PALOALTO NETWORK PAN-OS’ta QoS

Merhabalar,

Neden QoS:

Bant genişliğinin bir sınırı vardır ve belirli trafik türleri gecikmeye veya paket kaybına duyarlı olabilir veya bant genişliği açısından yoğun olabilir veya dahili iş operasyonları için kritik olabilir. QoS, ağınızdaki çeşitli uygulamaların performansını optimize etmek için kullanışlı bir araçtır. QoS, ağ trafiğinde seçilen akışların bazı kalite yönlerini ayarlama yeteneği sağlar. QoS, herhangi bir ağ/güvenlik cihazının temel bir özelliği olsa da, PAN-OS, bu özelliği yalnızca bir ağ veya alt ağa değil, aynı zamanda seçilen bir uygulama için QoS sağlamak üzere genişletir.

Sınıflandırma:

Sınıflandırma, alınan paketleri, sırayla bir öncelik kuyruğuna eşleyen tanımlanmış bir QoSclass ile ilişkilendirme eylemidir. Sınıflandırma, QoS işlevselliğinin kritik bir yönüdür. Palo Alto Networks cihazlarında, oturum oluşturulduktan ve uygulama belirlendikten sonra paketler bir QoS sınıfına atanacaktır.

PAN-OS sekiz farklı sınıfı destekler. Bu sınıflar, QoS profilleri altına sıralanır.

Öncelikli Kuyruklar:

Her sınıf bir öncelik sırası ile ilişkilendirilebilir; PAN-OS aşağıdaki dört öncelik sırasını destekler:

realtime, high, medium, low

Kuyruk yapısı hiyerarşik yapıdadır ve detayları aşağıda açıklanmıştır. Ayrıca yerleşik bir “baypas” kuyruğu vardır. Yönetim trafiği ve protokole özel trafik (ARP, OSPF, BGP, vb.) bu dahili “baypas” kuyruğuna eşlenir. Bu kuyruk, kullanıcı tarafından yapılandırılamaz.

Bant Genişliğini Sınırlama:

Çıkış arabiriminde, paketi doğru öncelik kuyruğuna bağlamak için bir QoS profilindeki bir sınıf kullanılır.PAN-OS, bir sınıf esasen bir kuyruğa eşlenir. QoS profilindeki bir sınıfın bir öncelik kuyruğuna çoktan bire eşlenmesi mümkündür.

Ayrıca belirli bir sınıfa maksimum bant genişliği ve garantilenmiş bant genişliği atayabilirsiniz. Bant genişliği, tüm PAN-OS platformlarındaki çıkış arabirimlerinde uygulanır. Bir sınıfa bant genişliği sınırlaması uygulanırken, öncelik sıraları, zamanlayıcı tarafından paketlere nasıl hizmet verildiğinin belirlenmesine yardımcı olur.

zamanlayıcılar(Schedulers):

Basit bir zamanlayıcı algoritması, bir kuyruğa ne sıklıkla hizmet verileceğini belirler. Programlayıcı, kuyruğun önceliğine ve kuyruğun sahip olduğu pozitif kredilere dayalı olarak kuyruğa kaldırılacak sonraki paketi seçer.PAN-OS, zamanlama için Hiyerarşik Adil Hizmet Eğrisi (HFSC) algoritmasını kullanır. Aynı algoritma çoğu Linux uygulamasında ve şimdi FreeBSD’de kullanılmaktadır. Basit bir ifadeyle, HFSC, trafiği önceliklendirilmiş kuyruklara filtreleme ve ilişkili kuyruk boyutlarını sınırlama yeteneği sağlar. Algoritma, gecikmeyi düşük tutmak için harika bir iş çıkarıyor.

QoS, belirli platformlarda yazılımda uygulanır ve diğer platformlarda hem yazılımda hem de donanımda (karma) uygulanır.

Yönetim trafiği dahili bir “baypas” kuyruğuna eşlenirken, tünel trafiği her zaman yalnızca yazılım uygulamasıyla işlenir.

Palo Alto Networks Güvenlik Duvarlarında Çıkış Arayüzünü Belirleme:

Artık Palo Alto Networks güvenlik duvarlarındaki QoS’nin yalnızca çıkış arabiriminde (çıkış interface) uygulandığının farkındasınız. Aşağıdaki çizimde kullanıcı iki eylem gerçekleştirmektedir: Proje dosyalarını internete yükleme (yeşil) İnternetten müzik ve veri indirme (kırmızı renk)

Palo Alto Networks, Güvenlik oturumu açısından bu eylemlerin her ikisi de kullanıcı tarafından başlatılır. Ancak, QoS açısından, her iki eylem de farklı bir çıkış arayüzü ile sonuçlanır.

Kullanıcı tarafından başlatılan upload (yeşil-yön) oluştuğunda, giriş e2 ethernet girişidir ve çıkış e1 ethernet girişidir.

Tam tersi  şekilde kullanıcı müzik (kırmızı yön) indirdiğinde  download yani  indirme işlemi yapmaya başlar. Paketler giriş etherneti olarak e1` e  ulaşır.Çıkış etherneti  olarakta e2’ye ulaşır.

PA güvenlik duvarlarında QoS Yapılandırması:

Genel olarak, güvenlik duvarlarında QoS’yi yapılandırmanın üç adımı vardır:

QoS profilini ve sınıfını yapılandırın

QoS Policy Yapılandırın:

QoSon’u arayüzü yapılandırın

İlk önce QoS profil ekleyelim.

Palo alto arayüzünde

QoS Profili açıyorum altt Add  tıklıyorum.

Bu ekranda birkaç sınıf ekleyebilirsiniz. Bu sınıflar akışları tanımlar ve onlara bir bant genişliği özelliği uygular ve paketlerin veri düzleminde diğer paketlere göre önceliklendirilip önceliklendirilmediğini belirleyebiliriz.

50Mbps internet bant genişliğiniz olduğunu ve genel trafiğinizi yarıya indirmek istediğinizi varsayalım. Bunu yapabilmek için Çıkış Maks. değerini 50 Mbps’ye ve sınıf3 için 25 Mbps’ye ayarlıyorum.

Ardından, Gerçek  trafiğinizin herhangi bir download artışından etkilenmediğinden emin olmak istersek, real-time ‘gerçek zamanlı’ önceliğe sahip bir sınıf oluşturalım; bu paketlerin diğer paketlere göre öncelikli olmasını sağlayacaktır. Bant genişliği rezerve edildiğinden aramaların tıkanıklık yaşamaması için garantili bir bant genişliğini 3 Mbps olarak ayarlayalım.

Sınıflar oluştururken, öncelik ayarı, real time,  medium ve low olmak üzere, ağır yük durumunda paketlerin güvenlik duvarı tarafından hangi sırayla ele alınacağını belirler.

Son olarak, YouTube un  çok fazla bant genişliği tüketmesini sınırlamak ve bu paketlerin geçmesine izin vermek istiyorsak. 0.01  Mb/sn veya 100 Kb/sn’ye ayarlanmış Çıkış Maks. ile ‘low’ öncelikli bir sınıf oluşturalım.

Ardından, ilgili tüm  interfaceler üzerinde profili etkinleştirelim.. Şimdilik hem giriş  ve çıkış interface i için profili kullanacağız. QoS menüsüne gidelim işlemi yapalım.

ilk önce benim ortamında sizlere interface lerimi göstereyim. Ethernet 1/1 LAN bağlantım.  Ethernet 1/2  WAN1   Ethernet 1/8 WAN2  bağlantım.

Burada önemli olan çıkış interface hangisi.LAN daki kullanıcı kullanıcı opload yaptığında çıkış interface,  1/2 veya 1/8 dir.Kullanıcı download yaptığında çıkış

interface` i  bu sefer 1/1 dir.

Network sekmesindeki QoS` e geliyorum.Add tıklıyorum.

Açılır menüden uygun interface seçiyorum., QoS’yi etkinleştirmek için onay kutusunun işaretlendiğinden emin olun ve Clear Text: oluşturduğumuz QoS profili seçelim. Yaptığım tüm trafiğe uygulanacağından, ethernet` e özgü Egress Max değerini şimdilik 0 olarak bırakabilirim.

Yapılandırmamızı test etmeden önceki son adım olarak , bir QoS Policy oluşturacağız. Tıpkı bir Security Policy gibi, az önce oluşturduğunuz sınıfları daha ayrıntılı bir şekilde kontrol etmek ve bir sınıfı yalnızca belirli trafiğe uygulamak için bir QoS politikası oluşturulabilir.

Bunun için Policies sekmesine gidiyorum.QoS sekmesinden Add’ e tıklıyorum.

isimi belirledim Source kısmından Ethernet 1/ 1` i seçtim ve kendi makinem üzerinde test edeceğim için 192.168.88.110 IP adresine source kısmına ekliyorum. Destination kısmından 1/8 Etherneti seçtim.Bütün servis ve uygulamaları Any olarak bıraktım.Sonrasında Other Settings tabına geldim.Oluşturduğum QoS  profilindeki class 2 seçtim.

evet şimdi yaptıklarıı commit ediyorum.Hadi şimdi internet girip Hızı test edelim.Class 2 için hız değerini 4Mbps ayarlmıştım.QoS üzerinde hızının şuan 3.48Mbps olduğunu görüyorum.

Şimdi video  ve haber siteleri için QoS class için  yapılandıralım.

Bu adımda  Class olarak 6 yı seçiyoruz.0.02 Mbps yapılandırmıştım.

Şimdi test edelim.Bir haber sitesine giriyorum.Bant genişliği Altta görüldüğü gibi 0.02Mbps   olarak  gözüküyor.

Bu eğitim  yazımızında sonuna geldik umarım sizler için faydalı olur.