Dieses Menü steht nicht auf dem FL MGUARD RS2000, TC MGUARD RS2000 3G, TC MGUARD RS2000 4G und FL MGUARD RS2005 zur Verfügung.
|
Dieses Menü steht nicht auf dem FL MGUARD RS2000, TC MGUARD RS2000 3G, TC MGUARD RS2000 4G und FL MGUARD RS2005 zur Verfügung. |
QoS (Quality of Service) bezeichnet die Dienstgüte einzelner Übertragungskanäle in IP-Netzwerken. Dabei geht es um die Zuteilung bestimmter Ressourcen an bestimmte Dienste (Services) bzw. Kommunikationsarten, damit diese reibungslos funktionieren. So muss z. B. für die Übertragung von Audio- oder Videodaten in Realzeit die notwendige Bandbreite bereitgestellt werden, um eine zufriedenstellende Kommunikation zu erreichen, während ein eventuell langsamerer Datentransfer per FTP oder E-Mail unkritisch für den gewünschten Gesamterfolg (Übertragung der gewünschten Datei oder E-Mail) ist.
Ein Ingress-Filter bewirkt, dass bestimmte Datenpakete vor Eintreten in den Verarbeitungsmechanismus des mGuards ausgefiltert und verworfen werden, so dass eine Verarbeitung nicht stattfindet. Der mGuard kann Ingress-Filter benutzen, um die vorhandene Verarbeitungsleistung nach Möglichkeit nicht mit solchen Datenpaketen zu belasten, die im Netzwerk nicht gebraucht werden. Das hat den Effekt, dass die anderen, d. h. die gebrauchten Datenpakete schneller verarbeitet werden.
Durch geeignete Filterregeln kann z. B. sichergestellt werden, dass der administrative Zugang zum mGuard immer mit hoher Wahrscheinlichkeit erfolgen kann.
Die Paketverarbeitung auf dem mGuard ist im Wesentlichen durch das Handling des einzelnen Datenpakets geprägt, so dass die Verarbeitungsleistung nicht von der Bandbreite sondern von der Zahl der zu verarbeitenden Pakete abhängt.
Gefiltert wird ausschließlich nach Merkmalen, die jedes einzelne Datenpaket aufweist oder aufweisen kann: die im Header angegebene IP-Adresse von Sender und Empfänger, das angegebene Ethernet-Protokoll, das angegebene IP-Protokoll, der angegebene TOS/DSCP-Wert und/oder die VLAN-ID, wenn VLANs eingerichtet sind. Da durch die gesetzten Filterregeln bei jedem einzelnen Datenpaket geprüft wird, ob es unter die Filterregeln fällt, sollte die Liste der Filterregeln kurz sein. Sonst könnte die Zeit, die zum Ausfiltern gebraucht wird, länger sein, als der durch das Ausfiltern erzielte Zeitgewinn.
Es ist zu beachten, dass nicht alle angebbaren Filterkriterien sinnvoll kombiniert werden können. Zum Beispiel macht es keinen Sinn, bei Angabe des Ethernet-Protokolls ARP im selben Regelsatz zusätzlich ein IP-Protokoll anzugeben. Oder bei Angabe des Ethernet-Protokolls IPX (hexadezimal anzugeben) die IP-Adressen von Sender oder Empfänger vorzugeben.
Intern: Einstellung für Ingress Filter an der LAN-Schnittstelle
Extern: Einstellung für Ingress Filter an der WAN-Schnittstelle
|
Aktivierung |
Aktiviere Ingress-QoS |
Deaktiviert (Standard): Das Feature ist ausgeschaltet. Falls Filterregeln definiert sind, werden sie ignoriert. Aktiviert: Das Feature ist eingeschaltet. Datenpakete dürfen nur dann passieren und werden der Weitervermittlung und -verarbeitung des mGuards zugeführt, wenn sie den nachfolgend festgelegten Filterregeln entsprechen. Filter können für den LAN-Port (Registerkarte Intern) und den WAN-Port (Registerkarte Extern) gesetzt werden. |
|
|
Maßeinheit |
kbit/s / Pakete/s Legt fest, in welcher Maßeinheit die weiter unten unter Garantiert und Obergrenze anzugebenden Zahlenwerte zu verstehen sind. |
|
Filter |
VLAN verwenden |
Ist ein VLAN eingerichtet, kann die betreffende VLAN-ID angegeben werden, damit die betreffenden Datenpakete passieren dürfen. 
|
|
|
VLAN-ID (Wenn VLAN verwenden aktiviert ist) |
Legt fest, dass die Datenpakete des VLANs, das diese VLAN-ID hat, passieren dürfen. |
|
|
Ethernet-Protokoll |
Legt fest, dass nur Datenpakete des angegebenen Ethernet-Protokolls passieren dürfen. Mögliche Einträge: ARP, IPV4, %any. Andere Angaben müssen hexadezimal (bis zu 4 Ziffern) eingetragen werden. (Bei den Angaben handelt es sich um die Kennung des betreffenden Protokolls, die im Ethernet-Header steht. Das kann in den Veröffentlichungen des betreffenden Standards nachgeschlagen werden.) |
|
|
IP-Protokoll |
Alle / TCP / UDP / ICMP / ESP Legt fest, dass nur Datenpakete des ausgewählten IP-Protokolls passieren dürfen. Mit Alle findet keine Filterung nach IP-Protokoll statt. |
|
|
Von IP |
Legt fest, dass nur Datenpakete passieren dürfen, die von der angegebenen IP-Adresse kommen. Die Angabe 0.0.0.0/0 steht für alle Adressen, d. h. in diesem Fall findet keine Filterung nach IP-Adresse des Absenders statt. Um einen Bereich anzugeben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 30). |
|
|
Nach IP |
Legt fest, dass nur solche Datenpakete passieren dürfen, die zur angegebenen IP-Adresse weitergeleitet werden sollen. Angabe entsprechend wie oben unter Von IP. Die Angabe 0.0.0.0/0 steht für alle Adressen, d. h. in diesem Fall findet keine Filterung nach IP-Adresse des Absenders statt. |
|
|
Aktueller TOS/DSCP-Wert |
Jedes Datenpaket enthält ein TOS bzw. DSCP-Feld. (TOS steht für Type Of Service, DSCP für Differentiated Services Code Point.) Hier wird angegeben, zu welcher Art von Traffic das Datenpaket gehört. So wird z. B. ein IP-Telefon in dieses Feld der von ihm ausgehenden Datenpakete etwas anderes hineinschreiben als ein FTP-Programm. Wenn Sie hier einen Wert auswählen, dürfen nur die Datenpakete passieren, die in ihrem TOS-bzw. DSCP-Feld diesen Wert haben. Mit Alle findet keine Filterung nach TOS/DSCP Wert statt. |
|
|
Garantiert |
Die anzugebende Zahl legt fest, wie viele Datenpakete/s bzw. kbit/s - je nach eingestellter Maßeinheit (s. o.) - auf jeden Fall passieren dürfen. Das gilt für den Datenstrom, der den links angegebenen Kriterien dieses Regelsatzes entspricht, also passieren darf. Liefert dieser Datenstrom mehr Datenpakete pro Sekunde, dann darf der mGuard bei Kapazitätsengpässen die überzählige Anzahl an Datenpaketen verwerfen. |
|
|
Obergrenze |
Die anzugebende Zahl legt fest, wie viele Datenpakete/s bzw. kbit/s - je nach eingestellter Maßeinheit (s. o.) - maximal passieren dürfen. Das gilt für den Datenstrom, der den links angegebenen Kriterien dieses Regelsatzes entspricht, also passieren darf. Liefert dieser Datenstrom mehr Datenpakete pro Sekunde, dann verwirft der mGuard die überzählige Anzahl an Datenpaketen. |
|
|
Kommentar |
Optional: kommentierender Text. |
Den Diensten werden entsprechende Prioritätsstufen zugeordnet. Bei Verbindungsengpässen werden dann je nach zugeordneter Prioritätsstufe die ausgehenden Datenpakete in Egress-Queues (= Warteschlangen für anstehende Pakete) gestellt, die mit entsprechender Priorität abgearbeitet werden. Die Zuordnung von Prioritätsstufe und Bandbreite sollte im Idealfall so erfolgen, dass für Datenpakete von in Realzeit zu vollziehenden Übertragungen immer genügend Bandbreite zur Verfügung steht, während Pakete von anderen wie z. B. FTP-Downloads im Ernstfall vorübergehend auf Warten gesetzt werden.
Die Hauptanwendung von Egress-QoS ist die optimale Ausnutzung der zur Verfügung stehenden Bandbreite am jeweiligen Anschluss. In einigen Fällen kann auch eine Begrenzung der Paketrate nützlich sein, z. B. um einen langsamen Rechner im geschützten Netz vor Überlast zu schützen.
Die Funktion Egress-Queues kann für alle Schnittstellen eingesetzt werden. Bis zur mGuard-Firmwareversion 8.6.x kann die Funktion ebenfalls für VPN-Verbindungen verwendet werden. In Firmwareversion 8.7.0 ist eine Verwendung in VPN-Verbindungen nicht mehr möglich.
13.2.1Intern / Extern / Extern 2 / Einwahl
Intern: Einstellung für Egress-Queues an der LAN-Schnittstelle
Extern / Extern 2 / Einwahl:
Die Registerkarten für Egress-Queues an der WAN-Schnittstelle (Extern), der sekundären externen Schnittstelle (Extern 2) und für Pakete für ppp-Wählverbindung (Einwahl) bieten die gleichen Einstellmöglichkeiten wie die Registerkarte für die LAN-Schnittstelle (Intern).
In allen Fällen beziehen sich die Einstellungen auf die Daten, die von der jeweiligen Schnittstelle gesehen vom mGuard nach außen ins Netz gehen.
|
Menü QoS >> Egress-Queues >> Intern / Extern / Extern 2 / Einwahl |
||
|---|---|---|
|
Aktivierung |
Deaktiviert (Standard): Das Feature ist ausgeschaltet. Aktiviert: Das Feature ist eingeschaltet. Empfiehlt sich dann, wenn die Schnittstelle an ein Netz mit geringer Bandbreite angeschlossen ist, so dass eine Beeinflussung der Bandbreitenzuordnung zugunsten besonders wichtiger Daten gewünscht wird. |
|
|
Gesamtbandbreite/-rate |
Bandbreite, die insgesamt maximal physikalisch zur Verfügung steht - anzugeben in kBit/s oder Pakete/s (s. u. Maßeinheit). Die hier angegebene Gesamtbandbreite sollte etwas geringer angegeben werden als tatsächlich vorhanden, damit die Priorisierung optimal arbeitet. Damit wird verhindert, dass Puffer von weitervermittelnden Geräten überlaufen können und dadurch einen unerwünschten Effekt erzeugen. |
|
|
|
Maßeinheit |
kbit/s / Pakete/s Legt fest, in welcher Maßeinheit die Zahlenwerte zu verstehen sind (s. o. Bandbreite). |
|
Queues |
Name |
Sie können die voreingestellten Namen für die Egress-Queues übernehmen oder andere vergeben. Die Namen legen nicht die Prioritätsstufe fest. |
|
|
Garantiert |
Bandbreite, die der betreffenden Queue auf jeden Fall zur Verfügung stehen soll. Je nachdem, ob oben unter Maßeinheit diese in kbit/s oder in Pakete/s angegeben ist, verwenden Sie auch hier die selbe Maßeinheit, ohne diese explizit anzugeben. Die Summe aller garantierten Bandbreiten muss in Bezug zur Gesamtbandbreite kleiner oder gleich sein. |
|
|
Obergrenze |
Bandbreite, die der betreffenden Queue vom System maximal zur Verfügung gestellt werden darf. Je nachdem, ob oben unter Maßeinheit diese in kbit/s oder in Pakete/s angegeben ist, verwenden Sie auch hier die selbe Maßeinheit, ohne diese explizit anzugeben. Der Wert muss größer sein als die garantierte Bandbreite oder dieser gleich sein. Es kann auch der Wert unlimited angegeben werden, der keine weitere Beschränkung bewirkt. |
|
|
Priorität |
Niedrig / Mittel / Hoch Legt fest, mit welcher Priorität die betreffende Warteschlange, sofern vorhanden, abgearbeitet werden muss, falls die zur Verfügung stehende Gesamtbandbreite aktuell nicht ausgeschöpft ist. |
|
|
Kommentar |
Optional: kommentierender Text. |
|
Die Funktion Egress-Queues (VPN) steht in mGuard-Firmwareversion 8.7.0 nicht mehr zur Verfügung. Ein Update auf mGuard-Firmwareversion 8.7.0 von einer älteren Firmwareversion mit aktivierter Egress-Queues (VPN)-Funktion ist nicht möglich. |
Welche Daten werden den definierten Egress-Queues (= Warteschlangen) (s. o.) zugeordnet, damit sie mit der Priorität übertragen werden, die der jeweiligen Queue zugeteilt ist?
Die Zuordnungen können bezüglich aller Schnittstellen sowie für VPN-Verbindungen separat festgelegt werden.
13.4.1Intern / Extern / Extern2 / Einwahl
Intern: Einstellung für Egress-Queue-Zuordnungen
Extern / Extern 2 / Einwahl:
Die Registerkarten für Egress-Queue-Zuordnungen an der WAN-Schnittstelle (Extern), der sekundären externen Schnittstelle (Extern 2) und für Pakete für ppp-Wählverbindung (Einwahl) bieten die gleichen Einstellmöglichkeiten wie die Registerkarte für die LAN-Schnittstelle (Intern).
|
Menü QoS >> Egress-Zuordnungen >> Intern / Extern / Extern 2 / Einwahl |
||
|---|---|---|
|
Standard |
Standard-Queue |
Name der Egress-Queues (benutzerdefiniert) Angezeigt werden die Namen der Queues, wie sie unter Egress-Queues auf den Registerkarten Intern / Extern / VPN via Extern angezeigt oder festgelegt sind. Standardmäßig sind das folgende Namen: Default / Urgent / Important / Low Priority Traffic, der nicht nachfolgend unter Zuordnungen einer bestimmten Egress-Queue zugeordnet wird, bleibt der Standard-Queue zugeordnet. Über diese Auswahlliste legen Sie fest, welche Egress-Queue als Standard-Queue gelten soll. |
|
Zuordnungen |
Die Zuordnung bestimmten Daten-Traffics zu einer Egress-Queue erfolgt über eine Liste von Kriterien. Treffen die Kriterien einer Zeile auf ein Datenpaket zu, wird es in die dort benannte Egress-Queue eingeordnet. Beispiel: Sie haben für zu übertragende Audio-Daten unter Egress-Queues (siehe Seite 409) unter dem Namen Urgent eine Queue mit garantierter Bandbreite und Priorität definiert. Dann legen Sie hier fest, nach welchen Regeln Audio-Daten erkannt werden, und dass diese Daten zur Queue Urgent gehören sollen. |
|
|
|
Protokoll |
Alle / TCP / UDP / ICMP /ESP Protokoll(e), auf das/die sich die Zuordnung bezieht. |
|
|
IP-Adresse des Netzes/Geräts, von wo die Daten kommen. 0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Bereich anzugeben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR (Classless Inter-Domain Routing)“ auf Seite 30). Den Traffic von dieser Quelle ordnen Sie weiter hinten in dieser Zeile der Queue zu, die Sie unter Queue-Name auswählen. |
|
|
|
Von Port (Nur bei den Protokollen TCP und UDP) |
Benutzter Port bei der Quelle, von wo die Daten kommen. any bezeichnet jeden beliebigen Port. startport:endport (z. B. 110:120) bezeichnet einen Portbereich. Einzelne Ports können Sie entweder mit der Port-Nummer oder mit dem entsprechenden Servicenamen angegeben: (z. B. 110 für pop3 oder pop3 für 110). |
|
|
Nach IP |
IP-Adresse des Netzes/Geräts, wohin die Daten gehen. Angabe entsprechend wie oben unter Von IP. |
|
|
Nach Port (Nur bei den Protokollen TCP und UDP) |
Benutzter Port bei der Quelle, wohin die Daten gehen. Angabe entsprechend wie oben unter Von Port. |
|
|
Aktueller TOS/DSCP-Wert |
Jedes Datenpaket enthält ein TOS bzw. DSCP Feld. (TOS steht für Type Of Service, DSCP für Differentiated Services Code Point.) Hier wird angegeben, zu welcher Art von Traffic das Datenpaket gehört. So wird z. B. ein IP-Telefon in dieses Feld der von ihm ausgehenden Datenpakete etwas anderes hineinschreiben als ein FTP-Programm, das Datenpakete auf einen Server hochlädt. Wenn Sie hier einen Wert auswählen, werden nur die Datenpakete genommen, die in ihrem TOS-bzw. DSCP-Feld diesen Wert haben, um sie - je nach Eintrag im Feld Neuer TOS/DSCP-Wert - auf einen anderen Wert zu setzen. |
|
|
Neuer TOS/DSCP-Wert |
Wenn Sie den TOS/DSCP-Wert der Datenpakete ändern wollen, die anhand der gegebenen Regeln selektiert sind, wählen Sie hier aus, was ins TOS- bzw. DSCP-Feld geschrieben werden soll. Weitere Erläuterungen zu Aktueller TOS/DSCP-Wert und Neuer TOS/DSCP-Wert finden Sie in folgenden RFC-Dokumenten – RFC 3260 „New Terminology and Clarifications for Diffserv“ – RFC 3168 „The Addition of Explicit Congestion Notification (ECN) to IP“ – RFC 2474 „Definition of the Differentiated Services Field (DS Field)“ – RFC 1349 „Type of Service in the Internet Protocol Suite“ |
|
|
Name der Egress-Queue, welcher der Traffic zugeordnet werden soll. |
|
|
|
Kommentar |
Optional: kommentierender Text. |
|
Die Funktion Egress-Zuordnungen (VPN) steht ab mGuard-Firmwareversion 8.7.0 nicht mehr zur Verfügung. Ein Update auf mGuard-Firmwareversion 8.7.0 von einer älteren Firmwareversion mit aktivierter Egress-Zuordnungen (VPN)-Funktion ist nicht möglich. |
