Panorama系列--(5)Panorama配置QoS
Palo Alto Networks 防火墙上配置QoS需要配置三个部分,分别是QoS Profile、QoS Policy以及 QoS 出口接口的设置。
先创建QoS Profile,其中设置不同类(class)的带宽大小,然后设置Qos Policy,其中定义流量所属的类(class),最后在QoS出接口调用QoS Profile文件即可。
创建QoS Profile,定义不同类能享用的带宽。这里使用的是VM-100实例,最大带宽为2Gbps,所以配置QoS策略时,可以设置最大带宽为2000Mpbs。
| AWS | VM-100M5.XLARGE | VM-300 M5.XLARGE |
|---|---|---|
| Firewall Throughput (App-ID enabled) | 2 Gbps | 4 Gbps |
| Threat Prevention Throughput | 1 Gbps | 1.7 Gbps |
| IPSec VPN Throughput | 1 Gbps | 2 Gbps |
配置QoS Policy,将匹配到到的流量设置为Class 8。
配置QoS接口,设置接口变量,因为两个防火墙QoS出接口都是e1/1,所以不用分别推送CSV文件了。另外设置接口的最大带宽为2000Mbps,接口调用QoS Profile文件。
最后将配置推送到防火墙上,如果配置不同步,需要强制推送。
在EC2上下载speedtest测试脚本,为脚本赋予运行权限,然后运行脚本测试。
wget https://raw.githubusercontent.com/sivel/speedtest-cli/master/speedtest.py
chmod +x speedtest.py
./speedtest.py
脚本允许结果,可以看到速度有明显的限制。
root@ip-10-110-30-48 ~]# ./speedtest
Retrieving speedtest.net configuration...
Testing from Ningxia West Cloud Data Technology Co.Ltd. (68.79.62.10)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by Lanzhou,China Mobile,Gansu (Lanzhou) [238.42 km]: 28.768 ms
Testing download speed................................................................................
Download: 18.32 Mbit/s
Testing upload speed................................................................................................
Upload: 13.96 Mbit/s
在未做限速的EC2上测试,可以看到速度没有任何限制。
[root@ip-10-110-40-8 ~]# ./speedtest.py
Retrieving speedtest.net configuration...
Testing from Ningxia West Cloud Data Technology Co.Ltd. (68.79.62.10)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by Lanzhou,China Mobile,Gansu (Lanzhou) [238.42 km]: 21.485 ms
Testing download speed................................................................................
Download: 627.35 Mbit/s
Testing upload speed................................................................................................
Upload: 422.06 Mbit/s
登录到Paloalto防火墙上,查看QoS接口状态,可以看到流量限速情况。
参考文档
- Palo Alto Networks – Configure Quality of Service (QoS):https://faatech.be/palo-alto-networks-configure-qos/
- VM-Series Performance and Capacity:https://docs.paloaltonetworks.com/vm-series/10-2/vm-series-performance-capacity/vm-series-performance-capacity