Die Einrichtung von Quality of Service bei Sophos UTM ist in der Regel verhältnismäßig einfach. Es gibt allerdings ein paar Dinge, die man beachten muss.
Ganz wichtig ist, dass QoS Bandbreiten für bestimmte Dienste immer nur für ausgehenden Traffic garantiert. Das bedeutet, man muss sich immer die Datenflussrichtung anschauen.
Nehmen wir an, wir möchten QoS für bestimmte Webservices im Internet einrichten. Zum Beispiel Port 80 (http). Dann erhalten wir folgenden Datenstrom.
Ein Upload vom Client zum Webserver ist auf der external- Schnittstelle ausgehend. Der Download des Clients vom Webserver ist auf der internal- Schnittstelle ausgehend.
Zunächst aktiviert man QoS unter Schnittstellen & Routing -> Dienstqualität (QoS) auf den jeweiligen Interfaces der UTM.
Für die Schnittstellen sollte man die entsprechenden Up- und Downlinkbandbreiten konfigurieren. Diese Werte werden zu Berechnung der Dienstgüte herangezogen.
Das Aktivieren von Uplink/Downlink begrenzen und Upload-Optimierung ist hier die Faustregel. Weitere Informationen hierzu findet ihr in der Hilfefunktion der UTM.
Dann muss man zwei Verkehrskennzeichner erstellen. Das liegt daran, dass sich lt. Beispiel destination- und source Port je nach Datenstromrichtung ändern.
Jetzt werden die Bandbreitenpools für die internal- und für die external Interfaces konfiguriert. Die gebundene Schnittstelle muss man hierfür auswählen; rot markiert!
Damit ist das Konfigurationsbeispiel abgeschlossen. Zu erwähnen ist noch, dass QoS in Verbindung mit VPN-Tunneln für bestimmte Netzwerkdienste nicht konfiguriert werden kann. Das liegt daran, dass ausgehender Traffic bei einem VPN-Tunnel bereits verschlüsselt ist. Ausnahme bilden hier DSCP und TOS Bits, worauf ich in diesem Artikel aber nicht weiter eingehe.
QoS funktioniert übrigens auch für RED-Devices. Ist ein Red-Device im Modus Standard/Getrennt oder Transparent/Getrennt, kann allerdings nur der Traffic von und zur UTM beinflusst werden. Sämtlicher anderer Netzwerkverkehr wird von der RED unbehandelt zum lokalen Router weitergeleitet.
Wer Informationen zur Beschränkung von Up- und Download mittels Downloaddrosselung sucht, findet hier eine Anleitung.
Update: In der Sophos Community kam die Frage auf, ob man eine Firewallregel für den Invert-Port benötigt. Das ist aber nicht der Fall. Dank an DKKDG für den Hinweis.
endlich hab ich das auch mal gerafft, vielen Dank
Super erklärt. Danke.
Wie macht man das mit Applikationen, wie z.B. Skype? Da wird das mit dem Invert etwas schwierig.
Puh, das ist ne echt gute Frage. Das Thema kam in der Community schon öfter vor. Kann ich so im Moment nicht beantworten, werde darüber nochmal intensiv nachdenken…
Fiel mir heute nochmal ein. Für Anwendungen wie Skype & Co, könnte man es mit dem Verkehrskennzeichnertyp Anwendungskennzeichner versuchen und dort die entsprechende Applikation eintragen.
Danke, Herr Sult.
Das heisst, es müsste 1 Verkehrszeichner statt 2 genügen. (Invert nicht nötig)
Moin,
das sollte so funktionieren. Bei dem Anwendungskennzeichner wird der Verkehr auf Grundlage von Anwendungen reguliert, unabhängig vom verwendeten Port oder Dienst. Ein Invert fällt damit logsicherweise weg.
Die Anleitung ist echt gut. Auf einer anderen Webseite wurde das auch erklärt, allerdings funktionierte das nicht in beide Datenrichtungen.
Hab ich so noch nicht gesehen. Aber es klingt logisch. 🙂
Ich habe es so ausprobiert, wie beschrieben. Läuft! Danke schön!
Quelle und Ziel müssen aber nicht any sein?!
Nein, das ist nur ein Konfigurationsbeispiel. Quelle und Ziel sollten schon auf die richtigen Netze/Hosts zeigen. Aufpassen bei der Datenflussrichtung!
Sehr gute Anleitung.
Danke für die Anleitung
Gerne!
Ich habe mal eine ganz blöde Frage:
Angenommen ich habe 1Gbit/s up und down als Uplink ins Internet. Und ich vergebe für (sagen wir) 5 verschiedene Dienste jeweils 128MBit/s Garantierter up-/download wie oben beschrieben. Bedeutet das dann, auch wenn von den 5 Diensten gerade kein einziger Bandbreite verbraucht, ich für alles andere nur 512mbit/s zur Verfügung habe? Oder wird alles andere „gebremst“, wenn ich die Bandbreite für die 5 Dienste dann doch benötige?
Sry, aber das erschließt sich mir noch nicht.
Danke schonmal 🙂
DatPhil
Moin,
danke für Dein Kommentar. Es ist so, dass Bandbreite nur gewährleistet wird, wenn Traffic dem Verkehrskennzeichner entspricht. Sie wird nicht permanent in Reserve gehalten.
Super, Danke!