Traffic Shaping چیست

اگر ادمین یک شبکه باشید، قطعا می دانید که با موضوعاتی همچون پهنای باند، سرعت و حجم دانلود کاربران رو به رو هستید. برای مدیریت این موضوعات گفته شده معمولا از برنامه ای به نام “کریو” استفاده می شود که اکثرا بر روی گوشی هایشان این برنامه را دارند و شما آن را با نام ف.ی.ل.ت.ر.ش.ک.ن می شناسید.

راه اندازی این برنامه، کاری چالش برانگیز است، فایروال فورتی گیت این کار را برای شما آسان کرده است و ما در این مقاله می خواهیم در مورد این راهکار یعنی Traffic shaping که مفهوم “شکل دهی ترافیک یا بسته تکنیکی برای محدود کردن پهنای باند است و می تواند توسط برنامه های خاص مصرف شود تا از عملکرد بالا برای برنامه های حیاتی اطمینان حاصل کند” صحبت کنیم.

Traffic Shaping چیست:

شکل دهی ترافیک، سازمان ها را قادر می سازد تا با کنترل میزان داده هایی که به داخل و خارج از شبکه جریان می یابد، عملکرد شبکه را افزایش دهد. ترافیک طبق سیاست های شبکه طبقه بندی و مسیریابی می شود. به بیان ساده تر می توان گفت ترافیک روی فایروال فورتی گیت را به گونه ای شکل دهید که پهنای باند برای آدرس IP خاص محدود شود.

زیرا وقتی از یک آدرس IP در شبکه خود بیش از حد منابع استفاده شود برای دستگاه شما محدودیت مصرف بیش از حد پهنای باند به وجود می آورد. اساسا Shaping ترافیک شبکه را با کاهش سرعت انتقال بسته های طبقه بندی شده به عنوان اولویت پایین تنظیم می کند تا برنامه های اولویت دار بدون تاخیر تحویل داده شوند.

با مدیریت پهنای باند شبکه، سازمان ها می توانند از عملکرد و کیفیت خدمات، برنامه های کاربردی کلیدی ترافیک تجاری خود اطمینان حاصل کنند. سیاست های شکل دهی ترافیک، کیفیت خدمات QOS را برای ترافیک تعیین می کند و می تواند سیاست هایی برای تضمین و محدود کردن پهنای باند ایجاد کند.

Policy ها می توانند پهنای باند را به اشیا جداگانه اختصاص دهند یا در میان اشیایی که آنها را اعمال می کنید به اشتراک گذاشته شوند. همچنین می توانید زمانی را برای این سیاست تعیین کنید. پس از ایجاد یک Policy نمی توانید آن را ویرایش کنید. می توانید سیاست های شکل دهی ترافیک را برای قوانین فایروال و قوانین WAF، کاربران و گروه ها، برنامه ها و دسته های وب اعمال کنید.

برای اعمال یک Policy روی اشیا آن را از طریق نوع policy Association باشی مرتبط می کنید. فقط Policy های ایجاد شده برای شی در صفحه شی برای انتخاب ظاهر می شوند. فایروال ها دارای سیستم عامل FortiOS هستند که در این سیستم عامل برای فایروال های فورتی گیت سه مدل پیکربندی برای Traffic shapping وجود دارد که می توانند در هر پیکربندی با هم تفاوت هایی داشته باشند.

Shaping policy به شما این امکان را می دهد که پهنای باند بالا یا Maximum Bandwidth و پهنای باند تضمین شده یا Guaranteed Bandwidth را برای Security Policy ایجاد کنید.

پیاده سازی Traffic Shaping:

برای فعال سازی Traffic Shaping باید در ابتدا این ویژگی را فعال کنید، پس به System > Feature select رفته و در گزینه Additional Feature می توانید Traffic shaping را فعال کنید. شما می توانید در Traffic Shaping Policy دو گزینه Traffic Shaping و Traffic Shapers را ببینید.

به Policy & Object بروید و در Addresses، آدرسی را که میخواهید آن را محدود کنید وارد کنید. بعد Create New را انتخاب کنید، سپس address را از لیست انتخاب کنید. یک نام وارد کنید مثلا: limited_bandwidth در قسمت Type کلمه IP/Netmask را تایپ کرده و گزینه Subnet/IP Range را با آدرس IP که در زیر می بینید یعنی 192/168/10/10.32 و در نهایت گزینه interface را روی any قرار دهید.

حال مسیر زیر را وارد شوید:

Create New > Policy & Object > Traffic Shaping را وارد شوید و یک پروفایل جدید به وجود آورید. گزینه Type را روی Shared قرار دهید و سایر گزینه ها راهمانند عکس کامل کنید.

Bandwidth و shared shapers به طور کاملا مساوی بین همه پالیسی ها تقسیم بندی می شوند. و هر Policy را برای عملیات شکل دادن به طور جداگانه فعال کنید. بر روی گزینه Limited bandwidth کلیک راست کنید و سپس Edit in CLI را انتخاب کنید و مانند زیر عمل کنید:

بعد از فعال شدن هر policy می توانید limited_bandwidth را ویرایش و تغییر دهید. حالا هر Policy دارای پهنای باند همسانی است.

در مسیر Policy & Ovject > IPv4 بروید و در آنجا می توانید پالیسی کلی را میبینید که به اینترنت دسترسی دارد. به گزینه های عکس توجه داشته باشید می توانید هر پالیسی را با توجه به نیاز تغییر دهید. فقط مطمئن شوید که Logging Option روی همه گزینه ها فعال شده است.

حال به آدرسPolicy & Object > Traffic Shaping Policy بروید و یک Create New برای Shaping Policy ایجاد کنید و یک ترافیک با اولویت بالا به وجود آورید. برای انجام این کار بایدMatching، Service، Destination، Source و Criteria را تنظیم کنید تا بتواند با پالیسی دریافتی از اینترنت همخوانی داشته باشد.

بنابراین Apply Shaper و Outgoing Interface را به گونه ای تنظیم کنید تا پالیسی دریافتی شما هماهنگی داشته باشد و سپس Shared Shaper و Reverse Shaper را فعال کنید. که هر یک از این ها بر روی سرعت تاثیر می گذارند. Shared Shaper بر روی سرعت آپلود و Reverse Shaper بر روی سرعت دانلود تاثیر گذار خواهند بود.

دوباره Create New را کلیک کرده تا بتوانید Traffic Shaping مورد نظر را بر روی آدرس IP اعمال کنید، سپس آن را به وجود آورید.

Source و Matching Criteria را روی limitedbandwidth قرار دهید و Destination و Service را روی حالت All تنظیم کنید و سپس Shaper را روی حالت Outgoing-interface بگذارید. هر دو گزینه Shaper را فعال کنید و روی limitedbandwidth تنظیم کنید. در این صورت می توانید Traffic Shaping Palicy را مرتب کرده و پالیسی limitedbandwidth به پالیسی اینترنت دسترسی پیدا می کند.

حالا به آدرس FortiView > Policies بروید و بر روی گزینه now view کلیک کنید. در این صورت می توانید ترافیک امنیتی را مشاهده و بررسی کنید.

در آخربن گام بر روی Admin Policy راست کلیک کرده و Drill Down to Details انتخاب کنید و در تب Source گزینه SysAdminPC را تائید کنید و کاملا اختصاصی از پالیسی استفاده کنید.

فایروال Sophos چیست:

سیاست های شکل دهی ترافیک را در صورتی که با بیش از یک شی در قانون فایروال اعمال کرده باشید، به ترتیب زیر اعمال می شود:

• کاربرد
• دسته برنامه
• دسته وب
• کاربر
• گروه
• قانون فایروال

تنظیمات Traffic Shaping:

برای تغییر تنظیمات کلی برای شکل دهی ترافیک، به System service > Traffic shaping setting بروید. تنظیمات پیش فرض یا default setting بهترین پهنای باند را ارائه می کنند و یک حد بالایی برای QoS قرار می دهند. تنظیمات پیش فرض برای ترافیکی اعمال می شود که هیچ Policy شکل دهی ترافیکی برای آن اعمال نمی شود.

نکته: تنظیمات شکل دهی ترافیک فقط برای ترافیک خروجیِ که فایروال به سمت منطقه WAN می رود، اعمال می شود. سیاست های شکل دهی ترافیک کمک می کند ترافیک ورودی و خروجی ارسال شده توسط فایروال اعمال گردد.

تنظیمات شکل دهی ترافیک برای برنامه ها و دسته های برنامه

Policy شکل دهی ترافیکی که برای یک برنامه کاربردی اعمال می کنید بر policy که برای دسته بندی برنامه های آن اعمال کنید، اولویت دارد. این Policy بر اساس شناسه برنامه اعمال می شود. شما می توانید شناسه برنامه را در لاگ فیلتر برنامه مشاهده کنید.

1. وارد System service > Traffic shaping بروید و یک Policy برای یک برنامه یا دسته ایجاد کنید.
2. به Applications > Application Filter بروید و یک Policy مرتبط با برنامه ها ایجاد کنید.
3. به Applications > Traffic shaping > default بروید، روی دکمه ویرایش در کنار برنامه یا دسته کلیک کنید و یک Policy شکل دهی ترافیک را انتخاب کنید.
4. سپس به Rules and Policy > Firewall Rules بروید. Policy کنترل برنامه را در یک قانون فایروال انتخاب کنید و اعمال سیاست شکل دهی ترافیک مبتنی بر برنامه را انتخاب کنید.

تنظیمات شکل دهی ترافیک برای دسته بندی های وب

1. به System service > Traffic shaping بروید و یک Policy مرتبط با دسته های وب ایجاد کنید.
2. به Authentication > Users بروید، روی دکمه ویرایش در کنار دسته وب مورد نظر خود کلیک کنید و Policy شکل دهی ترافیک را انتخاب کنید. برای ایجاد دسته وب سفارشی روی دکمه Add کلیک کنید و یک Policy شکل دهی ترافیک را انتخاب کنید.
3. به Web > Policies بروید و یک Policy برای دسته وب ایجاد کنید.
4. به Rules and Policies > Firewall rules بروید. Policy وب را در یک قانون فایروال انتخاب کنید و اعمال سیاست شکل دهی ترافیک مبتنی بر دسته بندی وب را انتخاب کنید.

تنظیمات شکل دهی ترافیک برای کاربران

1. به System service >Traffic shaping بروید و یک Policy مرتبط با کاربران ایجاد کنید.
2. به Authentication >Users بروید و یک Policy Traffic shaping برای هر کاربری که می خواهید انتخاب کنید.
3. سپس به Rule and Policies > Firewall rules بروید، در یک قانون فایروال، مطابقت با کاربران شناخته شده را انتخاب کنید و کاربران را انتخاب کنید.

تظیمات شکل دهی ترافیک برای گروه ها

1. به System service > Traffic shaping بروید و یک Policy associated ایجاد کنید.
2. به Authentication >Groups بروید و یک Policy شکل دهی ترافیک برای هر گروهی که می خواهید انتخاب کنید.
3. در نهایت به Rules and Policy > Firewall rules بروید در یک قانون فایروال، مطابقت کاربر شناخته شده را انتخاب کنید و گروه ها را انتخاب کنید.

تنظیمات شکل دهی ترافیک برای Firewall rules

وقتی policy Traffic shaping را به Firewall rules اختصاص می دهید می توانید این Policy ها را برای اتصالات VPN، سرویس ها، گروه های میزبان و میزبان ها اعمال کنید (مثلا میزبان IP و میزبان MAC)

1. به System services > Traffic shaping بروید و یک policy مرتبط با قوانین ایجاد کنید.
2. به Rules and Policy > Firewall rules بروید.
3. در Firewall rules یکی از موارد زیر را انجام دهید.

• اتصالات VPN: برای منطقه منبع، VPN را انتخاب کنید.
• The hosts: در قسمت شبکه ها و دستگاه های منبع، میزبان ها را انتخاب کنید.
• Service: پورت ها و پروتکل ها را انتخاب کنید.

4. در قسمت Shape Traffic یک Policy شکل دهی ترافیک را انتخاب کنید.

تنظیمات شکل دهی ترافیک برای قوانین WAF

می توانید سیاست های شکل دهی ترافیک را در سرورهای وب خود اعمال کنید.

1. به System service> Traffic shaping بروید و یک Policy مرتبط با قوانین ایجاد کنید.
2. به Rule and Policy> Firewall rules بروید
3. روی دکمه ویرایش در کنار قانون فایروال کلیک کنید و Action را روی protect با محافظت از وب سرور تنظیم کنید.
4. در Advanced setting > Traffic shaping یک Policy ایجاد کنید.

چرا شکل دهی ترافیک مهم است:

هر شبکه دارای پهنای باندی است که ابزاری کلیدی برای اطمینان از عملکرد برنامه های کاربردی حیاتی و تحویل داده های حساس به زمان تبدیل می کند. شکل دهی ترافیک یک راه قدرتمند و انعطاف پذیر برای تضمین کیفیت خدمات و دفاع در برابر حملات انکار سرویس توزیع شده (DDoS) یا سو استفاده از پهنای باند است.

از شبکه ها و برنامه ها در برابر افزایش ترافیک محافظت می کند، کاربران سو استفاده کننده را تنظیم می کند و از حملات شبکه از منابع شبکه جلوگیری می کند.

Traffic Shaping چگونه کار می کند:

اولین قدم در پیاده سازی یک سیستم شکل دهی ترافیک کارآمد، دسته بندی انواع مختلف ترافیک در شبکه است. به عنوان مثال، سازمان ها ممکن است بخواهند ترافیک را از یک برنامه وب کلیدی اولویت بندی کنند تا اطمینان حاصل کنند که مهم نیست چقدر شبکه شلوغ می شود، این ترافیک مهم به طور عادی ارسال می شود. این بدان معنا است که سایر انواع ترافیک ممکن است از اولویت برخوردار باشند.

هنگامی که این اتفاق می افتد، بسته ها به سادگی در یک بافر نگهداری می شوند تا زمانی که بتوانند بدون تجاوز از کل نرخ دلخواه و پیکربندی شده، ارسال شوند. هنگامی که سیستم طبقه بندی راه اندازی شد، ابزار شکل دهی ترافیک (اغلب یک کنترل کننده تحویل برنامه) شروع به مدیریت پهنای باند داخل و خارج از شبکه می کند.

F5 چگونه ترافیک را شکل دهی می کند:

با انواع جدید برنامه ها، تکنیک های سنتی شکل دهی ترافیک ممکن است کافی نباشد. مدیر ترافیک محلی BIG-IP فناوری شکل دهی ترافیک پیچیده و دقیق را ارائه می کند که توسط سیاست های تجاری قابل تنظیم به نام iRules اعمال می شود.