Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
サービスの質の開始: - Knowledge Base - Palo Alto Networks

サービスの質の開始:

234420
Created On 09/25/18 18:56 PM - Last Modified 06/08/23 08:47 AM


Resolution


何ができる私のファイアウォールは?サービスの品質!

 

今回は作業の開始の近いみようシリーズはサービスの品質、または QoS を有効にする方法を見てください。QoS は、ネットワーク セグメントの帯域幅を管理し、他のアプリケーションのための容量を保証しながら消費アプリケーションを制限することができます技術です。これにより管理者は、優先順位を付けるなどの他のトラフィック、および帯域幅の制限上の VoIP 通話それらの YouTube ビデオを消費します。

 

注意すべき重要な概念は、QoS プロファイルがファイアウォールを通過するパケットの出力インターフェイスに適用されることです。たとえば、アップロードを制限するため、QoS プロファイルは信頼インターフェイスと信頼のインターフェイスで有効にする必要がありますプロファイル QoS 制限ダウンロードを有効にする必要という意味でしょう。

 

QoS ネットワーク図

 

開始するには、少なくとも 1 つの QoS プロファイルは最初必要があります。[ネットワーク] タブに移動し、QoS プロファイル、新しいプロファイルを作成します。

QoS プロファイル 

 

このビューでは、いくつかのクラスを追加できます。これらのクラスは、フローを識別および帯域幅特性を適用、かどうかパケットが他のパケット、データ プレーン ・の優先取得を決定します。

 

デフォルトのクラスはクラス 4 を使用します。任意のセッションに割り当てられている特定のクラスを持たないそれは、このクラスによって、ので、我々 は、プロファイルが存在するかどうかを確認する必要がありますトラフィックの矛先を運ぶことができる制御されます。

 

100 mbps のインターネット帯域幅を持ってして半分にあなたの一般的なトラフィックを制限すると仮定します。情報を設定するには、このプロファイルの 100 mbps とクラス 4 の 50 mbps 避難最大に設定する必要があります。

 

次に、VoIP トラフィックいないダウンロード スパイクに苦しむとき、したがって、データ プレーン ・が負荷が高い場合これらのパケットは他のパケットに優先順位を取得することを確認、'リアルタイム' 優先順位のクラスを作成することを確認します。電話は輻輳苦しむしないため帯域幅を予約、30 mbps の帯域保証を設定します。

 

クラスを作成するときは優先順位の設定順序のパケットは、最高の優先順位をされているリアルタイムと最低の優先順位をされている低重負荷、ファイアウォールによって処理を判断します。

 

最後に、YouTube のような通過するこれらを許可しながら多くの帯域幅を消費するからいくつかのアプリケーションを制限します。0.1Mbps、または 100 Kbps に設定出力 max '低' 優先順位クラスを作成します。

 

QoS プロファイル

 

 

次に、関連するすべてのインターフェイス上のプロファイルを有効にします。今のところ、内部および外部インターフェイスの同じプロファイルを使用します。QoS のメニューに移動し、インターフェイスを追加します。

QoS インタ フェース

 

ドロップダウン リストから適切なインターフェイスを選択して、QoS を有効にする] チェック ボックスをチェックすると、およびクリア テキストの既定のプロファイルを新しく作成したプロファイルに設定を確認してください。我々 は、2 つのインターフェイスのみがあり、プロファイルのすべてのトラフィックに適用されますので、今のところ、0 に設定インターフェイス固有出口 Max を残すことができます。

 

QoS インタ フェース

 

構成をテストすることができます前に、最後のステップは、QoS ポリシーを作成することです。セキュリティ ポリシーと同様 QoS ポリシーを構築できますより細かくコントロールにクラス作成してクラスを特定のトラフィックのみに適用。

[ポリシー] タブに移動し、QoS の新しいポリシーを作成します。

QoS ポリシー

 

VoIP ポリシーを作成するには、untrust、関連するアプリケーションを選択して移動先のゾーンを信頼するソース ゾーンを設定します。私は、Skype といくつかのストリーミング プロトコルを選択しました。Class1 のままこのトラフィックを分類します。

QoS ポリシー

 

厳しく制限するアプリケーションのためには、この手順を繰り返します。

QoS ポリシー

 

最後のタブでスケジュールは、一日の時間に基づいてサービスの品質を適用するされる可能性があります。たとえば、昼休みにクラス 4 としてのビデオを見ることができますので、7-12 と 13 に 19 から YouTube を制限します。同じクラスのいくつかのルールを作成して処理される上から下へ。

 

以来、クラス 4 は、既定ポリシーを作成する必要はありません。先に行くし、QoS を有効にするのにこの構成をコミットします。

 

今先に行くし、QoS 構成が適用されている場合をテストすることができます。帯域幅が使用されているかを視覚化するを助けることができる QoS ページに生きている統計量のページがあります。[ネットワーク] タブを開き、Qos ページで我々 はダウンロードをテストするように ethernet1/2 の統計情報を開きます。

 QoS 統計

 

今このようなポップアップを得ること必要があります。

QoS 統計

あなたの GUI には、色が若干異なる場合がありますが、私の例では、クラス 4 を表す紫から見ることができます、私の帯域幅で 8 mbps まで小さなスパイクを引き起こしたインターネットから FileZilla クライアントをダウンロードしました。

 

あなたのクライアントに FTP によるファイルのダウンロードを開始すると、転送が非常に遅いがわかります。その完全 0.1Mbps を使用して示す class8 トラフィックによって割り当てる帯域幅統計ページが反映されます。

 

QoS 統計

 

どのクラスのセッションに割り当てられていることを確認する別の方法は、CLI からです。

 

> セッションをすべて表示

--------------------------------------------------------------------------------
ID アプリケーションの状態の種類フラグ Src [スポーツ]/Zone/Proto (翻訳 ip [ポート])
Vsys Dst [Dport]/Zone (翻訳された ip[ポート]
--------------------------------------------------------------------------------
1105 ftp データアクティブフロー ND 198.51.100.1 [20]/untrust/6 (198.51.100.1 [20])
vsys1 198.51.100.230 [41094]/trust (10.0.2.4 [4383])
1097 ftp アクティブフロー ns 10.0.2.4 [4379]/trust/6 (198.51.100.230 [62430])
vsys1 198.51.100.1 [21]/untrust (198.51.100.1 [21])
1106 dns アクティブフロー ns 10.0.2.4 [53048]/trust/17 (198.51.100.230 [30096])
vsys1 4.2.2.2 [53]/untrust (4.2.2.2 [53])
1107 dns アクティブフロー NS 10.0.2.4 [49267]/trust/17 (198.51.100.230 [26164]) vsys1 4.2.2.2
[53]/untrust (4.2.2.2 [53])

> セッション id 1105 セッションを表示する

1105

c2s フロー:
ソース: 198.51.100.1 [untrust]
dst: 198.51.100.230
プロト: 6
スポーツ:20             dport: 41094
状態: アクティブタイプ: フロー
src ユーザ: 不明
な dst ユーザ: 不明
の qos ノード: ethernet1/2、qos メンバ N/A Qid 0

s2c フロー:
               ソース: 10.0.2.4 [トラスト]
dst: 198.51.100.1
プロト: 6
スポーツ: 4383 dport:20
状態: アクティブタイプ: フロー
src 米国er: 未知
の dst ユーザ: 不明
な qos ノード: ethernet1/1、qos メンバ N/Qid 0

開始時間: 水11月 25 14:52:26 2015

。.. 簡潔にするための切り取ら...

        進入インタフェース: ethernet1/1
出力インタフェース: ethernet1/2
セッション QoS ルール: 帯域幅-hoggers (クラス 8)
トラッカーステージ l7proc: デコーダバイパス
エンド-理由: 不明

 

ここでは、QoS を構成しながらあなたのポケットで保つために思考のカップルです。

 

  • QoS プロファイルは、(セッションの方向ではない) のどんな与えられたパケットを egressing インタ フェースに適用されます。
  • 帯域幅の制限や保証は、セッションごとではなく、クラス内で共有されます。
  • 複合予約、または最大スループットはインタ フェースの最大帯域幅を超えることはできません。
  • クラス 4 は、QoS ポリシーと一致していない任意のセッションのデフォルトのクラスです。
  • セキュリティ ポリシーと同様の QoS ポリシーが処理される上部下部と最初に一致したポリシーが適用されます。

 

私はじめのこの版が好きです。コメントを残すか、またははじめにシリーズで前のエピソードを点検すること自由に感じなさい

 

高度なシリーズを待つことができない、または詳細を知りたいですか?管理者ガイド の QoS セクションを確認してください。

 

トム



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClS0CAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language