مدیریت پهنای باند در فایروال FortiGate

مدیریت پهنای باند در فایروال FortiGate، در این مقاله قصد داریم مدیریت پهنای باند اینترنت کاربران در سطح شبکه به واسطه فایروال FortiGate را مورد بررسی قرار دهیم.

مدیریت پهنای باند در فایروال FortiGate

فهرست مطالب

1. کاربرد مدیریت پهنای باند
2. Traffic Shaping
3. ایجاد محدودیت آپلود
4. ایجاد محدودیت دانلود
5. قابلیت Per-IP shaper

کاربرد مدیریت پهنای باند

امروزه اینترنت یکی از ارکان اصلی در سازمان ها و شرکت ها محسوب می گردد و کلیه امور بر مبنای اینترنت انجام می گیرد. بنابراین استفاده بهینه از پهنای باند امری اجتناب ناپذیر است. با توجه به همین مطالب باید همواره تنظیماتی را به شبکه اعمال نماییم تا امکان بهره وری مناسب از اینترنت همواره در دستور کار قرار داشته باشد. در فایروال FortiGate این امکان وجود دارد تا مدیریت پهنای باند را به صورت عملیاتی پیاده سازی نماییم.

Traffic Shaping

در فایروال FortiGate در قسمت Traffic Shaping این امکان وجود دارد تا بتوان مدیریت پهنای باند را انجام داد. Traffic Shaping را می بایست در هنگام ایجاد Policy به آن اعمال نمود. جهت انجام این کار در منوی Policy & Objects اقدام به ایجاد یک Policy می کنیم. Traffic Shaping به صورت پیش فرض غیر فعال می باشد. گزینه Shared Shaper جهت ترافیک های آپلود مورد استفاده قرار می گیرد این ترافیک ها شامل ترافیک هایی است که از شبکه داخلی به سمت اینترفیس خروجی ارسال می گردد. گزینه Reverse Shaper بر خلاف گزینه قبلی (shared Shaper) بر ترافیک های دانلود اعمال می گردد. گزینه Per-IP Shaper نیز بر اساس هر آدرس IP اعمال می گردد.

جهت راه اندازی Traffic Shaping توپولوژی زیر مفروض می باشد:

در این سناریو دو کلاینت ویندوزی از طریق سوئیچ به Port2 فایروال FortiGate متصل شده اند و در نهایت توسط Port1 فایروال به اینترنت دسترسی پیدا خواهند نمود.

در مقاله های گذشته جهت دسترسی کلاینت ها به اینترنت یک Policy را ایجاد نمودیم و قصد داریم تنظیمات Traffic shaping را بر روی این Policy اعمال کنیم. در صورت نیاز می توانید مقاله (اتصال کلاینت به اینترنت از طریق فایروال FortiGate) را مطالعه نمایید. جهت انجام این کار با از کردن Policy مورد نظر، در قسمت Traffic Shaping تنظیمات مورد نظر را اعمال می کنیم.

ایجاد محدودیت آپلود

در قسمت Shared Shaper می توان محدودیت هایی برای Upload ایجاد نمود. با فعال نمودن این گزینه چندین حالت پیش فرض در دسترس قرار می گیرد. در صورت نیاز با توجه به سیاست های مد نظر می توان محدودیت هایی با مقادیر مختلفی را با انتخاب گزینه Create به فایروال FortiGate اضافه نمود. در این سناریو ما قصد داریم یک Shared Shaper جدید اضافه کنیم. به همین منظور بر روی گزینه Create کلیک می نماییم.

در پنجره باز شده بعد از انتخاب Create، در قسمت Name یک نام در نظر می گیریم. گزینه Apply Shaper به نحوه اعمال محدودیت مورد نظر اشاره دارد. برای مثال در این سناریو قصد داریم یک محدودیت 160Kb بر روی آپلود ایجاد کنیم. در قسمت Apply Shaper چنانچه گزینه Per Policy را انتخاب نماییم، تمامی ترافیک هایی که با این Shared Shaper مطابقت داشته باشد هرکدام 160Kb را در دسترس خواهند داشت. در گزینه All policies using this shaper تمامی Policy هایی که از این Shared Shaper استفاده می کنند شامل محدودیت اشتراکی 160Kb خواهند شد.

در قسمت Traffic Priority سه گزینه High، Medium و Low در دسترس می باشد. این سه گزینه نحوه اولویت بندی Policy ها را مشخص می نماید. به عنوان مثال چنانچه یک Policy با Priority مقداردی شده High و ک Policy با Priority مقداردی شده Low وجود داشته باشد که از این Shared Shaper استفاده می کنند، ترافیک Policy با Priority بالاتر (High) اولویت بیشتری خواهد داشت. این اولویت در زمانی که با کمبود پهنای باند روبرو باشیم مورد استفاده قرار می گیرد و در شرایط عادی پهنای باند به تساوی تقسیم خواهد شد. در قسمت Max Bandwidth حداکثر مقدار پهنای باند مشخص می گردد. با فعال نمودن گزینه Guaranteed Bandwidth می توان یک پهنای باند مشخصی را به صورت رزرو در نظر بگیریم و همیشه به مقداری که در این قسمت قرار می گیرد فایروال FortiGate اقدام به رزرو پهنای باند برای Policy مورد نظر خواهد نمود. از Guaranteed Bandwidth می توان برای سرویس های حساس به تاخیر استفاده نمود. در هدر بسته های IP در شبکه ارسال می گردد یک فیلد با عنوان DSCP وجود دارد که در مباحث کیفیت خدمات (QoS) مورد استفاده قرار می گیرد. گزینه DSCP در پنجره ایجاد Shared Shaper نیز به همین منظور قرار دارد. پس از اعمال تنظیمات فوق بر روی OK کلیک می کنیم تا Shared Shaper جدید ایجاد گردد.

در نهایت با انتخاب Shared Shaper ایجاد شده آن را به Policy مورد اعمال می نماییم. اکنون چنانچه از طریق کلاینت تست سرعت اینترنت را انجام دهیم باید محدودیت مورد نظر بر روی آپلود اعمال شده باشد.

ایجاد محدودیت دانلود

جهت مدیریت پهنای باند دانلود از گزینه Reverse Shaper استفاده می گردد. با ایجاد Policy های خاص می توان در کنار ایجاد Reverse Shaper محدودیت هایی بر دانلود اعمال نمود تا پهنای باند اینترنت به صورت کلی توسط کاربران شبکه استفاده نشود. ایجاد Reverse Shaper نیز مشابه Shared Shaper انجام می گیرد با این تفاوت که این بار محدودیت ها بر روی ترافیک های دانلود اعمال خواهد گردید. برای مثال در این سناریو قصد داریم پهنای باند 4Mbps را بر روی دانلود اعمال کنیم. به همین منظور تنظیمات را به صورت زیر اعمال می نماییم.

همانطور که در تست سرعت اینترنت قابل مشاهده است، مقدار دانلود از 4Mbps بالاتر نخواهد بود.

قابلیت Per-IP shaper

چنانچه قصد داشته باشیم سیاست های مورد نظر به صورت جداگانه اعمال گردد می توان از Per-IP shaper استفاده نمود. برای مثال چنانچه قصد داشته باشیم محدودیت 4Mbps را بر روی هر دستگاه اعمال کنیم از گزینه Per-IP shaper استفاده می گردد و مکانیزم اعمال محدودیت بر روی هر IP خواهد بود. به این ترتیب هر آدرس IP محدود به حداکثر استفاده 4Mbps پهنای باند خواهد بود. با استفاده از این گزینه کاربران محدود شده و یک کاربر نمی تواند کل پهنای باند را به خود اختصاص دهد.

همچنین چنانچه قصد ایجاد محدودیت در تعداد Session های هر آدرس IP را داشته باشیم می توان تعداد Session های مورد نظر را در قسمت Max Concurrent Connections وارد نماییم تا کاربر به تعداد Session همزمان بیش از مقدار تعیین شده دسترسی نداشته باشد. چنانچه کاربر قصد استفاده از تعدادی بیشتری Session را داشته باشد با خطای زیر مواجه خواهد شد.

در ایجاد محدودیت در تعداد Session ها می بایست با دقت بسیاری داشت، چرا که ممکن است به عدم دسترسی شبکه منجر شود.