ZeroShell    Forum
   Feed RSS Feed
EnglishEnglish     ItalianoItaliano     French     Spanish                Facebook      Twitter

Valid HTML 4.01 Transitional


      Qu'est ce que c'est?
      Screenshots
      Licence
      Annonces
      Liste de diffusion
      Forum
      Documentation  
      FAQ
      Hardware
      Download
      On-line Updates
      Kerberos Tutorial  
      Conditions d'utilisation
      Contactez-moi


  Dans plus de détails:
      Performances
      Net Balancer
      UMTS Routeur
      Proxy avec Antivirus
      Point d'accès WiFi
      OpenVPN Client
      OpenVPN Server
      QoS
      OpenDNS
      Kerberos 5
      NIS et LDAP
      Certificats X.509
      RADIUS
      Captive Portal
      VPN
      Firewall


QoS et Traffic Shaping en mode bridge transparent

Le but de ce document est de décrire la réalisation d'un bridge transparent qui est capable d'effectuer QoS (Quality of Service) et la gestion de bande passante sur le trafic réseau qui la traverse. Le choix du mode bridge (plutôt que mode routé) est justifiée par la simplicité avec laquelle on peut introduire cette composante dans une topologie de réseau sans avoir à modifier les paramètres IP tels que le sous-réseau et la passerelle par défaut.
Comme le montre le schéma de Figure 1, nous allons ajouter la qualité de service Internet du routeur entre le bridge et le commutateur de couche 2 à travers laquelle les hôtes du LAN sont connectés. Note de la simplicité de l'Elu Cette configuration n'affecte pas la généralité de la procédure qui leur sera possible d'appliquer de manière plus topologies réseau complexes. Dans tous les cas, gardez à l'esprit de la procédure d'Cela reste valable même si Zeroshell est configuré pour agir comme une couche de 3 routeur comme passerelle à la place. C'est parce que les classes de QoS sont fixés directement sur les interfaces réseau (Ethernet, VPN, PPPoE, VPN Bond et Bridge) et ne dépendent pas de la transmission mode sélectionné (de routage ou de bridgeage).

QoS et Traffic Shaping en Bridge mode
Figure 1. QoS et Traffic Shaping en mode bridge.

Dans la configuration exemple suivant, nous allons créer un certain nombre de classes de trafic à laquelle nous attribuer les paramètres de QoS, comme la priorité, la bande passante minimale garantie en cas de congestion des réseaux et de la bande passante maximale n'est pas surmontable soit lorsque le réseau est pas encombré.
Nous allons utiliser la couche 7 filtres, avec le DPI (Deep Packet Inspection) peut classer les trafics comme la VoIP et le Peer-to-Peer qui n'est pas possible d'intercepter à l'aide de filtres sur les ports TCP et UDP.
De manière plus détaillée, nous obtiendrons les résultats suivants:
  • Pour classer les VoIP (Voice over IP) du trafic telles que celle produite par SIP, H323, Skype et les connexions MSN Messenger dans une classe avec une haute priorité et de bande passante garantie. Ce faisant, et le temps de latence est réduit donc la qualité de la vidéo et de reproduction de la voix est accrue;
  • Pour limiter la bande passante maximale disponible pour le partage de fichiers P2P (Peer to Peer) les transferts;
  • Pour éviter que le trafic interactif tel que celui produit par telnet et SSH shell distant est retardée. Ceci est réalisé en classant ce type de trafic à l'intérieur d'une classe avec une priorité élevée et une faible latence;
  • de classer le trafic en bulk, c'est le flux généré par les transferts SMTP et FTP, dans lesquels un lot de paquets de données volumineux sur le réseau sont déplacés, mais ils ne doivent être livrés avec une faible latence. Dans ce cas, nous devons utiliser une classe avec une faible priorité, mais sans limite de bande passante maximale.
Pour fixer les idées, nous censés avoir une bande passante Internet asymétrique avec 4 Mbits/s en aval et de 2 Mbit/s en amont pour les classes de QoS et de céder à les paramètres signalés dans le tableau 1

QoS ClassProtocolsPriorityGuaranteedMaximum
VOIPSIP, H323, Skype, MSN MessengerHigh1Mbit/s 
P2PeMule, EDonkey, KaZaA, Gnutella, BitTorrent, Direct ConnectLow 256Kbit/s
SHELLssh, telnetHigh  
BULKftp, smtpLow  
DEFAULTUnclassifiedMedium  
Tab.1 paramètres de classes de QoS

Avant de commencer à configurer le bridge pour effectuer Zeroshell les politiques de qualité de service que nous voulons, vous devez garder à l'esprit les notions suivantes:
  • Quand une classe de qualité de service est appliqué à une interface réseau, la classe ne contrôle que le trafic sortant de l'interface. Sur les paquets entrants à partir d'une interface il n'y a pas de contrôle.
  • En regardant précédemment point, vous pourriez penser que ce n'est pas possible d'appliquer la QoS pour le trafic en aval, mais ce n'est pas tout à fait vrai, car vous pouvez en forme le trafic entrant de l'interface ETH01 (regarder Figure 1) en contrôlant le trafic sortant de la ETH00.
Afin de simplifier la mise en œuvre du traitement de la QoS bridge transparent, il est divisé en sections comme suit:

Faire la configuration permanente

Que je connais la configuration ZeroShell devient permanente et il est donc également rechargé après le redémarrage du système, il est nécessaire de créer et d'activer un profile disk. Si vous utilisez la version Live CD, vous devez avoir au moins une lecture / écriture périphérique de stockage relié à un IDE, SATA, SCSI ou USB. À la place si vous utilisez la version Compact Flash, vous pouvez stocker profile directement sur elle. Parce que leur plus grande stabilité à la présence de deux journalisation Si vous utilisez un système de fichiers ext3 ou ReiserFS. Vous pouvez créer et formater les partitions à l'aide de l'interface graphique directement ZeroShell, mais vous devez être prudent lorsque le dispositif contient des données importantes. Les étapes à effectuer pour créer et activer le profile Les suivants sont:
  • Du [Setup]->[Storage] Lequel choisir la partition créée dans la base et appuyez sur le bouton [créer Profile];
  • qui apparaît dans la fenêtre (regarde la figure ) pour insérer la description de leprofiles, tapez et confirmez le mot de passe pour l'utilisateur admin, vérifiez l'adresse IP 192.168.0.75 qui est configuré sur l'interface réseau et ETH00, set la passerelle par défaut à 192.168.0.254.
  • Appuyez sur le bouton [Créer] pour passer à la génération de profile;
  • Activer le profiles le sélectionnant et en appuyant sur le bouton [Activer]. Le système sera redémarré avec la configuration (regarde la figure ).
Lorsque vous aurez terminé cette phase, vous pouvez être sûr que toute configuration suivante sera définitivement mémorisé.

Création de le BRIDGE00 bridge (ETH00, ETH01)

Maintenant, vous devez créer l'interface BRIDGE00 et l'ajouter à la ETH00 ETH01 les interfaces réseau et je sais que le trafic de couche 2 peut être transmis entre les interfaces. Cependant, gardez à l'esprit que lorsque l'interface devient membre d'un bridge, il perd automatiquement les réglages IP et VLAN. Il s'agit d'un problème, comme dans notre cas, si l'interface à ajouter à la passerelle est celle par laquelle nous Zeroshell sont connectés à l'interface web. Pour contourner cette impossibilité, en fonction de la console de Zeroshell Baptisé "Construire un bridge" permet de migrer automatiquement la configuration (IP et les réseaux locaux virtuels) de l'interface ethernet qui est choisi par l'opérateur à l'interface du nouveau bridge. Cette méthode, cependant, dans suppose la possibilité que cette entrée du système à travers la console série ou VGA, résout le problème et la connectivité est perdue pour tout le temps le bridge permet d'accéder à être dans l'état de transfert (environ 15 secondes).
Les étapes nécessaires pour créer les BRIDGE00 (ETH00, ETH01) Les suivants sont:
  • Accéder au menu de la console et appuyez sur la touche "B" correspondant à la fonction "Créer un bridge." Si vous n'avez pas été déjà authentifié par la console, puis il vous sera demandé le mot de passe admin. Ensuite, appuyez sur la touche "Y" pour confirmer d'être conscient de ce que vous faites. Choisissez l'interface ETH00 appuyant sur la touche "1".
    Le bridge a été créé et maintenant il a hérité de la période d'enquête de la ETH00 192.168.0.75. Quelques secondes après la connexion entre le navigateur que vous utilisez l'interface utilisateur Web et qui la boîte Zeroshell est établi. Maintenant, ajoutez l'interface BRIDGE00
  • ETH01 sur le bridge. Pour faire cela, en utilisant l'interface graphique Web, dans la section [Setup]->[Network] appuyez sur le bouton [Configure] relatives à l'interface et déplacez le BRIDGE00 ETH01 de la "Interfaces disponibles" à la liste des "éléments du bridge" ( regarde la figure ). Validez en appuyant sur le bouton [Confirmer] ETH01 et l'interface sera ajoutée à la passerelle (regarde la figure ).

Attribuer la bande passante globale aux interfaces bridges

Attribution de la bande passante global au réseau chacune des interfaces est en QoS fondamentaux impliqués dans l'exploitation pour le travail correcte de la qualité de service. En fait, puisque le système n'est pas capable de dynamique estimer la disponibilité de la bande passante réelle, il est nécessaire d'établir une estimation basée sur la bande passante qui sera distribué aux classes de QoS ci-dessous. Gardez à l'esprit que fait, si la bande passante disponible à un moment donné est inférieure à celle estimée, la qualité de service à ce moment à la fin ne fonctionne pas.
Les étapes nécessaires pour affecter les interfaces de la bande passante globale et ETH00 ETH01 les suivants sont:
  • Dans la section [QoS]->[Interface Manager] cliquez sur le bouton [Global Bande passante] ETH00 liées à l'interface. Qui apparaît dans la forme (regarde la figure ) a fixé le maximum de bande passante et garantie de 4 Mbits/s et confirmez en cliquant sur [Save];
  • Cliquez sur le [Bande passante globale] relatives à l'interface et l'interface réseau ETH01 Set The maximale et une bande passante garantie à 2Mbit/s.
  • Pour activer la bande passante globale réglages, cliquez sur le bouton [Activer dernières modifications].

Création de la QoS classes

Utilisez le Gestionnaire de classe de la section [QoS]->[Classe Manager] (regarder la figure ) pour créer les classes de QoS vous avez besoin. Notes qu'au début, il est seulement la DEFAULT qui la classe dans le trafic non classifié est envoyé.
Les étapes à suivre pour créer les classes de qualité de service sont les suivantes:
  • Cliquez sur le bouton [Nouveau] de le «Manager de gestion de classe» et tapez la chaîne de nom de classe comme VOIP. Insérez la description de «Voix sur IP" et puis définissez la priorité et la bande passante garantie à 1 Mbit / s. Enregistrer la classe en cliquant sur le bouton [Enregistrer];
  • P2P Créer la classe en utilisant les procédures d'examen que dans l'étape précédente, avec la description "peer to peer de partage de fichiers" et réglez ensuite la faible priorité et la bande passante garantie à 256 Kbit / s; SHELL
  • Créer la classe de qualité de service avec la description "trafic shell interactif" et une haute priorité; BULK
  • Créer la classe de qualité de service avec la description "Large transfert de données» et de faible priorité;
Vous ne devez pas modifier les paramètres de la classe par défaut, car nous voulons que tout le trafic non classifié est prioritaire à moyen et cela est déjà prévue pour cette classe.

Ajout de classes de QoS pour les interfaces bridges

Maintenant c'est le moment d'attribuer les classes de qualité de service créé dans les étapes précédentes pour les interfaces réseau dont vous voulez contrôler le trafic sortant.
Les étapes à effectuer pour affecter les interfaces pour les classes de qualité de service sont les suivantes:
  • De [QoS]->[Interface Manager] enfoncée, cliquez sur [Ajouter une classe] ETH00 liées à l'interface. De la fenêtre de dialogue qui s'affiche (regarde la figure ), cliquez sur le bouton [Ajouter] pour la VoIP, P2P, SHELL classes BULK et QoS;
  • Ajouter les classes d'examen à l'interface avec le ETH01 les procédures d'examen de l'étape précédente;
  • Activer la qualité de service pour ETH00 et ETH01 en cliquant sur les drapeaux connexes "On";
  • Enregistrez les modifications en cliquant sur le bouton [Activer dernières modifications].
Notez que vous avez activé la QoS directement sur les membres (ETH00, ETH01) du bridge et non sur la BRIDGE00.
À ce stade, la qualité de service fonctionne sur le bridge, mais tout le trafic sortant est de la classe par défaut que vous n'avez pas encore classifié le trafic. Dans les prochaines étapes de ce que nous ferons.

Binding les services aux classes de qualité de service

Pour lier un service sur lequel vous voulez appliquer la QoS à une classe, vous devez utiliser le classificateur.
Les étapes à effectuer pour classer le trafic Les suivants sont:
  • Sélectionnez le classificateur de la section [QoS] ->[Classifier] (regarde la figure ). Appuyez sur le bouton [Ajouter] pour insérer la première règle dans le classificateur liées au partage de fichiers P2P. Dans la fenêtre de dialogue qui apparaît (regarde la figure ) afin de permettre les drapeaux peer-to-peer. Sélectionnez la classe cible P2P, puis cliquez sur le bouton [Valider] pour confirmer la règle;
  • Il est maintenant temps pour le trafic VoIP doivent être classés. Démarrer avec le protocole SIP de l'identifier en utilisant le L7-filter et définition de la classe de QoS VOIP comme cible (regarde la figure ). En utilisant les procédures d'examen, vous devez classer la classe dans le H323 QoS VOIP, le Skype à Skype et les protocoles MSN Messenger;
  • Pour classer la qualité de service interactif classe de trafic dans la coquille qui a une faible latence utiliser la caractéristique d'un serveur ssh C'est écoute sur le port TCP 22 et le telnet sur le port TCP 23. Vous avez besoin de quatre règles Parce que le classificateur doit classer les paquets dont le port de destination ou source égale à ces valeurs (22 et 23). Il s'agit d'un exemple d'un de ces quatre règles;
  • de classer le trafic en bulk générés par les transferts mail utiliser le serveur SMTP écoute cette caractéristique a sur le ports 25/tcp (examiner la figure ); Bien que le FTP
  • utilise le port TCP 21 à échanger les commandes, les transferts ont lieu sur des ports aléatoires et plus facile à classer donc le thème de la classe en bulk, il est d'utiliser la couche de filtre 7 (L7 filter) (regarde la figure ). Enregistrer et activer
  • que vous avez le droit créé en cliquant sur le bouton [Enregistrer].
Notes: classifier le trafic Plusieurs des services est l'une des opérations les plus complexes qui se posent pendant la construction d'un système de QoS. Il n'est pas toujours facile d'identifier le type de connexion en utilisant seulement des paramètres de filtre tels que les adresses IP et le protocole TCP/UDP numéros de port. En fait, souvent, nous avons utilisé les Layer 7 filtres (projet l7-filter) qui sont en mesure d'inspecter la charge utile des paquets en utilisant les expressions régulières de classer le trafic de la couche application. Cependant, vous ne devriez pas les abus dans l'utilisation du l7-filter pour deux raisons. Premièrement, ces types de contrôles, que les expressions régulières s'applique sur le contenu des paquets, il prend plus de CPU que les filtres sur les adresses IP et ports TCP/UDP et ne pouvait donc ils fonctionnent très bien sur des systèmes basés sur les processeurs lents. La seconde est que les protocoles certains pour la L7-filtres ont le problème de la overmatching est que quand un paquet n'appartient pas à un protocole est identifié comme faisant partie de celui-ci. En général, vous ne devriez pas utiliser la couche 7 filtres quand il est possible d'identifier une connexion en utilisant d'autres types de conditions. Supposons, par exemple, que dans votre situation à la vidéoconférence H.323 s'effectuer dans le cadre de l'examen (Multipoint Conferencing Unit) MCU: Dans ce cas, d'identifier les connexions INSTEAD H.323 avec le L7-filter, Pourriez-vous classer avec l'adresse du MCU IP.

Affichage de la QoS statistiques

À ce stade, le bridge est de travail et le trafic QoS doivent être classées dans les classes de qualité de service que vous avez créé. Pour être sûr que la classification QoS fonctionne très bien, vous pouvez consulter les statistiques de la section [QoS]->[Statistiques] (regarder la figure ). Pour chaque quelle interface pour la qualité de service est activé, vous pouvez voir les classes associées QoS et pour chaque classe vous pouvez voir la configuration (priorité, garantie de bande passante et la bande passante maximale) ainsi que la quantité d'octets qui sont envoyés à partir de la classe et la cas, c'est le nombre de bits par seconde qui sont transmis de la classe. En outre, il est possible d'afficher le graphique relatif au trafic sortant classés par type de trafic. Pour plus de détails cliquez ici.



    Copyright (C) 2005-2012 by Fulvio Ricciardi