Blog Agility

Utilizando QoS no Palo Alto

Utilizando QoS no Palo Alto

 

Não é de hoje que muitas empresas utilizam configurações de QoS com objetivo de priorizar, garantir ou limitar tráfego. Tais configurações costumam ser muito úteis. Entretanto na maioria das soluções estas regras são feitas com base na origem, destino, porta ou protocolo.

Os firewalls da Palo Alto Networks interpretam todo o tráfego e analisam as aplicações. Isso permite que as regras de QoS sejam feitas de maneira ao mesmo tempo mais granular e também mais precisas.

Com esta abordagem podemos, por exemplo, priorizar o tráfego HTTP do Webex enquanto limitamos o tráfego de vídeo do YouTube. Conseguimos assim criar de forma granular regras que acompanham as necessidades dos usuários.

Para construir regras de QoS no Palo Alto primeiramente precisamos criar um QoS Profile que será responsável por definir qual a banda máxima, a banda reservada e qual prioridade de cada classe. Para isso devemos acessar Network > QoS Profile conforme apresentado abaixo:

2013_05_Guilherme_Morais_PaloAlto QoS_v3_01

Neste exemplo definimos que para a classe 1 teremos o máximo de 10 Mbps de saída e 5 Mbps garantidos.

Da classe 2 a 5 teremos saída máxima de 10 Mbps e para a classe 3 a 8 apenas 3 Mbps.

Em seguida devemos configurar qual a velocidade da interface. Para isso devemos acessar Network > QoS e adicionar um perfil de interface conforme apresentado abaixo:

2013_05_Guilherme_Morais_PaloAlto QoS_v3_02

Na opção Interface Name devemos selecionar qual interface iremos utilizar o QoS. Esta interface deve ser selecionada com base na saída do tráfego, por exemplo, se queremos limitar o upload de FTP da rede interna para um servidor externo devemos selecionar a interface WAN do Firewall.

Por último devemos criar as regras que são responsáveis por definir qual classe será utilizada por cada aplicação. Para isso devemos acessar Policies > QoS e clicar em Add

Nesta regra temos a possibilidade de selecionar a aplicação que iremos controlar o tráfego. Veja no exemplo abaixo o uso do Dropbox:

2013_05_Guilherme_Morais_PaloAlto QoS_v3_03

Na última aba Other Settings aplicamos a classe. Neste caso a class 8, que limita a 3 Mpbs de trafego.

2013_05_Guilherme_Morais_PaloAlto QoS_v3_04

Temos também a opção de utilizar critérios como origem, destino, serviço e categoria da URL.

As regras funcionam de forma hierárquica igual a regras comuns de Firewall.

2013_05_Guilherme_Morais_PaloAlto QoS_v3_05

Uma vez aplicada, a regra de QoS está válida e já começa a priorizar o uso do link. Em uma topologia de rede o Firewall geralmente está posicionado em locais favoráveis a este tipo de tratamento, já que se encontram na borda da rede.

Esta política pode ser utilizada para garantir acesso melhor a aplicações estratégicas para o negócio, como SalesForce, WebEx ou qualquer outro de acordo com a política de cada empresa.

O uso de QoS garante uso mais eficiente e eficaz dos recursos de link disponíveis e consome pouquíssimo ou nenhum recurso adicional do firewall Palo Alto.

Referência: https://live.paloaltonetworks.com/docs/DOC-1217