Was kann meine Firewall zu tun? Service-Qualität!

In dieser Ausgabe des Getting Started Blick Serie nehmen wir einen genaueren auf wie Quality of Service oder QoS aktiviert. QoS ist eine Technologie, die Bandbreite für ein Netzwerksegment verwaltet und kann Anwendungen in ihren Verbrauch und Kapazität für andere Anwendungen gleichzeitig zu begrenzen. Dadurch können Sie, als Administrator, zu priorisieren, z. B. VoIP-Anrufe über andere Verkehrs- und Begrenzung der Bandbreite verbrauchen diese YouTube-Videos.

Ein wichtiges Konzept, das man beachten sollte, ist, dass ein QoS-Profil auf der Egress- Schnittstelle eines Pakets, das durch die Firewall reist, angewendet wird. Dies würde beispielsweise bedeuten, dass um Upload begrenzen, eine QoS-Profil muss aktiviert werden, auf das Sicherheitszertifikat Interface und Limit herunterladen, eine QoS-Profil muss auf Vertrauen-Schnittstelle aktiviert werden.

Um loszulegen, benötigen Sie zuerst mindestens eine QoS-Profil. Gehen Sie auf die Registerkarte "Netzwerk" und in der QoS-Profil, erstellen Sie ein neues Profil.

In dieser Ansicht können Sie mehrere Klassen hinzufügen. Diese Klassen identifizieren fließt und eine Bandbreite-Eigenschaft zuweisen und festzustellen, ob Pakete in das Dataplane über andere Pakete priorisiert erhalten.

Die Standardklasse ist class4. Jede Sitzung, die keine bestimmte Klasse zugeordnet wird es von dieser Klasse, also müssen wir sicherstellen, dass ein Profil existiert gesteuert werden, die die Hauptlast des Verkehrs tragen kann.

Angenommen, Sie haben eine Internet-Bandbreite von 100 Mbit/s und Ihre generischen Traffic auf die Hälfte beschränken möchten. Um dies zu erreichen, müssen Sie den Egress-Max auf 100 Mbit/s für dieses Profil und 50Mbps für class4 festgelegt.

Als nächstes möchten Sie sicherstellen, dass Ihre VoIP-Datenverkehr nicht leiden unter Download Spitzen, so erstellen Sie eine Klasse mit "Echtzeit" Priorität, die sicherstellt, dass wenn die Dataplane stark belastet wird, diese Pakete Priorität über andere Pakete erhalten. Legen Sie eine garantierte Bandbreite von 30Mbps, damit Anrufe nicht Überlastung leiden, wie Bandbreite reservierte.

* Beim Erstellen von Klassen bestimmt festlegen der Priorität, in dem Ordnung Pakete von der Firewall bei hoher Auslastung mit in Echtzeit, wobei die höchste Priorität und niedriger als die niedrigste Priorität behandelt werden.

Zu guter Letzt möchten Sie einige Anwendungen aus dem Konsum von viel Bandbreite ermöglicht diese zu durchlaufen, wie YouTube zu begrenzen. Erstellen Sie eine "niedrige" Priorität-Klasse mit einem Egress Max 0.1Mbps oder 100 Kbit/s festgelegt.

Als nächstes aktivieren Sie das Profil auf alle relevanten Schnittstellen. Im Moment nutzen wir das gleiche Profil für interne und externe Schnittstelle. Gehen Sie zum Menü QoS und fügen Sie Schnittstellen hinzu.

Wählen Sie die entsprechende Schnittstelle aus der Dropdown-Liste, stellen Sie sicher das Kontrollkästchen, um QoS zu ermöglichen ist geprüft und klaren Text Standardprofil zu Ihrem neu erstellten Profil. Wir lassen die Schnittstelle-spezifische Egress Max vorerst auf 0 gesetzt, da wir nur zwei Schnittstellen und das Profil wird für den gesamten Verkehr gelten.

Der letzte Schritt, bevor wir unsere Konfiguration zu testen ist eine QoS-Richtlinie erstellen. Genau wie eine Sicherheitsrichtlinie kann eine QoS-Richtlinie zu mehr Granularität kontrollieren die Klassen gebaut werden, die Sie gerade erstellt und bestimmte Verkehr nur eine Klasse zuweisen.

Gehen Sie auf die Registerkarte "Richtlinien" und erstellen Sie eine neue Richtlinie in QoS.

Um die VoIP-Richtlinie zu erstellen, stellen Sie die Quelle Zone zu vertrauen, Zielzone, Vertraulichkeit, wählen die entsprechenden Anträge. Ich habe Skype und einige Streaming-Protokolle ausgewählt. Klassifizieren Sie dann diesen Verkehr als class1.

Wiederholen Sie diesen Schritt für die Anwendungen, die Sie stark einschränken möchten.

Der Zeitplan in der letzten Registerkarte könnte verwendet werden, um Quality of Service basierend auf der Tageszeit anwenden. Z. B. einschränken Sie YouTube von 07:00-12:00 und 13:00 bis 19:00, damit Benutzer Videos als class4 in der Mittagspause zu sehen. Einige Regeln für die gleiche Klasse können erstellt und bearbeitet werden von oben nach unten.

Da class4 die Standardeinstellung ist, muss keine Richtlinie erstellt werden. Go ahead und begehen diese Konfiguration um QoS zu ermöglichen.

Sie können jetzt voran gehen und testen, ob die QoS-Konfiguration angewendet wird. Es gibt eine live-Statistiken-Seite auf die QoS-Seite, die helfen kann, visualisieren, wie Bandbreite verwendet wird. Öffnen Sie die Registerkarte Netzwerke und in der Seite "Qos" Statistik für ethernet1/2 wie wir Downloads testen.

Sie sollten nun ein Popup-Fenster ähnlich wie diese erhalten.

Auf Ihre GUI die Farben können leicht abweichen, aber in meinem obigen Beispiel, Sie können sehen, von der lila, die class4 darstellt, ich habe den FileZilla Client heruntergeladen aus dem Internet, das eine kleine Spitze bis zu 8Mbps in meine Bandbreite verursacht.

Wenn Sie starten Sie den Download einer Datei per FTP auf Ihren Kunden, werden Sie feststellen, dass die Übertragung sehr langsam ist. Die Statistik-Seite reflektiert, dass von zeigt class8 Verkehr mit seinen vollen 0.1Mbps Bandbreite zugeteilt.

Eine weitere Möglichkeit zu überprüfen, welche Klasse eine Sitzung zugewiesen ist ist durch die CLI.

> Session alle

--------------------------------------------------------------------------------
ID-Anwendung State Type Flag src [Sport]/Zone/Proto (ÜBERsetzte IP [Port])
Vsys DST [dport]/Zone (übersetzte IP [Port]) 
--------------------------------------------------------------------------------
1105 FTP-Data Active Flow ND 198.51.100.1 [20]/Untrust/6 (198.51.100.1 [20])
vsys1 198.51.100.230 [41094]/Trust (10.0.2.4 [4383 ])
1097 FTP-aktiv Fluss NS 10.0.2.4 [4379]/Trust/6 (198.51.100.230 [62430])
vsys1 198.51.100.1 [21]/Untrust (198.51.100.1 [21])
1106 DNS Active Flow NS 10.0.2.4 [53048]/Trust/17 (19 8.51.100.230 [30096])
vsys1 4.2.2.2 [53]/Untrust (4.2.2.2 [53])
1107 DNS Active Flow NS 10.0.2.4 [49267]/Trust/17 (198.51.100.230 [26164])
vsys1 4.2.2.2 [53]/untru St (4.2.2.2 [53])

> Session ID 1105

Session 1105

 C2S Flow:
 Quelle: 198.51.100.1 [Untrust]
 DST: 198.51.100.230
 Proto: 6
 Sport: 20              dport: 41094
 Zustand: aktiver Typ: Flow
 src-Benutzer: Unbekannter
 DST-Benutzer: Unbekannter
 QoS-Knoten: Ethernet1/2, QoS-Mitglied N/A QID 0

 S2C Flow:
                Quelle: 10.0.2.4 [Trust]
 DST: 198.51.100.1
 Proto: 6
 Sport: 4383 dport: 20
 Zustand: aktiver Typ: Flow
 src US er: Unbekannter
 DST-Nutzer: Unbekannter
 QoS-Knoten: Ethernet1/1, QoS-Mitglied N/A QID 0

 Startzeit: Mi Nov 25 14:52:26 2015

.           .. für die Kürze schnippt... 

        Eindringen-Schnittstelle: Ethernet1/1
 Egress-Schnittstelle: Ethernet1/2
 Session QoS-Regel: Bandbreite-hoggers (Klasse 8)
 Tracker-Bühne l7proc: CTD-Decoder Bypass
 -Ende- Grund: Unbekannte   

Hier sind ein paar Gedanken in Ihrer Tasche zu halten während der Konfiguration von QoS:

• QoS-Profil gilt für die Schnittstelle, die, die bestimmten Paket aus (nicht die Richtung der Sitzung) egressing ist.
• Bandbreitenbeschränkungen oder Garantien werden innerhalb einer Klasse nicht pro Sitzung freigegeben.
• Kombinierte Max oder reservierten Durchsatz übersteigen max Schnittstellenbandbreite nicht.
• Class4 ist die Standardklasse für jede Sitzung, die nicht auf eine QoS-Richtlinie abgestimmt.
• QoS-Richtlinie, wie Sicherheitspolitik, bearbeitet von oben nach unten und das erste Spiel der Politik angewendet werden.

Ich hoffe, dass Sie diese Ausgabe des Getting Started mochte. Bitte hinterlassen Sie einen Kommentar oder schauen Sie sich die vorherigen Episoden der Getting Started Serie an.

Können Sie nicht auf die FortGeschrittenen Serien warten oder wollen mehr wissen? Bitte schauen Sie sich den QoS-Abschnitt im Admin-Guide an.

Tom