23T32 Traffic Shaping w 8 min. [Konfiguracja Fortinet]

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

0:43 Topologia

1:12 Użytkownicy, grupa

2:33 Stworzenie Shapingów

6:47 Test dla sieci LAN

7:44 Podsumowanie

Transkrypcja

Traffic Shaping na Fortigate. W dzisiejszym odcinku pokażę, jak skonfigurować Fortigate’a dla dwóch różnych sieci, umieszczonych użytkowników w tych dwóch sieciach tak, żeby można było skonstruować ograniczenia w wysyłanym ruchu dla każdej z tych grup użytkowników czy też obiektów. Będziemy na koniec testować ten ruch do internetu i patrzeć jakie są różnice w testach prędkości dla ruchu pobieranego dla każdej definicji tych obiektów.

Topologia jaką tutaj mamy to klient po lewej stronie – on będzie definiowany jako klient czyli jako indywidualny użytkownik. No i mamy po prawej stronie komputer, który będzie identyfikowany jako sieć. Po prostu obiekt związany z siecią. Na środku mamy Fortigate i tu będziemy konfigurować ten Traffic Shaping. Ruch będzie wychodził do Internetu czyli tym portem1 ISP.

Zaczynamy od użytkowników czyli dodajemy użytkownika – użytkownik lokalny, nazwa użytkownika, hasło. Użytkownik LAN jest stworzony. Następnie kolejny użytkownik, klient – hasło dla niego. Mamy już teraz stworzonych dwóch użytkowników -klient i lan. Teraz przechodzimy do definicji grupy. Stworzymy grupę klienci do których będą dodani nasi użytkownicy. Grupa klienci i teraz w kontekście użytkownika dodajemy go do grupy i wybieramy grupę z listy. Grupa klienci, użytkownik klient. To mamy już zrobione. Teraz przechodzimy do kreowania obiektu bazującego na adresie. Czyli mamy tutaj spis IP Range i utworzymy nowy. Create New Address i tu w tym adresie nazwę Range: Lan. To będzie IP Range no i definiujemy z jakiego zakresu adresy IP będą wpadały do tego obiektu. Mamy już obiekt stworzony i teraz możemy przejść do części Traffic Shaping.

Tutaj będziemy tworzyć dwa Shapingi czyli najpierw Shapery a potem polityka. Czyli najpierw pierwszy Shaper, w nim będziemy ograniczać maksymalną prędkość do 35 Mb i gwarantowana przepustowość 1 Mb. 35 i 1 to będzie pierwszy shaper – A przepraszam będzie tutaj 30 Mb czyli mamy tutaj shapera 35 Mb/s, gwarantowane pasmo 30, maksymalne pasmo 35. Teraz drugi shaper dla klientów czyli per IP, nie współdzielony jak wcześniej tylko pod IP. Tutaj określamy prędkość na 20. Początkowo miało być 50 ale jest 20 i spójrz tutaj w customers mamy max bandwidth 20 czyli mamy 2 shapery 20 Mb maksymalnie i 35 Mb maksymalnie. Ten minimalny nie ma większego oznaczenia przy naszym teście, który będziemy na koniec wykonywać więc zapamiętaj tylko że 20 Mb dla klientów i dla sieci lan 35.

Teraz stworzymy politykę do której będziemy przypinać te shapery. Polityka LAN od portu drugiego do portu pierwszego. Tutaj jeżeli chodzi o Source to definicja obiektu Lan, który wcześniej tworzyliśmy w oparciu o adresację IP. Destination All czyli do internetu. Serwis również All. No i tu włączamy shaper i wybieramy z listy… czyli 35 Mb maksymalna prędkość, gwarantowana 30 dla ruchu definiowanego powyżej wymienionymi kryteriami, Reverse shaper czyli ruch powracający, również taki sam, symetrycznie. Tworzymy nowy, nową politykę. Druga będzie dla klientów i tutaj wskazujemy porty jakie będą brały udział w klasyfikacji. Źródło – tutaj w źródle wskazujemy klienta.

Zauważ, że definiowaliśmy grupę klienci jak i klienta indywidualnego więc wybieramy sobie co wolisz, co potrzebujesz. My w tym przypadku grupę. Oprócz tego zostało dołożone All, czyli cały ruch. Tutaj żeby Ci pokazać, że możesz definiować to per klient ale tu w tej topologii ten klient nie jest identyfikowany bo musielibyśmy użyć jakiejś metody żeby ten Firewall mógł wykrywać, że mamy zalogowanego użytkownika. Dlatego tu jest w tym przykładzie source All również dodany, Destination All, Service All czyli tu nic więcej nie definiujemy, to co będziemy testować czy dla całego ruchu który idzie od 1 czy od 3 do 1, cały source czyli wszyscy klienci, którzy są podpięci. Tam jest tak naprawdę jedna stacja i na koniec włączamy shaper i tutaj definiujemy shaper per IP i z wcześniej shaper zdefiniowany Customers – 20 Mb maksymalna prędkość i jak widzisz podpinamy ze sobą te shapery do polityki.

Mamy więc dwie polityki, mamy definicję portów, użytkowników, adresów IP i możemy teraz testować. Czyli jeszcze raz LAN 35, klienci 20. No to idziemy. Mamy teraz klienta trzeciego czyli klient 20 – to sprawdzamy. Klientów miał mieć 20 a ma 42. Był wysyłany 7. Czyli 42 niecałe i 7 dla klienta. Teraz zróbmy ten sam test dla sieci LAN. No i mamy 28, 29 i ruch wysyłany około. Tu widać że łącze jest około 7 Mb więc tym wysłanym ruchem się nie należy przejmować bo to jest ograniczenie danego łącza. Czyli mamy tutaj 28 niecałe 29 pobieranego ruchu a tam mieliśmy 40. Czyli widać, że ten test praktyczny przy pojedynczych hostach, pojedynczych komputerach ten shaping nie działa idealnie no ale to dlatego, że nie ma możliwości tutaj dropowania i powracania bardzo elastycznego co jest prawdą jeżeli mamy dużo więcej urządzeń na naszym Firewallu więc te testy które tutaj widzisz należy traktować orientacyjnie. Natomiast ten mechanizm no nie zawsze musi być taki dokładny to też warto mieć na uwadze.

Na dzisiaj to tyle. Jeżeli masz jakieś pytania to oczywiście pisz w komentarzach. Na dzisiaj dziękuję za uwagę i do zobaczenia już w kolejnym odcinku.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.