トラフィック管理と QoS について

数多くのコンピュータが接続されたネットワークでは、ファイアウォールを通過するデータ量が非常に大きくなる可能性があります。トラフィック管理および QoS (Quality of Service) アクションを使用して、重要なビジネス アプリケーションに関するデータ損失を回避したり、ミッション クリティカルなアプリケーションが他のトラフィックよりも優先されるように確認したりできます。

トラフィック管理および QoS には、数多くの利点があります。以下の操作を実行できます。

  • 帯域幅を保証または制限する
  • Firebox がネットワークへパケットを送信する速度を制御する
  • いつネットワークへパケットを送信するかの優先順位を決める

トラフィック管理では、インターフェイス上のアウトバウンドパケットに優先度の高いキューを使用します。トラフィック管理のためのキューはインターフェイスごとに 1 つあります。QoS が有効になっている場合、異なる種類の QoS パケットのインターフェイスごとに 8 つのキューが使用されます。各キューには 1,000 パケットを含めることができます。優先度の低いパケットは、キュー内に優先度の高いパケットがない場合にのみ送信されます。キューが一杯になると、それ以降のパケットはドロップされます。

ポリシーにトラフィック管理を適用するには、トラフィック管理アクションを定義します。トラフィック管理アクションとは、1 つまたは複数のポリシー定義に適用できる設定のコレクションです。これにより、各ポリシーで別々にトラフィック管理の設定を構成する必要がなくなります。Application Control を使用すると、トラフィック管理アクションを特定のアプリケーションおよびアプリケーション カテゴリに適用することができます。異なる設定をさまざまなポリシーまたはアプリケーションに適用する場合は、追加のトラフィック管理アクションを定義します。

トラフィック管理と QoS を使用すると Firebox の CPU がパケットごとに追加の処理を完了する必要があるため、Firebox の最大スループットに影響を与えます。潜在的なスループットの低下は以下の通りです。

  • 統合脅威管理 (UTM) ファイアウォール — セキュリティ サービスが HTTP トラフィックに適用されている Firebox では、スループットが最大 10% 低下する可能性があります。
  • IMIX ファイアウォール — スループットが最大 40% 低下する可能性があります。これは、最大限のパフォーマンスが潜在的なリンク スピードよりも遅い内部トラフィックを測定した際に、テーブルトップ Firebox で最も顕著に現れます。
  • BOVPN 経由の IMIX UDP トラフィック — スループットが最大 20% 低下する可能性があります。

リンク アグリゲーションの設定やリンク アグリゲーション メンバーのインターフェイス設定では、トラフィック管理や QoS を構成することはできません。

トラフィック管理と QoS を有効にする

パフォーマンス上の理由で、既定ではすべてのトラフィック管理および QoS 機能が無効になっています。この機能を使用する前に、グローバル設定で有効化する必要があります。

いずれのポリシーにもトラフィック管理や QoS を構成しない場合でも、グローバル設定ですべてのトラフィック管理と QoS 機能を有効化すると、Firebox がトラフィックに関する追加の決定を行わなければならなくなります。そのため、特に処理能力が低い小型のデバイスでは、全体のスループットが著しく低下する可能性があります。これらの機能を使用しないのであれば、グローバル設定でトラフィック管理と QoS を有効化しないでください。

トラフィック管理と QoS 機能を有効化するには、Firebox Fireware Web UI から以下の手順を実行します:

  1. Fireware Web UI で、システム > グローバル設定 の順に選択します。
  2. ネットワーク タブを選択します。
  3. トラフィック管理とQoS の機能をすべて有効にする チェックボックスをオンにします。

グローバル設定はトラフィック管理が有効になっていることを示します。

  1. 構成を保存します。

トラフィック管理と QoS 機能を有効化するには、Policy Manager から以下の手順を実行します:

  1. 設定 > グローバル設定 の順に選択します。
  2. ネットワーク タブを選択します。
  3. トラフィック管理とQoS の機能をすべて有効にする チェックボックスをオンにします。

[グローバル設定] ダイアログ ボックス

  1. 構成を保存します。

OS の互換性

Fireware OS v11.9 以降では、トラフィック管理アクションの動作が古いバージョンと異なります。Policy Manager は異なる Fireware OS バージョンを使用するデバイスを管理することができるため、トラフィック管理アクションを追加する前に、OS の互換性バージョンを設定する必要があります。

Policy Manager から、OS の互換性バージョンを設定するには、以下の手順を実行します:

  1. 設定 > OS の互換性 を選択します。
    OS の互換性 ダイアログ ボックスが表示されます。

  1. Fireware XTM バージョン テキスト ボックスで、Firebox が使用する OS バージョンを選択します。
  2. OK をクリックします。

利用可能なトラフィック管理の設定オプションは、デバイスで実行されている Fireware OS バージョンにより異なります。

詳細については、次を参照してください:

保証された帯域幅

帯域幅を予約すると、接続タイムアウトが回避されます。予約済みの帯域幅があり優先度の低いトラフィック管理キューでは、接続を切断しないことが必要なときに、より優先度の高いリアルタイム アプリケーションに帯域幅を割り当てることができます。他のトラフィック管理キューでは、未使用の予約済み帯域幅は使用可能になったときに利用できます。

トラフィック管理アクションの 保証帯域幅 設定により、トラフィック管理アクションによって制御されるトラフィックに割り当てる最小帯域幅を設定することができます。

たとえば、会社の外部ネットワークに FTP サーバーがあり、その FTP のアップロードにおいて外部インターフェイスで常に 1 秒当たり 200 KB (KBps) 以上の速度が保証されるようにすると仮定します。また、その接続でエンド ツー エンドの帯域幅が保証されるように、FTP ダウンロードの保証帯域幅を設定することもできます。これを行うには、最小で 200 Kbps を保証するトラフィック管理アクションを作成し、信頼済みネットワークから外部ネットワークへのトラフィックを処理する FTP ポリシーで、それをフォワード アクションとして使用します。こうすることで、200 KBps で ftp put が許可されます。200 Kbps で ftp get を許可する場合は、200 Kbps を保証する 2 番目のトラフィック管理アクションを構成し、FTP ポリシーで、それをリバース アクションとして使用する必要があります。各方向のトラフィックを個別に保証するには、2 つの異なるトラフィック管理アクションを使用する必要があります。これは、ポリシーがフォーワード トラフィックとリバース トラフィックで同じトラフィック管理アクションを使用する場合は、アクションが両方向のトラフィックの合計帯域幅に適用されるためです。

帯域幅の制限

他のアプリケーションに利用可能な帯域幅を確保するには、ある種のトラフィックの種類またはアプリケーションの帯域幅を制限することができます。帯域幅制限により、ユーザーにとって特定のアプリケーションのパフォーマンス速度が大幅に悪化するため、ユーザーはそのアプリケーションを使用しなくなる可能性があります。

トラフィック管理アクションの 最大帯域幅 設定により、トラフィック管理アクションが許可するトラフィック量に制限を設定することができます。

たとえば、FTP ダウンロードは許可するけれども、ユーザーがファイルをダウンロードする速度を制限するとします。最大帯域幅を 100 kbps のように低く設定したトラフィック管理アクションを追加することができます。そして、FTP アウトバウンド ポリシーのトラフィック管理設定で、これをリバース アクションとして使用することができます。これにより、信頼済みインターフェイス上のユーザーにとってFTP がうまく動作しなくなるため、ユーザーは容量の大きい FTP ダウンロードをしなくなる可能性があります。

QoS マーキング

QoS マーキングは、各種の送信ネットワーク トラフィックに対して様々な種類のサービスを作成します。トラフィックを マーキング する場合、この目的のために定義されたパケット ヘッダー フィールドで最大 6 ビットまでを変更します。他のデバイスは、このマーキングを利用して、ネットワーク内のポイント間を移動しているパケットに対して適切な処理を行います。

個別のインターフェイスまたは個別のポリシーのために QoS マーキングを有効化できます。インターフェイスに QoS マーキングを定義すると、そのインターフェイスを介して送信される各パケットにマークが付けられます。インターフェイスに QoS マーキングを定義すると、そのポリシーを使用するすべてのトラフィックにマークが付けられます。

Fireware v12.7 以降では、Firebox の VLAN インターフェイスで 802.1p の優先度付け (タグ付け) を有効にすることができます。詳細については、VLAN インターフェイスの 802.1p マーキングについて を参照してください。

リンク アグリゲーションの設定やリンク アグリゲーション メンバーのインターフェイス設定では、QoS を構成することはできません。

トラフィックの優先順位

さまざまなレベルの優先度をポリシーに、または特定のインターフェイスからのトラフィックに対して割り当てることができます。ファイアウォールでトラフィックの優先順位を付けると、複数のサービスの種類 (ToS) のキューを管理して、リアルタイムまたはストリーミングのデータに対して最高の優先度を予約できます。高優先度のポリシーは、リンクが輻輳し、トラフィックの帯域幅が競合すると、既存の低優先度の接続から帯域幅を取り上げることができます。

関連情報:

接続速度の制限を設定する

送信インターフェイス帯域幅を設定する

QoS マーキングについて

VLAN インターフェイスの 802.1p マーキングについて