Instrukcje dotyczące funkcji zarządzania pasmem w

ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
Instrukcje dotyczące funkcji zarządzania pasmem w urządzeniach serii ZyWALL.
Niniejsza instrukcja zawiera wskazówki dotyczące konfiguracji funkcji BW MGMT dostępnej w
urządzeniach serii ZyWALL.
Dość często zdarza się, Ŝe uŜytkownicy korzystający ze standardowych usług dostępnych w sieci Internet
utrudniają bądź uniemoŜliwiają dostęp do sieci pozostałym uŜytkownikom. Dzieje się tak, poniewaŜ niektóre
aplikacje wykorzystują maksymalnie nasze łącze internetowe, nawet wtedy gdy nie ma takiej konieczności.
Na przykład w czasie transmisji plików za pośrednictwem protokołu FTP (File Transfer Protocol) zuŜywane
jest zazwyczaj całe dostępne w danej chwili pasmo. Natomiast w czasie trwania rozmowy głosowej
wykorzystywane jest bardzo wąskie pasmo (kilkadziesiąt kbps), jednak musi być ono stabilne, dostępne od
czasu rozpoczęcia do czasu zakończenia rozmowy. W przeciwnym wypadku jakość połączenia głosowego
będzie słaba lub prowadzenie rozmowy będzie niemoŜliwe. UŜytkownik ściągający z serwera FTP duŜy plik
moŜe więc uniemoŜliwić prowadzenie rozmowy głosowej i utrudnić korzystanie z zasobów Internetu
pozostałym uŜytkownikom sieci.
Dzięki funkcji BW MGMT, urządzenia firmy ZyXEL pozwalają zarezerwować pasmo konieczne do
prawidłowego działania określonych usług oraz ograniczyć pasmo dla hostów czy usług, które generują
nadmierny ruch i w związku z tym powodują problemy związane z dostępem do Internetu.
Aby uzyskać dostęp do opcji konfiguracyjnych mechanizmu zarządzania pasmem, po zalogowaniu się na
urządzenie przechodzimy do menu BW MGMT.
Parametry funkcji BW MGMT, które naleŜy zdefiniować w zakładce Summary zostały opisane poniŜej.
Active: Zaznaczamy tę opcję aby aktywować mechanizm BW MGMT na danym interfejsie. JeŜeli chcemy
zarządzać ruchem o kierunku WAN LAN to powinniśmy aktywować mechanizmy BW MGMT na
interfejsie LAN. JeŜeli chcemy zarządzać ruchem o kierunku WAN DMZ powinniśmy aktywować BW
1
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
MGMT na interfejsie DMZ. Reguły dla ruchu wychodzącego LAN WAN, DMZ WAN definiujemy
natomiast na interfejsie WAN.
Speed: W polu tym określamy wartośći stanowiące budŜet, z którego będziemy korzystać w trakcie
definiowania klas BW MGMT dla danego interfejsu. W większości przypadków wartości te powinny być
zgodne z parametrami naszego łącza internetowego.
Scheduler: MoŜemy wybrać jedną z dwóch dostępnych opcji:
Priority-Based - ruch o najwyŜszym priorytecie będzie obsługiwany w pierwszej kolejności.
Fairness-Based – pasmo jest przydzielane na podstawie obliczonego współczynnika. ZałóŜmy, Ŝe mamy
dwie klasy: A która potrzebuje 300kbps i B która potrzebuje 600kbps. Współczynnik dla A i B wynosi 1:2.
Jeśli do dyspozycji mamy tylko 450kbps to klasa A otrzyma 150kbps, a B 300kbps.
Maximize Bandwidth Usage: Zaznacz tę opcję jeśli chcesz aby uŜytkownicy przypisani do zdefiniowanych
klas, mający większe niŜ zdefiniowane przez nas zapotrzebowanie na pasmo, mogli skorzystać z pasma nie
przydzielonego aktualnie do Ŝadnej z klas.
Nie zaznaczaj tej opcji jeśli chcesz zarezerwować pasmo dla ruchu, który nie pasuje do utworzonych klas lub
jeśli chcesz ograniczyć pasmo dla tego interfejsu.
Przykład 1: Nakładanie ograniczeń na ruchu wychodzący (DMZ WAN1).
ZałoŜenia:
- posiadamy łącze internetowe o parametrach 2M/512kbps,
- nasze łącze obsługiwane jest przez interfejs WAN1 urządzenia serii ZyWALL,
- w strefie DMZ firewall’a znajdują się: serwer FTP oraz Media server,
Naszym zadaniem jest nałoŜenie odpowiednich ograniczeń na ruch wychodzący, skierowany ze strefy DMZ
do interfejsu WAN1, poniewaŜ mógłby on zuŜyć całe dostępne pasmo i tym samym zablokować dostęp do
Internetu uŜytkownikom sieci lokalnej obsługiwanej przez ZyWALL’a.
- ruch wychodzący generowany przez serwer FTP ograniczymy do 100kbps,
- wychodzący ruch UDP generowany przez Media server ograniczymy do 300kbps,
2
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
Krok 1:
Nasze łącze internetowe podłączone jest do interfejsu WAN1. Aby nałoŜyć ograniczenia na ruch
wychodzący aktywujemy więc BW MGMT na interfejsie WAN1 i zgodnie z parametrami naszego łącza
internetowego do interfejsu WAN1 przypisujemy prędkość 512kbps.
Krok 2:
Przechodzimy do zakładki Class Setup, a następnie na interfejsie WAN1 definiujemy podklasy naszej klasy
głównej.
Class Name: Nadajemy nazwę, która będzie identyfikowała naszą podklasę.
Bandwidth Budget: Zgodnie z naszymi załoŜeniami dla wychodzącego ruchu FTP przydzielamy pasmo
100kbps.
Borrow bandwidth from parent class: Opcję tę pozostawiamy nie zaznaczoną, poniewaŜ nie chemy aby
wychodzący ruch FTP zuŜywał więcej niŜ 100kbps dostępnego pasma.
Enable Bandwidth Filter: Aktywujemy regułę filtra.
Service: Z rozwijanej listy wybieramy usługę FTP.
Destination IP Address/Mask: Pozostawiamy wartośći 0.0.0.0, oznacza to Ŝe filtr dotyczy wszystkich
hostów korzystających z naszego serwera FTP.
Source IP Address/Mask: podajemy odpowiednio adres IP serwera FTP, którego dotyczy nasz filtr oraz
maskę 32bitową. Taka maska wskazuje, Ŝe nasza reguła dotyczy tylko tego konkretnego hosta.
3
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
Krok 3:
Definiujemy kolejną podklasę klasy głównej, tym razem będzie ona dotyczyła wychodzącego ruchu
strumieniowego generowanego przez Media serwer.
Class Name: Nadajemy nazwę, która będzie identyfikowała naszą podklasę.
Bandwidth Budget: Zgodnie z załoŜeniami przydzielamy pasmo 300kbps i pozostawiamy nie zaznaczoną
opcję poŜyczania pasma.
Enable Bandwidth Filter: Aktywujemy regułę filtra.
Service: Z rozwijanej listy wybieramy opcję Custom.
Destination IP Address/Mask: Pozostawiamy wartości 0.0.0.0, co oznacza to Ŝe filtr dotyczy wszystkich
hostów korzystających z naszego Media servera.
Source IP Address/Mask: podajemy odpowiednio adres IP Media servera, którego dotyczy nasz filtr oraz
32bitową maskę podsieci.
Source Port: W polu tym definiujemy nr portu, którego ma dotyczyć nasz filtr.Wartość 0 oznacza wszystkie
porty.
Protocol ID: Media server do transmisji danych uŜywa protokołu UDP w polu Protocol ID wpisujemy więc
numer tego protokołu (17). JeŜeli pozostawimy wartość domyślną (0) to filtr będzie dotyczył wszystkich
obsługiwanych protokołów.
Numery wybranych protokołów:
1 – ICMP
Internet Control Message
[RFC792]
6 - TCP
Transmission Control
[RFC793]
17 – UDP
User Datagram
[RFC768]
50 – ESP
Encap Security Payload
[RFC1827]
51 – AH
Authentication Header
[RFC1826]
4
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
Krok 4:
W menu Class Setup moŜemy teraz obejrzeć zdefiniowane przez nas klasy: FTP i Media oraz zweryfikować
poprawność wprowadzonych danych.
W menu Monitor moŜemy sprawdzić jaka część pasma przydzielonego klasom FTP i Media jest aktualnie
wykorzystywana. Ta część pasma, która nie została przydzielona do Ŝadnej ze zdefiniowanych klas jest
5
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
automatycznie przypisana do klasy domyślnej (Default Class) i moŜe być wykorzystywana przez ruch, który
nie został przypisany do Ŝadnej ze zdefiniowanych reguł (np. HTTP).
Przykład 2: Nakładanie ograniczeń na ruchu przychodzący (WAN1 LAN).
ZałoŜenia:
- posiadamy łącze internetowe o parametrach 2M/512kbps,
- łącze internetowe podłączone jest do interfejsu WAN1 urządzenia serii ZyWALL.
Naszym zadaniem jest nałoŜenie odpowiednich ograniczeń na ruch przychodzący, skierowany z Internetu do
sieci LAN.
- uŜytkownikowi A dla ruchu przychodzącego FTP naleŜy przydzielić pasmo 400kbps.
- uŜytkownikowi B dla ruchu przychodzącego FTP naleŜy przydzielić pasmo 400kbps.
- uŜytkownikowi korzystającemu z IPTV naleŜy przydzielić dla tej usługi pasmo 800kbps.
6
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
Krok 1:
Aby nałoŜyć ograniczenia na ruch przychodzący o kierunku WAN1 LAN musimy aktywować BW
MGMT na interfejsie LAN. Zgodnie z parametrami naszego łącza internetowego do interfejsu przypisujemy
prędkość 2048kbps.
Krok 2:
Przechodzimy do zakładki Class Setup, a następnie dla interfejsu LAN definiujemy podklasy klasy głównej.
Krok 3:
Definiujemy podklasę, która będzie dotyczyła uŜytkownika A i ruchu przychodzącego FTP.
Class Name: Nadajemy nazwę, która będzie identyfikowała naszą podklasę.
Bandwidth Budget: Zgodnie z załoŜeniami przydzielamy pasmo 400kbps i pozostawiamy niezaznaczoną
opcję poŜyczania pasma.
Enable Bandwidth Filter: Aktywujemy regułę filtra.
Service: Z rozwijanej listy wybieramy usługę FTP.
Destination IP Address/Mask: Podajemy odpowiednio adres IP uŜytkownika A, oraz 32bitową maskę
podsieci.
JeŜeli uŜyjemy maski 24bitowej to nasza reguła będzie dotyczyła wszystkich hostów pracujących w sieci o
adresacji 192.168.1.0/24.
Source IP Address/Mask: Pozostawiamy wartości 0.0.0.0, oznacza to Ŝe filtr będzie dotyczył wszystkich
serwerów FTP rozlokowanych w Internecie.
7
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
Krok 4:
Definiujemy podklasę, która będzie dotyczyła uŜytkownika B i ruchu przychodzącego FTP.
Class Name: Nadajemy nazwę, która będzie identyfikowała naszą podklasę.
Bandwidth Budget: Zgodnie z załoŜeniami przydzielamy pasmo 400kbps i pozostawiamy niezaznaczoną
opcję poŜyczania pasma.
Enable Bandwidth Filter: Aktywujemy regułę filtra.
Service: Z rozwijanej listy wybieramy usługę FTP.
Destination IP Address/Mask: Podajemy odpowiednio adres IP uŜytkownika B, oraz 32bitową maskę
podsieci.
Source IP Address/Mask: Pozostawiamy wartości 0.0.0.0.
8
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
Krok 5:
Definiujemy podklasę, która będzie dotyczyła uŜytkownika korzystającego z usług IPTV.
Class Name: Nadajemy nazwę, która będzie identyfikowała naszą podklasę.
Bandwidth Budget: Zgodnie z załoŜeniami przydzielamy pasmo 800kbps i pozostawiamy niezaznaczoną
opcję poŜyczania pasma.
Enable Bandwidth Filter: Aktywujemy regułę filtra.
Service: Z rozwijanej listy wybieramy opcje Custom.
Destination IP Address/Mask: Podajemy odpowiednio adres IP uŜytkownika A, 32bitową maskę podsieci i
określamy numer protokołu (17).
Source IP Address/Mask: Pozostawiamy wartości 0.0.0.0.
9
ZyXEL Communications Polska, Dział Wsparcia Technicznego
Ul. Okrzei 1A, 03-715 Warszawa, Tel: 022 3338250, Fax: 022 3338251
Krok 6:
Zdefiniowane przez nas drzewo złoŜone z klasy głównej (Root) oraz klas podrzędnych: FTP A, B i IPTV
moŜemy obejrzeć w menu Class Setup.
10