这部分包括以下内容:
在信息高速发展的今天,网络不仅仅只需要带宽,而且必须考虑网络流量高峰时期重要数据优先传输。当信息拥塞造成瓶颈时, 网络管理员必须有优先权数据队列机制, 保证那些重要应用的数据比次重要应用数据获得更高的优先传输权。TCP/IP最大的一个缺陷是不具备真正的QoS功能。网络中的服务质量是保证并限制某些服务和用户的能力。虽然有像DiffServ这样的协议和其他方案旨在为大型网络提供QoS,但是没有一个方案能够为大型网络提供高标准QoS。另外一个事实是当前大部分服务质量解决方案都是基于应用的,即它们是依靠给网络提供QoS信息来应用的。从安全角度看,应用(即用户)决定网络数据流的优先权当然是不能接受的。在安全非常敏感的情况下,用户是不可信的,网络设备应该成为优先权和带宽分配的唯一决定者。阿姆瑞特防火墙具有CoS/QoS功能,使网络可以支持重要任务或实时数据流与较低优先级别的数据优先传输。
阿姆瑞特防火墙通过定义管道的方式提供CoS/QoS功能,并且管道没有数量的限制,可以基于IP、基于协议、基于接口、基于组信息、基于Vlan信息、VPN连接等信息进行带宽管理。并且在管道内部可以实现数据包的负载均衡,从而保证重要数据的服务质量。
考虑到安全和功能两方面的因素,使网络获得质量服务保证最简单的办法是让网络中的部件,而非应用,在一个能够导致网络瓶颈的节点去控制网络数据流量。
传输过程中,流量分配是用大量可配置参数通过测量和排列IP包的方式实现的。与实施防火墙规则的方法十分相似,能够根据源、目的和协议参数限制不同的速率并保证不同流量。流量分配的工作原理是:
带宽限制 可以对用户IP地址、服务等通过防火墙的带宽进行限制,同时可以定义发起访问的数据与返回的数据走不同的管道,即:进行不同的带宽限制。例如:限制某个用户对外访问最大带宽,或者访问某种服务的最大带宽。
带宽保证 保证网络中重要服务或者重要用户的带宽不被其他服务或者用户占用,从而保证了重要数据优先通过网络。
优先级控制 阿姆瑞特防火墙通过定义管道的方式提供COS/QOS功能,并且管道没有数量的限制,也就是说带宽控制的级别没有数量的限制,同时可在每一个管道中,可以设定8个优先级(0-7),这样在管道嵌套的时候可以对不同的数据定义出不同的优先级别,保证优先级别高的数据优先进出网络。
动态流量均衡 为了保证网络中的所有带宽都得到合理的应用,防火墙提供动态流量均衡功能。例如:假如某网络带宽为256k,设定主机A的带宽为100k,主机B带宽为156k,如果主机B目前只用到120k,而主机A100k的带宽不够用,此时主机A可以动态获得主机B剩余的36K带宽。如果主机B某一时刻的突发速率到156K,他会动态的从主机A那里获得属于他的36K带宽,从而保证重要服务或者用户优先进行数据传输。
管道用户分组 阿姆瑞特防火墙提供对同一应用中的每一个IP的带宽进行限制和保证,并且提供对管道用户之间的动态流量均衡。例如:我们定义SSH这种应用的管道宽度为64Kbit/s(即:带宽为64Kbit/s),同时我们可以通过管道分组定义每一用户最大带宽为16Kbit/s,那么每一个IP通过这个管道作SSH访问时候最大带宽便为16k,如果同时有10个人通过SSH管道对外作访问,那么,通过流量均衡可以保证每个IP作SSH访问的带款为6.4Kbit/s(64/10=6.4),而不是所有SSH应用的数据包先到先发。
以下是阿姆瑞特防火墙作带宽管理所涉及到的一些概概念和术语。
阿姆瑞特防火墙的流量分配是由一个基于“管道”的概念实现的,每个管道都具有优先级分级、限制和分组等特点。各个管道可通过不同的方式链接起来,以建立远远超出单个管道能力的带宽管理单元。
可以给防火墙的每条规则分配一或多个管道。
每个管道有若干优先级别,每个优先级别都有各自以Kbps(千比特/秒)或pps(包/秒)表示的带宽限制。也可以规定管道的总体限制。
通过一个管道的数据流能够被自动分为“管道用户”,在此,如果希望的话,每个管道用户或“用户管道”可以按主要管道配置成同样的级别。
可以根据如源或目的IP网络、IP地址或端口号等多个参数对流量进行分组。
如果整个管道已超出限制,流量分配工具可以用来动态平衡不同管道用户的带宽分配。
这意味着对所选分组管道均匀地平衡可用带宽。
给规则分配管道时,最多可连接8条管道形成一条管道链。这样能够以非常复杂的方式进行过滤和限制。
使用适当的管道配置,可用阿姆瑞特防火墙的流量分配能保证通过防火墙数据流的带宽(以及质量)。
如果防火墙使用选件Ipsec VPN模块,便可以为VPN通道以及防火墙普通规则配置带宽和优先级别。
阿姆瑞特防火墙通过管道实现QOS/COS保障,然而管道本身没有任何意义,只有在规则部分中应用定义的管道才能发挥作用。每个规则能够根据选择的先后顺序,让数据流通过一个或多个管道。
所以,要设置QOS/COS保证时,需要执行以下步骤:
规划流量分配需求。如果不知道应怎样限制、安排优先级别、保证或分配流量,那么找到配置工作要比不知所措更有帮助。
设置管道,描述管道部分不同的流量级别。
在规则部分给不同管道分配特定的通讯类型,这意味着规则集的增加。一条原先涉及“将内部所有内容NAT到外部” 的规则可能扩展至几条对不同协议/端口使用的不同优先级别或限制的规则。
确认流量分配按照希望的方式工作。两种了解实际环境中发生的情况的主要办法是:“管道”控制口命令(用“help pipes"获得更多信息)和统计观察器里的管道统计图形。