Bu Blogda Ara

Fortigate - İnternet Trafik Bant Genişliği Yönetimi (traffic shapers)

Merhaba,

Bu makalemizde kurumsal internet bant genişliğimizi daha verimli kullanabilmek adına Fortigate Firewall üzerinde hangi ayarlamaları yapabileceğimizi göreceğiz.

Gün sonunda aşağıdaki şekilde bant genişliği tahsisi gerçekleştirmek istediğimizi varsayalım:

Kurum internetimiz 30 Mbps olsun.

-Kurum bilgisayarlarımızın her birine 2 Mb/sn bant tahsis edeceğiz böylece tek bir bilgisayarın tüm bandı tüketmesini engelleyeceğiz.

-Bilgisayarlarımızın tamamı internete bağlı olsa dahi, hepsine bir üst limit (25 Mbps) tanımlayacağız, böylece sunucularımız da sorunsuz olarak internet erişimi sağlayabilecek.

-Sunucu başına bir trafik limitasyonu tanımlamıyoruz. Tüm sunucuların toplam kullandığı bandı 10 Mbps ile sınırlayacağız.

-Kablosuz internet ağımız için de 5 Mbps değerinde bir toplam üst limit  tanımlayacağız.

Şimdi bu senaryoyu nasıl gerçekleştireceğimize bakalım:

1) TRAFİK ŞEKİLLENDİRİCİ (TRAFFIC SHAPER) OLUŞTURMA:

Öncelikle aşağıdaki Trafik şekillendirici (shaper) tanımlamalarını yapmalıyız.

Terminolojide her bir bilgisayara ayrı ayrı bant tahsis edebilmek için "per-ip" tipinde,

Bilgisayar veya sunucuların toplam kullandıkları bandın üst limitini belirlemek için de "shared" tipinde

şekillendirici (shaper) tanımlayacağız.

"Policy&Objects" sekmesi altındaki "Traffic Shapers" bölümüne tıklıyoruz.

İlk olarak her bir bilgisayar için 2 Mbps "Per-ip shaper" tanımlayacağız. "Max bandwidth" bölümüne 2 Mbps'a karşılık gelen 2000 Kbps bantgenişliği değerini girdik ve "Type" olarak "Per-ip" seçtik. İsim olarak "perip-diger" seçiyoruz :















Dilersek yönetici bilgisayarları veya internete "hızlı" bağlanmasını istediğimiz başka bilgisayarlar için farklı per-ip shaper'lar tanımlayabiliriz.

Şimdi bilgisayarların tamamı için bir üst limit tanımlayacağız. Bunun için yine "Create New" tıkladıktan sonra shaper tipi olarak "Shared" yani paylaşılan tipte bir shaper oluşturacak ve "Max bandwidth" olarak 25000 Kbps (25 Mbps) değerini gireceğiz. "Traffic Priority" yani trafik önceliklendirmesi değerimiz "Medium" olacak:













Sıra geldi sunucularımız için "shared" shaper tanımlamaya. Sunucularımız için de 10 Mbps'lik üst limit belirliyoruz ve "Traffic Priority" değerini "High" yani yüksek öncelikli olarak belirliyoruz.














Kablosuz ağımız için de "shared" shaper tanımlıyoruz ve "Traffic Priority" değerini "Low" yani düşük öncelikli olarak belirliyoruz:












En son olarak da bant tüketen uygulamalar için shaper oluşturacağız ve buna sembolik bir bant genişliği (1 Mbps) vereceğiz:











Benzer şekilde bilişim bilgisayarları için 5 Mbps per-ip shaper tanımlıyoruz; çünkü dosya indirme işlemleri için hıza ihtiyacımız var.

Ayrıca bant tüketen uygulamaların tamamını "gerektiği durumda" kurumun tamamında kısıtlamak için de ayrı bir shared shaper tanımladık (1 mbps).

Trafik şekillendirici listemiz aşağıdaki şekilde oluştu:


Not: Shared shaper değerlerimizi topladığımızda 25+10+5 = 40 Mbps değerini elde ediyoruz ve farkındaysanız bu değer, toplam bant genişliği değerimiz olan 30 Mbps değerinden fazla. Toplam tükettiğimiz trafik bandımız 30 Mbps değerine yaklaştığında (sature olmaya yaklaştığında) tüm bilgisayar ve sunucularımızın hızı ayrıca firewall tarafından  düşürüleceğinden 
(30 mbps'lik üst limitimize göre ayarlanacağından) zaten 40 Mbps değerini göremeyeceğiz. Dolayısıyla bu değerlerde herhangi bir tutarsızlık yok.

2) TRAFİK ŞEKİLLENDİRME POLİTİKASI (TRAFFIC SHAPING POLICY ) OLUŞTURMA:

1. adımda tanımladığımız şekillendirici (shaper) tanımlamalarını kullanmak üzere Trafik Sınırlandırma Politikaları (traffic shaping policy) tanımlıyoruz:

Bilgisayarlar için tanımladığımız politikamızı belirliyoruz. "Source" bölümüne tüm bilgisayar networkümüz için belirlediğimiz ip grubunu seçiyoruz. Tüm servisler için trafik politikası belirlediğimiz için Service bölümünü "ALL" seçiyoruz. İnternet çıkış portumuzu seçiyoruz (bu örnekte port 9). En altta ise, 1. adımda oluşturmuş olduğumuz shared ve per-ip shaper değerlerini giriyoruz. "Reverse shaper" internetten iç networke doğru olan (download) trafik, diğeri ise ters yöndeki (upload) trafik için belirlenmiştir.



Bant tüketen uygulamaları belirleyerek aşağıdaki şekilde bir kural oluşturduk ve "şimdilik" pasif bıraktık:


Sunucu, Bilişim, kablosuz, ve bant tüketen uygulamalar için de diğer politikalarımızı benzer şekilde oluşturduğumuzda aşağıdaki listeyi elde edeceğiz. Bant tüketen uygulamaların kullandığı trafik şekillendiricisini gerektiği durumlarda kullanacağımız için şimdilik onu pasif durumda bıraktık (gerektiği durumda onu aktif edip en üst kural olarak belirleyeceğiz) Burada politikalar, firewall mantığına uygun şekilde, en üstten alta doğru uygulanacak; o yüzden en spesifik olanları (belirli grup bilgisayarlara uygulananları) üste, genel kuralları ise alta yazmalıyız:









3) PORT KONFİGÜRASYONU

Tüm bu kurallarımızın düzgün çalışabilmesi için Firewall cihazımıza "Bizim internet bant genişliğimiz 30 Mbps haberin olsun" dememiz gerekiyor. 

Onun içinde Network --Interfaces bölümüne girip Firewall'umuzun internet bacağında (bu örnekte port 9) aşağıdaki şekilde download ve upload yönlerinde "estimated bandwidth" değerleri tanımlamalıyız:








İZLEME:

Tanımladığımız bu trafik şekillendiricilerin kullanımını anlık olarak görmek istediğimizde "Traffic shapers" bölümüne bakabiliriz:

Bu örneğimizde bilişim, kablosuz ve sunucular dışındaki client bilgisayarlar için tanımladığımız "diğer-shared" adındaki trafik şekillendiricimiz 2,05 Mbps kullanıma sahip. Sunucularımız ise 
776 bps anlık trafiğe sahipler:






Ayrica; Fortiview--Sources bölümünde de her bir source (kaynak) bilgisayarın anlık olarak tükettiği bandı görebilmekteyiz:

"Bandwidth" sütununa göre sıralama yaptığımızda, aşağıdaki gibi bir liste elde ediyoruz. Bu listede, iç networkler arasındaki trafik de mevcut bu yüzden 25 Mbps yerine 56 Mbps gibi büyük bir değer görüyoruz. Hatırlarsanız, trafik şekillendirmeyi biz client-internet arası trafiğimiz için belirlemiştik.




Detaylara baktığımızda ise port 9 yani internet bacağımızdaki trafik beklediğimiz gibi 2 Mbps düzeyinde:








Alternatif metot:
"Sources" bölümüne girdikten sonra "Destination interface" olarak internet bacağımızı (bu örnekte: port 9) seçersek aşağıdaki şekilde internete doğru trafik şekillendirmemizin çalışıp çalışmadığını görebiliriz:




Umarım faydalı olmuştur.

Murat TAŞ

Hiç yorum yok:

Yorum Gönder