NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Приоритеты применяются только при заполнении канала<br />
Использование приоритета не является эффективным, пока не достигнуто общее ограничение,<br />
указанное для канала. Это происходит потому, что пока не достигнуто ограничение канала<br />
(заполнение канала), между приоритетами нет конкуренции.<br />
При заполнении канала система NetDefendOS приоритезирует трафик согласно приоритету: пакеты с<br />
высоким приоритетом, которые не превышают ограничение данного приоритета, отправляются перед<br />
пакетами с более низким приоритетом. Пакеты с низким приоритетом до момента отправки<br />
помещаются в буфер. Если буферного пространства недостаточно, пакеты отбрасываются.<br />
Если общее ограничение канала не указано, то это равнозначно утверждению, что канал имеет<br />
неограниченную пропускную способность и, следовательно, никогда не может быть заполнен, таким<br />
образом, использование приоритетов не имеет смысла.<br />
Применение приоритетов<br />
Продолжая использовать предыдущий пример с Traffic shaping, добавим требование, что трафик SSH<br />
и Telnet должен иметь более высокий приоритет по сравнению с остальным трафиком. Для этого<br />
добавим Правило канала специально для SSH и Telnet и установим в правиле более высокий<br />
приоритет – например, 2. В данном новом правиле мы указываем каналы, используемые для<br />
остального трафика.<br />
Результатом данного действия является то, что правило SSH и Telnet назначает более высокий<br />
приоритет пакетам, связанным с данными службами, и отправка этих пакетов выполняется через тот<br />
же канал, что и остальной трафик. Канал гарантирует, что при превышении ограничения полосы<br />
пропускания, указанного в настройках канала, пакеты с более высоким приоритетом будут<br />
отправлены в первую очередь. Пакеты с более низким приоритетом будут помещены в буфер и<br />
отправлены, если используемое значение пропускной способности меньше, чем максимальная<br />
величина, указанная для канала. Процесс буферизации иногда приводит к эффекту обратного<br />
давления («throttling back»), так как он уменьшает скорость потока.<br />
Необходимость гарантий<br />
Проблема может возникнуть в случае, если приоритезируемый трафик представляет собой<br />
непрерывный поток данных, например, аудио в режиме реального времени, приводящее к<br />
непрерывному использованию всей доступной полосы пропускания и длительному времени<br />
ожидания в очереди других служб, таких как просмотр Web-страниц, DNS или FTP. Таким образом,<br />
требуется средство для обеспечения выделения некоторой части полосы пропускания для менее<br />
приоритетного трафика, и это выполняется с помощью гарантированной полосы пропускания<br />
(Bandwidth Guarantees).<br />
Использование приоритетов в качестве гарантий<br />
Указание ограничения для приоритета также гарантирует минимальное количество полосы<br />
пропускания для данного приоритета. Трафик, проходящий через канал, получит гарантию,<br />
указанную для приоритета, за счет урезания трафика с более низким приоритетом.<br />
Для изменения способа приоритезации трафика SSH и Telnet из предыдущего примера так, чтобы<br />
гарантировать ему 96 кбит/с, необходимо в канале std-in установить ограничение для приоритета<br />
равное 96 кбит/с.<br />
Это не означает, что входящий трафик SSH и Telnet ограничен до 96 кбит/с. Ограничения<br />
приоритетов более высоких, чем приоритет негарантированной доставки всего лишь ограничивают<br />
количество проходящего трафика с конкретным приоритетом.<br />
Если приходящий трафик с приоритетом 2 превышает 96 кбит/с, то приоритет той части трафика,<br />
которая превышает данное ограничение, понижается до приоритета негарантированной доставки<br />
(best effort). Весь трафик с приоритетом негарантированной доставки (best effort) будет отправлен в<br />
порядке поступления.<br />
Дифференцированные гарантии<br />
Проблема возникает, если необходимо предоставить определенную гарантию в 32 кбит/с трафику<br />
Telnet и определенную гарантию в 64 кбит/с трафику SSH. Можно было бы задать ограничение в 32<br />
437