Tweet
Hệ quả tất yếu của sự phát triển doanh nghiệp là số lượng nhân viên và nhu cầu trao đổi hoạt động kinh doanh tăng nhanh, nhu cầu sử dụng các tài nguyên, dịch vụ bên trong và bên ngoài của hệ thống cũng tăng theo. Hệ thống mạng ngày càng bị quá tải, xuất hiện các vấn đề như chậm kết nối, server giảm khả năng phụ vụ, thường xuyên bị mất kết nối ra bên ngoài hay với server nội bộ...ảnh hưởng rất lớn đến hoạt động kinh doanh. O2Security SifoWorks UTM DU-series là thiết bị mạnh mẽ trang bị khả năng hoàn hảo để giải quyết những vấn đề trên, luôn là sự lựa chọn đúng đắn của các nhà quản trị mạng.
Chức năng Traffic management (TM) cho phép nhà quản trị kiểm soát và cấp phát bandwidth cho từng host, từng subnet hay cho cả dịch vụ cụ thể. Traffic được kiểm soát giúp cho hệ thống mạng được tối ưu hóa, tăng hiệu xuất của hệ thống góp phần nâng cao hiệu quả kinh doanh và năng lực cạnh tranh của doanh nghiệp. Trước khi cấu hình chứng năng TM, chúng ta cần nắm các khái niệm dùng trong TM:
+ Zone: kiểm soát traffic đi qua một interface hay nhiều interface được định nghĩa bên trong Object >> Zone.
+ Group: kiểm soát traffic đối với nhiều user hay nhiều địa chỉ. DU-series hỗ trợ nhiều dạng địa chỉ khác nhau như: các địa chỉ IP, một subnet, hay là các địa chỉ được đánh dấu khi thực hiện chứng thực với firewall. Các địa chỉ được định nghĩa trong Object >> Group. Traffic sẽ được cấp phát cho tất cả các địa chỉ trong một group.
+ Per IP: hỗ trợ kiểm soát traffic cho từng IP hay một IP cụ thể chứng thực trong AAA.
Mỗi một group cho phép cấu hình một bandwidth đảm bảo ( Guaranteed bandwidth) và một bandwidth tối đa (Maximum bandwidth). Traffic được kiểm soát dựa vào các rule được định nghĩa cho các hướng của traffic (inbound và outbound), tổng traffic được cấp và các dịch vụ sử dụng. Hệ thống xử dụng giao thức IPR (Intelligent Protocol Recognize) để xác định chính xác các dịch dụ sử dụng port kết nối không phải là port chuẩn (ví dụ HTTP dùng port 8080, các ứng dụng P2P dùng port 25 )
Cấu hình chức năng TM cho trường hợp cụ thể như sau:
Minh họa quản lý bandwidth cho mỗi group
Yêu cầu kiểm soát bandwidth như sau:
1. Tốc độ ra internet là 80Mb/s cho cả hệ thống mạng.
2. Các dịch vụ Mail, DNS, FTP là 40000 kb/s (~40Mb/s Guarantee) và 50000kb/s (~50Mb/s Maximum)
3. Các dịch vụ HTTP, HTTPS là 20000kb/s (~20Mb/s Guarantee) và 30000kb/s (~30Mb/s Maximum)
Giới hạn tốc độ cho từng IP trong mạng là 30000kb/s (~30Mb/s total bandwidth) nhưng riêng đối với dịch vụ FTP là 10000kb/s (~10MB/s guarantee) và 20000kb/s (~20Mb/s maximum)
Chú ý rằng: tổng bandwidth của maximum và guarantee không vượt quá BW cho cả group
Bước 1: Cấu hình các interface nối với LAN
Interface kết nối với server
Bước 2: tạo các object sẽ được sử dụng trong cấu hình TM.
Vào Object >> zone tạo zone cho interface kết nối tới server.
Vào Traffic Management >> TM Application Group tạo group cho các dịch vụ Mail, DNS, FTP
Vào Traffic Management >> TM Application Group tạo group cho các dịch vụ HTTP và HTTPS
Tiếp tục tạo group cho dịch vụ FTP.
Tiếp tục tạo group cho dịch vụ HTTP.
Tiếp tục tạo group cho dịch vụ Mail (POP3 và SMTP).
Bước 3: định nghĩa các rule kiểm soát bandwidth
vào Traffic Management >> TM Profile để giới hạn BW cho Zone
Các tham số cần quan tâm:
Traffic Quota: bật/tắt tính năng cấp phát dung lượng đi qua zone này theo thời gian,trong thời gian này nếu dùng hết dung lượng cấp phát thì DU-series sẽ tự động ngắt kết nối của pc/subnet/zone đó.
Total max BW: BW tối đa cho cả group,tốc độ của các dịch vụ/ group dịch vụ không lớn hơn tốc độ này. Đồng thời tổng Guaranteed BW và Max BW của các dịch vụ không lớn hơn total max BW
Giới hạn Bandwidth cho một group:
Giới hạn bandwidth cho từng IP
Bước 4: gán các rule vào các zone và thực hiện.
Vào Traffic Management >> TM Group List tạo TM list
Chọn chiều inbound hay outbound muốn kiểm soát bandwidth
Cấu hình inbound
Các tham số cần quan tâm:
Group name: tên bất kỳ
Group service limit profile: chọn group nào đã định nghĩa trước
Per IP service limit profile: chọn tham số group Per IP nào đã định nghĩa trước
TM zone: zone hiện tại đang cấu hình
Direct: hướng muốn kiểm soát (inbound hay outbound)
Source zone: áp TM này lên một IP cụ thể , hay subnet, hay group IP…..
User/ user group: các user chứng thực với TM sẽ bị kiểm soát BW
Cấu hình Outbound:
Kết quả sau khi cấu hình
Bước 5: Test kết quả sau khi cấu hình
Kết quả download bằng FTP là 18Mb/s (nằm khoảng 10Mb/s- 20Mb/s) đây là kết quả của TM gán trong Per IP group và giới hạn dịch vụ FTP.
Download bằng http tốc độ là ~30Mb/s, không bị giới hạn bởi dịch vụ trong Per IP nhưng giới hạn bởi total bandwidth cấp cho từng IP
Tổng kết:
Như vậy với chức năng TM của DU-series, doanh nghiệp có thể tối ưu bandwidth cho hệ thống mạng của mình hiệu quả hơn mà không cần phải nâng cấp về đường truyền, đầu tư thêm thiết bị như dây dẫn, switch, server…..Hoạt động của nhân viên được đảm bảo, ưu tiên những dịch vụ / ứng dụng mạng quan trọng như mail, https, http…..Giảm thiểu cho nhân viên lạm dụng đường internet tốc độ cao của công ty để dùng vào mục đích cá nhân như download phim, nhạc hay ứng dụng P2P.
Thế Hùng (Nguồn pnet.vn )
Chức năng Traffic management (TM) cho phép nhà quản trị kiểm soát và cấp phát bandwidth cho từng host, từng subnet hay cho cả dịch vụ cụ thể. Traffic được kiểm soát giúp cho hệ thống mạng được tối ưu hóa, tăng hiệu xuất của hệ thống góp phần nâng cao hiệu quả kinh doanh và năng lực cạnh tranh của doanh nghiệp. Trước khi cấu hình chứng năng TM, chúng ta cần nắm các khái niệm dùng trong TM:
+ Zone: kiểm soát traffic đi qua một interface hay nhiều interface được định nghĩa bên trong Object >> Zone.
+ Group: kiểm soát traffic đối với nhiều user hay nhiều địa chỉ. DU-series hỗ trợ nhiều dạng địa chỉ khác nhau như: các địa chỉ IP, một subnet, hay là các địa chỉ được đánh dấu khi thực hiện chứng thực với firewall. Các địa chỉ được định nghĩa trong Object >> Group. Traffic sẽ được cấp phát cho tất cả các địa chỉ trong một group.
+ Per IP: hỗ trợ kiểm soát traffic cho từng IP hay một IP cụ thể chứng thực trong AAA.
Mỗi một group cho phép cấu hình một bandwidth đảm bảo ( Guaranteed bandwidth) và một bandwidth tối đa (Maximum bandwidth). Traffic được kiểm soát dựa vào các rule được định nghĩa cho các hướng của traffic (inbound và outbound), tổng traffic được cấp và các dịch vụ sử dụng. Hệ thống xử dụng giao thức IPR (Intelligent Protocol Recognize) để xác định chính xác các dịch dụ sử dụng port kết nối không phải là port chuẩn (ví dụ HTTP dùng port 8080, các ứng dụng P2P dùng port 25 )
Cấu hình chức năng TM cho trường hợp cụ thể như sau:
1. Tốc độ ra internet là 80Mb/s cho cả hệ thống mạng.
2. Các dịch vụ Mail, DNS, FTP là 40000 kb/s (~40Mb/s Guarantee) và 50000kb/s (~50Mb/s Maximum)
3. Các dịch vụ HTTP, HTTPS là 20000kb/s (~20Mb/s Guarantee) và 30000kb/s (~30Mb/s Maximum)
Giới hạn tốc độ cho từng IP trong mạng là 30000kb/s (~30Mb/s total bandwidth) nhưng riêng đối với dịch vụ FTP là 10000kb/s (~10MB/s guarantee) và 20000kb/s (~20Mb/s maximum)
Chú ý rằng: tổng bandwidth của maximum và guarantee không vượt quá BW cho cả group
Bước 1: Cấu hình các interface nối với LAN
Interface kết nối với server
Vào Object >> zone tạo zone cho interface kết nối tới server.
Tiếp tục tạo group cho dịch vụ Mail (POP3 và SMTP).
vào Traffic Management >> TM Profile để giới hạn BW cho Zone
Traffic Quota: bật/tắt tính năng cấp phát dung lượng đi qua zone này theo thời gian,trong thời gian này nếu dùng hết dung lượng cấp phát thì DU-series sẽ tự động ngắt kết nối của pc/subnet/zone đó.
Total max BW: BW tối đa cho cả group,tốc độ của các dịch vụ/ group dịch vụ không lớn hơn tốc độ này. Đồng thời tổng Guaranteed BW và Max BW của các dịch vụ không lớn hơn total max BW
Giới hạn Bandwidth cho một group:
Vào Traffic Management >> TM Group List tạo TM list
Group name: tên bất kỳ
Group service limit profile: chọn group nào đã định nghĩa trước
Per IP service limit profile: chọn tham số group Per IP nào đã định nghĩa trước
TM zone: zone hiện tại đang cấu hình
Direct: hướng muốn kiểm soát (inbound hay outbound)
Source zone: áp TM này lên một IP cụ thể , hay subnet, hay group IP…..
User/ user group: các user chứng thực với TM sẽ bị kiểm soát BW
Cấu hình Outbound:
Bước 5: Test kết quả sau khi cấu hình
Kết quả download bằng FTP là 18Mb/s (nằm khoảng 10Mb/s- 20Mb/s) đây là kết quả của TM gán trong Per IP group và giới hạn dịch vụ FTP.
Tổng kết:
Như vậy với chức năng TM của DU-series, doanh nghiệp có thể tối ưu bandwidth cho hệ thống mạng của mình hiệu quả hơn mà không cần phải nâng cấp về đường truyền, đầu tư thêm thiết bị như dây dẫn, switch, server…..Hoạt động của nhân viên được đảm bảo, ưu tiên những dịch vụ / ứng dụng mạng quan trọng như mail, https, http…..Giảm thiểu cho nhân viên lạm dụng đường internet tốc độ cao của công ty để dùng vào mục đích cá nhân như download phim, nhạc hay ứng dụng P2P.
Thế Hùng (Nguồn pnet.vn )
Comment