Ce qu’on peut mon pare-feu ? Qualité de Service !

Dans cette tranche de la mise en route, série, nous allons prendre une plus proche Regardez comment activer la qualité de Service ou QoS. QoS est une technologie qui gère la bande passante pour un segment de réseau et qui peut limiter les applications dans leur consommation tout en garantissant la capacité pour d’autres applications. Cela vous permet, comme l’administrateur, de donner la priorité, par exemple, des appels VoIP sur tous autres trafic et limite la quantité de bande passante consomment ces vidéos YouTube.

Un concept important à garder à l'esprit est qu'un profil QoS est appliqué sur l' interface de sortie d'un paquet qui se déplace à travers le pare-feu. Cela signifierait, par exemple, que pour limiter upload, un profil de qualité de service doit être activé sur l’interface untrust et à la limite de téléchargement, une QoS profil doit être activé sur l’interface de confiance.

Pour commencer, vous devez tout d’abord au moins un profil de QoS. Allez sur l’onglet réseau et dans le profil de QoS, créer un nouveau profil.

Dans cette perspective, vous pouvez ajouter plusieurs classes. Ces classes identifient les flux et leur appliquent une caractéristique de la bande passante et déterminer si les paquets obtenir priorité dans la dataplane sur d’autres paquets.

La classe par défaut est de classe 4. N’importe quelle session qui n’a pas une classe spécifique attribuée à elle sera contrôlée par cette classe, donc nous avons besoin pour vous assurer qu'un profil existe qui peut porter le gros du trafic.

Supposons que vous avez une bande passante internet de 100 Mbit/s et souhaitez limiter votre trafic générique à la moitié. Pour ce faire, vous devez définir le Max de sortie à 100 Mbit/s pour ce profil et 50Mbps de classe 4.

Ensuite, vous voulez vous assurer que votre trafic VoIP ne pas souffrir de n’importe quel téléchargement de pointes, donc créer une classe avec une priorité « temps réel », ce qui fera en sorte que si le dataplane est lourdement chargé, ces paquets avoir la priorité sur les autres paquets. Mis une bande passante garantie de 30Mbps donc appels ne souffrent de congestion comme la bande passante est réservée.

* Lors de la création de classes, définir la priorité détermine où paquets de commande sont manipulés par le pare-feu en cas de lourde charge, avec en temps réel étant la priorité la plus élevée et faible étant la priorité la plus basse.

Enfin, vous souhaiterez limiter certaines applications ne consomme beaucoup de bande passante tout en permettant à ceux-ci de passer par, comme YouTube. Créez une classe de priorité « faible » avec un Max de sortie la valeur 0.1Mbps ou 100 Kbits/s.

Ensuite, activer le profil sur toutes les interfaces pertinentes. Pour l’instant, nous allons utiliser le même profil d’interface interne et externe. Allez dans le menu de la QoS et ajouter des interfaces.

Sélectionnez l’interface appropriée dans le menu déroulant, assurez-vous que la case à cocher pour activer la QoS est vérifié et défini le profil par défaut du texte clair sur votre profil nouvellement créé. Nous pouvons laisser le Max de sortie spécifique à l’interface définie sur 0 pour l’instant, car nous n’avons que deux interfaces et le profil s’appliquera à toute circulation.

La dernière étape avant que nous pouvons tester notre configuration consiste à créer une stratégie QoS. Tout comme une politique de sécurité, une stratégie QoS peut être construite au plus granulaire de contrôle les classes que vous venez de créer et appliquez une classe à certains trafics seulement.

Allez à l’onglet stratégies et créer une nouvelle stratégie dans la QoS.

Pour créer la stratégie de VoIP, définissez la zone source de confiance, le fuseau horaire de destination untrust, choisissez les applications pertinentes. J’ai choisi Skype et certains protocoles de streaming. Puis classer ce trafic class1.

Répétez cette étape pour les applications que vous souhaitez limiter sévèrement.

L’annexe dans le dernier onglet pourrait servir à appliquer la qualité de Service basée sur l’heure du jour. Par exemple, limite YouTube de 07:00-12:00 et 13:00 à 19:00, afin que les utilisateurs sont autorisés à regarder les vidéos comme class4 pendant la pause déjeuner. Plusieurs règles pour la même classe peuvent être créés et seront traitées haut vers le bas.

Classe 4 étant la valeur par défaut, aucune politique ne doit être créé. Allez-y et validez cette configuration pour activer la QoS.

Vous pouvez maintenant aller de l’avant et vérifier si la configuration QoS est appliquée. Il y a une page de statistiques en direct sur la page de QoS qui peut aider à visualiser comment bande passante est utilisé. Ouvrez l’onglet "réseaux" et dans la page de Qos, ouvrez les statistiques pour ethernet1/2 comme nous vais tester téléchargements.

Vous devriez maintenant obtenir un popup similaire à celle-ci.

Sur votre interface graphique, les couleurs peuvent être légèrement différentes, mais dans mon exemple ci-dessus, vous peuvent le voir sur la pourpre qui représente la classe 4, j’ai téléchargé le client FileZilla, sur internet, ce qui a provoqué un pic peu jusqu'à 8Mbps dans ma bande passante.

Si vous commencez à télécharger un fichier via FTP sur votre client, vous remarquerez que le transfert est extrêmement lent. La page de statistique reflétera que montrant class8 par traffic en utilisant jusqu'à sa pleine 0.1Mbps alloué de bande passante.

Une autre façon de vérifier à quelle classe une session est assigné à est par le biais de l’interface CLI.

> Show session tous

--------------------------------------------------------------------------------
ID application État type Flag SRC [Sport]/zone/proto (traduit IP [port])
VSys DST [dport]/zone (traduit IP [Port]) 
--------------------------------------------------------------------------------
1105 FTP-Data flux actif ND 198.51.100.1 [20]/Untrust/6 (198.51.100.1 [20])
vsys1 198.51.100.230 [41094]/Trust (10.0.2.4 [4383 ])
1097 FTP active Flow NS 10.0.2.4 [4379]/Trust/6 (198.51.100.230 [62430])
vsys1 198.51.100.1 [21]/Untrust (198.51.100.1 [21])
1106 DNS Active Flow NS 10.0.2.4 [53048]/Trust/17 (19 8.51.100.230 [30096])
vsys1 4.2.2.2 [53]/Untrust (4.2.2.2 [53])
1107 DNS Active Flow NS 10.0.2.4 [49267]/Trust/17 (198.51.100.230 [26164])
vsys1 4.2.2.2 [53]/untru St (4.2.2.2 [53])

> Show session ID 1105

session 1105

 C2S flux:
 source: 198.51.100.1 [Untrust]
 DST: 198.51.100.230
 proto: 6
 sport: 20              dport: 41094
 State: type actif: Flow
 src utilisateur: inconnu
 DST utilisateur: inconnu
 noeud QoS: ethernet1/2, membre QoS N/A qid 0

 S2C Flow:
                Source: 10.0.2.4 [Trust]
 DST: 198.51.100.1
 proto: 6
 sport: 4383 dport: 20
 État: type actif: flux
 src US er: inconnu
 DST utilisateur: inconnu
 QoS node: ethernet1/1, QoS membre N/A qid 0

 heure de début: Wed nov 25 14:52:26 2015

.           .. ciselé pour la brièveté... 

        Ingres interface: ethernet1/1
 sortie interface: ethernet1/2
 session règle de QoS: bande passante-hoggers (classe 8)
 Tracker étape l7proc: décodeur DTC
 fin de dérivation- Motif: inconnu   

Voici quelques idées à garder dans votre poche lors de la configuration QoS :

• Profil de QoS s’applique à l’interface de n’importe quel paquet donné est qui hors (pas la direction de la session).
• Limitations de bande passante ou garanties sont partagés au sein d’une classe, non par session.
• Capacité Max ou réservés combinée ne peut excéder interface bande passante max.
• Classe 4 est la classe par défaut pour n’importe quelle session ne correspondance ne pas à une stratégie QoS.
• Traitement de la stratégie QoS, comme la politique de sécurité, haut vers le bas et le premier match de la stratégie sera appliquée.

J’espère que vous avez aimé cette édition de mise en route. S'il vous plaît n'hésitez pas à laisser un commentaire ou consultez les épisodes précédents à la série Getting Started.

Vous ne pouvez pas attendre pour les séries avancées ou vous voulez en savoir plus? Veuillez consulter la section QoS dans le guide d'administration.

Tom