如何为多个子网分配不同的带宽以限制使用 QoS 的上载
Symptom
Environment
- PAN-OS 8.1 及以上。
- 帕洛阿尔托 Firewall .
- QoS 配置。
Resolution
案例 1 - 限制上传: 这仅适用于 Firewall 未执行 NAT 操作时。
- 界面后面有多个子网 LAN ,我们必须将上传限制为 216.57.196.78
- 使用相同的类创建不同的 QoS 配置文件。
- 检查下图。
这里需要注意的一件事是,我们正在限制上传,所以毫无疑问,QoS需要应用在出口,这是一个 WAN 界面。
现在单击其他选项卡 (明文通信)。
注: 请记住,源接口/子网将是最接近流量发起器的接口。
这里的关键点是,源接口将是最接近流量的发起器的接口,因此 Lan 接口和子网将是生成实际流量的发起者。
出口接口和源子网是两码事。
现在 policy 根据您的要求编写QoS。
I 只写了4个策略(全部使用类2),但您可以根据您的需要编写多个策略,概念将保持不变。
注意:在示 NAT IP 例中,必须更改示例中的地址,以 IP 在 QoS 配置中使用已翻译的地址(后 NAT IP )和 Policy 。子内部可用于多个源子网。
案例 2-限制下载
无法完成从任何特定源 (下载) 为8多个子网分配不同带宽的操作。 原因:我们有
8个QoS类,所以当涉及到分配不同的带宽,我们只能使用 8个类每个源。 (在一个配置文件中使用所有 QoS 类。
如果要根据源子网限制下载,
- 在出口界面上应用QoS,这将是您的 LAN 接口。
- 在这种情况下,源接口/子网将是 WAN 接口,子网将是服务器的子网/ IP 地址。(例如,维米奥服务器 IP 地址)
请记住,源接口将是最近的接口是最近的流量的发起人和源子网将服务器 IP /子网。
提示和技巧
始终使用会话 ID 检查 C2S / S2C 流。
例如,对于下载限制,您观察到 QoS 配置文件将应用于 S2C 流中,请参阅下面的快照。
注意:这个数字只是供参考;但是,它是从应用 QoS 的实时流量中取的,其中我们限制从 104.156.81.217 服务器下载。 (称为源界面= WAN 和源子网=Vimeo服务器 IP 地址在清晰的文本流量选项卡中。
此外,下面是来自(检查 QoS ID 的清晰文本选项卡的输出 CLI ,该 ID 将指向该会话中应用的 QoS 配置文件),QoS ID 位于此处为 1,并应用于上述流量以供下载。
意味着 qos 马夫拉是我们在任何类中带宽有限的 qos 配置文件, 这只是为了向您展示源子网的工作原理。
我们还编写了一个 policy QoS,称为该特定类,此处未显示。
这主要是为了演示 QoS 的概念,以及如何使用 QoS 中明文选项卡的源子网。