¿Qué más puede mi firewall hacer? ¡Calidad de servicio!

En esta entrega de la introducción serie tomaremos más ver cómo habilitar calidad de servicio o QoS. QoS es una tecnología que gestiona el ancho de banda para un segmento de red puede limitar aplicaciones en su consumo garantizando capacidad para otras aplicaciones. Esto le permite, como administrador, dar prioridad, por ejemplo, llamadas de VoIP sobre otro tráfico y límite de la cantidad de ancho de banda los vídeos de YouTube consumen.

Un concepto importante a tener en cuenta es que se aplica un perfil QoS en la interfaz de salida de un paquete que viaja a través del firewall. Por ejemplo, esto significaría que para limitar la subida, un perfil de QoS debe estar habilitado en la interfaz untrust y límite de descarga, un QoS perfil necesita ser habilitado en la interfaz trust.

Para empezar, primero necesita al menos un perfil de QoS. Ir a la pestaña red y en el perfil de calidad de servicio, crear un nuevo perfil.

En esta vista, puede agregar varias clases. Estas clases identifican flujos y se les aplican una característica banda y determinan si los paquetes Haz priorizados en el dataplane sobre otros paquetes.

La clase por defecto es class4. Cualquier sesión que no tiene una clase específica asignada a se controlará por esta clase, por lo que necesitamos para asegurarse de que existe un perfil que puede llevar la peor parte del tráfico.

Supongamos que usted tiene un ancho de banda de internet de 100 Mbps y quiere limitar su tráfico genérico a la mitad. Para lograr esto, necesita establecer el máximo de salida a 100 Mbps para este perfil y 50Mbps para class4.

A continuación, desea asegurarse de que su tráfico de VoIP no sufren cualquier puntos de descarga, así que crear una clase con prioridad 'en tiempo real', que se asegurará de que, si el dataplane es cargado, estos paquetes tengan prioridad sobre otros paquetes. Establezca un ancho de banda garantizado de 30Mbps para que llamadas no sufren de la congestión como ancho de banda está reservado.

Cuando se crear clases, establecer la prioridad determina en que se manejan paquetes de orden por el firewall en caso de carga pesada, con baja siendo la prioridad más baja y en tiempo real siendo la máxima prioridad.

Por último, desea limitar algunas aplicaciones consuman mucho ancho de banda mientras sigue permitiendo estos pasar, como YouTube. Crear una clase de prioridad 'bajo' con un máximo de salida a 0.1Mbps o 100 Kbps.

A continuación, activar el perfil en todas las interfaces correspondientes. Por ahora, usaremos el mismo perfil para la interfaz interna y externa. Ir al menú de QoS y añadir interfaces.

Seleccionar la interfaz adecuada de la lista desplegable, asegúrese de que la casilla de verificación Habilitar QoS es revisar y establecer el perfil predeterminado de texto claro en el perfil recién creado. Podemos dejar el máximo de salida específicos de la interfaz establece en 0 por ahora, como sólo tenemos dos interfaces y el perfil se aplica a todo el tráfico.

El último paso antes de que podemos probar nuestra configuración es crear una directiva QoS. Al igual que una política de seguridad, una directiva QoS se puede construir más de forma individual controlar las clases simplemente crear y aplicar una clase para cierto tráfico sólo.

Ir a la pestaña directivas y crear una nueva política de QoS.

Para crear la Directiva de VoIP, configurar la zona de la fuente a confiar, en zona de destino untrust, elija las aplicaciones pertinentes. He seleccionado Skype y algunos protocolos de streaming. Luego clasificar este tráfico como class1.

Repita este paso para las aplicaciones que desea limitar severamente.

El calendario en la ficha última podría utilizarse para aplicar calidad de servicio basado en la hora del día. Por ejemplo, limite YouTube de 7:00-12:00 y 13:00 a 19:00, para que los usuarios pueden ver videos como class4 durante la pausa del almuerzo. Varias reglas para la misma clase pueden ser creadas y se procesarán de arriba a abajo.

Puesto que class4 es la predeterminada, ninguna política necesita crearse. Seguir adelante y cometer esta configuración para habilitar QoS.

Ahora puede seguir adelante y probar si la configuración de QoS se está aplicando. Hay una página de estadísticas en directo en la página de QoS que puede ayudar a visualizar cómo se utiliza ancho de banda. Abra la pestaña redes y en la página de calidad de servicio, abra las estadísticas ethernet1/2 ya que va probando descargas.

Ahora obtendrás una ventana similar a esta.

Su GUI, los colores pueden variar, pero en mi ejemplo anterior, usted pueden ver en la púrpura que representa class4, he descargado el cliente FileZilla, desde internet, lo que causó un pequeño aumento hasta 8Mbps en mi ancho de banda.

Si comienza a descargar un archivo mediante FTP a su cliente, se dará cuenta de que la transferencia es muy lenta. La página de estadística refleja que por mostrar class8 tráfico hasta su completo 0.1Mbps asigna ancho de banda.

Otra forma de comprobar que clase de una sesión se asigna a es a través de la CLI.

> Mostrar sesión todos

--------------------------------------------------------------------------------
identificador de estado de aplicación de identificación de tipo de indicador src [Sport]/Zone/proto (traducido IP [puerto])
Vsys DST [dport]/Zone (traducido IP [Puerto]) 
--------------------------------------------------------------------------------
1105 FTP-Data flujo activo ND 198.51.100.1 [20]/Untrust/6 (198.51.100.1 [20])
vsys1 198.51.100.230 [41094]/Trust (10.0.2.4 [4383 ])
1097 FTP flujo activo NS 10.0.2.4 [4379]/Trust/6 (198.51.100.230 [62430])
vsys1 198.51.100.1 [21]/Untrust (198.51.100.1 [21])
1106 DNS Active flujo NS 10.0.2.4 [53048]/Trust/17 (19 8.51.100.230 [30096])
vsys1 4.2.2.2 [53]/Untrust (4.2.2.2 [53])
1107 DNS Active flujo NS 10.0.2.4 [49267]/Trust/17 (198.51.100.230 [26164])
vsys1 4.2.2.2 [53]/untru St (4.2.2.2 [53])

> Mostrar Session ID 1105

sesión 1105

 C2S flujo:
 Fuente: 198.51.100.1 [Untrust]
 DST: 198.51.100.230
 proto: 6
 deporte: 20              dport: 41094
 Estado: activo tipo: flujo
 src usuario: desconocido
 DST usuario: desconocido
 nodo QoS: ethernet1/2, QoS miembro N/A QID 0

 s2c flujo:
                Fuente: 10.0.2.4 [Trust]
 DST: 198.51.100.1
 proto: 6
 deporte: 4383 dport: 20
 Estado: tipo activo: flujo
 src nosotros Er: desconocido
 DST usuario: desconocido
 nodo QoS: ethernet1/1, QoS miembro N/A QID 0

 hora de Inicio: Wed Nov 25 14:52:26 2015

.           .. cortó para la brevedad... 

        ingreso interfaz: ethernet1/1
 interfaz de salida: ethernet1/2
 sesión QoS regla: ancho de banda-hoggers (clase 8)
 Tracker etapa l7proc: CTD decodificador bypass
 End- razón: desconocida   

Aquí hay un par de reflexiones a tener en su bolsillo durante la configuración de QoS:

• Perfil de QoS se aplica a la interfaz de que cualquier paquete dado es egressing fuera (no la dirección de la sesión).
• Limitaciones de ancho de banda o garantías son compartidas dentro de una clase, no por sesión.
• Rendimiento máximo o reservados combinada no puede exceder interfaz máximo ancho de banda.
• Class4 es la clase predeterminada para cualquier sesión no corresponden a una política de QoS.
• Política de QoS, como la política de seguridad, se procesa más a fondo y el primer partido de la política se aplicará.

Espero que les haya gustado esta edición de empezar. Por favor, no dude en dejar un comentario o ver los episodios anteriores en la serie de introducción.

¿No puedes esperar a la serie avanzada o quieres saber más? Por favor, consulte la sección QoS en la guía de administración.

Tom