Оптимизация интернет-трафика с помощью Kerio Control
Неправильное управление полосой пропускания в офисной сети (или отсутствие такого управления) приводит к ощутимым перебоям: интернет работает медленно, снижается качество голосовой и видеосвязи и т. д. Решение Kerio Control поможет правильно расставить приоритеты и гарантировать достаточную пропускную способность важному трафику.
О возможностях Kerio Control
Программное решение Kerio Control относится к продуктам класса UTM (Unified Threat Management) и обеспечивает комплектную защиту рабочих станций и серверов при работе в интернете. Решение ориентировано на корпоративные сети средних размеров и ведет родословную от хорошо известного продукта WinRoute. Слова «комплексная защита» означают, что Kerio Control состоит из множества модулей, отвечающих за разные аспекты безопасности, а именно:
- межсетевой экран;
- маршрутизатор;
- система обнаружения и предотвращения вторжений (IPS/IDS);
- антивирусная защита трафика;
- контент-фильтрация трафика;
- мониторинг и анализ активности пользователей в интернете;
- два VPN сервера – один на базе собственного протокола и второй на базе открытого стандарта IPSec VPN;
- управление полосой пропускания и поддержка QoS.
В статье мы поговорим о последнем пункте в этом перечне, но далеко не последнем по важности.
Проблемы оптимизации доступа в интернет
Рассмотрим несколько типовых сценариев.
Первый: руководителю нужен неограниченный доступ к полосе пропускания, лучше, чем у других. Кстати, необязательно руководителю – гарантированно широкая полоса потребуется серверу, который реплицирует базу с удаленным дата-центром.
Второй: менеджеры жалуются на плохую слышимость и обрывы звонков. Или платежный терминал принимает платеж по карте с третьего раза, потому что не может связаться с банком.
Третий: неожиданно упала скорость у всего офиса. Пора проверить, кто качает на работе торренты.
Все эти сценарии требуют управлять полосой пропускания, а именно определять приоритеты и обнаруживать аномальные явления. Задачи управления будут выглядеть примерно так:
- для VoIP требуется пропускная способность 10 мбит/сек, не меньше, в любое время;
- потоковые данные не должны потреблять больше 100 кбит/сек;
- гостевой трафик надо отделять от рабочего и не переключать на резервный канал в случае сбоя основного;
- привилегированный трафик важней обычного в рабочие часы.
Чтобы формализовать каждую из этих задач, нужно определить, для чего и по каким критериям мы расставляем приоритеты.
Категории потребителей трафика. Это (по возрастанию важности) гости, сотрудники, привилегированные пользователи, оборудование, требующее подключения к интернету.
Типы трафика. На первом месте онлайн-видеоконференции, телефония, передача видеосигнала, VPN, здесь полоса пропускания очень важна. На втором – обычный доступ к сайтам, файлам, почта. Самый низкий приоритет можно установить для доступа к развлекательным сайтам, шоппингу и т. д.
Время доступа. Разные приоритеты можно устанавливать для рабочих часов и нерабочих. Можно дать высокий приоритет серверу для периода репликации данных и ограничить остальных.
Правило = формализованное ограничение
Когда перечисленные критерии определены, можно перейти к правилам ограничения полосы. Поясним на примере решения Kerio для транспорта, используемого, например, на судах. Если на судне есть спутниковый канал с дорогим трафиком и узкой полосой и есть широкий канал, доступный в портах, понятно как надо расставить приоритеты. Например, так:
| Время | Пользователи | Тип трафика | Как ограничиваем |
| В открытом море | Капитан и навигационное оборудование | Любой трафик | Резервирование пп |
Собственно, это уже вполне правило в Kerio Control.
Теперь вернемся с корабля в офис и посмотрим на пример с IP-телефонией. Если полоса перегружена, это снижает качество голосовой связи, а значит приоритеты расставим так:
| Время | Пользователи | Тип трафика | Как ограничиваем | |
| Рабочее время | Все сотрудники | VoIP |
|
|
| Рабочее время | Все сотрудники | Остальной трафик | Ограничение пп | |
| Рабочее время | Все сотрудники | Низкоприоритетный трафик | Ограничение пп |
И это тоже три правила в Kerio Control.
Аналогично через правила решаются задачи гарантированно широкой полосы для руководства и оборудования, ограничений на гостевые подключения и т.д.
Управление полосой пропускания в Kerio Control
На панели управления Kerio Control сверху можно видеть перечень доступных интернет-интерфейсов. Например, быстрый канал и медленный. Под ним – локальные сети, например, основная и гостевая.
Теперь предстоит сопоставить локальным сетям интернет-интерфейсы, что и проделаем на вкладке «Правила трафика». Например, гостевой сети отводим свой интерфейс (самый дешевый), и гости не забивают основную офисную сеть. Здесь же настраиваем ограничения по типам трафика, например, только web-доступ для гостей и любой трафик для своих.
А теперь, когда маршрутизация интерфейсов настроена, пора расставить приоритеты по использованию полосы пропускания. Идем на вкладку Управление полосой пропускания и QoS, создаем правило для VIP-пользователей, добавляем в него заранее созданные группы Владельцы (те самые VIP-пользователи) и Оборудование (которому обязательно нужно хорошее подключение), и устанавливаем, например, резервирование 20% полосы.
Важный момент – эти 20% считаются от полосы, указанной в настройках! Здесь важно поставить не заявленную провайдером цифру, а фактическую пропускную способность.
Теперь создаем правило для критичного трафика и добавляем в него типы трафика: SIP VoIP, VPN, мгновенные сообщения и удаленный доступ.
И зарезервируем ему, например, по 3 мбит на скачивание и загрузку.
Потом создадим правило для важного трафика и включим в него такие типы трафика, как просмотр веб-страниц, почту, мультимедиа и FTP. И поставим ему ограничение на потребление не более 50% полосы, причем только в рабочие часы.
А теперь создадим правило для вредного трафика. Если при выборе типа трафика нажать в меню «Подключение, удовлетворяющее правилу содержимого», можно воспользоваться контент фильтром и выбрать соцсети, магазины, трафик, игры и т. д. Также можно ограничить P2P. Поставить им суровое ограничение 256 кбит и пусть качают.
Теперь посмотрим на гостевых пользователей. На вкладке Active Hosts нетрудно посмотреть, что происходит прямо сейчас. Вполне вероятно, что вы обнаружите гостя, накачавшего уже гигабайт и продолжающего с приличной скоростью пользоваться вашим интернетом.
Поэтому делаем правило для гостей. Например, не превышать 5% от полосы.
И еще. Как вы помните, гостей мы направляем на определенный сетевой интерфейс. Правило ограничения полосы можно настроить либо так, чтобы ограничение касалось только одного конкретного сетевого интерфейса, либо всех сетевых интерфейсов. В последнем случае, если мы поменяем интерфейс, привязанный к гостевой сети, правило продолжит действовать.
И важный момент. Правила работают в порядке расположения в списке, сверху вниз. Поэтому правила, которые отсеивают много запросов на доступ, имеет смысл ставить в начале.
В подробностях все это описано в статьях на knowledge base компании Kerio.
- Setting the speed of the link (KB 1373)
- Configuring bandwidth management (KB 1334)
- Configuring policy routing (KB 1314)
- Monitoring active hosts (KB 1593)
До и после оптимизации
До. Весь трафик проходил на равных, без приоритетов. В случае «пробки» страдает весь трафик, в том числе критически важный.
После. Важному трафику отдан приоритет. Механизмы ограничения и резервирование настраиваются по типу пользователя, типу трафика, времени.
Вместо заключения
Мы убедились, что разграничить доступ к полосе пропускания с помощью настраиваемых правил совсем несложно. Именно простоту использования своих продуктов компания Kerio считает своим важнейшим преимуществом и сохраняет на протяжении лет, несмотря на их возрастающую сложность и функциональность.
