QoS を使用してアップロードを制限するために複数のサブネットに異なる帯域幅を割り当てる方法
Symptom
Environment
- PAN-OS 8.1以上。
- パロ アルト Firewall .
- QoS 設定。
Resolution
ケース 1 - アップロードの制限: これは、 Firewall 操作を実行していない場合にのみ適用 NAT されます。
- インターフェイスの背後には複数のサブネット LAN があり、アップロードを 216.57.196.78 に制限する必要があります
- 同じクラスを使用して異なる QoS プロファイルを作成します。
- 下の図を確認してください。
ここで注意すべき点の 1 つは、アップロードを制限しているので、インターフェイスである出力に QoS を適用する必要があることは間違いありません WAN 。
今、他のタブ (クリアテキストトラフィック) をクリックします。
注: 送信元インターフェイス/サブネットは、トラフィックの発信元に最も近いインターフェイスになります。
ここで重要なポイントは、送信元インターフェイスがトラフィックの発信元に最も近いインターフェイスであるため、LAN インターフェイスとサブネットが実際のトラフィックを生成する発信者になることです。
出力インターフェイスと送信元サブネットは 2 つの異なるものです。
ここで、要件に従って QoS を書き込 policy みます。
I 4 つのポリシーのみを書いています (クラス 2 を使用してすべて) が、必要に応じて複数のポリシーを記述できますが、概念は同じままです。
注: の場合は NAT IP IP NAT IP 、QoS 設定と の両方で変換されたアドレス ( post- ) を使用するように、例のアドレスを変更する必要があります Policy 。サブインターフェイスは、複数の送信元サブネットに使用できます。
ケース 2-ダウンロードの制限
特定のソース (ダウンロード用) から8個以上のサブネットに対して異なる帯域幅を割り当てることはできません。 理由は次のとおりです: 8 つの
QoS クラスがあるため、異なる帯域幅を割り当てることに関しては 、ソースごとに 8 つのクラスしか使用できません。 (すべての QoS クラスを 1 つのプロファイルで使用します)。
ソースサブネットに基づいてダウンロードを制限する場合は、
- インターフェイスになる出力インターフェイスに QoS を適用します LAN 。
- この場合、送信元インターフェイス/サブネットは WAN インターフェイスになり、サブネットはサーバーのサブネット/ IP アドレスになります。(例: Vimeo サーバー IP アドレス)
送信元インターフェイスはトラフィックの発信元に最も近いインターフェイスになり、送信元サブネットはセバー/ IP サブネットになります。
ヒントとコツ
セッション ID を使用して、必ず C2S/S2C フローを確認してください。
たとえば、ダウンロード制限の場合、QoS プロファイルが S2C フローに適用されることを確認し、以下のスナップショットを参照してください。
注: この図は参考用です。ただし、QoS が適用されたライブ トラフィックから取得され、104.156.81.217 サーバーからのダウンロードが制限されます。 (送信元インターフェイス = WAN およびソース サブネット = クリア テキスト トラフィック タブの Vimeo サーバ IP アドレスと呼びます)。
さらに、ここにはクリア テキスト タブの出力 CLI (QoS プロファイルがそのセッションに適用される QoS プロファイルを指す QoS id を確認してください)、QoS ID は 1 上にあり、ダウンロードのために上記のトラフィックに適用されます。
つまり、qos カスカイスは、どのクラスでも帯域幅が制限されている qos プロファイルであり、これはソースサブネットがどのように機能するかを示すためだけのものです。
また、この特定のクラスを policy 呼び出す QoS も書いていますが、ここでは示されていません。
これは主に QoS の概念と、QoS のクリア テキスト タブの送信元サブネットを使用する方法を示すために行われました。