À propos de la Gestion du Trafic et de QoS
Dans un réseau comportant de nombreux ordinateurs, le volume de données transitant par le pare-feu peut être très important. Vous pouvez utiliser des actions de gestion du trafic et de QoS (Qualité de service) pour empêcher la perte de données pour d'importantes applications d'entreprise, et pour assurer la priorité des applications importantes sur le reste du trafic.
La gestion du trafic et QoS fournissent bon nombre d'avantages. Vous pouvez :
- Garantir ou limiter la bande passante ;
- Contrôler la vitesse à laquelle le Firebox envoie des paquets sur le réseau
- Définir un ordre de priorité quant à l'envoi de paquets sur le réseau.
La Gestion du Trafic emploie des files d'attente prioritaires pour les paquets sortants d'une interface. Il existe une file d'attente par interface pour la Gestion du Trafic. Si la QoS est activée, huit files d'attente par interface sont utilisées pour différents types de paquets QoS. Chaque file d'attente peut contenir 1 000 paquets. Les paquets à faible priorité sont uniquement envoyés en l'absence de paquets de priorité supérieure dans la file d'attente. Lorsque la file d'attente est pleine, les paquets suivants sont abandonnés.
Pour appliquer la gestion du trafic aux stratégies, vous devez définir une action de gestion de trafic. Une action de gestion de trafic est un ensemble de paramètres que vous pouvez appliquer à une ou plusieurs définitions de stratégie. Vous n'avez pas besoin de configurer séparément les paramètres de gestion du trafic pour chaque stratégie. Si vous utilisez Application Control, vous pouvez également appliquer les actions de gestion de trafic à des applications et catégories d'applications spécifiques. Vous pouvez définir des actions de gestion du trafic supplémentaires si vous souhaitez appliquer des paramètres différents à d'autres stratégies ou applications.
La Gestion du Trafic et la QoS influent sur le débit maximal du Firebox, car le processeur du Firebox doit assurer un traitement supplémentaire pour chaque paquet. Les réductions de débit potentielles sont les suivantes :
- Pare-feu Unified Threat Management (UTM) — Sur un Firebox dont les services de sécurité sont appliqués au trafic HTTP, le débit peut être réduit de 10 %.
- Pare-feu IMIX - Le débit peut être réduit de 40 %. Ce phénomène est plus visible sur les Fireboxes au format de bureau lors de la mesure du trafic interne, dont les performances maximales sont inférieures au débit potentiel de la liaison.
- Trafic IMIX UDP via BOVPN - Le débit peut être réduit de 20 %.
Vous ne pouvez pas configurer la Gestion du Trafic ou QoS dans les paramètres d'agrégation des liaisons ou dans les paramètres d'interface d'un membre d'agrégation des liaisons.
Activer la gestion du trafic et QoS
Pour des raisons de performance, toutes les fonctionnalités de gestion du trafic et de QoS sont désactivées par défaut. Vous devez activer ces fonctionnalités dans Paramètres globaux avant de les utiliser.
Lorsque vous activez toutes les fonctionnalités de gestion du trafic et de QoS dans les Paramètres globaux, le Firebox doit prendre des décisions supplémentaires concernant le trafic, même si vous ne configurez pas de gestion du trafic ou de QoS dans une stratégie. Cela peut provoquer une réduction notable du débit global, particulièrement sur les périphériques plus petits offrant une puissance de traitement moindre. N'activez pas la gestion du trafic et le QoS dans les paramètres globaux sauf si vous allez utiliser ces fonctionnalités.
- Dans Fireware Web UI, sélectionnez Système > Paramètres Généraux.
- Sélectionnez l'onglet Networking (Gestion de réseau).
- Cochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (qualité de service).
- Sauvegarder votre configuration.
Pour activer les fonctionnalités de gestion du trafic et QoS depuis Policy Manager :
- Sélectionnez Installation > Paramètres Globaux.
- Sélectionnez l'onglet Networking (Gestion de réseau).
- Cochez la case Activer toutes les fonctionnalités de gestion du trafic et de QoS (qualité de service).
- Sauvegarder votre configuration.
Compatibilité du Système d'Exploitation
Dans le système d'exploitation Fireware OS v11.9 et ultérieure, la Gestion du Trafic fonctionne différemment des versions précédentes. Parce que Policy Manager peut gérer des périphériques qui utilisent des versions différentes du système d'exploitation Fireware OS, vous devez configurer les paramètres de compatibilité du système d'exploitation avant d'ajouter une action de gestion de trafic.
Pour définir les paramètres de compatibilité du système d'exploitation depuis Policy Manager :
- Sélectionnez Configuration > Compatibilité du Système d'Exploitation.
La boîte de dialogue Compatibilité du système d'exploitation s'affiche.
- Dans la zone de texte Pour la version Fireware XTM, sélectionnez la version du système d'exploitation que le Firebox utilise.
- Cliquez sur OK.
Les options de configuration de gestion du trafic disponibles dépendent de la version du système d'exploitation Fireware OS utilisée.
Pour de plus amples informations, consultez :
- À propos de la Gestion du Trafic
- À propos de la Gestion du Trafic dans le système d'exploitation Fireware OS v11.8.x et antérieure
Garantir la bande passante
Les réservations de bande passante peuvent empêcher de longs délais d'attente de connexion. Une file d'attente de gestion du trafic avec des réservations de bande passante et une faible priorité peut donner de la bande passante à des applications en temps réel disposant d'une plus grande priorité lorsque cela s'avère nécessaire, sans occasionner de déconnexion. D'autres files d'attente de gestion du trafic peuvent profiter d'une réservation de bande passante non utilisée lorsqu'elle devient disponible.
Le paramètre Bande passante garantie d'une action de gestion de trafic vous permet de définir une bande passante minimale à allouer au trafic contrôlé par l'action de gestion de trafic.
Par exemple, supposons que votre entreprise dispose d'un serveur FTP sur le réseau externe et que vous souhaitez garantir à ce serveur FTP au moins 200 kilobits par seconde (Kb/s) via l'interface externe. Vous voudrez peut-être également définir une bande passante garantie pour les téléchargements FTP afin de vous assurer que la connexion aura une garantie de bande passante de bout en bout. Pour ce faire, vous devez créer une action de gestion de trafic qui garantit un minimum de 200 Kb/s puis l'utiliser comme action Montée dans la stratégie FTP qui gère le trafic du réseau approuvé vers le réseau externe. Ceci définit la commande ftp put (envoi) à 200 Kb/s. Si vous souhaitez définir la commande ftp get (réception) sur 200 Kb/s, vous devez configurer une seconde action de gestion de trafic qui garantit 200 Kb/s et qui l'utilise comme action Descente dans la stratégie FTP. Pour garantir de façon distincte le trafic dans chaque sens, vous devez utiliser deux actions de gestion de trafic différentes car si une stratégie utilise la même action de gestion de trafic pour le trafic montant et descendant, l'action s'applique à la bande passante combinée du trafic dans les deux sens.
Limiter la bande passante
Afin de conserver la bande passante disponible pour d'autres applications, vous pouvez restreindre la quantité de bande passante attribuée à certains types de trafic ou applications. Une limitation de la bande passante peut également décourager les utilisateurs à se servir de certaines applications si la vitesse de performance d'une application donnée s'en trouve dégradée.
Le paramètre Bande passante maximale d'une action de gestion du trafic vous permet de définir une limite sur la quantité de trafic autorisé par l'action de gestion du trafic.
Par exemple, supposons que vous souhaitez autoriser les téléchargements FTP mais que vous souhaitez limiter la vitesse à laquelle les utilisateurs peuvent télécharger les fichiers. Vous pouvez ajouter une action de gestion du trafic dont la bande passante maximale est faible, de l'ordre de 100 Kb/s. Vous pouvez ensuite l'utiliser comme action Descente dans les paramètres de gestion du trafic de la stratégie FTP sortante. Si les utilisateurs du réseau approuvé considèrent que l'expérience FTP n'est pas satisfaisante, ceci peut aider à décourager les téléchargements FTP volumineux.
marquage QoS
Le marquage QoS crée différents types de services pour différents types de trafic réseau sortant. Lorsque vous marquez du trafic, vous modifiez jusqu'à six bits sur les champs de l'en-tête du paquet, conçus à cet effet. D'autres périphériques utilisent ce type de marquage pour mieux traiter un paquet lors de sa transmission d'un point à un autre d'un réseau.
Vous pouvez activer le marquage QoS pour une interface ou une stratégie individuelle. Lorsque vous définissez le marquage QoS pour une interface, chaque paquet quittant l'interface sera marqué. Lorsque vous définissez le marquage QoS pour une stratégie, tout le trafic utilisant cette stratégie sera marqué.
Dans Fireware v12.7 ou les versions ultérieures, vous pouvez activer le marquage prioritaire 802.1p (marquage) pour les interfaces VLAN sur votre Firebox. Pour plus d'informations, consultez À propos du Marquage 802.1p des Interfaces VLAN.
Vous ne pouvez pas configurer QoS dans les paramètres d'agrégation des liaisons ou dans les paramètres d'interface d'un membre d'agrégation des liaisons.
Priorité du trafic
Vous pouvez attribuer différents niveaux de priorité aux stratégies ou au trafic d'une interface donnée. Donner un ordre de priorité au trafic au niveau du pare-feu vous permet de gérer plusieurs files d'attente ToS (types de services) et de réserver la priorité pour la transmission de données et les données en temps réel. Une stratégie hautement prioritaire peut prendre de la bande passante à des connexions existantes disposant d'une plus faible priorité lorsque la liaison est si encombrée que le trafic se bat pour obtenir la bande passante.
Voir Également
Définir des Limites de Vitesse de Connexion