Cómo asignar ancho de banda diferente para varias subredes para limitar la carga usando QoS

105839

Created On 09/25/18 19:21 PM - Last Modified 03/26/21 16:47 PM

Symptom

Síntomas

Cómo asignar un ancho de banda diferente para varias subredes (más de 8) para limitar la carga usando QoS.

Clase disponible para QoS = 8.
Existe la necesidad de proporcionar un ancho de banda diferente a más de 8 subredes.

Diagnóstico

Cree diversos perfiles de QoS usando la misma clase.
Entonces escriba diversas directivas de QoS según el flujo de tráfico.

Environment

PAN-OS 8.1 y superior.
Palo Alto Firewall .
Configuración de QoS.

Resolution

Caso 1 - Limitación de las cargas: Esto solo es aplicable cuando el Firewall no está realizando la NAT operación.

Hay varias subredes detrás de la interfaz para las LAN cuales tenemos que limitar la carga a 216.57.196.78

Cree un diverso perfil de QoS usando la misma clase.
Revisa la figura de abajo.

Una cosa a tener en cuenta aquí es que estamos limitando las cargas por lo que no hay duda de que QoS necesita ser aplicado en la salida, que es una WAN interfaz.

Ahora haga clic en la otra pestaña (borrar tráfico de texto).

Nota: Recuerde que la interfaz/subred de origen será la interfaz más cercana al originador del tráfico.

El punto clave aquí es que la interfaz de origen será la interfaz que está más cerca del originador del tráfico por lo tanto la interfaz lan y la subred será el originador que está generando el tráfico real.

La interfaz de salida y la subred de origen son 2 cosas diferentes.

Ahora escriba el QoS policy según sus requisitos.

I solo han escrito 4 directivas (todas con la clase 2), pero puede escribir varias directivas según sus necesidades, el concepto seguirá siendo el mismo.

Nota:En el caso de NAT , las direcciones en el ejemplo deben IP cambiarse para utilizar la dirección traducida IP (post- NAT IP ) tanto en la configuración de QoS como en Policy .Las subinterfaces se pueden utilizar para varias subredes de origen.

Caso 2-limitación de descargas

La asignación de ancho de banda diferente para más de 8 subredes de cualquier fuente en particular (para la descarga) no se puede hacer. He aquí por qué:
Tenemos 8 clases de QoS por lo que cuando se trata de asignar diferentes anchos de banda podemos utilizar sólo 8 clases por fuente. (Utilice todas las clases de QoS en un perfil.)

Si está limitando la descarga en función de la subred de origen,

Aplique el QoS en la interfaz de egreso que será su LAN interfaz.
En este caso, la interfaz/subred de origen será la WAN interfaz y la subred será la dirección/subred del IP servidor.(Ejemplo, dirección de servidores IP Vimeo)

Recuerde que la interfaz de origen será la interfaz más cercana al originador del tráfico y la subred de origen será la severs IP / subred.

Consejos y trucos

Marque siempre el flujo C2S / S2C usando el ID de la sesión.

Por ejemplo, para el límite de descarga, observa que el perfil de QoS se aplicará en el flujo S2C, vea la instantánea siguiente.

Nota: Esta figura es sólo para referencia; sin embargo, se toma del tráfico vivo con QoS aplicado en el cual limitamos la descarga del servidor 104.156.81.217. (llamada interfaz de origen = WAN y subred de origen = dirección de servidores Vimeo en la pestaña de tráfico de texto sin IP cifrar.)

Además, aquí está la salida de la lengueta del texto claro de la CLI (marque el id de QoS que señalará a qué perfil de QoS se aplica a esa sesión) el QoS ID es 1 aquí y se aplica al tráfico anterior para su descarga.

Significa QoS Mafra es el perfil QoS en el que tenemos un ancho de banda limitado en cualquier clase, esto es sólo para mostrar cómo funciona la subred de origen.

También hemos escrito un QoS policy llamando a esa clase en particular, que no se muestra aquí.

Esto fue principalmente para demostrar los conceptos de QoS y cómo podemos utilizar la subred de origen de una pestaña de texto claro en QoS.