Wie man unterschiedliche Bandbreite für mehrere Subnetze zuordnet, um den Upload mit QoS zu begrenzen
Symptom
Environment
- PAN-OS 8.1 und höher.
- Palo Alto Firewall .
- QoS-Konfiguration.
Resolution
Fall 1 - Einschränken von Uploads: Dies gilt nur, wenn der Firewall Vorgang nicht ausgeführt NAT wird.
- Hinter der Schnittstelle befinden sich mehrere LAN Subnetze, für die wir den Upload auf 216.57.196.78 beschränken müssen.
- Erstellen Sie ein anderes QoS-Profil mit derselben Klasse.
- Schauen Sie sich die Abbildung unten an.
Eine Sache, die hier zu beachten ist, ist, dass wir die Uploads einschränken, so dass es keinen Zweifel gibt, dass QoS auf den Ausgang angewendet werden muss, der eine WAN Schnittstelle ist.
Klicken Sie nun auf den anderen Tab (Klartext-Verkehr).
Hinweis: Denken Sie daran, dass die Quellschnittstelle/das Subnetz die Schnittstelle ist, die dem Ursprungsgeber des Datenverkehrs am nächsten ist.
Der schlüsselfertige Punkt hier ist, dass die Quellschnittstelle die Schnittstelle sein wird, die dem Urheber des Datenverkehrs am nächsten ist, daher die Lan-Schnittstelle und das Subnetz wird der Urheber sein, der den eigentlichen Datenverkehr generiert.
Die Egress-Schnittstelle und das Quellsubnetz sind 2 verschiedene Dinge.
Schreiben Sie nun das QoS policy nach Ihren Anforderungen.
I haben nur 4 Richtlinien geschrieben (alle mit Klasse 2), aber Sie können mehrere Richtlinien nach Ihren Bedürfnissen schreiben, das Konzept bleibt das gleiche.
Hinweis: Im Fall von NAT müssen die Adressen im Beispiel geändert IP werden, um die übersetzte IP Adresse (post- NAT IP ) sowohl in der QoS-Konfiguration als auch in zu Policy verwenden.Subschnittstellen können für mehrere Quellsubnetze verwendet werden.
Fall 2-Begrenzung der Downloads
Die Zuweisung unterschiedlicher Bandbreite für mehr als 8 Subnetze aus einer bestimmten Quelle (zum Download) ist nicht möglich. Hier ist, warum:
Wir haben 8 QoS-Klassen, also wenn es darum geht, verschiedene Bandbreite nützen, können wir nur 8 Klassen pro Quelleverwenden. (Verwenden Sie alle QoS-Klassen in einem Profil.)
Wenn Sie den Download basierend auf dem Quellsubnetz einschränken,
- Wenden Sie das QoS auf die Egress-Schnittstelle an, die Ihre Schnittstelle sein LAN wird.
- In diesem Fall ist die Quellschnittstelle/das Subnetz die WAN Schnittstelle und das Subnetz die Subnetzadresse/-adresse des IP Servers.(Beispiel Vimeo-Serveradresse) IP
Denken Sie daran, dass die Quellschnittstelle die Schnittstelle sein wird, die dem Urheber des Datenverkehrs am nächsten ist, und das Quellsubnetz wird die severs IP / subnet sein.
Tipps und Tricks
Überprüfen Sie immer den C2S / S2C-Fluss mit der Sitzungs-ID.
Zum Downloadlimit stellen Sie beispielsweise fest, dass das QoS-Profil im S2C-Fluss angewendet wird, siehe den folgenden Snapshot.
Anmerkung: Diese Zahl dient nur als Referenz; Es stammt jedoch aus dem Live-Datenverkehr mit angewendetem QoS, bei dem wir den Download vom Server 104.156.81.217 eingeschränkt haben. (genannt sources interface = WAN and source subnet = Vimeo servers IP address in clear text traffic tab.)
Darüber hinaus ist hier die Ausgabe der Klartext-Registerkarte aus der CLI (überprüfen Sie die QoS-ID, die darauf hinweist, auf welches QoS-Profil auf diese Sitzung angewendet wird) das QoS ID ist 1 hier und wird auf den oben genannten Datenverkehr zum Download angewendet.
Bedeutet, dass QoS Mafra das QoS-Profil ist, in dem wir eine begrenzte Bandbreite in jeder Klasse haben, dies ist nur, um Ihnen zu zeigen, wie das quellsubnet funktioniert.
Wir haben auch ein QoS geschrieben, policy das diese bestimmte Klasse aufruft, die hier nicht angezeigt wird.
Dies sollte hauptsächlich die Konzepte von QoS demonstrieren und wie wir das Quellsubnetz einer Klartext-Registerkarte in QoS verwenden können.