نظرات اخیر

    آموزش متدهای Traffic Shaping

    آموزش متدهای Traffic Shaping

    در سیستم عامل FortiOS سه نوع پیکربندی برای Traffic Shaping وجود دارد، که هرکدام از آنها قابلیت های مخصوص به خود را دارند و می توانند در پیکربندی های مختلف باهم استفاده شوند. Shapping Policy شما را قادر می سازد که بیشترین پهنای باند (Maximum Bandwidth) و پهنای باند تضمین شده(Guaranteed Bandwidth) را برای یک سیاست امنیتی(Security Policy) تنظیم کنید. Per-IP Shapping شما را قادر می سازد تا کنترل ترافیک را بر روی یک سطح تعریف کنید. Application Traffic Shapping کنترل ترافیک را روی برنامه کاربردی خاص و یا یک گروه از برنامه ها اعمال می کند.
    این مقاله انواع ترافیک Shapper و چگونگی پیکربندی آنها از طریق رابط تحت وب و CLI را شرح می دهد.
    برای پیکربندی Traffic Shaping در Web-base Manager شما باید قابلیت Traffic Shaping را در مسیر System->Feature Select فعال کنید.

    Traffic Shaping Options
    وقتی Traffic Shaping را برای شبکه خود پیکربندی می کنید ، سه مورد مختلف برای کنترل جریان ترافیک شبکه وجود دارد تا از داشتن پهنای باند موردنظر خود مطمئن شوید. این سه مورد در ذیل به شرح ذیل می باشد:
    • Shared Policy Shaping : مدیریت پهنای باند با سیاست های امنیتی(Security Policy)
    • Per-IP Shaping : مدیریت پهنای باند به وسیله IP Address اختصاص یافته به کاربران
    • Application Control Shaping : در این مدل، مدیریت پهنای باند به وسیله Application Shaper می باشد که به شما اجازه می دهد چگونگی جریان ترافیک را، به وسیله اولویت بندی ترافیک، پهنای باند و DSCP، تعریف کنید.
    Shared Policy و Per-IP در مسیر Policy & Objects > Traffic Shapers ایجاد می شوند و Traffic Shapers در Traffic Shaping Policy فعال می شود.
    Application Control Shaping می تواند به هر رویکرد شکل دهی ترافیکی(Traffic Shaping Policy) ، در مسیر Policy & Objects > Traffic Shaping Policy اعمال شود. شما می توانید ترافیک را با دسته بندی برنامه، نرم افزار و یا دسته بندی URL ها کنترل کنید.
    نکته: برای اعمال Application Control Shaping شما باید ابتدا کنترل برنامه را در سطح Policy ، در مسیر Policy & Objects > IPv4 Policy فعال کنید.
    Traffic Shaping Policy ها به شما اجازه می دهند که معیارهای Traffic Shapping را به هر ترافیکی مطابق با معیار خود اعمال کنید. این معیارها باید توسط مبدا ، مقصد ، سرویس و رابط خروجی تعیین شوند. همچنین حداقل باید یک نوع از Shaper ها برای ایجاد یک Traffic Shapping Policy فعال شود.
    قابلیت های مختلف این سه نوع از Traffic Shapping توسط واحد FortiGate ارائه شده است که می تواند به طور همزمان و در یک Traffic Shapping Policy فعال شوند.

    معمولا سلسله مراتب Traffic Shapper در FortiOS به ترتیب زیر می باشد:
    • Application control shaper
    • Shared policy shaper
    • Per-IP shaper
    در این سلسله مراتب ، اگر یک برنامه کاربردی یک Traffic Shaper تعریف شده داشته باشد ، همیشه بر دیگر Policy Shapper ها اولویت دارد. برای مثال نمونه کنترل برنامه Facebook در لینک Application Control Shaping قرار داده شده است. در این مثال در حالی که برنامه Facebook ممکن است به پهنای باند حداکثر خود برسد، کاربر هنوز می تواند از پهنای باند موجود در Shaper Shared و در صورت فعال بودن Per-IP Shaper استفاده کند.
    به طور مساوی،Security Policy Shared Shaper بر هر Per-IP Shaper اولویت دارد. با این حال، ترافیکی که بیش از هر یک از این Shaper ها باشد حذف خواهد شد. به عنوان مثال، Policy Shaper ابتدا عمل می کند و اگر محدودیت Per-IP Shaper برای اولین بار دریافت شده باشد، پس از آن ترافیک برای آن کاربر حتی اگر Shared Shaper برای این Policy بیش از حد نباشد، کاهش می یابد.

    Shared Policy Shaping
    Traffic Shapping و Security Policy شما را قارد می سازد تا حداکثر توان عملیاتی را برای هر Security Policy کنترل کنید.
    هنگام پیکربندی یک Shaper ، شما می توانید انتخاب کنید که پهنای باند به یک Policy و یا همه ی Policy ها اعمال شوند. بسته به انتخاب شما FortiGate قوانین مختلفی را اعمال می کند.
    نکته :به صورت پیش فرض Shared Shaper ، Shaping را به طور مساوی به تمام Policyهای مورد استفاده اعمال می کند. برای Per Policy و All Policy مورد استفاده این Shaper ؛ قابلیت هایی در رابط تحت وب وجود دارد که شما باید ابتدا آن را در CLI فعال کنید.
    به مسیر Policy & Objects > Traffic Shapers رفته و برای ویرایش آن در CLI بر روی Shaper کلیک راست کرده و عبارت set per-policy enableرا وارد کنید.

    Per Policy
    هنگام انتخاب یک Shared Shaper برای Per Policy ، FortiGate قوانین Shaping تعریف شده را برای هر یک از سیاست های امنیتی به طور جداگانه اعمال می کند.
    برای مثال اگر یک Shaper برای Per Policy با یک پهنای باند حداکثری 1000 Kb/s تنظیم شده باشد و به چهار Security Policy اعمال شده باشد هر Policy پهنای باند حداکثری 1000 Kb/s را دارد.
    ترافیک Per Policy با قوانین بهینه سازی WAN سازگار است. Traffic Shaping برای ارتباطات Peer-to-Peer از بستر WAN نادیده گرفته می شود و برای ارتباطات Client/Server در وضعیت Transparent عمل نمی کند.
    برای همه Policy ها از یک Shaper استفاده کنید.
    هنگام انتخاب یک Shaper Shared برای همه Policy ها ( همه Policy ها از این Shaper استفاده می کنند) واحد FortiGate قوانین Shaper را به تمام Policy ها با استفاده از یک Shaper اعمال می کند. به عنوان مثال، Shaper با حداکثر پهنای باند 1000 کیلوبایت بر ثانیه برای Per Policy تنظیم می شود. چهار نوع سیاست امنیتی که ترافیک را از طریق واحد FortiGate مانیتور می کند، وجود دارد و همه آنها فعال شده اند. هر سیاست امنیتی باید 1000 کیلوبایت بر ثانیه را به اشتراک بگذارد برای مثال، اگر Policy1 از 800 کیلوبایت بر ثانیه استفاده کند، سه Policy باقی مانده باید 200 کیلوبایت بر ثانیه را به اشتراک بگذارند. همانطور که Policy1 از پهنای باند کمتری استفاده می کند، برای دیگر Policy ها پهنای باند بیشتر در دسترس می باشد تا در صورت لزوم از آن استفاده کنند. پس از استفاده، هر Policy تا زمانی که پهنای باند توسط یکی از Policy ها آزاد شود با تاخیر مواجه می شود.
    Maximum and guaranteed bandwidth

    حداکثر پهنای باند (Maximum Bandwidth) به سیاست امنیتی(Security Policy) دستور می دهد که چه مقدار از ترافیک، با استفاده از این Policy مجاز به استفاده است. بسته به پهنای باند حداکثری و یا تضمین شده بر روی نوع سرویس و یا کاربران موجود در Security Policy، این مقدار می تواند بیشترین توان عملیاتی و یا کمترین آن را ارائه دهد.
    حداکثر پهنای باند(Maximum Bandwidth) را می توان بین 1 تا 16776000 کیلوبیت بر ثانیه تنظیم کرد. اگر عددی خارج از محدوده بالا استفاده شود Web-Based Manager یک پیغام خطا را نشان می دهد. اما در CLI عدد 0 مي تواند وارد شود. تنظیم کردن پهنای باند حداکثر(Maximum Bandwidth) با عدد 0 به معنای پهنای باند نامحدود است.
    پهنای باند تضمینی(Guaranteed Bandwidth) این اطمینان را می دهد که یک پهنای باند ثابت رزرو شده برای یک سرویس یا کاربر مشخص در دسترس است. هنگام تنظیم پهنای باند تضمین شده(Guaranteed Bandwidth) مطمئن شوید که مقدار وارد شده به طور قابل توجهی کمتر از ظرفیت پهنای باند رابط می باشد زیرا در غیر این صورت هیچ ترافیک دیگری از طریق رابط عبور نمی کند و تاخیر ناخواسته در شبکه به وجود می آید.

    Traffic priority
    اولویت ترافیک را می توان بالا، متوسط یا پایین انتخاب کرد، بنابراین FortiGate اولویت های مربوط به انواع مختلف ترافیک را مدیریت می کند. برای مثال، برای یک Policy که برای اتصال به یک وب سرور امن که نیاز به پشتیبانی از تجارت الکترونیک دارد باید یک اولویت ترافیکی بالا را در نظر گرفت. سرویس های با اهمیت کمتر با یک اولویت پایین تعیین می شوند. فایروال تنها زمانی پهنای باند را به اتصالات با اولویت پایین می دهد که پهنای باند برای ارتباطات با اولویت بالا مورد نیاز نباشد.
    اطمینان حاصل کنید که Traffic Shaping بر روی تمام سیاستهای امنیتی فعال است. اگر شما هیچ قانونی از Traffic Shaping را بر روی یک Policy اعمال نکنید Policy به طور پیش فرض با اولویت بالا تنظیم می شود. پس باید سیاست های امنیتی بر تمام سه صف اولویت توزیع کنید.

    Traffic shaping policy order
    سیاست های Traffic shaping نیز باید به ترتیب صحیح در صفحه فهرست سیاست های Traffic Shaping قرار داده شود تا نتایج مورد نظر بدست آید . بنابراین ضروری است که سیاستهای ترافیک خود را به ترتیبی تنظیم کنید که سیاستهای با اهمیت، در بالای سیاست های دسترسی عمومی اینترنت قرار گیرند. برای مثال، شما می توانید هر Policy را با Application Control Shaping در بالای لیست Traffic Shaping Policy قرار دهید. اغلب سیاست های عمومی Traffic Shaping از Shared policy shapers و یا Per-IP Shaper پیروی می کنند.
    صفحه Policy List در مسیر Policy & Objects > Traffic Shaping Policy قرار دارد. شما می توانید ترتیب Policy های خود را با انتخاب ستون سمت چپ، به بالا یا پایین لیست حرکت دهید. اطمینان حاصل کنید که ستون Seq.# در منوی شما نشان داده شده است تا به راحتی موقعیت Policy را در لیست تأیید کنید.
    مثال زیر چگونگی ترتیب سیاست های شما را نشان می دهد. VoIP traffic shaping policy با اولویت بالا در بالای لیست قرار دارد و به دنبال آن سیاست های محدود کننده ای برای کنترل Media Stream است و سیاست دسترسی عمومی اینترنت شما در آخر لیست قرار گرفته است.

    Screenshot 2020 05 26 Traffic Shaping for FortiOS 5 6 fortigate traffic shaping 56 pdfTraffic Shaping Policy Configuration Settings

    *all (default) Source
    —– —–
    *all (default) Destination
    *all (default) Service
    یک دسته از برنامه ها را برای اعمال Shaping انتخاب کنید مانند P2P یا , Social.Media Application Category
    یک برنامه کاربردی را انتخاب کنید تا مشخص کنید که Traffic Shaping را به کدام برنامه های کاربردی می خواهید اعمال کنید. مانند و  YouTubeیا , Vimeo Application
    یک دسته از URL ها را انتخاب کنید تا یک زیر مجموعه از برنامه ها را مسدود کنید. URL Category

     

    برای پیکربندی traffic shaping policy به مسیر Policy & Objects > Traffic Shaping Policy رفته و بر روی آیکون “+” کلیک کرده و یک traffic shaping policy را تعریف می کنیم.
    «Matching Criteria» را برای گزینه های پیش فرض نشان داده شده در زیر تنظیم کنید یا معیارها را طوری مشخص کنید که با یک سیاست امنیتی خاص مطابقت داشته باشد.

    Apply shaper را با موارد زیر تنظیم کنید:

     

    Any .این گزینه را برای رابط خروجی که میخواهید Shaping را به آن اعمال كنید تنظیم كنید. برای مثال wan1 اغلب استفاده می شود. Outgoing Interface
    یکی از Shared Shapers پیش فرض را انتخاب کنید: guarantee-100kbps, high-priority, medium-priority, low-priority, shared-1M-pipe و یا در مسیر Policy & Objects > Traffic Shapers ، Shaper مورد نطر خود را ایجاد کنید. Shared Shaper ها پهنای باند را به هر سیاست امنیتی اختصاص می دهد Shared Shaper
    یکی از  Shared Shapers پیش فرض را انتخاب کنید: guarantee-100kbps, high-priority, medium-priority, low-priority, shared-1M-pipe و یا در مسیر Policy & Objects > Traffic Shapers ، Shaper مورد نطر خود را ایجاد کنید.این مورد بر داناود و یا ترافیک ورودی اثر می گذارد. Reverse Shaper
    اگر شما می خواهید Shaping را به وسیله مدیریت پهنای باند به یک آدرس IP کاربر اختصاص دهید Per-IP را فعال کنید.Shaper ها در مسیر Policy & Objects > Traffic Shapers فعال شده است. Per-IP بر دانلود و آپلود تاثیر می گذارد Per-IP Shaper
    Policy ها به صورت پیش فرض فعال هستند اما اگر شما می خواهید یک Traffic Shaping Policy را غیرفعال کنید Policy را De-Select کنید. Enablethispolicy

    برای ایجاد سیاست Traffic Shaping- CLI:

    config firewall shaping-policy
    edit
    set srcaddr
    set dstaddr
    set service
    application
    app-category
    url-category
    dstintf
    traffic-shaper
    traffic-shaper-reverse
    per-ip-shaper

       end

    VLAN، VDOM و Virtual Interface
    Traffic Shaping مبتنی بر Policy به طور مستقیم از صف استفاده نمی کند. بلکه به ترافیک شکل می دهد و اگر بسته داده توسط سیاست امنیتی مجاز باشد، یک اولویت برای آن تنظیم می کند. اولویت تنظیم شده کنترل می کند که کدام صف داده در خروجی قرار بگیرد. VLAN ها، VDOM ها، پورت ها و سایر دستگاه های مجازی که صفی ندارند را تجمیع می کند و به همین ترتیب، ترافیک به طور مستقیم به تجهیزات فیزیکی اصلی که در آن صف قرار دارد و تحت تاثیر پورت های فیزیکی قرار دارند، ارسال می شود. این چنین مواردی مربوط به اتصالات IPsec است.

    Shared traffic shaper configuration settings
    برای پیکربندی یک Shared traffic به مسیر Policy & Objects> Traffic Shapers بروید و آیکون “+” را انتخاب کنید تا یک Traffic Shaper جدید ایجاد شود.

     

     

    Select Shared Type
    یک نام برای Traffic Shaper انتخاب کنید Name
    هنگام انتخاب یک Shaper برای Per Policy، واحد FortiGate قوانین Shaping تعریف شده برای هر یک از سیاست های امنیتی را به صورت جداگانه اعمال می کند. به عنوان مثال، اگر یک Shaper برای Per Policy ، با حداکثر پهنای باند 1000 کیلوبایت بر ثانیه تنظیم شده باشد، هر سیاست امنیتی که این Shaper را فعال کرده، هر کدام 100 کیلوبایت بر ثانیه پهنای باند دریافت می کنند. هنگام انتخاب یک Shaper برای همه سیاست ها واحد FortiGate قوانین Shaping را به تمام سیاست ها با استفاده از همان Shaper اعمال می کند. به عنوان مثال، Shaper برای Per-Policy با حداکثر پهنای باند 1000 کیلوبایت بر ثانیه تنظیم می شود. چهار نوع سیاست امنیتی وجود دارد که ترافیک را از طریق واحد FortiGate کنترل می کند. هر چهار شکل دهنده فعال شده اند. هر سیاست امنیتی باید 1000 کیلوبایت بر ثانیه تعریف کند .برای مثال، اگر Policy1 از 800 کیلوبایت بر ثانیه استفاده کند، سه Policy باقی مانده باید 200 کیلوبایت بر ثانیه داشته باشند. چنانچه که Policy1 از پهنای باند کمتری استفاده کند، این پهنای باند باز برای سایر سیاست ها قابل استفاده است. پس از استفاده، هر Policy دیگربا تاخیر روبرو می شود تا زمانی که پهنای باند باز استفاده شده آزاد شود. Apply Shaper
    سطح اهمیت Priority انتخاب کنید، بنابراین FortiGate اولویت های نسبی انواع مختلف ترافیک را مدیریت می کند. برای مثال، برای یک سیاست برای اتصال به وب سرور امن مورد نیاز جهت پشتیبانی از ترافیک تجارت الکترونیک باید یک اولویت ترافیکی بالا در نظر گرفت. سرویس های با اهمیت کمتر باید با یک اولویت کم تعیین شود. اگر اولویت را برای Traffic Shaping تنظیم نکرده باشید، اولویت به طور پیش فرض با اولویت بالا تنظیم می شود. Traffic Priority
    پهنای باند حداکثر(Maximum Bandwidth) به سیاست امنیتی(Security Policy) دستور می دهد که چه مقدار از ترافیک با استفاده از این Policy مجاز به استفاده است. بسته به پهنای باند حداکثری و یا تضمین شده بر روی نوع سرویس و یا کاربران موجود در Security Policy، این مقدار می تواند بیشترین توان عملیاتی و یا کمترین آن را ارائه دهد.
    تنظیم کردن پهنای باند حداکثر(Maximum Bandwidth) با عدد 0 به معنای پهنای باند نامحدود است.
    Maximum Bandwidth
    پهنای باند تضمینی(Guaranteed Bandwidth)  این اطمینان را می دهد که یک پهنای باند ثابت رزرو شده برای یک سرویس یا کاربر مشخص در دسترس است. هنگام تنظیم پهنای باند تضمین شده(Guaranteed Bandwidth) مطمئن شوید که مقدار وارد شده به طور قابل توجهی کمتر از ظرفیت پهنای باند رابط  می باشد زیرا در غیر این صورت هیچ ترافیک دیگری از طریق رابط عبور نمی کند و تاخیر ناخواسته در شبکه به وجود می آید. Maximum Bandwidth
    مقداری را برای DSCP وارد کنید. شما می توانید از ویژگی  FortiGate Differentiated Services برای تغییر DSCP برای همه بسته های پذیرفته شده توسط یک Policy استفاده کنید. شبکه می تواند از این مقادیر DSCP برای طبقه بندی، علامت گذاری، شکل و غیره استفاده کند .خصوصیات DSCP  با پیکربندی روترهای شبکه شما به ترافیک ، اعمال می شود. برای اطلاعات بیشتر، لینک Traffic shaping methods.  مراجعه کنید. DSCP

     

    Shared Shaper Per Policy Example
    مراحل زیر یک Per Policy Traffic Shaper به نام “Throughput” ایجاد می کند که مقدار حداکثر ترافیکی آن 720000Kb/s و ترافیک تضمین شده 150000 با اولویت ترافیک بالا است.
    برای ایجاد Shared Shaper در Web-Based Manager:
    1. به مسیر Policy & Object->Traffic Shapers رفته و Create New را انتخاب کنید.
    2. فیلد Type را با Shared پر می کنید.
    3. برای قسمت Name کلمه Throughput را وارد کنید.
    4. فیلد Apply field را با Per Policy تنظیم کنید.
    نکته: به صورت پیش فرض، Shared Shaper، به طور مساویShaping را به کلیه Policy های که از آن استفاده می کنند، اعمال می کند. برای Per Policy و All Policies های مورد استفاده در این Shaper قابلیت هایی در رابط Web-Based به نمایش درآمده است، شما ابتدا باید آن را در CLI فعال کنید. به مسیر Policy & Objects> Traffic Shapers بروید و بر روی Shaper کلیک راست کنید تا آن را در CLI با استفاده از دستور زیر ویرایش کنید:

    set per-policy enable
    end

    5. Traffic Priority را با مقدار High تنظیم کنید.
    6. در کادر انتخابی Maximum Bandwidth را انتخاب کنید و مقدار 150000 را وارد کنید.
    7. در کادر انتخابی Guaranteed Bandwidth را انتخاب کنید و مقدار 120000 را وارد کنید.
    8. OK را انتخاب کنید.
    برای ایجاد Shared Shaper در CLI:

    config firewall shaper traffic-shaper
    edit Throughput
    set per-policy enable
    set maximum-bandwidth 150000
    set guaranteed-bandwidth 120000
    set priority high
    end

    Per-IP Shaping
    Traffic Shaping به وسیله IP شما را قادر می سازد تا Traffic Shaping به تمام آدرس های IP مبدا در Security Policy اعمال کنید و حداکثر پهنای باند کاربرانِ یک Policy انتخاب شده را کنترل کنید همچنین شما می توانید حداکثر تعداد Session های همزمان را تعریف کنید.
    با Per-IP Shaping شما می توانید رفتار هر عضو یک Policy را محدود کنید تا از استفاده ی کل پهنای باند موجود توسط یک کاربر جلوگیری شود (اکنون پهنای باند در  یک گروه به طور یکسان به اشتراک گذاشته شده است). استفاده از یک Per-IP Shaping ، از ایجاد سیاست های چندگانه برای هر کاربری که می خواهید یک Shaper به آن اعمال کنید، جلوگیری می کند.
    Per-IP Traffic Shaping بر روی رابط های NP2 پشتیبانی نمی شود.
    Per-IP traffic shaping configuration settings
    برای پیکربندی Per-IP Traffic Shaping ،به مسیر Policy & Objects> Traffic Shapers> Per-IP بروید و علامت “+” را انتخاب کنید.

    Per-IP را انتخاب کنید Type
    نام Per-IP Traffic Shaper را انتخاب کنید Name
    پهنای باند حداکثر(Maximum Bandwidth) به سیاست امنیتی(Security Policy) دستور می دهد که چه مقدار از ترافیک با استفاده از این Policy مجاز به استفاده است. بسته به پهنای باند حداکثری و یا تضمین شده بر روی نوع سرویس و یا کاربران موجود در Security Policy، این مقدار می تواند بیشترین توان عملیاتی و یا کمترین آن را ارائه دهد.
    تنظیم کردن پهنای باند حداکثر(Maximum Bandwidth) با عدد 0 به معنای پهنای باند نامحدود است.
    Maximum Bandwidth
    حداکثر اتصالات همزمان مجاز را وارد کنید Maximum Concurrent Connections
    مقداری را برای DSCP وارد کنید. شما می توانید از ویژگی  FortiGate Differentiated Services برای تغییر DSCP برای همه بسته های پذیرفته شده توسط یک Policy استفاده کنید. شبکه می تواند از این مقادیر DSCP برای طبقه بندی، علامت گذاری، شکل و غیره استفاده کند .خصوصیات DSCP  با پیکربندی روترهای شبکه شما به ترافیک ، اعمال می شود. برای اطلاعات بیشتر، لینک Traffic shaping methods.  مراجعه کنید. Forward DSCP
    Reverse DSCP

    مثال : مراحل زیر Per-IP Traffic Shaper را به نام “Accounting” با حداکثر ترافیک 720000Kb / s و تعداد Session های همزمان 200 می باشد.
    برای ایجاد Shared Shaper در Web-Based Manager:
    1.به مسیر Policy & Objects > Traffic Shapers رفته و آیکون “+” را انتخاب کنید
    2. مقدار Type را با Per-IP تنظیم کنید.
    3. Name را با مقدار Accounting پر می کنید.
    4. Maximum Bandwidth را فعال کرده و مقدار720000 را وارد کنید.
    5. Maximum Concurrent Sessions را فعال کرده و مقدار 200 را وارد کنید.
    6. OK را انتخاب کنید.
    برای ایجادShared Shaper در CLI:

    config firewall shaper per-ip-shaper
    edit Accounting
    set max100-bandwidth 720000
    set max-concurrent-session 200
    end

    Adding a Per-IP traffic shaper to a traffic shaping policy
    Per-IP Traffic Shaping توسط سیاست های امنیتی IPv6 پشتیبانی می شود. شما می توانید هر Per-IP Traffic Shaper را به یک سیاست امنیتی IPv6 در CLI اضافه کنید.
    مثال
    مراحل زیر نشان می دهد که چگونه یک Per IP traffic Shaper را به یک سیاست امنیتی IPv6 اضافه کنید. اطمینان حاصل کنید که شما در حال حاضر یک Per-IP Traffic Shaper را در مسیر Policy & Objects> Traffic Shapers ایجاد کرده اید.
    برای اضافه کردن per-IP Traffic Shaper به یک سیاست امنیتی IPv6 در Web-Based مراحل زیر را انجام دهید:
    1.به مسیر Policy & Objects > IPv6 Policy رفته و بر روی آیکون “+” جهت ایجاد یک سیاست دسترسی به اینترنت کلیک می کنیم.
    2. پارامترها را طبق زیر تعیین می کنیم:

     

    All Source address
    wan1 Outgoing interface
    All Destination address
    Always Schedule
    Any Service
    Accept Action

    3. OK را انتخاب کنید.
    4. به مسیر Policy & Object->Traffic Shaping Policy رفته و بر روی آیکون “+” کلیک کنید.
    5. برای اعمال سیاست traffic shaping خود به سیاست امنیتی(Security Policy) مورد نظر که قبلا ایجاد کرده اید، Matching Criteria را طبق جدول زیر پر کنید:

    All Source
    All Destination address
    All Service
    Application Category
    Application
    URL Category

    6.در زیر Apply shaper، تنظیمات زیر را انجام دهید:

    Any Outgoing interface
    Shared Shaper
    Reverse Shaper
    Per-IP Shaper را فعال کنید و Shaper موردنظر را از منوی کشویی انتخاب کنید Per-IP Shaper
    این Policy را فعال کنید Enable this policy

     

    7. OK را انتخاب کنید.
    8. در صفحه Policy List، Shaper Per-IP را به بالا از لیست حرکت دهید.
    دو روش برای پیکربندی traffic shaping در CLI وجود دارد. شما می توانید یک Shaper Per-IP را به طور مستقیم به یک سیاست امنیتی IPv6 اضافه کنید و یا می توانید آن را به یک Traffic Shaping Policy اضافه کنید. روش دوم به شما این امکان را می دهد که براساس رابط کاربری Traffic Shapingرا اعمال کنید بنابراین می توان به سادگی سیاست های امنیتی چندگانه را اعمال کرد. اولین روش نیازمند فعال کردن
    Traffic Shapingبه صورت جداگانه در ALL Policy با استفاده از دو رابط یکسان می باشد.
    برای اضافه کردن یک Per-IP traffic Shaper به یک IPv6 Security Policy در CLI دستورات زیر را وارد کنید:

    config firewall policy6

      edit <security policy ID number>

         set per-ip-shaper <per IP shaper name>

      end

    برای اضافه کردن یک Per-IP traffic Shaper به یک IPv6 Traffic Shaping Policy در CLI دستورات زیر را وارد کنید:

    config firewall shaping-policy

       edit 1 <security policy ID number>

           set ip-version 6

           set srcaddr <source address>

           set dstaddr <destination address>

           set service <service name>

           set dstintf <outgoing interface>

           set per-ip-shaper <per IP shaper name>

         end

    Application Control Shaping
    Traffic Shaping برای برنامه های خاص نیز امکان پذیر است. Application control shaping با یک Shared Shaper یا Shaper Per-IP کار می کند. شما باید یک Shaper با تنظیمات پهنای باند ایجاد کنید که می خواهید یک Shaper از پیش تعریف شده را در منوی Policy & Objects> Traffic Shapers اجرا کنید یا ویرایش کنید.
    Traffic shaping policies به شما این امکان را می دهد که این Shaper ها را فعال کنید و قابلیت های کنترل برنامه(Application Control) را پیکربندی کنید. در traffic shaping policy ، می توانید Application، Application Category و URL Category را تنظیم کنید. شما همچنین باید با تنظیم Matching Criteria سیاست های امنیتی خود را جهت اعمال به Shaper مورد نظر ، تعیین کنید. شما می توانید یک Traffic shaping policy در بخش Policies & Objects> Traffic Shaping Policy ایجاد کنید.
    توجه: برای اینکه Application Control Shaping به درستی کار کند، Application Control باید در یک سیاست امنیتی(Security Policy) در مسیر:
    Policy & Objects > IPv4 Policy یا Policy & Objects > IPv6 Policy under Security Profiles فعال شده باشد همچنین Application Control Shaping تنها بر برنامه های کاربردی که در مسیر
    Security Profiles> Application Control تنظیم شده اند، اثر گذار است.برای اطلاعات بیشتر در مورد Application Control، به راهنمای Home FortiOS مراجعه کنید.
    مثال
    این مثال Traffic Shaping را برای فیس بوک با اولویت متوسط و یک Traffic Shaperپیش فرض را پیکربندی می کند .اضافه کردن Traffic Shaping برای برنامه Facebook در Web-Based Manager :
    1. به مسیر Policy & Objects > IPv4 Policy رفته و سیاست امنیتی (Security Policy) مربوط به دسترسی عمومی اینترنت را ایجاد کنید.
    2. برای ایجاد یک سیاست امنیتی جدید (یا ویرایش یک رویکرد دسترسی به اینترنت)، آیکون Create New “+” را در گوشه سمت راست بالای صفحه انتخاب کنید.
    3. برای فعال سازی Application Control در یک سیاست امنیتی(Security Policy) پیکربندی های زیر را انجام دهید:

     

    Enter a descriptive name Name
    Internal Incoming Interface
    All Source address
    wan1 Outgoing interface
    All Destination address
    Always Schedule
    Any Service
    Accept Action
    زیر Security Profile ، Application Control را فعال و Default Application Control Profile را فعال کنید Application Control

    4. OK را انتخاب کنید.
    5. به مسیر Policy & Objects > Traffic Shaping Policy رفته و آیکون «+» بزنید.
    6. برای اعمال Traffic Shaping Policy خود به سیاست امنیتی که قبلا ایجاد کرده اید، Matching Criteria را طبق موارد زیر تنظیم کنید:

    All Source
    All Destination address
    All Service
    Social.Media Application Category
    Facebook Application
    Social Networking URL Category

    7. در زیر Apply Shaper، تنظیمات زیر را انجام دهید:

    Any

    رابط خروجی که می خواهید Shaping را به آن اعمال کنید

    Outgoing interface
    Shared Shaper را فعال کرده و از منوی کشویی Medium-Priority را انتخاب کنید Shared Shaper
    Shared Shaper را فعال کرده و از منوی کشویی Medium-Priority را انتخاب کنید Reverse Shaper
    این Policy را فعال کنید Enable this policy

    8. OK را انتخاب کنید.
    9. در صفحه Policy List، Facebook Traffic Shaping Policy را به بالای لیست حرکت دهید.
    ایجاد traffic shaping policy برای Facebook – CLI:

    config firewall shaping-policy
    edit 1
    set srcaddr all
    set dstaddr all
    set service ALL
    set application 15832
    set app-category 23
    set url-category 37
    set dstintf wan1
    set traffic-shaper medium-priority
    set reverse-traffic-shaper medium-priority
    end

    مسیر معکوس Traffic Shaping
    شکل دهنده ای (Shaper) که در Traffic Shaping Policy انتخاب می کنید (Shared Shaper) بر روی ترافیک در مسیر تعیین شده در Policy تاثیر می گذارد.
    به عنوان مثال، اگر پورت مبدا LAN و پورت مقصد WAN1 باشد، Shaping فقط جریان را در این جهت تحت تأثیر قرار می دهد(تاثیرگذار بر سرعت آپلود ترافیک خروجی)
    با انتخاب Shared Traffic Shaper Reverse Direction ، شما می توانید Traffic Shaper را در Policy جهت تاثیر گذاری بر سرعت دانلود ترافیک ورودی، برای مسیر مخالف تعریف کنید در این مثال برای ترافیک WAN1 به LAN می باشد.
    برای اضافه کردن یک Reverse Shaper مراحل زیر را انجام دهید:
    1. به مسیر Policy & Objects > Traffic Shaping Policy بروید.
    2. روی Create New کلیک کنید یا یک Policy موجود را انتخاب کنید و روی ویرایش کلیک کنید.
    3. برای مطابقت رابط های هر سیاست امنیتی(Security Policy)، Matching Criteria را تنظیم کنید.
    4. به بخشApply Shaper بروید و Shared Shaper را فعال کنید و یک Shaper را از منوی کشویی انتخاب کنید.
    5. Reverse Shaper را فعال کنید و یک Shaper را از منوی کشویی انتخاب کنید.
    6. OK را انتخاب کنید.

    Setting the reverse direction only
    ممکن است مواردی وجود داشته باشد که شما فقط نیاز به Traffic Shaping برای ارتباطات ورودی دارید، که در جهت “معکوس” Traffic Shaper های معمولی است.
    برای اضافه کردن یک Reverse shaper در Web-Based Manager :
    1. به مسیر Policy & Objects > Traffic Shaping Policy بروید.
    2. روی Create New کلیک کنید یا یک Policy موجود را انتخاب کنید و روی ویرایش کلیک کنید.
    3. برای مطابقت رابط های هر سیاست امنیتی(Security Policy)، Matching Criteria را تنظیم کنید.
    4. به بخشApply Shaper بروید و Shared Shaper را فعال کنید و یک Shaper را از منوی کشویی انتخاب کنید.
    5.Ok را انتخاب کنید.
    پیکربندی Reverse-Only Shaper در یک Traffic Shaping Policy در CLI:

    config firewall shaping-policy

    edit <policy_number>

    set reverse-traffic-shaper medium-priority

    end

    پیکربندی Reverse-Only Shaper در یک Security Policy در CLI:

    config firewall policy

    edit <policy_number>

    set traffic-shaper-reverse <shaper_name>

    end

    Enabling traffic shaping in the security policy
    از لحاظ تاریخی، FortiOS Traffic shaper همیشه در یک سیاست امنیتی(Security Policy) فعال شده است. این دیگر ساده ترین راه برای اعمال Shaper ها می باشد، زیرا در FortiOS 5.4 ، Traffic Shaping policy در بخش Policy & Objects > Traffic Shaping Policy پیکربندی شده است. اگرچه شما هنوز می توانید Traffic Shaper را در یک سیاست امنیتی با استفاده از CLI فعال کنید و پس از این در رابط Web-Based Manager نمایش داده می شود. Shaper همیشه بعد از هر گونه سیاست ردیابی DoS، و قبل از هر مسیر یابی یا اسکن کردن بسته اجرا می شوند.
    Traffic Shaping نیز برای سیاست های IPv6 پشتیبانی می شود.
    توجه: این روش توصیه نمی شود، زیرا در صورتی که شما traffic shaping را در یک Policy پیکربندی کنید ساده تر است که ردیابی و مرتب سازی Traffic Shaping Policy خود را نگه داری کنید.

    فعال کردن Traffic Shaping در یک سیاست امنیتی در CLI:

    config firewall policy

    edit <policy number>

    set traffic-shaper <shaper name>

    set reverse-traffic-shaper <shaper name>

    set per-ip-shaper <per IP shaper name>

    end

    Shared shaper ترافیک خروجی به سمت یک مقصد را تحت تاثیر قرار می دهد. برای تأثیرگذاری بر ترافیک ورودی یا دانلود، Reverse Shaper را فعال کنید. برای اطلاعات بیشترلینک
    Reverse direction traffic shaping را نگاه کنید.

    Type of Service priority
    Type of Service (ToS) یک فیلد 8 بیتی در هدر IP است که شما را قادر می سازد تا مشخص کنید که دیتاگرام IP ی که باید تحویل داده شود ، با استفاده از معیارهای تاخیر، عملکرد، اولویت، قابلیت اطمینان و هزینه ، چگونه باشد. هر کیفیت به Gateway ها کمک می کند تا بهترین راه را برای مسیریابی بسته های اطلاعاتی تعیین کنند. یک روتر یک مقدار ToS برای هر مسیر در جدول مسیریابی خود نگه می دارد. پایین ترین اولویت TOS مقدار صفر؛ بالاترین مقدار وقتی بیت های 3، 4 و 5 با 1 تنظیم شده باشند ، 7 می باشد. بیت های دیگریا استفاده می شوند یا ذخیره خواهند شد.
    هردو این بیت ها متغیر ToS دستور tos based-priority هستند. روتر تلاش می کند تا
    ToS دیتاگرام را با ToS در یکی از مسیرهای ممکن به مقصد مطابقت دهد. اگر هیچ تطابقی وجود نداشته باشد، دیتاگرام بر روی یک مسیر با TCO صفر فرستاده می شود.
    هر بیت نشان دهنده اولویت می باشد:
    1000 – به حداقل رساندن تاخیر
    0100 – حداکثر رساندن توان عملیاتی
    0010 – حداکثر قابلیت اطمینان
    0001 – به حداقل رساندن هزینه های پولی
    مقدار ToS در CLI با استفاده از دستورات زیر تنظیم می شود:

    config system tos-based-priority

    edit <sequence-number>

    set tos [0-15]

    set priority [high | medium | low]

    end

    که TOS مقدار نوع بیت سرویس در دیتاگرام IP با عددی بین 0 تا 15 می باشد و Priority اولویت این نوع سرویس می باشد که این سطوح اولویت با ترافیک فایروال مطابقت دارد (RFC1349)
    برای مثال، اگر شما می خواهید واحد FortiGate را پیکربندی کنید به طوری که Reliablity اولویت اول باشد، TOS را با مقدار 4 تنظیم کنید.

    config system tos-based-priority

         edit 1

         set tos 4

         set priority high

       end

    برای فهرستی از مقادیر ToS و معادلات DSCP آنها،لینک Traffic shaping methods.
    را ببینید.
    مثال

    config system tos-based-priority
    edit  1
    set tos 1
    set priority low
    next
    edit 4
    set tos 4
    set priority medium
    next
    edit 6
    set tos 6
    set priority high
    next
    end

    ToS در FortiOS
    Traffic Shaping و ToS از دنباله ی زیر پیروی می کنند:
    • فرمان CLI tos-based-priority به عنوان یک نگاشت tos-to-priority عمل می کند. FortiOS ، زمانی که یک بسته را دریافت می کند ToS را به اولویت نگاشت می کند.
    • تنظیمات Traffic Shaping، اولویت بسته را با توجه به ترافیک تنظیم می کند.
    • تحویل بسته وابسته به اولویت آن است

    Traffic Shaping Units of Measurement
    سرعت پهنای باند در کیلوبیت در ثانیه (Kbps) اندازه گیری می شود و بایت هایی که ارسال و یا دریافت می شوند در مگابایت (MB)اندازه گیری می شوند. گاهی اوقات این می تواند باعث سردرگمی شود که بسته به اینکه آیا ISP شما از کیلوبیت در ثانیه (KbPs)،کیلوبایت (KB)، مگابیت در ثانیه (Mbps)، یا گیگابیت در ثانیه (Gbps) استفاده می کند

    سرعت دانلود

    • 1 kilobyte per second (KBps) = 8 kilobits per second (Kbps)
    • 1 megabit per second (Mbps) = 1,000,000 bits per second (bps)
    • 1 gigabit per second (Gbps) = 1,000 megabits per second (Mbps)

    اندازه فایل

    • 1 megabyte (MB) = 1,024 kilobytes (KB)
    • 1 gigabyte (GB) = 1,024 megabytes (MB) or 1,048,576 kilobytes (KB)

    برای تغییر واحد اندازه گیری Shaper در CLI :

    config firewall shaper traffic-shaper

    edit <shaper name>

    set bandwidth-unit {kbps | mbps | gbps}

    end

    مطالب مرتبط