Die Einrichtung von Quality of Service bei Sophos UTM ist in der Regel verhältnismäßig einfach. Es gibt allerdings ein paar Dinge, die man beachten muss.
Ganz wichtig ist, dass QoS Bandbreiten für bestimmte Dienste immer nur für ausgehenden Traffic garantiert. Das bedeutet, man muss sich immer die Datenflussrichtung anschauen.
Nehmen wir an, wir möchten QoS für bestimmte Webservices im Internet einrichten. Zum Beispiel Port 80 (http). Dann erhalten wir folgenden Datenstrom.
Ein Upload vom Client zum Webserver ist auf der external- Schnittstelle ausgehend. Der Download des Clients vom Webserver ist auf der internal- Schnittstelle ausgehend.
Zunächst aktiviert man QoS unter Schnittstellen & Routing -> Dienstqualität (QoS) auf den jeweiligen Interfaces der UTM.
Für die Schnittstellen sollte man die entsprechenden Up- und Downlinkbandbreiten konfigurieren. Diese Werte werden zu Berechnung der Dienstgüte herangezogen.
Das Aktivieren von Uplink/Downlink begrenzen und Upload-Optimierung ist hier die Faustregel. Weitere Informationen hierzu findet ihr in der Hilfefunktion der UTM.
Dann muss man zwei Verkehrskennzeichner erstellen. Das liegt daran, dass sich lt. Beispiel destination- und source Port je nach Datenstromrichtung ändern.
Jetzt werden die Bandbreitenpools für die internal- und für die external Interfaces konfiguriert. Die gebundene Schnittstelle muss man hierfür auswählen; rot markiert!
Damit ist das Konfigurationsbeispiel abgeschlossen. Zu erwähnen ist noch, dass QoS in Verbindung mit VPN-Tunneln für bestimmte Netzwerkdienste nicht konfiguriert werden kann. Das liegt daran, dass ausgehender Traffic bei einem VPN-Tunnel bereits verschlüsselt ist. Ausnahme bilden hier DSCP und TOS Bits, worauf ich in diesem Artikel aber nicht weiter eingehe.
QoS funktioniert übrigens auch für RED-Devices. Ist ein Red-Device im Modus Standard/Getrennt oder Transparent/Getrennt, kann allerdings nur der Traffic von und zur UTM beinflusst werden. Sämtlicher anderer Netzwerkverkehr wird von der RED unbehandelt zum lokalen Router weitergeleitet.
Wer Informationen zur Beschränkung von Up- und Download mittels Downloaddrosselung sucht, findet hier eine Anleitung.
Update: In der Sophos Community kam die Frage auf, ob man eine Firewallregel für den Invert-Port benötigt. Das ist aber nicht der Fall. Dank an DKKDG für den Hinweis.