Шейпер трафика

Traffic Inspector Next Generation позволяет разграничивать пропускную способность Интернет-канала между пользователями и приоритезировать обработку критичного к задержкам трафика (например, VoIP, видео-связь). Рассмотрим наиболее распространенные сценарии использования шейпера, встроенного в Traffic Inspector Next Generation.

В данной инструкции описываются следующие примеры:

  • Ограничение максимальной скорости работы пользователя
  • Распределение пропускной способности Интернет-канала поровну между пользователями внутренней сети
  • Резервирование полосы для трафика критичного к задержкам
  • Приоритезация трафика
  • Шейпирование для гостевой сети

Ограничение максимальной скорости работы пользователя

В данном примере, пропускная способность интернет-канала равна 10 Мбит/c на скачивание и 1 Мбит/c на upload. Мы собираемся ограничить максимальную download-скорость для каждого внутреннего клиента сети 192.168.1.0/24 значением 512 кбит/c.

_images/bitrate_limit.png

Создание каналов (пайпов)

Для того, чтобы начать настройку, пройдите в раздел Межсетевой экран -> Ограничитель трафика -> Настройки.

На вкладе Каналы, кликните на значок + в нижнем правом углу. Появится пустое окно редактирования канала.

Создание Download-канала

Настройка Статус Комментарий
включен Флаг установлен Установить флажок для включения канала
пропускная способность 512 Цифровое обозначение желаемой пропускной способности
единица измерения Kbit/s Единица измерения пропускной способности
маска source Выберите source для того, чтобы ограничить скорость пользователя
описание каналDown-512Kbps Произвольное описание

Создание правил

На вкладе Правила кликните на значок + в нижнем правом углу. Появится пустое окно редактирования правила.

Создаем правило для трафика, идущего с Интернета (Download)

Настройка Статус Комментарий
последовательность 21 Номер генерируется автоматически, менять не нужно
интерфейс WAN Выберите интерфейс, подключенный к интернету
proto ip Выберите протокол, в нашем случае IP
отправитель any IP-адрес источника, оставляем Любой
порт источника any Порт источника, оставляем Любой
получатель 192.168.1.0/24 IP-адрес назначения, указываем диапазон внутренней сети
порт назначения any Порт назначения, оставляем Любой
цель каналDown-512Kbps Выбираем Download-канал каналDown-10Mbps
описание RuleDown-512Kbps Произвольное описание

Примечание

Если вы хотите ограничить скорость только для одного IP-адреса, тогда введите этот адрес в поле Получатель вместо диапазона IP-адресов внутренней сети.

Нажмите Применить для того, чтобы активировать правила.


Равномерное распределение пропускной способности между пользователями

В данном примере, пропускная способность интернет-канала равна 10 Мбит/c на скачивание и 1 Мбит/c на upload. Мы собираемся поровну разделить пропускную способность интернет-канала между пользователями внутренней сети 192.168.1.0/24.

_images/bandwidth_sharing.png

Создание Upload and Download каналов (пайпов)

Для того, чтобы начать настройку, пройдите в раздел Межсетевой экран -> Ограничитель трафика -> Настройки.

На вкладе Каналы, кликните на значок + в нижнем правом углу. Появится пустое окно редактирования канала.

Создание Upload-канала

Настройка Статус Комментарий
включен Флаг установлен Установить флажок для включения канала
пропускная способность 1 Цифровое обозначение желаемой пропускной способности
единица измерения Мbit/s Единица измерения пропускной способности
маска destination Выберите destination для разделения пропускной способности
описание каналUp-1Mbps Произвольное описание

Создание Download-канала

Настройка Статус Комментарий
включен Флаг установлен Установить флажок для включения канала
пропускная способность 10 Цифровое обозначение желаемой пропускной способности
единица измерения Мbit/s Единица измерения пропускной способности
маска destination Выберите destination для того, чтобы разделить пропускную способность между пользователями
описание каналDown-10Мbps Произвольное описание

Создание правил

На вкладе Правила кликните на значок + в нижнем правом углу. Появится пустое окно редактирования правила.

Создаем правило для трафика, направленного в Интернет (Upload)

Настройка Статус Комментарий
последовательность 11 Номер генерируется автоматически, менять не нужно
интерфейс WAN Выберите интерфейс, подключенный к интернету
proto ip Выберите протокол, в нашем случае IP
отправитель 192.168.1.0/24 IP-адрес источника, указываем диапазон внутренней сети
порт источника any Порт источника, оставляем Любой
получатель any IP-адрес назначения, оставляем Любой
порт назначения any Порт назначения, оставляем Любой
цель каналUp-1Mbps Выбираем Upload-канал каналUp-1Mbps
описание RuleUp-1Mbps Произвольное описание

Создаем правило для трафика, идущего с Интернета (Download)

Настройка Статус Комментарий
последовательность 21 Номер генерируется автоматически, менять не нужно
интерфейс WAN Выберите интерфейс, подключенный к интернету
proto ip Выберите протокол, в нашем случае IP
отправитель any IP-адрес источника, оставляем Любой
порт источника any Порт источника, оставляем Любой
получатель 192.168.1.0/24 IP-адрес назначения, указываем диапазон внутренней сети
порт назначения any Порт назначения, оставляем Любой
цель каналDown-10Mbps Выбираем Download-канал каналDown-10Mbps
описание RuleDown-10Mbps Произвольное описание

Нажмите Применить для того, чтобы активировать правила.


Резервирование полосы

В данном примере, пропускная способность интернет-канала равна 10 Мбит/c на скачивание и 1 Мбит/c на upload. Мы собираемся зарезервировать часть пропускной способности интернет-канала под VoIP-трафик. При этом, VOIP-сервер располагается в интернете, а VoIP-телефон - в офисной сети организации.

_images/bandwidth_reservation.png

Для передачи несжатых голосовых данных нужно 4 канала по 64 Кбит/c каждый, что, в общей сложности, дает цифру 256 Кбит/c.

При резервировании, важно выделить полосу пропускания для всех типов трафика. В данном примере, для простоты настройки, мы выделяем только два типа трафика, а также следующие требования к полосе пропускания:

  VoIP-трафик Остальной трафик
Download 256 Кбит/c 9984 Кбит/c
Upload 256 Кбит/c 768 Кбит/c

Создание Upload and Download каналов (пайпов)

Для того, чтобы начать настройку, пройдите в раздел Межсетевой экран -> Ограничитель трафика -> Настройки.

На вкладе Каналы, кликните на значок + в нижнем правом углу. Появится пустое окно редактирования канала.

Создаем Upload-канал (для трафика, направленного на наш VOIP-сервер)

Настройка Статус Комментарий
включен Флаг установлен Установить флажок для включения канала
пропускная способность 256 Цифровое обозначение желаемой пропускной способности
единица измерения Kbit/s Единица измерения пропускной способности
маска (Пусто) Оставьте пустым для данного примера
описание каналUp-256Kbps Произвольное описание

Создаем Upload-канал для остального трафика (1024Kbps - 256Kbps = 768Kbps)

Настройка Статус Комментарий
включен Флаг установлен Установить флажок для включения канала
пропускная способность 768 Цифровое обозначение желаемой пропускной способности
единица измерения Kbit/s Единица измерения пропускной способности
маска (Пусто) Оставьте пустым для данного примера
описание каналUp-768Kbps Произвольное описание

Создаем Download-канал (для трафика, идущего с нашего VOIP-сервера)

Настройка Статус Комментарий
включен Флаг установлен Установить флажок для включения канала
пропускная способность 256 Цифровое обозначение желаемой пропускной способности
единица измерения Kbit/s Единица измерения пропускной способности
маска (Пусто) Оставьте пустым для данного примера
описание каналDown-256Kbps Произвольное описание

Создаем Download-канал для остального трафика (10240Kbps - 256Kbps = 9984Kbps)

Настройка Статус Комментарий
включен Флаг установлен Установить флажок для включения канала
пропускная способность 9984 Цифровое обозначение желаемой пропускной способности
единица измерения Kbit/s Единица измерения пропускной способности
маска (Пусто) Оставьте пустым для данного примера
описание каналDown-9984Kbps Произвольное описание

Создание правил

На вкладе Правила кликните на значок + в нижнем правом углу. Появится пустое окно редактирования правила.

Создаем правило для трафика, идущего на VOIP-сервер (Upload-трафик)

Настройка Статус Комментарий
последовательность 11 Номер генерируется автоматически, менять не нужно
интерфейс WAN Выберите интерфейс, подключенный к Интернету
proto ip Выберите протокол, в нашем случае IP
отправитель any IP-адрес источника, оставляем Любой
порт источника any Порт источника, оставляем Любой
получатель 172.10.2.1 IP-адрес назначения, указываем адрес VOIP-сервера
порт назначения any Порт назначения, оставляем Любой
цель каналUp-256Kbps Выбираем Upload-канал каналUp-256Kbps
описание RuleUpVoIP-256Kbps Произвольное описание

Создаем правило для трафика, идущего от VOIP-сервера (Download-трафик)

Настройка Статус Комментарий
последовательность 21 Номер генерируется автоматически, менять не нужно
интерфейс WAN Выберите интерфейс, подключенный к Интернету
proto ip Выберите протокол, в нашем случае IP
отправитель 172.10.2.1 IP-адрес источника, указываем адрес VOIP-сервера
порт источника any Порт источника, оставляем Любой
получатель any IP-адрес назначения, оставляем Любой
порт назначения any Порт назначения, оставляем Любой
цель каналDown-256Kbps Выбираем Download-канал, каналDown-256Kbps
описание RuleDownVoIP-256Kbps Произвольное описание

Создаем правило для остального трафика, направленного в Интернет (Upload-трафик)

Настройка Статус Комментарий
последовательность 31 Номер генерируется автоматически, менять не нужно
интерфейс WAN Выберите интерфейс, подключенный к интернету
proto ip Выберите протокол, в нашем случае IP
отправитель 192.168.1.0/24 IP-адрес источника, указываем диапазон внутренней сети
порт источника any Порт источника, оставляем Любой
получатель any IP-адрес назначения, оставляем Любой
порт назначения any Порт назначения, оставляем Любой
цель каналUp-768Kbps Выбираем Upload-канал, каналUp-768Kbps
описание RuleUpOther-768Kbps Произвольное описание

Создаем правило для остального трафика, идущего с Интернета (Download-трафик)

Настройка Статус Комментарий
последовательность 41 Номер генерируется автоматически, менять не нужно
интерфейс WAN Выберите интерфейс, подключенный к интернету
proto ip Выберите протокол, в нашем случае IP
отправитель any IP-адрес источника, оставляем Любой
порт источника any Порт источника, оставляем Любой
получатель 192.168.1.0/24 IP-адрес назначения, указываем диапазон внутренней сети
порт назначения any Порт назначения, оставляем Любой
цель каналDown-9984Kbps Выбираем Download-канал, каналDown-9984Kbps
описание RuleDownOther-9984Kbps Произвольное описание

Нажмите Применить для того, чтобы активировать правила шейпирования.


Приоритезация трафика

Данная реализация приоритезации позволяет назначать весовые коэффициенты типам трафика, которые будут иметь силу в моменты полной загрузки канала и позволят обеспечить пропускную способность пропорционально заданным для типов трафика весовым коэффициентам. Значение весового коэффициента может варьироваться в диапазоне от 1 до 100. Чем выше вес трафика, тем большую долю пропускной способности канала он получит, в случае его перегрузки.

В данном примере, пропускная способность интернет-канала равна 10 Мбит/c на скачивание. Мы собираемся назначить HTTP- и HTTPS-трафику вес 1 и SMTP-трафику - вес 9. Когда пропускная способность Интернет-канала будет занята полностью, почтовый трафик получит в 9 раз большую пропускную способность чем веб-трафик, что, учитывая пропускную способность канала равную 10 Мбит/c, будет иметь фактическое выражение в пропускной способности 1 Мбит/c для веб-трафика и 9 Мбит/c для почты.

Приложение Вес Пропускная способность на Download при полной загрузке 10 Мбит/c канала
SMTP (порт 25) 9 9 Мбит/c
HTTP (порт 80) 1 1 Мбит/c
HTTPS (порт 443)

В нашем примере, мы регулируем только download-трафик, но совершенно такую же регулировку можно сделать и для upload-трафика.

В предыдущих примерах мы создавали правила, которые ссылались на каналы (пайпы):

Правила –> Каналы (пайпы)

В данном примере, мы создаем три типа объектов: правила, которые ссылаются на очереди, которые ссылются на каналы (пайпы).

Правила –> Очереди –> Каналы (пайпы)

Cоздание каналов (пайпов)

Для того, чтобы начать настройку, пройдите в раздел Межсетевой экран -> Ограничитель трафика -> Настройки.

На вкладе Каналы, кликните на значок + в нижнем правом углу. Появится пустое окно редактирования канала.

Создание Download-канала (10 Мбит/c)

Настройка Статус Комментарий
включен Флаг установлен Установить флажок для включения канала
пропускная способность 10 Цифровое обозначение желаемой пропускной способности
единица измерения Мbit/s Единица измерения пропускной способности
маска (Пусто) Оставьте пустым для данного примера
описание PipeDown-10Mbps Произвольное описание

Создание очередей

На вкладе Очереди, кликните на значок + в нижнем правом углу. Появится пустое окно редактирования очереди.

Создание очереди для SMTP

Настройка Статус Комментарий
включен Флаг установлен Установить флажок для включения канала
канал PipeDown-10Mbps Выбираем канал PipeDown-10Mbps
весовой коэффициент 9 Цифровое значение веса
маска (Пусто) Оставьте пустым
описание QueueSMTP Произвольное описание

Создание очереди для HTTP/HTTPS

Настройка Статус Комментарий
включен Флаг установлен Установить флажок для включения канала
канал PipeDown-10Mbps Выбираем канал PipeDown-10Mbps
весовой коэффициент 1 Цифровое значение веса
маска (Пусто) Оставьте пустым
описание QueueHTTP/HTTPS Произвольное описание

Создание правил

На вкладе Правила кликните на значок + в нижнем правом углу. Появится пустое окно редактирования правила.

Создаем правило для SMTP-трафика (Download)

Настройка Статус Комментарий
последовательность 11 Номер генерируется автоматически, менять не нужно
интерфейс WAN Выберите интерфейс, подключенный к интернету
proto ip Выберите протокол, в нашем случае IP
отправитель any IP-адрес источника, оставляем Любой
порт источника smtp Порт источника, выбираем smtp или 25
получатель any IP-адрес назначения, оставляем Любой
порт назначения any Порт назначения, оставляем Любой
цель QueueSMTP Выбираем очередь QueueSMTP
описание RuleSMTPDown Произвольное описание

Создаем правило для HTTP-трафика (Download)

Настройка Статус Комментарий
последовательность 21 Номер генерируется автоматически, менять не нужно
интерфейс WAN Выберите интерфейс, подключенный к интернету
proto ip Выберите протокол, в нашем случае IP
отправитель any IP-адрес источника, оставляем Любой
порт источника http Порт источника, выбираем http или 80
получатель any IP-адрес назначения, оставляем Любой
порт назначения any Порт назначения, оставляем Любой
цель QueueHTTP Выбираем очередь QueueHTTP
описание RuleHTTPDown Произвольное описание

Создаем правило для HTTPS-трафика (Download)

Настройка Статус Комментарий
последовательность 31 Номер генерируется автоматически, менять не нужно
интерфейс WAN Выберите интерфейс, подключенный к интернету
proto ip Выберите протокол, в нашем случае IP
отправитель any IP-адрес источника, оставляем Любой
порт источника https Порт источника, выбираем https или 443
получатель any IP-адрес назначения, оставляем Любой
порт назначения any Порт назначения, оставляем Любой
цель QueueHTTP Выбираем очередь QueueHTTP
описание RuleHTTPSDown Произвольное описание

Примечание

Как видно, HTTP- и HTTPS-трафик попадают в одну и ту же очередь и будут обрабатываться одинаково (с максимальной скоростью в 1 Мбит/c).

Нажмите Применить для того, чтобы активировать правила.


Шейпирование для гостевой сети

Одна из особенностей шейпера Traffic Inspector Next Generation – это возможность шейпировать трафик по-разному, в зависимости от тех сетевых адаптеров устройства TING, через которые он передается.

В данном примере, пропускная способность интернет-канала, подкоюченного к устройстову TING равна 10 Мбит/c на скачивание и 1 Мбит/c на upload. Устройство TING подключено к внутренней LAN-сети одним из своих адаптеров, и к гостевой сети - через другой свой адаптер.

Внутренняя LAN-сеть не будет ограничена. Гостевая сеть будет иметь следующие ограничения – 1 Мбит/c на загрузку и 1 Мбит/c на upload.

_images/guest_network.png

Создание Upload and Download каналов (пайпов)

Для того, чтобы начать настройку, пройдите в раздел Межсетевой экран -> Ограничитель трафика -> Настройки.

На вкладе Каналы, кликните на значок + в нижнем правом углу. Появится пустое окно редактирования канала.

Создание Download-канала (GuestNet – em2)

Настройка Статус Комментарий
включен Флаг установлен Установить флажок для включения канала
пропускная способность 2 Цифровое обозначение желаемой пропускной способности
единица измерения Мbit/s Единица измерения пропускной способности
маска (Пусто) Оставьте пустым для данного примера
description PipeDown-2Mbps Произвольное описание

Создание Upload-канала (GuestNet – em2)

Настройка Статус Комментарий
включен Флаг установлен Установить флажок для включения канала
пропускная способность 1 Цифровое обозначение желаемой пропускной способности
единица измерения Мbit/s Единица измерения пропускной способности
маска (Пусто) Оставьте пустым для данного примера
description PipeUp-1Mbps Произвольное описание

Создание правил

На вкладе Правила кликните на значок + в нижнем правом углу. Появится пустое окно редактирования правила.

Измените режим на расширенный - кликните по переключателю в левом верхнем углу диалогового окна. Клик переведет его из состояния выключен (красный) в состояние включен (зеленый).

Создаем правило для трафика, идущего с Интернета (Download)

Настройка Статус Комментарий
последовательность 11 Номер генерируется автоматически, менять не нужно
интерфейс WAN Выберите интерфейс, подключенный к интернету
интерфейс2 GuestNet Выберите интерфейс, подключенный к гостевой сети
proto ip Выберите протокол, в нашем случае IP
отправитель any IP-адрес источника, оставляем Любой
порт источника any Порт источника, выбираем http или 80
получатель any IP-адрес назначения, оставляем Любой
порт назначения any Порт назначения, оставляем Любой
направление in Входящие пакеты (download)
цель PipeDown-2Mbps Выбираем канал PipeDown-2Mbps
описание RuleGuestnetDown Произвольное описание

Создаем правило для трафика, направленного в Интернет (Upload)

Настройка Статус Комментарий
последовательность 21 Номер генерируется автоматически, менять не нужно
интерфейс WAN Выберите интерфейс, подключенный к интернету
интерфейс2 GuestNet Выберите интерфейс, подключенный к гостевой сети
proto ip Выберите протокол, в нашем случае IP
отправитель any IP-адрес источника, оставляем Любой
порт источника any Порт источника, оставляем Любой
получатель any IP-адрес назначения, оставляем Любой
порт назначения any Порт назначения, оставляем Любой
направление out Исходящие пакеты (upload)
цель PipeUp-1Mbps Выбираем канал PipeUp-1Mbps
описание RuleGuestnetUp Произвольное описание

Нажмите Применить для того, чтобы активировать правила шейпирования.