Hướng dẫn cấu hình QoS trên firewall Palo Alto

Thảo luận trong 'Firewall Khác' bắt đầu bởi bluepanda198, 3/4/24.

  1. bluepanda198

    bluepanda198 New Member

    - Bài viết này giúp bạn hiểu được các ý tưởng về QoS trên thiết bị tường lửa Palo Alto, và cách cấu hình QoS một cách đơn giản hiệu quả.

    I. Giới thiệu về Palo Alto QoS:
    - Mục đích chính của QoS là đặt ưu tiên cho lưu lượng mạng (traffic) mong muốn cao hơn các loại traffic khác, hoặc giới hạn mức độ chiếm dụng băng thông của các ứng dụng, bằng cách sử dụng các thuật toán khác nhau. Để đảm bảo hiệu suất mạng, tránh các nút thắt cổ chai, tắc nghẽn hoặc sử dụng quá mức các liên kết mạng. Một ví dụ thường dùng của QoS là ưu tiên cho Real-time traffic như: voice/video, hơn các loại traffic khác.
    [​IMG]
    QoS Priority Queuing – Gói tin được Phân loại và đặt mức Ưu tiên
    -Trong ví dụ trên, các gói tin voice (xanh dương) được đặt mức ưu tiên cao hơn các loại khác, do đó chúng được chuyển tiếp ngay lập tức bởi firewall thông qua output interface. Vì các gói tin voice rất nhạy cảm với độ trễ, chúng thường được xử lý với theo mức ưu tiên để tránh các sự cố trong luồng voice real-time, ví dụ cuộc gọi giữa 2 thiết bị VoIP đầu cuối.


    II. Tổng quan về Cấu hình QoS trên thiết bị Firewall Palo Alto:
    - Cấu hình QoS trên Firewall Palo Alto là một quá trình khá đơn giản khi bạn hiểu được các thành phần của nó và cách chuẩn bị các block cần thiết. Mình đang giải thích bước phân loại QoS theo sau các QoS Policy và cách sử dụng chúng vào cấu hình QoS Policy này.

    2.1 Phân loại QoS (QoS Classes):
    - Phân loại QoS được sử dụng để xác định mức ưu tiên (Priority – như QoS Priority Queuing ở trên) và phân bố lại Băng thông (Bandwidth) cho các gói tin đi qua firewall. Hiện các tường lửa Palo Alto hỗ trợ lên đến 8-Classes khác nhau.
    - Firewall Palo Alto, các lớp QoS được cấu hình trong phần Network > Network Profiles > QoS Profile:
    [​IMG]

    - Mỗi QoS Profile có thể chứa bất kỳ lớp nào trong 8 Class phân loại. Bạn có thể cấu hình nhiều QoS Profile tuy nhiên chỉ có một profile có thể được chọn cho mỗi cổng vật lý hoặc cổng Etherchannel (AE).


    - Mỗi Class có thể được cấu hình với các tham số sau:



      • QoS Priority Queue (đã được giới thiệu ở phần trên).
      • Tốc độ "Egress Max" theo đơn vị Mbps hoặc phần trăm.
        Giá trị Egress Max là băng thông tối đa cho Class được chọn. Giá trị mặc định là '0', và firewall giới hạn tới '60Gbps' (PAN-OS-7.1.16 trở lên).
      • Tốc độ "Egress Guaranteed" theo đơn vị Mbps hoặc phần trăm.
        Giá trị Egress Guaranteed là băng thông được đảm bảo cho Class, tuy nhiên băng thông này không được dành riêng cho Class. Băng thông cũng không được sử dụng cho toàn bộ traffic. Khi băng thông Egress Guaranteed cho một Class bị vượt qua, firewall sẽ bỏ qua traffic vượt mức trên cơ sở để có được kết quả tốt nhất (best-effort).
    - Ảnh bên dưới cho thấy có 3 CLASS đã được cấu hình, mỗi class đều được chọn giá trị Priority, Egress MaxEgress Guaranteed. Phần Bandwidth Type được chọn là Mbps.
    [​IMG]
    Palo Alto Firewall – Cấu hình QoS Class demo
    2.2 QoS Policy:
    - QoS Policy được sử dụng để phân lớp các gói tin bằng cách chỉ định chúng đến các Class đã được cấu hình trước đó. Nếu traffic không phù hợp với bất kỳ QoS Policy nào, nó sẽ được chọn vào Class mặc định, thường là Class 4 và nhận mức ưu tiên là 'best-effort'.

    - Dưới đây là một ví dụ của ba QoS Policy được cấu hình để chọn traffic tới Class1, Class2 và Class3:
    [​IMG]
    Cấu hình QoS Policy
    - Firewall Palo Alto cũng giúp chúng ta dễ dàng chọn các traffic của ứng dụng cụ thể (vd: như Netflix và Disney+) được đánh dấu cho Class1, FTP traffic cho Class2 và SIP/Viber traffic cho Class3.


    - Các QoS Policy cũng tương tự như Security Policy, chúng được thực hiện từ trên-xuống. Khi traffic phù hợp với một policy, nó được đánh dấu theo cấu hình của Class đó và không bị kiểm tra bởi các policy khác nữa.

    2.3 Cấu hình các QoS Class-based Policy và Profiles.
    - Khi tạo một QoS Policy, hãy luôn nhớ traffic được khớp theo hướng mà session đó được tạo ra. Chi tiết này rất quan trọng để ghi nhớ nếu không QoS sẽ không hoạt động như dự tính.
    [​IMG]
    - Ví dụ trên cho thấy các yếu tố cần được xem xét khi xây dựng và áp dụng chính sách QoS. Như đã lưu ý trước đó, QoS Policy cần phải bắt traffic khi khởi tạo session. Trong ví dụ này, đây sẽ là client yêu cầu tới Netflix. Khả năng Stateful Firewall của Firewall Palo Alto sẽ tự động xác định incoming traffic (luồng tải phim) có liên quan đến yêu cầu ban đầu.

    - Trong phần Policies > QoS, các bạn tạo bên dưới QoS policy để bắt được traffic khởi tạo cho luồng phim (1) tới Netflix/Disney+, và đánh dấu traffic này để cho Class1:
    [​IMG]
    - Tiếp theo, vào phần Network > Network Profiles > QoS Profile tạo thêm một QoS Profile và cấu hình Class với giới hạn băng thông (Mbps) như mong muốn:
    [​IMG]
    Cấu hình các QoS Profile và các Class
    - Bạn có thể cấu hình thêm các tham số về Egress MaxEgress Guaranteed cho QoS Profile. Giá trị Egress Max (Mbps) này, bên dưới Profile Name (4) phải nhỏ hơn hoặc bằng Egress Max dành cho cổng vật lý được áp dụng QoS).


    - Giá trị Egress Guaranteed dành cho QoS Profile (bên dưới Profile Name) chỉ định băng thông (Mbps), đảm bảo cho profile đó. Khi Egress Guaranteed bị vượt qua, firewall chuyển traffic trên cơ sở 'best-effort'.

    - Nếu không chắc chắn hoặc nếu bạn muốn mọi thứ đơn giản, hãy để các ô này với giá trị măc định là (0).

    2.3 Cho phép áp dụng QoS trên các Interface của Firewall Palo Alto.
    - NGFW Palo Alto cho phép QoS được kích hoạt trên các cổng interface vật lý, sub-interfface và các cổng ghép (Aggregate Ethernet).

    - Để cấu hình QoS trên interface, vào phần Network > QoS và click Add:
    [​IMG]
    - Tiếp theo, trong của sổ mở lên, chọn Interface mà bạn muốn QoS được bật trên đó. Nhớ rằng, Firewall Palo Alto áp dụng QoS cho Egress Traffic, đó là traffic đi ra khỏi firewall. Trong hình dưới, đây là một Aggregate Ethernet 1 (hay AE1):
    [​IMG]
    - Sau đó nhập giá trị Egress Max cho interface được chọn. Trong bài viết này, AE1 là interface 1Gbps. Cuối cùng click vào “Turn on QoS feature on the interface” và chọn thêm QoS profile đã được tạo trước đó từ dánh sách Clear Text:
    [​IMG]
    - Tiếp đến, khi đã sẵn sàng click OK Commit All Changes để bật QoS.


    - Mục Clear Text Traffic cung cấp khả năng để xác định mức độ chi tiết bổ sung trong việc xử lý clear text traffic, trong khi phần Tunnelled Traffic cho phép QoS được bật và cấu hình trên Tunnel interfaces (VPNs). Ở mức tối thiểu, việc bật QoS Interface yêu cầu bạn phải chọn Default (QoS) Profile để xác định cài đặt băng thông và mức độ ưu tiên cho clear text traffic đi ra khỏi interface.

    - Khi QoS được cấu hình và đẩy vào firewall, GUI interface được cập nhật để phản ánh những thay đổi:
    [​IMG]
    QoS policy được áp dụng vào interface
    - Tùy chọn Statistics cung cấp thông tin thời ian thực cho mỗi QoS Class, kết hợp với Class Traffic

    - Hình chụp bên dưới là một ví dụ của QoS statistic:
    [​IMG]
    Thống kê QoS và Biểu đồ Băng thông
    - Để thấy được thêm các thông tin traffic của một Class cụ thể, chọn trong bảng bên trái. Phần trang bên phải sẽ tự động hiển thị thêm băng thông tiêu thụ bới Class đó. Ở hình dưới, mình đã chọn Class1:
    [​IMG]
    Các thống kê về QoS và Class.
    - Trong khi phần Bandwidth được hiển thị ở mặc định cho bất kỳ Class nào được chọn, phần còn lại của các tab cung cấp thêm thông tin rất hữu ích và bao gồm cả các ứng dụng đã được xác định bên dưới Class được chọn, Source Users hoặc Destination Users (cả hai cần được kết nối với AD) và Security Rules được sử dụng bởi Class.
     
    bluepanda198, 3/4/24
    #1

trang này