AppQoS para sistemas lógicos
La calidad de servicio de las aplicaciones (AppQoS) permite identificar y controlar el acceso a aplicaciones específicas y proporciona la granularidad de la base de reglas de firewall con estado para que coincida y aplique la calidad de servicio (QoS) en la capa de aplicación. La función AppQoS amplía la capacidad de la clase de servicio (CoS) de Junos OS para sistemas lógicos.
Descripción general de la compatibilidad con la calidad de servicio de las aplicaciones para sistemas lógicos
La característica de calidad de servicio de la aplicación (AppQoS) amplía la capacidad de la clase de servicio (CoS) de Junos OS para sistemas lógicos. Esto incluye marcar los valores DSCP según los tipos de aplicación de capa 7, respetar el tráfico basado en aplicaciones mediante la configuración de prioridad de pérdida y controlar las velocidades de transferencia en las PIC de salida según los tipos de aplicación de capa 7.
Cuando una red experimenta congestión y retrasos, algunos paquetes deben descartarse. Junos OS CoS le permite dividir el tráfico en clases y ofrecer varios niveles de transferencia de datos y pérdida de paquetes cuando se produce congestión. Esto permite que la pérdida de paquetes ocurra de acuerdo con las reglas que configure.
El sistema lógico le permite particionar un solo dispositivo en varios dominios para realizar funciones de seguridad y enrutamiento.
A partir de Junos OS versión 19.3R1, AppQoS se admite cuando el firewall serie SRX está configurado con un sistema lógico. Puede configurar un conjunto de reglas AppQoS predeterminado para administrar el control de tráfico de aplicaciones dentro del sistema lógico. AppQoS proporciona la capacidad de priorizar y medir el tráfico de aplicaciones para proporcionar un mejor servicio al tráfico de aplicaciones críticas para el negocio o de alta prioridad.
Los conjuntos de reglas de AppQoS se incluyen en el sistema lógico para implementar un control de calidad de servicio consciente de las aplicaciones. Puede configurar un conjunto de reglas con reglas en la opción application-traffic-control y asociar el conjunto de reglas AppQoS a un sistema lógico como un servicio de aplicación. Si el tráfico coincide con la aplicación especificada, se aplica la calidad de servicio consciente de la aplicación para el sistema lógico.
Para AppQoS, el tráfico se agrupa en función de reglas que asocian una clase de reenvío definida con aplicaciones seleccionadas para el sistema lógico. Los criterios de coincidencia para la regla incluyen una o más aplicaciones. Cuando el tráfico de una aplicación coincidente encuentra la regla, la acción de la regla establece la clase de reenvío y remarca el valor DSCP y la prioridad de pérdida en valores apropiados para la aplicación.
La regrabadora DSCP AppQoS transmite la calidad de servicio de un paquete tanto a través de la clase de reenvío como de una prioridad de pérdida. Los parámetros limitantes de velocidad AppQoS controlan la velocidad y el volumen de transmisión para sus colas asociadas para el sistema lógico. El conjunto de reglas predeterminado de AppQoS se aprovecha de uno de los conjuntos de reglas de AppQoS existentes, que se configuran en el nivel de [edit class-of-service application-traffic-control] jerarquía.
Los limitadores de velocidad se aplican en reglas basadas en la aplicación del tráfico para el sistema lógico. Se aplican dos limitadores de velocidad para cada sesión: client-to-server y server-to-client. Este uso permite que el tráfico en cada dirección se aprovisione por separado.
Ejemplo: configurar la calidad de servicio de la aplicación para sistemas lógicos
En este ejemplo se muestra cómo habilitar la calidad de servicio de la aplicación (AppQoS) dentro de un sistema lógico para proporcionar priorización y limitación de velocidad para el tráfico.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un firewall de la serie SRX configurado con sistemas lógicos.
Junos OS versión 19.3R1 y versiones posteriores.
Antes de empezar:
Lea la descripción general de la compatibilidad con la calidad de servicio de las aplicaciones para sistemas lógicos para comprender cómo y dónde encaja este procedimiento en la compatibilidad general con AppQos.
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar esta función.
Visión general
En este ejemplo, se configura un conjunto de reglas AppQoS y se invoca AppQoS como un servicio de aplicación en el sistema lógico. Configure la clase de servicio (CoS) para el sistema lógico. Los conjuntos de reglas de AppQoS se incluyen en el sistema lógico para implementar un control de calidad de servicio consciente de las aplicaciones.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set logical-systems LSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512 set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000 set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any set logical-systems LSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
Configuración de AppQoS con un sistema lógico
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar AppQoS con un sistema lógico:
Configure la información de ejecución en tiempo real de AppQoS sobre la limitación de velocidad de aplicación de sesiones actuales o recientes para el sistema lógico LSYS1.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rate-limiters HTTP-BW-RL bandwidth-limit 512
Configure las reglas de AppQoS y los criterios de coincidencia de la aplicación para el sistema lógico LSYS1.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 match application junos:HTTP
Configure las reglas AppQoS y la clase de reenvío para el sistema lógico LSYS1.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then forwarding-class best-effort
Configure las reglas de AppQoS y el punto de código dscp para el sistema lógico LSYS1.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then dscp-code-point 001000
Configure las reglas de AppQoS y la prioridad de pérdida para el sistema lógico LSYS1.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then loss-priority high
Asigne los limitadores de velocidad para los conjuntos de reglas.
user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then log user@host# set logical-systems LSYS1 class-of-service application-traffic-control rule-sets RS1 rule RL1 then rate-limit server-to-client HTTP-BW-RL
Asigne el conjunto de reglas de clase de servicio a la política de seguridad para el sistema lógico LSYS1.
user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match source-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match destination-address any user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet match application any user@host# set logical-systems LSYS1 security policies from-zone trust to-zone trust policy p1 match dynamic-application junos:web user@host# set logical-systems LSYS1 security policies from-zone untrust to-zone trust policy from_internet then permit application-services application-traffic-control rule-set RS1
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show logical-systems LSYS1 comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@host# show logical-systems LSYS1
security {
policies {
from-zone untrust to-zone trust {
policy from_internet {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
application-traffic-control {
rule-set RS1;
}
}
}
}
}
}
from-zone trust to-zone trust {
policy p1 {
match {
dynamic-application junos:web;
}
}
}
}
}
class-of-service {
application-traffic-control {
rate-limiters HTTP-BW-RL {
bandwidth-limit 512;
}
rule-sets RS1 {
rule RL1 {
match {
application junos:HTTP;
}
then {
forwarding-class best-effort;
dscp-code-point 001000;
loss-priority high;
rate-limit {
server-to-client HTTP-BW-RL;
}
log;
}
}
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice las siguientes tareas:
- Comprobación del contador de control de tráfico de aplicaciones de clase de servicio
- Comprobación del limitador de velocidad de estadísticas de control de tráfico de aplicaciones de clase de servicio
Comprobación del contador de control de tráfico de aplicaciones de clase de servicio
Propósito
Compruebe el contador de control de tráfico de aplicaciones de clase de servicio para sistemas lógicos.
Acción
Para comprobar que la configuración funciona correctamente, escriba el show class-of-service application-traffic-control counter logical-system LSYS1 comando.
user@host>show class-of-service application-traffic-control counter logical-system LSYS1
Logical System: LSYS1
pic: 0/0
Counter type Value
Sessions processed 1
Sessions marked 0
Sessions honored 0
Sessions rate limited 0
Client-to-server flows rate limited 0
Server-to-client flows rate limited 0
Session default ruleset hit 0
Session ignored no default ruleset 0
Significado
El resultado muestra el marcado DSCP AppQoS y respeta las estadísticas basadas en clasificadores de aplicaciones de capa 7.
Comprobación del limitador de velocidad de estadísticas de control de tráfico de aplicaciones de clase de servicio
Propósito
Compruebe el limitador de velocidad de estadísticas de control de tráfico de aplicaciones de clase de servicio para sistemas lógicos.
Acción
Para comprobar que la configuración funciona correctamente, escriba el show class-of-service application-traffic-control statistics rate-limiter logical-system LSYS1 comando.
user@host>show class-of-service application-traffic-control statistics rate-limiter logical-system LSYS1
Logical System: LSYS1
pic: 0/0
Significado
El resultado muestra información de ejecución en tiempo real de AppQoS sobre la limitación de velocidad de aplicación de sesiones actuales o recientes.