防火牆的 QoS 設定功能很好用, 它可以用來保障帳各種服務的品質,尤其是使用UDP封包的服務。 例如:VoIP/Video Conference/DNS等 VoIP 與 Video Conference都是採用 UDP 封包來傳送視訊及音訊,UDP 的封包比 TCP 小, 所以傳輸較快,但它不像 TCP 會去檢核是否傳送成功,當資料量大時,非常容易出錯! 所以透過 QoS 可以確保VoIP / Video Conference 品質穩定。 此外,DNS 服務預設使用 UDP 封包,除非失敗,才會使用 TCP 封包,但是這都會造成很多服務無法正常運作。 所以透過 QoS 功能,可以確保 DNS 查詢不會失敗,其他服務就能正常運作! 那麼 Fortigate QoS 該怎麼設定呢? 在「防火牆→流量塑型」可以設定QoS政策,給與保證頻寬,與最大頻寬,還有封包的優先權。 保證頻寬就是當流量大時,防火牆會確保給與服務一定頻寬。 最大頻寬就是當流量小時,防火牆會限制服務能使用的最大頻寬。 當然如果該服務沒有流量時,頻寬也會釋放給其他服務使用。 至於優先權高低,就是說哪個服務應該優先佔有使用頻寬。 這裡面比較可能會讓人難以理解的是流量塑型的方式每個政策 針對所有政策使用此流量塑型其實,每個政策,意思是說,每個套用此流量塑型政策的防火牆政策,都會有獨立的保障頻寬、最大頻寬以及優先權。 至於針對所有政策使用此流量塑型,則是指所有套用此流量塑型政策的防火牆政策,都會共用此一保障頻寬、最大頻寬以及優先權。 轉貼自 http://tomliu888.blogspot.com/2010/04/fortigate-qos.html
FortiGate流量塑型有兩種方式, 每個政策 與 針對所有政策使用此流量塑型。 以下舉例來說明兩者的不同。 若防火牆規則中第1,3,5,7條,我們設定採用了2M的 每個政策 的流量塑型, 那麼第1,3,5,7條,每個規則都有各自的2M限制, 彼此之間擁有獨立之流量塑型機制。 防火牆規則中第2,4,6,8條,我們設定採用了4M的 針對所有政策使用此流量塑型 流量塑型, 那麼這4條規則加起來,有總共4M的頻寬限制。 當第2條吃光了所有頻寬,第4,6,8條就沒有頻寬可用。 不論是 每個政策 或是 針對所有政策使用此流量塑型, 流量塑型對應的都是防火牆規則,而不是規則中的IP。 無法限制每個規則中,各個IP的獨立流量,這點要注意。
Powered by: Burning Board 1.1.1 2001 by WoltLab Taiwan Translation by Achi