适用于租户系统的 AppQoS
应用程序服务质量 (AppQoS) 使您能够识别和控制对特定应用程序的访问,并提供状态防火墙规则库的粒度,以匹配和实施应用程序层的服务质量 (QoS)。AppQoS 功能扩展了租户系统的 Junos OS 服务等级 (CoS) 功能。
租户系统的应用程序服务质量概述
应用程序服务质量 (AppQoS) 功能扩展了租户系统的 Junos OS 服务等级 (CoS) 功能。这包括根据第 7 层应用程序类型标记 DSCP 值,通过丢失优先级设置遵循基于应用程序的流量,以及基于第 7 层应用程序类型控制出口 PIC 上的传输速率。
当网络遇到拥塞和延迟时,必须丢弃某些数据包。Junos OS CoS 允许您将流量划分为多个类,并在发生拥塞时提供各种级别的吞吐量和数据包丢失。这允许根据您配置的规则发生数据包丢失。
租户系统使您能够将单个设备分区为多个域以执行安全和路由功能。
从 Junos OS 19.3R1 版开始,当 SRX 系列防火墙配置了租户系统时,将支持 AppQoS。您可以配置默认 AppQoS 规则集来管理租户系统内的应用程序流量控制。AppQoS 提供了对应用程序流量进行优先级排序和计量的能力,以便为业务关键型或高优先级应用程序流量提供更好的服务。
AppQoS 规则集包含在租户系统中,以实现应用程序感知的服务质量控制。您可以使用应用程序流量控制选项下的规则配置规则集,并将 AppQoS 规则集作为应用程序服务附加到租户系统。如果流量与指定的应用程序匹配,则会为租户系统应用应用程序感知服务质量。
对于 AppQoS,流量根据将定义的转发类与租户系统的选定应用程序相关联的规则进行分组。规则的匹配标准包括一个或多个应用程序。当来自匹配应用程序的流量遇到规则时,规则操作将设置转发类,并将 DSCP 值和丢失优先级备注为适合该应用程序的值。
AppQoS DSCP 重写器通过转发类和丢失优先级传达数据包的服务质量。AppQoS 速率限制参数控制租户系统关联队列的传输速度和音量。默认 AppQoS 规则集是从在层次结构级别下 [edit class-of-service application-traffic-control] 配置的现有 AppQoS 规则集之一中利用的。
速率限制器基于租户系统流量的应用在规则中应用。每个会话应用两个速率限制器: client-to-server 和 server-to-client。此用法允许单独预配每个方向上的流量。
示例:为租户系统配置应用程序服务质量
此示例说明如何在租户系统中启用应用程序服务质量 (AppQoS),以便为流量提供优先级和速率限制。
要求
此示例使用以下硬件和软件组件:
配置了租户系统的 SRX 系列防火墙。
Junos OS 19.3R1 及更高版本。
准备工作:
阅读 租户系统的应用程序服务质量概述 ,了解此过程如何以及在何处适用于对 AppQos 的整体支持。
配置此功能之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将配置 AppQoS 规则集,并将 AppQoS 作为租户系统中的应用程序服务调用。您可以为租户系统配置服务等级 (CoS)。AppQoS 规则集包含在租户系统中,以实现应用程序感知的服务质量控制。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入提交。
set tenants TSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512 set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000 set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any set tenants TSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
使用租户系统配置 AppQoS
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在 配置模式下使用 CLI 编辑器 。
要为租户系统配置 AppQoS,请执行以下操作:
配置有关租户系统 TSYS1 的当前或最近会话的应用程序速率限制的 AppQoS 实时运行信息。
user@host# set tenants TSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512
为租户系统 TSYS1 配置 AppQoS 规则和应用程序匹配标准。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP
配置 AppQoS 规则和租户系统 TSYS1 的转发类。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort
为租户系统 TSYS1 配置 AppQoS 规则和 dscp 代码点。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000
配置 AppQoS 规则和租户系统 TSYS1 的丢失优先级。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high
为规则集分配速率限制器。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL
将服务等级规则集分配给租户系统 TSYS1 的安全策略。
user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any user@host# set tenants TSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
结果
在配置模式下,输入 show tenants TSYS1 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
user@host# show tenants TSYS1
security {
policies {
from-zone untrust to-zone trust {
policy from_internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set RS1;
}
}
}
}
}
}
from-zone trust to-zone trust {
policy p1 {
match {
dynamic-application junos:web;
}
}
}
}
}
class-of-service {
application-traffic-control {
rate-limiters HTTP-BW-RL {
bandwidth-limit 512;
}
rule-sets RS1 {
rule RL1 {
match {
application junos:HTTP;
}
then {
forwarding-class best-effort;
dscp-code-point 001000;
loss-priority high;
rate-limit {
server-to-client HTTP-BW-RL;
}
log;
}
}
}
}
}
如果完成设备配置,请从配置模式输入 commit 。
验证
要确认配置工作正常,请执行以下任务:
验证服务等级应用程序流量控制计数器
目的
验证租户系统的服务等级应用程序流量控制计数器。
行动
要验证配置是否正常工作,请输入 show class-of-service application-traffic-control counter tenant TSYS1 命令。
user@host>show class-of-service application-traffic-control counter tenant TSYS1
Tenant System: TSYS1
pic: 0/0
Counter type Value
Sessions processed 1
Sessions marked 0
Sessions honored 0
Sessions rate limited 0
Client-to-server flows rate limited 0
Server-to-client flows rate limited 0
Session default ruleset hit 0
Session ignored no default ruleset 0
意义
输出显示基于第 7 层应用程序分类器的 AppQoS DSCP 标记和遵守统计信息。
验证服务等级应用程序流量控制统计信息速率限制器
目的
验证租户系统的服务等级应用程序流量控制统计信息速率限制器。
行动
要验证配置是否正常工作,请输入 show class-of-service application-traffic-control statistics rate-limiter tenant TSYS1 命令。
user@host>show class-of-service application-traffic-control statistics rate-limiter tenant TSYS1
Tenant System: TSYS1
pic: 0/0
意义
输出显示有关当前或最近会话的应用程序速率限制的 AppQoS 实时运行信息。