Comment assigner la bande passante différente pour plusieurs sous-réseaux pour limiter le téléchargement en utilisant QoS
Symptom
Environment
- PAN-OS 8,1 et plus.
- Palo Alto Firewall .
- Configuration QoS.
Resolution
Cas 1 - Limiter les téléchargements : Cela n’est applicable que lorsque Firewall l’opération n’est pas NAT performante.
- Il ya plusieurs sous-réseaux derrière LAN l’interface pour laquelle nous devons limiter le téléchargement à 216.57.196.78
- Créez un profil QoS différent en utilisant la même classe.
- Vérifiez la figure ci-dessous.
Une chose à noter ici, c’est que nous limitons les téléchargements de sorte qu’il ne fait aucun doute que QoS doit être appliquée sur l’évacuation, qui est une WAN interface.
Cliquez maintenant sur L'autre onglet (trafic de texte clair).
Note: N’oubliez pas que l’interface source/sous-réseau sera l’interface la plus proche de l’initiateur du trafic.
Le point clé ici est que l’interface source sera l’interface qui est la plus proche de l’initiateur du trafic d’où l’interface Lan et le sous-réseau sera l’initiateur qui génère le trafic réel.
L’interface d’évacuation et le sous-réseau source sont 2 choses différentes.
Maintenant, écrivez le QoS policy selon vos exigences.
I n’ont écrit que 4 stratégies (toutes utilisant la classe 2) mais vous pouvez écrire plusieurs stratégies selon vos besoins, le concept restera le même.
Remarque: Dans le cas NAT de , les IP adresses de l’exemple doivent être modifiées pour utiliser l’adresse IP traduite (post-) NAT IP dans la configuration QoS et Policy .Les sous-interfaces peuvent être utilisées pour plusieurs sous-réseaux sources.
Cas 2-limitation des téléchargements
Il n'est pas possible d'attribuer une bande passante différente pour plus de 8 sous-réseaux à partir d'une source particulière (pour le téléchargement). Voici pourquoi: Nous avons
8 classes QoS donc quand il s’agit d’attribuer une bande passante différente, nous pouvons utiliser seulement 8 classes par source. (Utilisez toutes les classes QoS dans un seul profil.)
Si vous limitez le téléchargement en fonction du sous-réseau source,
- Appliquez le QoS sur l’interface Egress qui sera votre LAN interface.
- Dans ce cas, l’interface source/sous-réseau sera WAN l’interface et le sous-réseau sera le sous-réseau/adresse du IP serveur.(Exemple, adresse serveurs IP Vimeo)
N’oubliez pas que l’interface source sera l’interface la plus proche de l’initiateur du trafic et le sous-réseau source sera les IP séquents / sous-réseau.
Trucs et astuces
Vérifiez toujours le flux C2S /S2C à l’aide de l’id de session.
Par exemple, pour la limite de téléchargement, vous observez que le profil QoS sera appliqué dans le flux S2C, voir l’instantané ci-dessous.
Note: Ce chiffre est juste pour la référence ; cependant, il est tiré du trafic en direct avec QoS appliqué dans lequel nous avons limité le téléchargement à partir du serveur 104.156.81.217. (appelé interface sources = et WAN sous-réseau source = adresse serveurs Vimeo IP dans l’onglet trafic texte clair.)
En outre, voici la sortie de l’onglet texte clair de CLI l’id QoS (vérifiez l’id QoS qui pointera vers quel profil QoS est appliqué à cette session) le QoS ID est 1 ici et est appliqué au trafic ci-dessus pour le téléchargement.
Signifie QoS Mafra est le profil QoS dans lequel nous avons une bande passante limitée dans n'importe quelle classe, ce n'est que pour vous montrer comment fonctionne le sous-réseau source.
Nous avons également écrit un QoS appelant policy cette classe particulière, qui n’est pas montré ici.
Il s’agissait principalement de démontrer les concepts de QoS et comment nous pouvons utiliser le sous-réseau source d’un onglet texte clair dans QoS.