NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
означает, что: • Пользователи в группе сначала разделяются правилами канала по приоритетам. • Затем к пользователям применяются гарантии, указанные для их приоритета. • Весь суммарный поток трафика подвергается общему групповому ограничению. На рисунке ниже представлен поток трафика, который был распределен в группы по IP-адресу источника. Другой пример использования групп Рис. 10.6. Трафик, сгруппированный по IP-адресу Рассмотрим другую ситуацию, в которой общее ограничение полосы пропускания канала составляет 400 бит/с. Если необходимо разделить эту полосу пропускания среди нескольких IP-адресов назначения таким образом, чтобы на отдельный IP-адрес приходилось не более 100 кбит/с полосы пропускания, необходимо выполнить следующие шаги: • Задать обычным способом ограничение канала – 400 кбит/с. • Установить в канале опцию Grouping в значении Destination IP. • На вкладке Group Limits задать общее групповое значение канала – 100 кбит/с. Теперь полоса пропускания распределяется по принципу живой очереди, однако, ни один IP-адрес назначения не сможет получить более 100 кбит/с. Независимо от количества подключений общая ширина полосы пропускания все же не сможет превысить ограничение для канала в 400 кбит/с. Сочетание значений ограничений приоритетов каналов и групп Предположим, что опция создания группы включена с помощью выбора одной из переменных, такой как IP-адрес источника и некоторые значения приоритетов были указаны на вкладке Group Limits. Как эти значения сочетаются со значениями, указанными для соответствующих приоритетов на вкладке Pipe Limits? В данном случае значение приоритета на вкладке Group Limits является гарантией, а значение для того же приоритета на вкладке Pipe Limits является ограничением. Например, если трафик группируется по IP-адресу источника, и на вкладке Group Limits для приоритета 5 задано значение 5 Кбит/с, а на вкладке Pipe Limits приоритету 5 присвоено значение 20 Кбит/с, то после подключения четвертого уникального IP-адреса источника (4 х 5 = 20 Кбит/с) будет достигнуто ограничение 440
приоритета, и далее гарантии не будут предоставляться. Динамическая балансировка Вместо указания общего группового ограничения можно включить опцию Dynamic Balancing. Это обеспечивает одинаковое разделение полосы пропускания между всеми адресами независимо от их количества. Данное действие выполняется для ограничения канала. Если при включенной опции динамической балансировки также задано общее групповое ограничение 100 бит/с, то это все равно означает, что ни один пользователь не сможет получить больше данной величины полосы пропускания. Приоритеты и динамическая балансировка Как отмечалось ранее, помимо указания общего ограничения группы можно указать ограничения для каждого приоритета в рамках группы. Если в групповых ограничениях для приоритета 2 мы указываем значение 30 кбит/с, то это означает, что пользователям с назначенным приоритетом 2 по правилу канала будет гарантировано 30 бит/с, независимо от количества пользователей, использующих канал. Так же как в случае обычных приоритетов канала, трафик, превысивший 30 кбит/с для пользователей с приоритетом 2, будет понижен до значения приоритета негарантированной доставки. Продолжая предыдущий пример, мы можем установить ограничение на величину гарантированной полосы пропускания, которую получит каждый пользователь для входящего SSH-трафика. Это помешает одному пользователю занять всю доступную высокоприоритетную полосу пропускания. Сначала мы создадим группу пользователей канала ssh-in таким образом, что ограничения будут применяться к каждому пользователю внутренней сети. Так как пакеты являются входящими, в качестве параметра для создания группы в настройках канала ssh-in мы выбираем опцию Destination IP. Далее указываем ограничения для каждого пользователя, установив для приоритета 2 ограничение в 16 кбит/с на пользователя. Это означает, что каждый пользователь гарантированно получит не более 16 кбит/с для своего SSH-трафика. Если необходимо также можно ограничить общую ширину полосы пропускания группы для каждого пользователя, указав какое-либо значение, например, 40 Кбит/с. Если более 5 пользователей одновременно используют SSH, возникнет проблема, так как 5 раз по 16 кбит/с – больше, чем 64 кбит/с. Общее ограничение канала продолжает действовать, и каждый пользователь будет конкурировать за доступную для приоритета 2 полосу пропускания таким же образом, как они конкурируют за полосу пропускания самого низкого приоритета. Некоторые пользователи по-прежнему получат свои 16 кбит/с, а некоторые нет. Для улучшения ситуации можно включить динамическую балансировку, обеспечив каждому из 5 пользователей одинаковое количество полосы пропускания. Когда 5-ый пользователь начинает генерировать SSH-трафик, балансировка снизит пользовательское ограничение до 13 кбит/с (64 кбит/с, разделенные между 5 пользователями). Динамическая балансировка выполняется в пределах каждого приоритета отдельно. Это означает, что если на всех пользователей выделено определенное, но небольшое количество трафика с высоким приоритетом и более широкая полоса пропускания для трафика негарантированной доставки (best-effort), все пользователи получат равные доли как высокоприоритетного графика, так и трафика негарантированной доставки. 10.1.8. Рекомендации по Traffic shaping О важности ограничения канала Функция Traffic shaping эффективна только в том случае, когда канал NetDefendOS заполнен. Другими словами, через канал проходит количество трафика, разрешенное значением общего ограничения. Если для канала установлено общее ограничение в 500 кбит/с, но в текущий момент времени по нему проходит 400 кбит/с трафика с низким приоритетом и 90 кбит/с высокоприоритетного трафика, то остается 10 кбит/с полосы пропускания, поэтому нет необходимости урезать какой-либо из типов трафика. Поэтому важно указать общее ограничение 441
- Page 389 and 390: 9.3.6. Списки выбора а
- Page 391 and 392: Далее примените об
- Page 393 and 394: 9.4.1. Обзор IPsec-тунне
- Page 395 and 396: защищенный обмен д
- Page 397 and 398: 1. Зайдите Objects > VPN Obj
- Page 399 and 400: Режим настройки IKE C
- Page 401 and 402: Для запуска провер
- Page 403 and 404: Message ID : 0x00000000 Packet leng
- Page 405 and 406: Flags : E (encryption) Cookies : 0x
- Page 407 and 408: туннелям. По умолча
- Page 409 and 410: 10 секунд, а также не
- Page 411 and 412: 6. Нажмите OK Функция
- Page 413 and 414: г. Encapsulation Mode: Transport
- Page 415 and 416: • Service: all_services • Sourc
- Page 417 and 418: 9.6. Доступ к серверу
- Page 419 and 420: умолчанию с возмож
- Page 421 and 422: 9.7.3. Команды поиска
- Page 423 and 424: Список IKE proposal не со
- Page 425 and 426: 9.7.6. Особые признак
- Page 427 and 428: Глава 10. Управление
- Page 429 and 430: Интернет-услуг, в к
- Page 431 and 432: Рис. 10.2. Правила FwdFas
- Page 433 and 434: Web-интерфейс 1. Зайд
- Page 435 and 436: Значение приоритет
- Page 437 and 438: Приоритеты применя
- Page 439: • IP-адрес назначен
- Page 443 and 444: административного
- Page 445 and 446: • Приоритет 6 - VoIP (50
- Page 447 and 448: Если используется S
- Page 449 and 450: 3.Далее устанавлива
- Page 451 and 452: помощью команды CLI p
- Page 453 and 454: 10.3.2. Ограничение ск
- Page 455 and 456: 2560 и 2560G. Иллюстраци
- Page 457 and 458: IP Address Stickiness (Привяз
- Page 459 and 460: Рис. 10.12. Привязка (St
- Page 461 and 462: 1. Зайдите Rules > IP Rule S
- Page 463 and 464: Глава 11. Режим высо
- Page 465 and 466: через интерфейс си
- Page 467 and 468: В результате сбоя sy
- Page 469 and 470: На приведенной схе
- Page 471 and 472: операционной систе
- Page 473 and 474: • Определить, како
- Page 475 and 476: Количество секунд
- Page 477 and 478: • Тип коммутатора
- Page 479 and 480: Для предотвращения
- Page 481 and 482: Второе отличие зак
- Page 483 and 484: По умолчанию: Включ
- Page 485 and 486: С помощью данной на
- Page 487 and 488: TCP Zero Unused URG Снимает
- Page 489 and 490: принимая во вниман
приоритета, и далее гарантии не будут предоставляться.<br />
Динамическая балансировка<br />
Вместо указания общего группового ограничения можно включить опцию Dynamic Balancing. Это<br />
обеспечивает одинаковое разделение полосы пропускания между всеми адресами независимо от их<br />
количества. Данное действие выполняется для ограничения канала.<br />
Если при включенной опции динамической балансировки также задано общее групповое<br />
ограничение 100 бит/с, то это все равно означает, что ни один пользователь не сможет получить<br />
больше данной величины полосы пропускания.<br />
Приоритеты и динамическая балансировка<br />
Как отмечалось ранее, помимо указания общего ограничения группы можно указать ограничения для<br />
каждого приоритета в рамках группы. Если в групповых ограничениях для приоритета 2 мы<br />
указываем значение 30 кбит/с, то это означает, что пользователям с назначенным приоритетом 2 по<br />
правилу канала будет гарантировано 30 бит/с, независимо от количества пользователей,<br />
использующих канал. Так же как в случае обычных приоритетов канала, трафик, превысивший 30<br />
кбит/с для пользователей с приоритетом 2, будет понижен до значения приоритета<br />
негарантированной доставки.<br />
Продолжая предыдущий пример, мы можем установить ограничение на величину гарантированной<br />
полосы пропускания, которую получит каждый пользователь для входящего SSH-трафика. Это<br />
помешает одному пользователю занять всю доступную высокоприоритетную полосу пропускания.<br />
Сначала мы создадим группу пользователей канала ssh-in таким образом, что ограничения будут<br />
применяться к каждому пользователю внутренней сети. Так как пакеты являются входящими, в<br />
качестве параметра для создания группы в настройках канала ssh-in мы выбираем опцию Destination<br />
IP.<br />
Далее указываем ограничения для каждого пользователя, установив для приоритета 2 ограничение в<br />
16 кбит/с на пользователя. Это означает, что каждый пользователь гарантированно получит не более<br />
16 кбит/с для своего SSH-трафика. Если необходимо также можно ограничить общую ширину<br />
полосы пропускания группы для каждого пользователя, указав какое-либо значение, например, 40<br />
Кбит/с.<br />
Если более 5 пользователей одновременно используют SSH, возникнет проблема, так как 5 раз по 16<br />
кбит/с – больше, чем 64 кбит/с. Общее ограничение канала продолжает действовать, и каждый<br />
пользователь будет конкурировать за доступную для приоритета 2 полосу пропускания таким же<br />
образом, как они конкурируют за полосу пропускания самого низкого приоритета. Некоторые<br />
пользователи по-прежнему получат свои 16 кбит/с, а некоторые нет.<br />
Для улучшения ситуации можно включить динамическую балансировку, обеспечив каждому из 5<br />
пользователей одинаковое количество полосы пропускания. Когда 5-ый пользователь начинает<br />
генерировать SSH-трафик, балансировка снизит пользовательское ограничение до 13 кбит/с (64<br />
кбит/с, разделенные между 5 пользователями).<br />
Динамическая балансировка выполняется в пределах каждого приоритета отдельно. Это означает,<br />
что если на всех пользователей выделено определенное, но небольшое количество трафика с<br />
высоким приоритетом и более широкая полоса пропускания для трафика негарантированной<br />
доставки (best-effort), все пользователи получат равные доли как высокоприоритетного графика, так<br />
и трафика негарантированной доставки.<br />
10.1.8. Рекомендации по Traffic shaping<br />
О важности ограничения канала<br />
Функция Traffic shaping эффективна только в том случае, когда канал NetDefendOS заполнен.<br />
Другими словами, через канал проходит количество трафика, разрешенное значением общего<br />
ограничения. Если для канала установлено общее ограничение в 500 кбит/с, но в текущий момент<br />
времени по нему проходит 400 кбит/с трафика с низким приоритетом и 90 кбит/с<br />
высокоприоритетного трафика, то остается 10 кбит/с полосы пропускания, поэтому нет<br />
необходимости урезать какой-либо из типов трафика. Поэтому важно указать общее ограничение<br />
441