入门教程: 优质的服务
Resolution
还有什么可以我的防火墙?优质的服务 !
在本期的入门系列我们会来仔细看看如何使服务质量或 QoS。QoS 是一种技术,管理一个网络段的带宽,并可以限制在其消费,同时保证能力处理其他应用程序中的应用。这使您作为管理员,以确定优先次序,例如,VoIP 呼叫其他交通和限制的带宽量那些 YouTube 视频消费。
要记住的一个重要概念是, QoS 配置文件应用于通过防火墙传输的数据包的出口接口. 例如,这意味着,若要限制上传,需要启用上看界面和配置文件需要信任接口上启用 QoS 限制下载到 QoS 的配置文件。
若要开始,您首先需要至少一个 QoS 的配置文件。走到网络选项卡和 QoS 的配置文件,创建新的配置文件。
在此视图中,您可以添加几个类。这些类流标识和适用于它们的带宽特性,并确定是否数据包得到优先在 dataplane 其他数据包。
默认类别是 class4。没有分配给某一特定类别的任何会话它将由这节课,所以我们需要以确保配置文件存在,可以携带首当其冲的交通控制。
让我们假设你有互联网带宽 100Mbps 的并且想要限制泛型通信量发送到一半。要做到这一点,您需要设置最高出口到此配置文件的 100Mbps 和 50Mbps class4。
接下来,你想要确保您的 VoIP 流量不遭受任何下载穗状花序,所以创建一个类,具有实时的优先级,将确保,如果 dataplane 的负载过重,这些数据包克服优先其他数据包。设置 30Mbps 保证的带宽,所以电话不遭受拥塞保留的带宽。
* 创建类时,设置优先级确定订单数据包由防火墙在重负载时处理与实时最高优先级和低的优先级最低。
最后,你想要限制某些应用程序,同时仍然允许这些占用很多带宽去通过,像 YouTube。创建和设置为 0.1Mbps 或 100 Kbps 疏散 Max '低' 的优先级类。
下一步,激活相关的所有接口上的配置文件。现在,我们将为内部和外部接口使用相同的配置文件。转到 QoS 菜单并添加接口。
从下拉列表中选择适当的接口,请确保该复选框以启用 QoS 检查,并且将清晰的文本默认配置文件设置为您新创建的配置文件。我们可以离开特定于接口的出口最高现在,将设置为 0,因为我们只有两个接口,配置文件将应用于所有通讯。
最后一步之前,我们可以测试我们的配置是创建的 QoS 策略。就像一个安全策略,QoS 策略,可建更精细地控制您只是创建并适用于某些交通只有一类的类。
转到策略选项卡并在 QoS 中创建新的策略。
若要创建 VoIP 政策,设置了源区域要信任,不信任,请选择相关的应用程序的目标区域。我选择了 Skype 和一些流媒体协议。然后将此交通列为 class1。
对于你想严重限制的应用程序重复此步骤。
最后一个选项卡中所列时间表可以用于应用质量的服务的基础一天的时间。例如,限制 YouTube 从 7 上午-12 下午和 1 下午到 7 下午,以便允许用户观看视频作为 class4 午休时。同一个班的几个规则可以创建,并且将处理顶部到底部。
因为 class4 是默认的没有政策需要创建。往前走,犯下这种配置来启用 QoS。
你现在可以走,测试如果正在应用 QoS 配置。有是实时统计的网页可以帮助可视化带宽如何被使用的 QoS 页面上。打开网络选项卡,在 Qos 页中,打开 ethernet1/2 的统计信息,我们将测试下载。
您现在应该得到一个弹出窗口,与此类似。
对您的 GUI,颜色可能略有不同,但在我的示例中以上,你可以看到代表 class4 的紫色,我已经下载了 FileZilla 客户端,从互联网,导致我的带宽达到 8Mbps 一个小高峰。
如果你开始下载一个文件通过 FTP 到您的客户端,您会注意到转移速度极慢。统计页面将反映由使用了其完整的 0.1Mbps 的显示 class8 交通分配带宽。
另一种方式来验证哪类会话分配给是通过 CLI。
>> 显示会话所有
--------------------------------------------------------------------------------
ID 应用程序状态类型标志 Src [体育]/区域/原始 (已翻译的 ip [端口])
Vsys Dst [Dport]/区域 (已翻译的 ip[端口])
--------------------------------------------------------------------------------
1105 ftp 数据活动流和 198.51.100.1 [20]/不信任/6 (198.51.100.1 [20])
vsys1 198.51.100.230 [41094]/信任 (10.0. 2.4 [4383])
1097 ftp 活动流 NS 10.0. 2.4 [4379]/信任/6 (198.51.100.230 [62430])
vsys1 198.51.100.1 [21]/不信任 (198.51.100.1 [21])
1106 dns 活动流 NS 10.0. 2.4 [53048]/信任/17 (198.51.100.230 [30096])
vsys1 4.2. 2.2 [53]/不信任 (4.2. 2.2 [53])
1107 dns 活动流 NS 10.0. 2.4 [49267]/信任/17 (198.51.100.230 [26164])
vsys1 4.2. 2.2 [53]/untrust (4.2. 2.2 [53])
> 显示会话 id 1105
会话 1105
c2s 流:
源: 198.51.100.1 [不信任]
dst: 198.51.100.230
原: 6
运动:20 dport: 41094
状态: 活动类型: 流
src 用户: 未知
的 dst 用户: 未知
的 qos 节点: ethernet1/2、qos 成员 N/A Qid 0
s2c 流:
来源: 10.0.2.4 [信任]
dst: 198.51.100.1
原: 6
体育: 4383 dport:20
状态: 活动类型: 流量
src 美国er: 未知
的 dst 用户: 未知
的 qos 节点: ethernet1/1, qos 成员 N/A Qid 0
开始时间: 11月25日 (星期三) 14:52:26 2015
. .. 剪断为简洁..。
入口接口: ethernet1/1
出口接口: ethernet1/2
会话 QoS 规则: 带宽打碎机 (8 类)
跟踪器阶段 l7proc: 温温解码器旁路
端原因: 未知
这里有几个想法配置 QoS 时牢记在你的口袋里:
- QoS 的配置文件适用于任何给定的数据包 egressing 出 (不了会议的方向) 的接口。
- 在类中,不是每个会话共享带宽限制或担保。
- 组合的最大或保留吞吐量不得超过接口的最大带宽。
- Class4 是默认类别为任何会话与 QoS 策略不匹配。
- QoS 策略,像安全策略处理将应用顶部到底部和政策的第一个匹配。
我希望你喜欢这版的入门。请随时发表评论或查看在入门系列的前一集.
不能等待高级系列或想知道更多?请查看管理指南中的 QoS 部分.
汤姆