...
ngfw {
default-profile {
application-traffic-control {
rule-set RS1;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
Verificar la configuración de la sesión de flujo
Propósito
Mostrar estadísticas de sesión appQoS.
Acción
Desde el modo operativo, escriba el show class-of-service application-traffic-control counter comando.
Prueba de salida
command-name
pic: 0/0 Counter type Value Sessions processed 2 Sessions marked 1 Sessions honored 1 Sessions rate limited 1 Client-to-server flows rate limited 0 Server-to-client flows rate limited 1 Session default ruleset hit 1 Session ignored no default ruleset 1
Significado
El resultado muestra el número de sesiones procesadas, marcadas y honoradas. Las estadísticas de limitación de velocidad cuentan la cantidad de flujos direccionales de sesión que se han limitado en la velocidad.
Verificar estadísticas de reglas
Propósito
Muestra las estadísticas de reglas appQoS.
Acción
Desde el modo operativo, escriba el show class-of-service application-traffic-control statistics rule comando.
user@host>show class-of-service application-traffic-control statistics rule
pic: 0/0
Ruleset Rule Hits
RS1 1 1
Significado
El resultado proporciona información sobre el número de sesiones coincidentes con la regla en cada conjunto de reglas de AppQoS.