テナントシステム向けAppQoS
アプリケーションサービス品質(AppQoS)を使用すると、特定のアプリケーションへのアクセスを特定および制御できます。ステートフルファイアウォールルールベースの粒度を把握してアプリケーション層でサービス品質(QoS)を適用できます。AppQoS機能は、テナントシステム向けのJunos OSサービスクラス(CoS)の機能を拡張します。
テナントシステム向けアプリケーションサービス品質の概要
AppQoS(アプリケーションサービス品質)機能は、テナントシステム向けのJunos OSサービスクラス(CoS)の機能を拡張します。これには、レイヤー7アプリケーションタイプに基づいたDSCP値のマーキング、損失優先度設定によるアプリケーションベースのトラフィックの尊重、レイヤー7アプリケーションタイプに基づくエグレスPICの転送レートの制御が含まれます。
ネットワークで輻輳と遅延が発生した場合、一部のパケットをドロップする必要があります。Junos OS CoSでは、トラフィックをクラスに分割し、輻輳発生時にさまざまなレベルのスループットとパケットロスを提供できます。これにより、設定したルールに従ってパケット損失が発生する可能性があります。
テナントシステムでは、単一のデバイスを複数のドメインに分割して、セキュリティとルーティング機能を実行することができます。
Junos OSリリース19.3R1以降、セキュリティデバイスがテナントシステムで設定されている場合、AppQoSがサポートされます。デフォルトのAppQoSルールセットを設定して、テナントシステム内のアプリケーショントラフィック制御を管理できます。AppQoSは、アプリケーショントラフィックに優先順位を付けて計測する機能を提供し、ビジネスクリティカルなアプリケーショントラフィックや優先度の高いアプリケーショントラフィックにより良いサービスを提供します。
AppQoSルールセットは、アプリケーション認識型のサービス品質制御を実装するために、テナントシステムに含まれています。application-traffic-controlオプションの下のルールでルールセットを設定し、AppQoSルールセットをアプリケーションサービスとしてテナントシステムにアタッチできます。トラフィックが指定されたアプリケーションと一致する場合、アプリケーション認識型のサービス品質がテナントシステムに適用されます。
AppQoSの場合、トラフィックは、定義された転送クラスをテナントシステムの選択されたアプリケーションに関連付けるルールに基づいてグループ化されます。ルールの一致基準には、1つ以上のアプリケーションが含まれます。一致するアプリケーションからのトラフィックがルールに遭遇すると、ルールアクションが転送クラスを設定し、DSCP値と損失優先度をアプリケーションに適した値にマークします。
AppQoS DSCP書き換え器は、転送クラスと損失優先度の両方を通じてパケットのサービス品質を伝えます。AppQoSレート制限パラメーターは、テナントシステムの関連キューの伝送速度とボリュームを制御します。デフォルトのAppQoSルールセットは、 [edit class-of-service application-traffic-control] 階層レベルで設定された既存のAppQoSルールセットの1つから活用されます。
レートリミッターは、テナントシステムへのトラフィックの適用に基づいてルールに適用されます。各セッションには、 client-to-server と server-to-clientの2つのレートリミッターが適用されます。この用途により、各方向のトラフィックを個別にプロビジョニングできます。
例:テナントシステムのアプリケーションサービス品質を設定する
この例では、テナントシステム内でアプリケーションサービス品質(AppQoS)を有効にして、トラフィックに優先順位付けとレート制限を提供する方法を示しています。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
テナントシステムで構成されたSRXシリーズファイアウォール。
Junos OSリリース19.3R1以降のリリース。
始める前に:
テナントシステム向けアプリケーションサービス品質の概要を読み、この手順がAppQosの全体的なサポートの中でどのように、どこに位置するかを理解してください。
この機能を設定する前に、デバイスの初期化以外の特別な設定を行う必要はありません。
概要
この例では、AppQoSルールセットを設定し、テナントシステムのアプリケーションサービスとしてAppQoSを呼び出します。テナントシステムのサービスクラス(CoS)を設定します。AppQoSルールセットは、アプリケーション認識型のサービス品質制御を実装するために、テナントシステムに含まれています。
設定
CLIクイックコンフィグレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードからコミットを入力します。
set tenants TSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512 set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000 set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any set tenants TSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
テナントシステムでAppQoSを設定する
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『Junos OS CLIユーザーガイド』の「 構成モードでのCLIエディターの使用 」を参照してください。
テナントシステムにAppQoSを設定するには:
テナントシステムTSYS1の現在または最近のセッションのアプリケーションレート制限に関するAppQoSリアルタイム実行情報を設定します。
user@host# set tenants TSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512
テナントシステムTSYS1のAppQoSルールとアプリケーション一致基準を設定します。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP
テナントシステムTSYS1のAppQoSルールと転送クラスを設定します。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort
テナントシステムTSYS1のAppQoSルールとdscpコードポイントを設定します。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000
テナントシステムTSYS1のAppQoSルールと損失の優先度を設定します。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high
ルールセットのレートリミッターを割り当てます。
user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log user@host# set tenants TSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL
サービスクラスルールセットを、テナントシステムTSYS1のセキュリティポリシーに割り当てます。
user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any user@host# set tenants TSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web user@host# set tenants TSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
結果
設定モードから、 show tenants TSYS1 コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host# show tenants TSYS1
security {
policies {
from-zone untrust to-zone trust {
policy from_internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set RS1;
}
}
}
}
}
}
from-zone trust to-zone trust {
policy p1 {
match {
dynamic-application junos:web;
}
}
}
}
}
class-of-service {
application-traffic-control {
rate-limiters HTTP-BW-RL {
bandwidth-limit 512;
}
rule-sets RS1 {
rule RL1 {
match {
application junos:HTTP;
}
then {
forwarding-class best-effort;
dscp-code-point 001000;
loss-priority high;
rate-limit {
server-to-client HTTP-BW-RL;
}
log;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
サービスクラスアプリケーショントラフィック制御カウンターの検証
目的
テナントシステムのclass-of-serviceアプリケーショントラフィック制御カウンターを確認します。
アクション
設定が正常に機能していることを確認するには、 show class-of-service application-traffic-control counter tenant TSYS1 コマンドを入力します。
user@host>show class-of-service application-traffic-control counter tenant TSYS1
Tenant System: TSYS1
pic: 0/0
Counter type Value
Sessions processed 1
Sessions marked 0
Sessions honored 0
Sessions rate limited 0
Client-to-server flows rate limited 0
Server-to-client flows rate limited 0
Session default ruleset hit 0
Session ignored no default ruleset 0
意味
出力には、レイヤー7アプリケーション分類子に基づくAppQoS DSCPマーキングとアフォーリング統計が表示されます。
サービスクラスアプリケーショントラフィック制御統計レートリミッターの検証
目的
テナントシステムのサービスクラスアプリケーショントラフィック制御統計レートリミッターを検証します。
アクション
設定が正常に機能していることを確認するには、 show class-of-service application-traffic-control statistics rate-limiter tenant TSYS1 コマンドを入力します。
user@host>show class-of-service application-traffic-control statistics rate-limiter tenant TSYS1
Tenant System: TSYS1
pic: 0/0
意味
出力には、現在または最近のセッションのアプリケーションレート制限に関するAppQoSリアルタイム実行情報が表示されます。