AppQoS para sistemas lógicos
La calidad del servicio de la aplicación (AppQoS) le permite identificar y controlar el acceso a aplicaciones específicas y proporciona la granularidad de la base de reglas de firewall con estado para igualar y aplicar la calidad del servicio (QoS) en la capa de la aplicación. La función AppQoS amplía la capacidad de la clase de servicio (CoS) de Junos OS para sistemas lógicos.
Descripción general del soporte de calidad de servicio de aplicaciones para sistemas lógicos
La función de calidad de servicio de la aplicación (AppQoS) amplía la capacidad de la clase de servicio (CoS) de Junos OS para sistemas lógicos. Esto incluye marcar los valores DSCP según los tipos de aplicación de capa 7, respetar el tráfico basado en aplicaciones a través de la configuración de prioridad de pérdida y controlar las velocidades de transferencia en las PIC de salida según los tipos de aplicación de capa 7.
Cuando una red experimenta congestión y retrasos, algunos paquetes deben descartarse. Junos OS CoS le permite dividir el tráfico en clases y ofrecer varios niveles de transferencia de datos y pérdida de paquetes cuando se produce congestión. Esto permite que la pérdida de paquetes se produzca de acuerdo con las reglas que configure.
El sistema lógico le permite particionar un único dispositivo en varios dominios para realizar funciones de seguridad y enrutamiento.
Puede configurar un conjunto de reglas de AppQoS predeterminado para administrar el control de tráfico de aplicaciones dentro del sistema lógico. AppQoS brinda la capacidad de priorizar y medir el tráfico de aplicaciones para brindar un mejor servicio al tráfico de aplicaciones críticas para el negocio o de alta prioridad.
Los conjuntos de reglas de AppQoS se incluyen en el sistema lógico para implementar un control de calidad del servicio que prioriza las aplicaciones. Puede configurar un conjunto de reglas con reglas en la opción application-traffic-control y adjuntar el conjunto de reglas de AppQoS a un sistema lógico como un servicio de aplicación. Si el tráfico coincide con la aplicación especificada, se aplica la calidad de servicio consciente de la aplicación para el sistema lógico.
Para AppQoS, el tráfico se agrupa en función de reglas que asocian una clase de reenvío definida con aplicaciones seleccionadas para el sistema lógico. Los criterios de coincidencia de la regla incluyen una o varias aplicaciones. Cuando el tráfico de una aplicación coincidente encuentra la regla, la acción de la regla establece la clase de reenvío y asigna el valor DSCP y la prioridad de pérdida a los valores adecuados para la aplicación.
La reescritura de DSCP AppQoS transmite la calidad de servicio de un paquete a través de la clase de reenvío y una prioridad de pérdida. Los parámetros de limitación de velocidad de AppQoS controlan la velocidad de transmisión y el volumen de sus colas asociadas para el sistema lógico. El conjunto de reglas de AppQoS predeterminado se aprovecha de uno de los conjuntos de reglas de AppQoS existentes, los cuales se configuran en el [edit class-of-service application-traffic-control] nivel de jerarquía.
Los limitadores de velocidad se aplican en reglas basadas en la aplicación del tráfico para el sistema lógico. Se aplican dos limitadores de velocidad para cada sesión: client-to-server y server-to-client. Este uso permite que el tráfico en cada dirección se aprovisione por separado.
Ejemplo: Configurar la calidad de servicio de la aplicación para sistemas lógicos
En este ejemplo, se muestra cómo habilitar la calidad del servicio de las aplicaciones (AppQoS) dentro de un sistema lógico para proporcionar priorización y limitación de velocidad para el tráfico.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Cualquier firewall compatible configurado con sistemas lógicos.
Junos OS versión 19.3R1 y versiones posteriores.
Antes de empezar:
Lea la Descripción general del soporte de calidad de servicio de aplicaciones para sistemas lógicos para comprender cómo y dónde encaja este procedimiento en el soporte general de AppQos.
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Descripción general
En este ejemplo, configure un conjunto de reglas de AppQoS e invoque AppQoS como un servicio de aplicación en el sistema lógico. Configure la clase de servicio (CoS) para el sistema lógico. Los conjuntos de reglas de AppQoS se incluyen en el sistema lógico para implementar un control de calidad del servicio que prioriza las aplicaciones.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese confirmar desde el [edit] modo de configuración.
set logical-systems LSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512 set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000 set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any set logical-systems LSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
Configuración de AppQoS con un sistema lógico
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar AppQoS con un sistema lógico:
Configure la información de ejecución en tiempo real de AppQoS sobre la limitación de la velocidad de aplicación de sesiones actuales o recientes para el sistema lógico LSYS1.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512
Configure las reglas de AppQoS y los criterios de coincidencia de la aplicación para el sistema lógico LSYS1.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP
Configure las reglas de AppQoS y la clase de reenvío para el sistema lógico LSYS1.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort
Configure las reglas de AppQoS y el punto de código dscp para el sistema lógico LSYS1.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000
Configure las reglas de AppQoS y la prioridad de pérdida para el sistema lógico LSYS1.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high
Asigne los limitadores de velocidad para los conjuntos de reglas.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL
Asigne el conjunto de reglas de clase de servicio a la política de seguridad para el sistema lógico LSYS1.
user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any user@host# set logical-systems LSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la show logical-systems LSYS1 configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
user@host# show logical-systems LSYS1
security {
policies {
from-zone untrust to-zone trust {
policy from_internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set RS1;
}
}
}
}
}
}
from-zone trust to-zone trust {
policy p1 {
match {
dynamic-application junos:web;
}
}
}
}
}
class-of-service {
application-traffic-control {
rate-limiters HTTP-BW-RL {
bandwidth-limit 512;
}
rule-sets RS1 {
rule RL1 {
match {
application junos:HTTP;
}
then {
forwarding-class best-effort;
dscp-code-point 001000;
loss-priority high;
rate-limit {
server-to-client HTTP-BW-RL;
}
log;
}
}
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
- Comprobación del contador de control de tráfico de aplicaciones de clase de servicio
- Verificación de las estadísticas de control de tráfico de aplicaciones de clase de servicio limitador de velocidad
Comprobación del contador de control de tráfico de aplicaciones de clase de servicio
Propósito
Compruebe el contador de control de tráfico de aplicaciones de clase de servicio para sistemas lógicos.
Acción
Para comprobar que la configuración funciona correctamente, ingrese el show class-of-service application-traffic-control counter logical-system LSYS1 comando.
user@host>show class-of-service application-traffic-control counter logical-system LSYS1
Logical System: LSYS1
pic: 0/0
Counter type Value
Sessions processed 1
Sessions marked 0
Sessions honored 0
Sessions rate limited 0
Client-to-server flows rate limited 0
Server-to-client flows rate limited 0
Session default ruleset hit 0
Session ignored no default ruleset 0
Significado
El resultado muestra las estadísticas de marcado y cumplimiento de DSCP de AppQoS basadas en clasificadores de aplicaciones de capa 7.
Verificación de las estadísticas de control de tráfico de aplicaciones de clase de servicio limitador de velocidad
Propósito
Compruebe el limitador de velocidad de estadísticas de control de tráfico de aplicaciones de clase de servicio para sistemas lógicos.
Acción
Para comprobar que la configuración funciona correctamente, ingrese el show class-of-service application-traffic-control statistics rate-limiter logical-system LSYS1 comando.
user@host>show class-of-service application-traffic-control statistics rate-limiter logical-system LSYS1
Logical System: LSYS1
pic: 0/0
Significado
El resultado muestra información de ejecución en tiempo real de AppQoS sobre la limitación de la velocidad de aplicación de sesiones actuales o recientes.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.