Anleitung QoS für Sophos UTM einrichten…

Die Einrichtung von Quality of Service bei Sophos UTM ist in der Regel verhältnismäßig einfach. Es gibt allerdings ein paar Dinge, die beachtet werden müssen. Ganz wichtig ist, das QoS immer Bandbreiten für bestimmte Netzwerkdienste für ausgehenden Traffic garantiert; nicht für eingehenden Traffic. Das bedeutet, man muss sich immer die Datenflussrichtung anschauen; und zwar beide Richtungen.

Damit klar ist, was „beide Richtungen anschauen“ bedeutet, nehmen wir an, wir möchten QoS für bestimmte Webservices im Internet einrichten; beispielsweise Port 80 (http). Dann erhalten wir folgenden Datenstrom.

Ein Upload vom Client zum Webserver ist auf der external- Schnittstelle ausgehend, ein Download des Clients vom Webserver ist auf der internal- Schnittstelle ausgehend.

Damit o.g. Szenario umgesetzt werden kann, aktiviert man zunächst QoS unter Schnittstellen & Routing -> Dienstqualität (QoS) auf den jeweiligen Interfaces der UTM.

Für die Schnittstellen sollte man die entsprechenden Up- und Downlinkbandbreiten konfigurieren. Diese Werte werden zu Berechnung der Dienstgüte herangezogen.

Das Aktivieren von Uplink/Downlink begrenzen und Upload-Optimierung ist hier die Faustregel. Weitere Informationen hierzu findet ihr in der Hilfefunktion der UTM.

Dann müssen zwei Verkehrskennzeichner erstellt werden. Das liegt daran, dass sich lt. Beispiel destination- und source Port je nach Datenstromrichtung ändern.

Jetzt werden die Bandbreitenpools für die internal- und für die external Interfaces konfiguriert. Die gebundene Schnittstelle muss hierfür ausgewählt werden; rot markiert!

Damit ist das Konfigurationsbeispiel abgeschlossen. Zu erwähnen ist noch, dass QoS in Verbindung mit VPN-Tunneln für bestimmte Netzwerkdienste nicht konfiguriert werden kann. Das liegt darin begründet, dass ausgehender Traffic bei einem VPN-Tunnel bereits verschlüsselt ist. Ausnahme bilden hier DSCP und TOS Bits, worauf ich in diesem Artikel aber nicht weiter eingehe.

QoS funktioniert übrigens auch für RED-Devices; es gibt allerdings etwas zu beachten. Ist ein Red-Device im Modus Standard/Getrennt oder Transparent/Getrennt, kann nur der Traffic von und zur UTM beinflusst werden. Sämtlicher anderer Netzwerkverkehr wird von der RED unbehandelt zum lokalen Router weitergeleitet.

Wer Informationen zur Beschränkung von Up- und Download mittels Downloaddrosselung sucht, findet hier eine Anleitung.

About Thorsten Sult

Ich bin verheiratet, habe 2 Kinder und arbeite in einem Systemhaus als Systemadministrator. Angefangen bin ich mit der Konfiguration von Coreswitchen, Netzwerk Monitoring (Nagios) und redundanten Netzwerken.
Aktuell sind meine Schwerpunkte Migrationen von vorhandenen Kundensystemen auf aktuelle Techniken und die Implementierung von Sicherheitskomponenten wie z.B. Sophos UTM.

1 Comment

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.