OzzTech - Hız testi sonuçlarına dayalı bireysel alt tünellerde arayüz tabanlı QoS 7.0.1

Hız testi sonuçlarına dayalı bireysel alt tünellerde arayüz tabanlı QoS 7.0.1

Çevirmeli VPN yer paylaşımlarını kullanan bir hub ve jant teli SD-WAN topolojisinde, QoS, hub ve jant telleri arasında ölçülen bant genişliğine dayalı olarak ayrı tünellere uygulanabilir. FortiGate, çıkış bant genişliğini hub'dan bağımsız çevirmeli tünellere dinamik olarak yerleştirmek için yerleşik hız testini kullanabilir.

Hız testinden türetilen bir bant genişliği sınırı ve bir trafik şekillendirme profili, hub üzerindeki çevirmeli IPsec tünel arabirimine uygulanabilir. Bir trafik şekillendirme politikası ve profili kullanılarak bireysel alt tünellere sınıf kimliği ve yüzde tabanlı QoS ayarları uygulanabilir.

CLI komutları

Arabirim bir IPsec çevirmeli sunucusuysa, çıkış şekillendirme profili türü yalnızca denetlemeye ayarlanabilir; kuyruğa ayarlanamaz:

config firewall shaping-profile

edit <profile-name>

set type policing

next

end

Bant genişliği değeri, her bir alt tünel için hız testi sonuçlarından dinamik olarak elde edilir ve manuel olarak ayarlanmamalıdır:

config system interface    edit <dialup-server-phase1-name>

set egress-shaping-profile <profile-name>         set outbandwidth <bandwidth>

next

end

Örnek

Bu örnekte, hub bir çevirmeli VPN sunucusu olarak yapılandırılmıştır ve her iki konuşmacı da hub'a bağlanmıştır. Dinamik ağ geçidi türü ve çekirdek aygıtı oluşturma (net aygıtı) devre dışı bırakılarak VPN yapılandırmasının zaten yapıldığı varsayılır. Yalnızca bir SD-WAN arabirimi kullanılır, bu nedenle SD-WAN bölgesinde yalnızca bir VPN yer paylaşımı üyesi vardır. Birden çok WAN arabirimi ve VPN bindirmeleri kullanılabilir.

VPN arayüzleri ve IP adresleri şunlardır:

FortiGate Interface IP Address
FGT_A (Hub) hub-phase1 10.10.100.254
FGT_B (Spoke) spoke11-p1 10.10.100.2
FGT_D (Spoke) spoke21-p1 10.10.100.3

Hub VPN'de, her birine bir tane olmak üzere iki alt tünel bulunur.

Hız testi yapılandırması, çevirmeli IPsec tünelleri 7.0.1'de hub'dan konuşmacılara çalıştırılan Hız testleri'nde gösterilir. Bu örnek, alt tünellere arayüz tabanlı trafik şekillendirme uygulamak için hub'ın tünel arayüzüne bir şekillendirme profili uygulamayı gösterir.

Şekillendirme profilindeki sınıflara trafik atamak ve eşleştirmek için bir trafik şekillendirme politikası kullanılır.

FortiGate (FGT_A) hub'ını yapılandırmak ve sonuçları kontrol etmek için:

  • Hub FortiGate'i (FGT_A), çevirmeli IPsec tünelleri 7.0.1'de hub'dan jant tellerine yapılan Hız testlerinde olduğu gibi yapılandırın.
  • Şekillendirme profilini yapılandırın:

config firewall shaping-profile    edit "profile_1"

config shaping-entries

edit 1

set class-id 2

set priority low

set guaranteed-bandwidth-percentage 10

set maximum-bandwidth-percentage 10

next

edit 2

set class-id 3

set priority medium

set guaranteed-bandwidth-percentage 30

set maximum-bandwidth-percentage 40

next

edit 3

set class-id 4

set priority high

set guaranteed-bandwidth-percentage 20

set maximum-bandwidth-percentage 60

next

end

set default-class-id 2

next

end

  • Bir trafik şekillendirme politikası yapılandırın:

config firewall shaping-policy

edit 2        s

et service "ALL"

set schedule "always"

set dstintf "hub-phase1"

set class-id 3        set srcaddr "all"        set dstaddr "all"

next

end

  • Program zamanında, hub'dan jant tellerine hub-faz1 arayüzü için hız testi başlayacaktır. Hız testi sonuçları daha sonra çıkış trafiği şekillendirme olarak bireysel alt tünellere dinamik olarak uygulanabilir ve sınıf kimliği yüzdesine dayalı QoS ayarları bunlara şablon olarak uygulanabilir.

# diagnose vpn tunnel  list

------------------------------------------------------

name=hub-phase1_0 ver=2 serial=c 172.16.200.1:0-

172.16.200.4:0

tun_id=172.16.200.4 dst_mtu=1500 dpd-link=on remote_location=0.0.0.0 weight=1...egress traffic control:

bandwidth=737210(kbps) lock_hit=0 default_class=2 n_active_class=3        class-id=2      allocated-

bandwidth=73720(kbps)         guaranteed-bandwidth=73720(kbps)                        max-

bandwidth=73720(kbps)       current-bandwidth=0(kbps)                        priority=low

forwarded_bytes=52                        dropped_packets=0       dropped_bytes=0        class-id=3      allocated-

bandwidth=221163(kbps)        guaranteed-bandwidth=221162(kbps)                        max-bandwidth=294883(kbps)

current-bandwidth=0(kbps)                        priority=medium         forwarded_bytes=0

dropped_packets=0       dropped_bytes=0        class-id=4      allocated-bandwidth=442325(kbps)        guaranteed-

bandwidth=147441(kbps)                        max-bandwidth=442325(kbps)      current-bandwidth=0(kbps)

priority=high   forwarded_bytes=0                        dropped_packets=0       dropped_bytes=0

------------------------------------------------------

name=hub-phase1_1 ver=2 serial=d 172.16.200.1:0->172.16.200.2:0 tun_id=172.16.200.2 dst_mtu=1500 dpd-

link=on remote_location=0.0.0.0 weight=1...egress traffic control:        bandwidth=726813(kbps) lock_hit=0

default_class=2 n_active_class=3        class-id=2      allocated-bandwidth=72681(kbps)         guaranteed-

bandwidth=72681(kbps)                        max-bandwidth=72681(kbps)       current-

bandwidth=0(kbps)                        priority=low    forwarded_bytes=123                        dropped_packets=0

dropped_bytes=0        class-id=3      allocated-bandwidth=218044(kbps)        guaranteed-

bandwidth=218043(kbps)                        max-bandwidth=290725(kbps)      current-bandwidth=0(kbps)

priority=medium         forwarded_bytes=0                        dropped_packets=0       dropped_bytes=0        class-id=4

allocated-bandwidth=436087(kbps)        guaranteed-bandwidth=145362(kbps)                        max-

bandwidth=436087(kbps)      current-bandwidth=0(kbps)                        priority=high

forwarded_bytes=0                        dropped_packets=0       dropped_bytes=0

Garantili ve maksimum bant genişlikleri, beklendiği gibi hız testi sonucunun %10'una eşittir.

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.