Polityka zarządzania i sterowania przepustowością ruchu sieciowego w iQoS realizowana jest za pomocą obiektów rozgraniczających i regulujących ruch, zwanych rurami (ang. „pipe”).
System obsługuje dwupoziomowe sterowanie ruchem: sterowanie poziomu 1-szego; oraz (opcjonalnie) sterowanie poziomu 2-giego.
W przypadku włączenia sterowania poziomu 2-giego:
– Ruch, którym zajmuje się sterowanie na poziomie 1, przepływa do sterowania na poziomie 2.
– W dalszej kolejności – system zarządza i steruje ruchem w sterowaniu poziomu 2.
– Zasady dopasowania, zarządzania i sterowania ruchem są takie same jak w przypadku sterowania poziomu 1-szego.
Sterowanie dwupoziomowe włączamy/wyłączamy naciskając (prawy górny róg) Enable/Disable second level control
Ruch sieciowy, nie pasujący do reguł żadnej z rur, kierowany jest do rury domyślnej („Default Pipe”).
Konfiguracja rury
Aby zdefiniować rurę, naciskamy New, a następnie w polu Pipe Configuration ustawiamy pola:
– Control Level – ustawione wcześniej na „Level-1 Control” lub (opcjonalnie, zakładką) na „level-2 Control”.
– Pipe Name – nazwa rury (obowiązkowa). Zalecane, aby oddawała jej rzeczywiste zastosowanie.
– Mode – jeden z trzech trybów pracy rury:
—— Shape – umożliwia ograniczenie szybkości transmisji danych i płynne przekazywanie ruchu. Ten tryb obsługuje pożyczanie pasma i dostosowywanie priorytetów dla ruchu w obrębie rury głównej. Współdziała z mechanizmem kolejkowania pakietów.
—— Police – sprawdza ruch w czasie rzeczywistym i powoduje odrzucenie ruchu, który przekracza limit przepustowości. Ten tryb nie obsługuje pożyczania pasma i dostosowywania priorytetów, a także nie może zagwarantować minimalnej minimalnej.
—— Monitor – monituje ruch sieciowy, gromadzi statystyki, nie podejmując działań kontrolnych
– Description – opcjonalny opis
– Schedule – ramy czasowe, w których docelowo ma działać rura. Domyślnie działa permanentnie. O ustalaniu terminarzy w harmonogramie – więcej tutaj: Schedule (zabezpieczenia.it)
Sekcja Condition
Tablica z listą warunków/reguł, które musi spełniać ruch sieciowy, aby został skierowany do rury.
Aby ustalić nowy warunek, naciskamy New, a następnie w oknie Condition Configuration ustawiamy pola:
Podsekcja Source
– Zone – nazwa strefy źródłowej (inicjującej ruch wychodzący). Możemy wybrać jedną z stref predefiniowanych (więcej tutaj: Zone )lub zdefiniować własną: (więcej tutaj: Wyznaczanie strefy)
– Interface – interfejs źródłowy (dotyczący ruchu wychodzącego).
– Address – adres lub zbiór adresów po stronie źródła. Możemy wskazać:
—— Any – adres dowolny (domyślny)
—— IP/Netmask – adres lub grupa adresów mieszczących się ramach maski sieciowej
—— IP/Range – zakres/przedział adresów IP
—— Hostname – nazwa hosta
—— Address Book – adres lub zbiór adresów zdefiniowanych wcześniej w książce adresowej: (więcej tutaj: Address Book – (zabezpieczenia.it))
Podsekcja Destination
– Zone – nazwa strefy docelowej (realizującej ruch przychodzący). Możemy wybrać jedną z stref predefiniowanych (więcej tutaj: Zone) lub zdefiniować własną: (więcej tutaj: Wyznaczanie strefy)
– Interface – interfejs docelowy (obsługujący ruch przychodzący z zewnątrz)
– Address – adres lub zbiór adresów po stronie docelowej. Możemy wskazać:
—— Any – adres dowolny (domyślny)
—— IP/Netmask – adres lub grupa adresów mieszczących się ramach maski sieciowej
—— IP/Range – zakres/przedział adresów IP
—— Hostname – nazwa hosta
—— Address Book – adres lub zbiór adresów zdefiniowanych wcześniej w książce adresowej: (więcej tutaj: Address Book – (zabezpieczenia.it))
– User Information – użytkownicy lub grupy użytkowników (do 8-śmu pozycji). Do wyboru z listy użytkowników uwzględnionych w systemie (więcej tutaj: User – (zabezpieczenia.it))
– Service – usługa lub usługi uwzględnione w ruchu sieciowym, w ramach działania rury. Do wyboru domyślna (dowolna), predefiniowane lub zdefiniowane w książce usług: (więcej tutaj: Service Book – (zabezpieczenia.it)
– Application – akceptacja ruchu generowanego przez aplikacje sieciowe rozpoznawane po sygnaturach. Aplikacje do wyboru z listy (ok. 5000 pozycji) lub do zdefiniowania w książce aplikacji (więcej tutaj: APP Book (zabezpieczenia.it))
– URL Category – kategorie adresów URL, dla których rura reguluje ruch. Do wyboru spośród listy kategorii predefiniowanych lub zdefiniowanych przez użytkownika (więcej tutaj: ⊗ -> User-defined URL DB (zabezpieczenia.it)).
Podsekcja Advanced
– VLAN – identyfikator wirtualnej sieci lokalnej (o sieciach VLAN – więcej tutaj: VLAN (zabezpieczenia.it) ).
– TOS – typ usługi ( ang. Type-of-Service) – 8-bitowe pole określające poziom ważności, jaki protokołowi IP został nadany przez protokół wyższej warstwy.
Przykładowa konfiguracja warunku dla rury
Sekcja Whitelist
Tablica z białą listą warunków/reguł, stanowiących wyjątki od warunków ustalonych powyżej.
Aby dodać nowy wyjątek, naciskamy New, a następnie w oknie Whitelist Configuration uzupełniamy pola tak, jak w sekcji Condition.
Sekcja Action
Akcje/działania co do ruchu kontrolowanego przez rurę.
Wszystkie parametry akcji, osobno konfigurujemy dla ruchu wychodzącego (zakładka Forward) i przychodzącego (zakładka Backward).
Parametry akcji ustalamy, ustawiając następujące pola:
– Pipe Bandwith – przepustowość rury wyrażona w wyrażona w Kb/s, Mb/s lub Gb/s.
– Limit Type – typ limitu, rozumiany jako kryterium:
—— Limit Per IP – ograniczenie przepustowości wyszczególnionym adresom IP
—— Limit Per User – ograniczenie przepustowości wyszczególnionym użytkownikom
—— No Limit – brak ograniczeń
– Enable average Bandwidth – włączenie opcji przepustowości uśrednionej. Pomija ręczne ustawianie limitów (poniżej).
Podsekcja Limit By
Możliwość limitowania przepustowości według wskazań użytkownika:
Type – typ limitu, rozumiany jako rozróżnienie ograniczeń dla adresu źródłowego/docelowego („Source IP”/”Destination IP”; ustawiane z osobna)
Min Bandwidth – wyrażona w Kb/s lub Mb/s przepustowość minimalna (gwarantowana)
Max Bandwidth – wyrażona w Kb/s lub Mb/s przepustowość maksymalna (nieprzekraczalna)
Delay – opóźnienie wyrażone w sekundach
Podsekcja Advanced
Priority – priorytet rury. Im niższy numer (od 0 d0 7), tym wyższy priorytet ma rura. Domyślny wynosi 7 (najniższy). Jeśli rura ma wyższy priorytet, system w pierwszej kolejności zajmuje się generowanym przez nią przepływem danych, a następnie „pożycza” dla niego dodatkową przepustowość przeznaczoną dla innych przepływów.
TOS – typ usługi ( ang. Type-of-Service) – 8-bitowe pole określające poziom ważności, jaki protokołowi IP został nadany przez protokół wyższej warstwy.
Limit Opposite Bandwidth – ograniczenie przepustowości ruchu w przeciwnym kierunku. Włączenie tej opcji dla ruchu wychodzącego sprawi, że będzie ona niedostępna dla przychodzącego i vice versa. Uniemożliwia rozdzielenie rury na rury podrzędne (pod-rury).
Limit Level – poziom powyższego ograniczenia (od 1 do 8). Im niższy numer, tym mniejszy poziom ograniczenia.
Przykładowa konfiguracja akcji dla rury
Skonfigurowaną rurę zatwierdzamy naciskając OK.
Rury podrzędne (pod-rury)
Narzędzie iQos ma wbudowany mechanizm zagnieżdżania, tzn. rurę możemy podzielić na pod-rury (ang. „sub-pipes”), celem uszczegółowienia porządku w zarządzaniu zasobami łącza.
Pod-rury konfigurujemy podobnie, jak rury szczebla głównego, z zachowaniem pewnych ograniczeń:
– Struktura ma charakter hierarchiczny, tzn. każda pod-rura ma dokładnie jedną nad-rurę (rurę rodzica, ang.”Parent Pipe”)
– Pod-rury nie zawierają listy wyjątków (sekcji Whitelist)
– Tryb pracy (Mode) pod-rury jest dziedziczony od nad-rury
– Dozwolone są zagnieżdżenia maksymalnie do 3-ciego szczebla (licząc od zerowego, głównego)
– Rury priorytetujące ruch wychodzący lub przychodzący (Limit Opposite Bandwidth) nie mogą zawierać pod-rur
– Suma przepustowości (w którąkolwiek stronę) rur podrzędnych nie może przekraczać przepustowości ich rodzica (nad-rury)
Przykład błędu. Próba włączenia (Enable) pod-rury zakończona niepowodzeniem z powodu naruszenia ostatniego z wymienionych ograniczeń